„Csak gyakorlatiasan” – munkahelyi adatkezelés a GDPR alapján

 

Dr. Szűcs László,  Dr. Csenterics András előadása, sajtótájékoztató

2017. szeptember 29.

 

Az Általános Adatvédelmi Rendelet (GDPR) 2018. május 25-ig biztosít arra lehetőséget a munkáltatóknak, adatkezelésüket a GDPR rendelkezéseinek megfelelően átalakítsák. A munkáltatók nagyszámú, eltérő jellegű személyes adatot kezelnek, ezért az új szabályozásnak történő megfelelés igen komplex és összetett feladatot ró rájuk.

A megfelelés első lépéseként a jelenlegi kezelt adatvagyont kell felmérni. Ennek körében be kell azonosítani, hogy a munkáltató jelenleg milyen személyes adatokat tárol és használ, és mindezt milyen jogalapon, milyen célból teszi. Az adattakarékosság és a célhoz kötöttség elvéből következik, hogy a munkáltatók a jövőben csak olyan adatokat kezelhetnek, amelyek kezelésére – a GDPR szabályai szerinti – megfelelő jogalappal rendelkeznek. A jogalap a jövőben főként jogszabályon, jogos érdeken, kivételes esetben hozzájáruláson alapulhat. Jogalap hiányában pedig a személyes adatokat törölni kell.

Következő lépésként meg kell tervezni a jövőt. Be kell azonosítani, hogy a jövőben a munkáltató a munkavállalók, esetenként családtagjaik mely személyes adatait kezeli, illetve az adatkezelési folyamatok során ki lesz jogosult a személyes adatokhoz hozzáférni. Arról is döntést kell hozni, hogy amennyiben történik adatkezelés, úgy a személyes adatokat meddig tárolja. Itt természetesen be kell azonosítsa azokat a jogszabályokat, amelyek a munkáltatót a meghatározott személyes adatok őrzésére kötelezik, és ennek alapján kell megállapítani az adattárolás időtartamát. Számos multinacionális vállalat használ egységes HR adatbázisokat, melyekhez nem csupán az Európai Unió országaiból, hanem esetenként azon kívülről is lehet hozzáférése egyes személyeknek. Felül kell vizsgálni ezen adatbázisok szükségességét, illetve amennyiben a munkáltató, illetve anyacége az adatbázis fenntartása mellett dönt, úgy az adatbázis adattartalmát, továbbá a hozzáférést, a tárolás időtartamát át kell alakítani a GDPR szabályainak megfelelően.

Amennyiben a jövőbeni adatkezeléshez a szükséges döntések megszülettek, úgy a munkáltatónak létre kell hozni azokat a belső szabályozásokat, amelyet az érintett munkavállalók számára közérthetően, egyértelműen bemutatják a munkáltatónál irányadó adatkezelési szabályokat. A szabályzatokat úgy kell megalkotni, hogy valamennyi munkavállaló számára egyértelmű legyen, hogy mely személyes adatát kezeli a munkáltató, milyen célból és mely jogalapon és meddig, továbbá a munkáltatónak arról is tájékoztatást kell adni a munkavállalók számára, hogy az adatok törlésével, illetve a helytelen adatok kezelésével kapcsolatosan milyen jogai lesznek. E körben különösen figyelembe kell venni, hogy a GDPR bizonyos típusú adatkezelések esetén több, a jelenlegi szabályozáshoz képest teljesen új jogot biztosít az érintettek részére.

A munkaviszony az egyik legkomplexebb jogviszony. Ennek megfelelően az esetenként évtizedeken átívelő munkaviszonyhoz kapcsolódóan a munkáltatónak nagyon sok és eltérő típusú személyes adatot kell kezelni. Valamennyi személyes adatra, illetve adatkezelésre nem lehet külön adatvédelmi tájékoztatást / szabályzatot készíteni, ezért célszerű egy egységes, a munkavállalók valamennyi kezelés személyes adatához kapcsolódó, keretszabályzatot készíteni. A keretszabályzatot aztán ki lehet egészíteni olyan, speciális adatkezelésekhez kapcsolódó mellékletekkel, mint például a laptop használathoz kapcsolódó adatkezelés, a GPS rendszer által gyűjtött adatok tárolása és kezelése, vagy például a rehabilitációs jellegű munkakörökhöz kapcsolódóan az egészségügyi adatok kezelése.

