Már most készülhetnek jövő májusra a munkáltatók

2018. május 25-én hazánkban is hatályba lép az európai unió adatvédelmi rendelete, amely egységesíti a 28 tagállam adatvédelmi rendelkezéseit és felülírja a nemzeti jogszabályokat. A munkáltatóknak már most érdemes készülniük a szabályozásra.

2017. szeptember 6.

Piac&Profit

Az uniós adatvédelmi rendelet (General Data Protection Regulation, továbbiakban rövidítve GDPR) elsősorban a személyek jogait másodszor pedig a társaságok a kötelezettségeit növeli. Mivel a munkáltató a munkaviszony során a munkavállalók személyes adatait kezeli, ezért adatkezelőnek minősül, így vonatkozik rá a GDPR. A GDPR szabályainak megsértése esetén bírság szabható ki, melynek mértéke 20 millió euró vagy a vállalkozás előző pénzügyi év teljes éves világpiaci forgalmának 4 százalékát kitevő összege is lehet.

A GDPR megengedi, hogy tagállamok jogszabályban vagy kollektív szerződésekben az előírtaknál pontosabb szabályokat állapítsanak meg a munkavállalók adatkezelésével kapcsolatosan, a toborzástól a munkaviszony megszűnéséig. Ilyen lehet például annak meghatározása, hogy munkaszerződésben található adatvédelmi hozzájárulás mikor tekinthető érvényesnek. Minden tagállamnak legkésőbb 2018. május 25-ig kell értesíti a Bizottságot ezen rendelkezésekről. Magyarország jelenleg nem fogadott még el e témában részletesebb rendelkezéseket – de már készülnek ilyenek és nem sok jóval kecsegtetik a mulasztókat.

Zempléni Kinga, munkaügyi ügyvéd szerint az alábbiakat kell megtenniük a munkáltatóknak az elkövetkező hónapokban:

• Átnézni a jelenlegi HR szerződés mintákat, szabályzatokat és megállapítani, hogy a GDPR-nek mely részek nem felelnek meg.
• A GDPR rendelkezései alapján módosítani a mintákat és új eljárásokat bevezetni.
• Minta válaszokat kidolgozni adatkérések esetén, annak érdekében, hogy a GDPR-nek megfelelően kommunikáljon a társaság.
• Az informatikai rendszert oly módon módosítani, hogy könnyen kereshetőek legyenek az egyes munkavállalókra vonatkozó személyes adatok.
• Az adatvédelemmel foglalkozó munkatársak részére megfelelő adatvédelmi tréninget biztosítani.
• Lehetőség szerint egy online rendszer kialakítása munkavállalók személyes adatainak tárolása és hozzáférése céljából.

Még tovább szigorítaná Brüsszel az adatvédelmi rendeletet

Tovább szigorítaná az Európai Unió adatvédelmi előírásait az Európai Parlament szabadságjogokkal foglalkozó bizottsága. Míg a hamarosan életbe lépő Általános Adatvédelmi Rendelet (GDPR) lehetővé teszi, hogy a vállalatok a közöttük lévő jogviszony megszűnése után anonimizált módon tovább tárolják ügyfeleik személyes adatait, az új javaslat törlésre kötelezné őket.

Tájékoztatás és hozzájárulás

Jelenleg általában a munkaszerződés tartalmaz egy rövid összefoglalót a személyes adatok kezeléséről és hozzájárulást is harmadik személy részére történő adattovábbításhoz. A jövőben a foglalkoztatás során a munkáltató a munkavállaló személyes adatait csak bizonyos esetekben kezelheti jogszerűen, ezért fontos, hogy a munkáltató helyesen állapítsa meg az adatkezelés jogalapját. Ennek megfelelően, jövő májusig a munkáltatónak át kell vizsgálnia a munkaszerződés mintát és megállapítani, hogy egyes adatokat milyen jogcímen kezelik. A munkáltatóknak vélhetően egy részletesebb adatvédelmi tájékoztatást kell a munkaszerződésbe vagy az adatvédelmi szabályzatba foglalniuk, illetve egyedi hozzájárulásokat kérni adatok kezelésére.

Munkavállaló jogai

A munkáltatónak olyan mechanizmust kell kialakítania, amely által többek között a munkavállalónak lehetősége van díjmentesen kérelmezni, illetve adott esetben megkapni különösen a személyes adatokhoz való hozzáférést, azok helyesbítését és törlését, valamint gyakorolni a tiltakozáshoz való jogát. A munkáltató ennek megfelelően köteles biztosítani a kérelmek elektronikus benyújtását lehetővé tevő eszközöket is, különösen, ha a személyes adatok kezelése elektronikus úton történik.

Kemény világ jön

Rengeteg adminisztráció, súlyosabb bírságok és vége az adattengernek – ideje felkészülni, jön az Unió új adatvédelmi rendelete. Lássunk néhány fontos újdonságot, amelyek indokolttá teszik a másfél éves felkészülési időszakot!

Adatvédelmi incidens

Az új szabályok értelmében személyes adat jogellenes kezelése vagy feldolgozása, megsemmisítése, elvesztése, megváltoztatása esetén a munkáltatónak bejelentési kötelezettsége keletkezik a felügyelő hatóság felé. Amennyiben ez az incidens a munkavállaló személyes adatait érinti, akkor munkavállalót is értesíteni kell.

Az adatvédelmi tisztviselők

Az új általános adatvédelmi rendelet a belső adatvédelmi tisztviselő kinevezését a jelenlegi. szabályoknál szélesebb adatkezelői körben teszi kötelezővé. Ha erre kerül sor, akkor fontos, hogy a munkáltató megbizonyosodjon arról, hogy valaki a szervezeténél vagy egy külső tanácsadó megfelelően felelősséget vállal az adatvédelmi eljárásoknak való megfelelésért, és elegendő tudással, támogatással és fennhatósággal rendelkezik ehhez.

Adatvédelmi hatásvizsgálat

Az új szabályok értelmében, ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa valószínűsíthetően magas kockázattal jár a munkavállalók jogaira, személyes adataira nézve, akkor a munkáltatónak az adatkezelést megelőzően hatásvizsgálatot köteles végezni.

Adatvédelmi nyilvántartás

Megszűnik a NAIH hivatalos adatvédelmi nyilvántartása, a jövőben azonban minden munkáltatónak kötelessége adatkezelési tevékenységeiről nyilvántartást vezetni.

Adatvédelmi szabályzat

A munkáltató köteles adatvédelmi szabályzatokat elfogadni, amely az adatkezeléssel, a munkavállalók jogaival kapcsolatos főbb szabályokat tartalmazza.

Nem kell úgy rettegni a GDPR-tól

A mostanában sokat emlegetett GDPR-ról az hírlik, hogy olyan nagy horderejű változásokat hoz, amelyekre a cégek – különösen a kkv szektor – csak nagyon nehezen tudnak felkészülni. Szakértők szerin viszont valójában azok a vállalkozások, amelyek eddig is ügyeltek arra, hogy megfeleljenek a magyar adatvédelmi jogszabályoknak és a NAIH előírásainak, az új rendelet hatályba lépésével nem kényszerülnek gyökeres változtatásokra. Azok a cégek viszont, akik eddig sem foglalkoztak az adatvédelemmel és nem tanúsítottak jogkövető magatartást, tényleg újdonságokkal találkozhatnak – persze nem azért, mert annyira más lesz az új jogszabály, hanem azért, mert a régit sem ismerték és nem követték, és most egyszerre kell megfelelniük egy szigorúbb szankciót alkalmazó új rendeletnek.

Véleményvezér