GDPR: önéletrajzok, GPS-ek és munkahelyi kamerák

A meghirdetett állásra jelentkező személyek önéletrajza bővelkedik személyes adatokban. A felvett munkatársakról is számos adattal rendelkeznek a munkaadó cégek. És akkor még szó sincs a térfigyelő kamerákról és GPS-ekről. Hogyan kell kezelni ezeket az adatokat a GDPR elvei szerint?

„Az önéletrajz tárolása eddig hozzájárulás alapján működött, ezentúl a munkáltató jogos érdeke ad ennek jogalapot” – mondta dr. Csenterics András, az L.L.M. Réti, Antall, Várszegi és Társai Ügyvédi Irodától a Piac & Profit GDPR – finisben című konferenciáján. Ez azonban szűk körben alkalmazható.

Szövegkörnyezet

A szakmai életrajz megőrzése hosszabb távon – a meghirdetett állás betöltése után – már külön téma. Itt is a hozzájárulás fog vélhetően érvényesülni. A cég elvileg védekezhet azzal, hogy a jelentkező szóba jöhet olyan állásra is, amit a közeljövőben hirdetnek meg.

GDPR: bejelentem az incidenst, és fizetek, vagy sunnyogok?

Korlátozni kell a hozzáféréseket az ügyfelek személyes adataihoz a munkatársak körében. Lejárt annak az ideje, amikor mindenki bányászhatott a cégnél mindenféle belső adatbázisban. Az adatfeldolgozó alvállalkozókkal való viszonyt is szerződésben kell szabályozni. Többféle módszerrel is védekezhetünk a nagy bírságok veszélye ellen.

„Mindig egy jogalapnak kell érvényesülnie, a jogalapok egyenrangúak. Ha egy megvan, az önmagában elegendő” – magyarázta Csenterics. A jogos érdek megállapításához érdekmérlegelési tesztet kell végezni.

Ha a CV pdf formátumban lett beküldve, abban irreveláns infó is lehet, ami ráadásul különleges adatnak is minősülhet (pl. születési adat, hobbik).

Arányosság

A céges e-mail figyelésénél az arányosság elve érvényesül. Ha egy e-mail tárgyából már kiderül, hogy nem szakmai jellegű, hanem privát, „nem lehet jogszerűen ellenőrizni”. A hatóság mindezzel kapcsolatban azon az állásponton van, hogy „önmagában nem elég, hogy van jogalapom, arányosan kell alkalmazni” – fejtegette Csenterics.

Ha például a főnök figyelteti, hogy az alkalmazott gépén milyen a kurzormozgás vagy a percenkénti leütésszámot, itt már a magánszférába is behatolhat a figyelés, ha az illető időnként magáncéllal a netre látogat, vagy privát e-mail-boxát csekkolja.

Kamera, GPS

Fontos tudni, hogy a webkamerák, térfigyelő kamerák vagy a céges autók GPS-ei által rögzített adatok sem tárolhatók – sőt nem is rögzíthetők – ok nélkül. Eleve bizonyítani kell, hogy ezek a munkavégzéssel kapcsolatos tevékenységet monitorozzák, a megfigyelés nem lehet aránytalanul eltúlzott. „A munkatárs saját autójába ne szereljünk be GPS-t” – tanácsolta Csenterics. Azt is szabályozni kell a cégen belül, hogy „a GPS-adatokat csak dedikált munkavállalók ismerhessék meg”.

Hét általánosan elterjedt tévhit a GDPR-ról

Az uniós adatvédelmi irányelv (GDPR) tartalma körül sok a mítosz és a tévhit. Ezeket oszlatták el a Piac & Profit GDPR – finisben című konferenciájának előadói.

Nem lehet közvetlenül kamerát telepíteni az öltözőbe, a mosdóba és az ebédlőbe sem. Ha viszont arányos a kamera használata – például telephelyen a targoncák és teherautók s a munkavégzés kültéri figyelésére –, a hivatal elvárja, hogy a kamera piktogramját kitegyük, sőt tanácsos alaprajzot is kirakni, ami mutatja, hogy milyen területre terjed ki a kamera látóköre – vélekedett Csenterics.

Mobiltelefonleadás

Munkahelyi szabállyá kell tenni, hogy amikor egy alkalmazott kilép a munkahelyről, úgy adja le a céges telefonját, hogy törölte a személyes adatokat. Hiszen nehezen várható el a munkatársaktól, hogy jártukban-keltükben ne csináljanak fotókat a munkaidőn kívül a céges okostelefonnal – tanácsolta Kuti Anita, a p2m Informatika Kft. információbiztonsági szakértője.

„A munkavállaló számára készített adatkezelési tájékoztatót célszerű átnézetni, és aláíratni vele” – mondta dr. Kovács Péter Zoltán, a Szecskay Ügyvédi Iroda partnere.

GDPR: szakítani kell a szabad-tilos szemlélettel

Május 25-e, az új uniós adatvédelmi szabályozás hatálybalépésének napja közel van, de azért utána is fel fog kelni a nap, ezért még most sem késő elkezdeni a felkészülést a megfelelésre, főleg azért, mert előbb-utóbb úgyis mindenkinek meg kell felelnie az új előírásoknak – figyelmeztetett Halász Bálint, a Bird & Bird nemzetközi ügyvédi iroda partnere. Már csak azért is érdemes foglalkozni a megfeleléssel, mert a GDPR a kötelezettségek mellett számos lehetőséget is tartogat a cégek számára.