A GDPR új szabályai a munkahelyi adatkezelésben

Tematika

A GDPR új szabályai a munkahelyi adatkezelésben

Tematika 150 perc

A munkaviszony előtt, alatt és után is számtalan személyes adatot kezel a munkáltató, ráadásul nem csak a munkavállalók személyes adatait, hanem a családtagokét is.

I. Alapvető fogalmak (20 perc)

A GDPR szerint személyes adatnak minősül az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ.

Érintett

„Érintett” a munkavállaló, azonban nem csak a már munkaviszonyban álló munkavállaló minősülhet azonosítható természetes személynek: „érintett” lehet az álláspályázatra jelentkező vagy éppen a munkavállaló hozzátartozója is, hiszen a munkáltató rájuk vonatkozóan is kezel személyes adatokat, amelyek alapján az illető beazonosítható.

Különleges Adat

Különleges adat például a szakszervezeti tagságra vonatkozó adat, az egészségügyi adat vagy éppen a természetes személyek egyedi azonosítását célzó biometrikus adat, pl. az arckép –(fényképes munkahelyi belépőkártyák)

Adatkezelő

A GDPR szerint az adatkezelés nem más, mint a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége. Ilyen művelet lehet a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

A GDPR szerint kell eljárni az online és offline álláspályázatokra beérkezett önéletrajzok gyűjtése, tárolása, azaz adatkezelése során.

Adatfeldolgozó

Az adatkezelő fogalmától eltér az „adatfeldolgozó” fogalma: ez az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel. Adatfeldolgozó lehet például a könyvelő vagy a bérszámfejtést végző társaság, amely a munkavállalói jelenléti adatokat, az esetleges adókedvezményre jogosító körülményeket összesíti és ez alapján számfejti a munkabért

II. Adatkezelési elvek (20 perc)

Jogszerűség, tisztességes eljárás és átláthatóság, célhoz kötöttség, adattakarékosság, pontosság, korlátozott tárolhatóság, integritás és bizalmas jelleg, elszámoltathatóság

Az adatkezelési elveknek meg kell megfelelni a GDPR szerint, amelyek nélkülözhetetlenek a HR tevékenységek körében is.

A személyes adatok kezelését jogszerűen és tisztességesen, az érintett számára átlátható módon kell végezni.

III. Jogalapok (20 perc)

A GDPR rendelet összesen hat jogalapot határoz meg az adatkezeléssel összefüggésben, tehát valamelyiknek – vagy többnek – meg kell felelnünk annak érdekében, hogy a HR adatkezelése jogszerű legyen.

1. Hozzájárulás
2. Szerződés teljesítése
3. Jogi kötelezettség teljesítése
4. Az érintett létfontosságú érdeke
5. Közhatalmi jogosítvány gyakorlása
6. Jogos érdek

IV. 1. Munkahelyi adatvédelem változásai (10 perc)

Céges eszközök használata (laptop, telefon) magáncélra. Erkölcsi bizonyítvány kérdésköre. Visszaélés-bejelentési rendszer módosulása. Egészségügyi adatok kezelésének szabályozása. Változások a kamerás megfigyelésben. Változások a biztosítási szektorban. Pmt. változásai. 

IV. 2. GDPR kötelező adatkezelések felülvizsgálata (10  perc)

Tekintsük át a jelenlegi adatkezeléssel kapcsolatos folyamatokat, a kezelt adatok körét és azt, hogy megfelelő jogalap áll-e rendelkezésre az adatkezeléshez. Célszerű, hogy a GDPR-alapelvek tükrében nézzük meg, hogy azoknak megfelelünk-e. Nézzük át azt is, hogy az érintettek (pl. álláspályázatra jelentkezők, munkavállalók) jogai biztosítottak-e a jelenlegi folyamatokban.

IV.3. Operatív intézkedések (10 perc)

Vegyük kézbe a meglévő adatkezelési dokumentációt és ha szükséges, módosítsuk azokat.

V. Ellenőrzés és megfelelőség (30 perc)

A GDPR-nak való megfelelés nem egy egyszeri esemény, az adatvédelmi mechanizmusokat folyamatosan biztosítani kell. A technika fejlődésével, újabb és újabb toborzási, kiválasztási, adattárolási stb. eszközök megjelenésével folyamatosan tartani kell a lépést adatvédelmi szempontból is. Célszerű tehát, hogy minden téren és folyamatosan biztosított legyen a GDPR-nak való megfelelés.

Az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR-rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

VI. Esettanulmány feldolgozása a NAIH által az elmúlt egy évben hozott határozatok alapján (30 perc)