A május 25-e óta már kötelezően alkalmazandó, röviden csak GDPR-ként emlegetett jogszabály jelentős változást hoz a személyes adatok kezelése területén: sokkal jobban védi a felhasználók adatait, és a korábbinál lényegesen nagyobb felelősséget vár el az adatok kezelőitől. Az új rendelet egyik legfontosabb alapelve, hogy személyes adatot – legyen szó akár email címről, telefonszámról vagy lakcímről – csak valamilyen céllal lehet kezelni. Szintén új elemet jelentenek a rendszerben a szigorú szankciók, a jövőben gondatlan vagy jogosulatlan adatkezelés esetén az érintettek akár 20 millió eurós bírságra is számíthatnak.
Szinte nincs olyan cég, amely ne kezelne személyes adatot
A nehézséget az okozza, hogy gyakorlatilag minden vállalkozás végez adatkezelést. Sokan elsőre azt gondolják, hogy az adatvédelmi szabályok csak azokat érintik, akik nagy tömegben továbbítanak (elektronikusan vagy papíron) reklámküldeményeket, komolyabb méretű címlistákkal dolgoznak vagy például nyereményjátékok során gyűjtik be a résztvevők elérhetőségeit. A GDPR azonban ennél sokkal szélesebb érintetti körre vonatkozik, hiszen nemcsak a vásárlók, hanem például a munkavállalók adatait is védi.
Mire kell ügyelni a munkavállalói adatok kezelésénél?
A fentiek szerint tehát nemcsak a vásárlókat, hanem a munkavállalókat is előzetesen tájékoztatni kell arról, hogy a munkáltató milyen adataikat kezeli és azt milyen célból teszi. Olyan adatot pedig nem gyűjthet a munkáltató, amelyre egyébként nincs feltétlenül szüksége. Például csak a munkakör betöltéséhez szükséges adatok, a végzettség, szakképesítés igazolása kérhető a munkavállalótól, de a magánéletére vonatkozó adat már nem.
Természetesen továbbra is a jogos adatkezelés kategóriába tartoznak a munkaszerződés megkötéséhez és fenntartásához vagy a munkabér fizetéséhez szükséges adatok, de például a munkahely kamerás megfigyelése vagy annak monitorozása, hogy az alkalmazott milyen internetes oldalakat nyit meg, csak akkor lehetséges, ha ez a munkáltató bizonyíthatóan jogos érdeke, és erről előzetesen tájékoztatja a munkavállalókat.
A munkáltatóknak arra is figyelniük kell, hogy meddig tárolják az adatokat, ugyanis azokat a munkavállaló jogviszonyának megszűnését követően bizonyos időn belül vagy a jogszabály szerinti őrzési idő leteltekor törölniük kell.
Álláshirdetésnél is tudnunk kell, kinek adjuk meg az adatainkat
Számos álláshirdetés esetében bevett szokás volt korábban, hogy csak egy általános leírás szerepelt az állást hirdető cégről (például: budapesti székhelyű járműiparban tevékenykedő multinacionális vállalat). Ilyen esetekben jellemzően még az állásjelentkezéshez megadott email címből sem lehetett kitalálni, mely cégről van szó. Sőt, sokszor az is titok volt, hogy valójában milyen célból várják a pályázatokat: hány pozíciót kívánnak betölteni, vagy éppen nem egy álláshirdetésbe csomagolt szakmai adatbázis (úgynevezett pool) építéséről van-e szó. Ezért az állásra jelentkezők nem tudták, ki kezeli az adataikat, esetleg kinek adják át, milyen célból és mennyi ideig tárolják azokat. Ez a rendszer a GDPR értelmében a továbbiakban nem működhet, hiszen az ilyen – gyakran készletező – adatgyűjtésre nincs lehetősége az adatkezelőknek.
Van már adatvédelmi tisztviselője?
Fontos változás, hogy a rendelet adatvédelmi tisztviselő alkalmazását írja elő számos adatkezelést végző szervezet számára. Minden esetben kötelező ilyen személyt kijelölnie a közhatalmi vagy közfeladatot ellátó szerveknek (kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságoknak), azoknak az adatkezelőknek, amelyek fő tevékenységükként rendszeresen és szisztematikusan, nagy mértékben figyelik meg az érintetteket – például olyan internetes programok készítői, amelyek célja a felhasználó viselkedésének és szokásainak rögzítése –, valamint azoknak, akik különleges adatokat nagy számban kezelnek. Utóbbiba tartozhatnak például az egészségügyi szolgáltatók, politikai pártok vagy egyéb olyan szervezetek, amelyek hozzájutnak az érintettek politikai véleményét, egészségi állapotát, vallási meggyőződését vagy szexuális irányultságát tükröző adatokhoz.
A cikk a Magyar Országos Közjegyzői Kamara (MOKK) szakmai közreműködésével készült. A közjegyzők nemcsak adatkezelőként, hanem jogi hivatásrendként is fontosnak tartják felhívni az érintettek (és egyben ügyfeleik) figyelmét az új szabályozásból eredő kötelezettségeikre és jogaikra. A MOKK célja, hogy tájékoztató kampányával növelje a jogi ismereteket és erősítse a jogtudatosságot mind az adatok kezelői, mind az adatok tulajdonosai körében.