A szabályzatokat lehet bizonyos fokig standardizálni, azonban a szabályzatoknak a munkáltatónál alkalmazott egyedi jellegű adatkezelési folyamatokra kell épülnie és ebben a körben szinte nincsen két teljesen azonosan működő munkáltató.

A szabályzatok elkészültét követően a munkáltatónak figyelmet kell arra fordítania, hogy a munkavállalók az adatkezelés új szabályait ténylegesen megismerjék. Ennek leghatékonyabb módja az oktatás, amely lényegében a szabályzatokban összefoglalt adatkezelési szabályok bemutatását jelenti. Emellett a munkáltatónak adatvédelmi tisztviselőt is ki kell jelölnie annak érdekében, hogy az adatvédelmi szabályok betartása kellő hatékonysággal ellenőrizhető legyen, továbbá 250 munkavállaló felett nyilvántartást kell készítenie az adatkezelésével kapcsolatosan.

A GDPR szabályainak végrehajtása azonban nem csupán papírmunka. Az egyes IT rendszerek adatbiztonsági megfelelősségét is felül kell vizsgálni, továbbá olyan elsőre egyszerűnek, a gyakorlatban viszont bonyolultnak minősülő feladatot kell megoldani, mint a már nem szükséges, vagy jogalap nélkül kezelt adatok (lehetőleg automatikus) törlése, esetleg anonimizálása, vagy például az adathordozhatóság feltételeinek kialakítása.

A szükséges intézkedéseket haladéktalanul célszerű megkezdeni, annak ellenére, hogy a GDPR bevezetéséhez kapcsolódóan még számos magyar jogszabály vár módosításra. Mivel azonban a rendelet alapján beazonosíthatóak a munkáltatói kötelezettségek, továbbá a rendelet Magyarországon is közvetlenül végrehajtható, ezért már most meg lehet kezdeni az adatvagyon felmérését, illetve az munkáltatói adatkezelés új szabályozásnak megfelelő átalakítását.

 

Hogyan pereskedjünk 2018-tól?

2018 januárjától alapjában megváltoznak a polgári pereskedés szabályai. Irodánk előadást szervez a legfontosabb perjogi változásokkal kapcsolatban, melynek sajátossága, hogy az kifejezetten gyakorlatorientált: a jogszabályváltozások nyomán keletkező konkrét problémákra javasolunk konkrét megoldásokat.

Jelentkezés:

 

Portfolio-TechData GDPR Summit 2017

Kollégánk, dr. Csenterics András, adatvédelmi és adatbiztonsági szakjogász a Portfolio – TechData GDPR Summit 2017 konferencián tartott előadást a 2018. május 25-től kötelezően alkalmazandó General Data Protection Regulation (GDPR) két, nagy érdeklődésre számot tartó témájáról: az adatkezelők törlési kötelezettségeiről a birtokukban lévő személyes adatok vonatkozásában, valamint a személyes adatok anonimizálásának, álnevesítésének és titkosításának jogi vonatkozásairól. A rendezvényen a közép-és nagyvállalati szektor több mint 200 neves résztvevője képviseltette magát, az előadásokat élénk szakmai diskurzus övezte.

Kollégánkat választották a Fiatal Ügyvédek Nemzetközi Szervezetének (AIJA) magyarországi képviselőjévé

A Fiatal Ügyvédek Nemzetközi Szervezete (International Association of Young Lawyers, AIJA) Tokióban tartotta meg 55. éves kongresszusát, melynek témáját idén a mesterséges intelligencia és az ezzel összefüggő jogi kérdések képezték. A Réti, Antall és Társai PwC Legal Ügyvédi Irodát dr. Klenanc Miklós ügyvéd képviselte, aki már hosszabb ideje foglalkozik a robotokat, önvezető autókat és egyéb járműveket, drónokat, stb. érintő felelősségi kérdésekkel, és akit az AIJA (világszerte több mint 2.000 taggal rendelkező nemzetközi szervezet) magyarországi képviselőjévé választottak a közel 500 ügyvéd, jogtanácsos és fiatal jogász részvételével lebonyolított rendezvényen. A résztvevők a világ valamennyi tájáról érkeztek új üzleti és szakmai kapcsolatokat kialakítani, valamint ápolni a már fennállókat, ami kiemelkedő lehetőség volt potenciális új megbízások megszerzésére. Ugyanakkor arra is remek alkalmat biztosított a konferencia programja, hogy meggyőződhessünk arról: az irodánkban a mesterséges intelligencia jogi vonatkozásai kapcsán folyó szakmai műhelymunka nemzetközi összehasonlításban is versenyképes és megállja a helyét.