„Ez már a türelmi időszak, 2018. május 25-e az utolsó határidő” – hívta fel a figyelmet a Csenterics András és Szűcs László, a Réti, Antall és Társai PwC Legal szakértő ügyvédjei. A szakemberek szerint minden magyar vállalkozásnak át kell alakítania adatkezelési módszereit, különös tekintettel a munkavállalók adataira, csakhogy a munkáltatók egy jelentős része ezzel nincs tisztában. „Sok cég azt sem tudja, hogy rájuk is vonatkozik a GDPR hatálya, és azzal sincs tisztában, hogy mit kell tennie” – mondták a szakemberek.

Itt olvashat arról, milyen egyéb kötelezettségekkel jár még a GDPR.

Első lépésként a jelenleg kezelt adatvagyont kell felmérni. A munkáltatónak be kell azonosítania, hogy milyen személyes adatokat tárol és használ, és mindezt milyen jogalapon, milyen célból teszi. Az adattakarékosság és a célhoz kötöttség elvéből következik, hogy a munkáltatók a jövőben csak olyan adatokat kezelhetnek, amelyek kezelésére - a GDPR szabályai szerinti - megfelelő jogalappal rendelkeznek. A jogalap a jövőben főként jogszabályon, jogos érdeken, kivételes esetben hozzájáruláson alapulhat. Jogalap hiányában pedig a személyes adatokat törölni kell.

Második lépésként a munkáltatónak be kell azonosítania, hogy a jövőben a munkáltató a munkavállalók, esetenként családtagjaik mely személyes adatait kezeli, illetve az adatkezelési folyamatok során ki lesz jogosult a személyes adatokhoz hozzáférni. Arról is döntést kell hoznia, hogy amennyiben történik adatkezelés, úgy a személyes adatokat meddig tárolja. Itt természetesen be kell azonosítania azokat a jogszabályokat, amelyek a munkáltatót a meghatározott személyes adatok őrzésére kötelezik, és ennek alapján kell megállapítania az adattárolás időtartamát.

Kép: Kaspersky Lab

Akár ötven évig is

Számos vállalat használ egységes HR-adatbázisokat, amelyekhez nem csupán az Európai Unió országaiból, hanem esetenként azokon kívülről is lehet hozzáférése egyes személyeknek. Ezen adatbázisok szükségességét felül kell vizsgálni és amennyiben a munkáltató, illetve anyacége az adatbázis fenntartása mellett dönt, úgy az adatbázis adattartalmát, továbbá a hozzáférést, a tárolás időtartamát át kell alakítani a GDPR szabályainak megfelelően. (Amelyekkel kapcsolatban nem kizárható, hogy még inkább szigorodni fognak a jövőben.)

Eddig sok munkáltató nem fordított erre figyelmet, sokan rendelkeznek olyan adatbázisa, amely 10-20 évvel ezelőtti munkavállalókkal kapcsolatban is tartalmaz adatokat és – ahogy a szakértők megjelgyzik – ezekhez az adatokhoz sokszor nem korlátozott a hozzáférés. „ Ha sarkítani akarunk, akkor sok magyar cégnél még a portás is hozzáférhet munkavállalók bizonyos adataihoz. Most viszont le kell zárni a múltat minden vállalkozásnál és csak azokat az adatokat szabad megtartani, amelyet az illetékes jogszabályok előírnak” – mondta Szűcs László. Kérdésünkre példaként elmondta: ilyenek például a béradatok, amelyeket a jelenleg hatályos előírás szerint 50 évig kell tárolnia a munkáltatónak. „Erre akkor lehet szükség, ha a munkavállaló nyugdíjba megy, a nyugdíj kapcsán a nyugdíjfolyósítónak szüksége van a munkában eltöltött időszak béradataira.”

Szűcs László

Van még elmaradás

Problémát okoz viszont, hogy a magyar jogalkotás is adós még néhány az átállással kapcsolatos jogszabállyal, illetve az ellenőrzéseket végző hatóságoknak sincs kialakult gyakorlata. A szakemberek szerint azonban várhatóan 2018 elejére minden olyan jogszabály megszületik, amely a GDPR bevezetéséhez szükséges.

„Amennyiben a jövőbeni adatkezeléshez a szükséges döntések megszülettek, úgy a munkáltatónak létre kell hoznia azokat a belső szabályozásokat, amelyek az érintett munkavállalók számára közérthetően, egyértelműen bemutatják a munkáltatónál irányadó adatkezelési szabályokat. A szabályzatokat úgy kell megalkotni, hogy valamennyi munkavállaló számára egyértelmű legyen, hogy mely személyes adatát kezeli a munkáltató, milyen célból és mely jogalapon, illetve meddig. A munkáltatónak arról is tájékoztatást kell adnia a munkavállalók számára, hogy az adatok törlésével, illetve a helytelen adatok kezelésével kapcsolatosan milyen jogai lesznek. Különös figyelmet kell fordítani arra, hogy a GDPR bizonyos típusú adatkezelések esetén több, a jelenlegi szabályozáshoz képest teljesen új jogot biztosít az érintettek részére” – hívja fel a figyelmet Szűcs László.

A munkaviszony az egyik legkomplexebb jogviszony, az akár évtizedeken átívelő munkaviszony miatt a munkáltató nagyon sok és eltérő típusú személyes adatot kezel. Valamennyi személyes adatra, illetve adatkezelésre nem lehet külön adatvédelmi tájékoztatást/szabályzatot készíteni, ezért célszerű egy egységes, a munkavállalók valamennyi személyes adatához kapcsolódó, keretszabályzatot készíteni. A keretszabályzatot ki lehet egészíteni olyan, speciális adatkezelésekhez kapcsolódó mellékletekkel, mint például a laptop használatához kapcsolódó adatkezelés, a GPS-rendszer által gyűjtött adatok tárolása és kezelése, vagy például a rehabilitációs jellegű munkakörökhöz kapcsolódóan az egészségügyi adatok kezelése.

Nem elég a szabály, tudni is kell róla

„A szabályzatok standardizálása bizonyos mértékig lehetséges, ám ezeknek a munkáltatónál alkalmazott egyedi jellegű adatkezelési folyamatokra kell épülniük. E tekintetben szinte nem is beszélhetünk két teljesen azonosan működő munkáltatóról” – hangsúlyozza Csenterics András, a Réti, Antall és Társai PwC Legal adatvédelmi és adatbiztonsági szakjogásza.

A szabályzatok elkészültét követően a munkáltatónak figyelmet kell fordítania arra, hogy a munkavállalók az adatkezelés új szabályait ténylegesen megismerjék. Ennek leghatékonyabb módja az oktatás, amely a szabályzatokban összefoglalt adatkezelési szabályok bemutatását jelenti. Emellett a munkáltatónak adatvédelmi tisztviselőt is ki kell jelölnie annak érdekében, hogy az adatvédelmi szabályok betartása kellő hatékonysággal ellenőrizhető legyen, továbbá 250 munkavállaló felett nyilvántartást kell készítenie az adatkezeléseivel kapcsolatosan.

A GDPR szabályainak végrehajtása azonban nem csupán adminisztratív teendőkkel jár. Az egyes IT-rendszerek adatbiztonsági megfelelőségét is felül kell vizsgálni, továbbá olyan komplex feladatokat kell megoldani, mint a már nem szükséges, vagy jogalap nélkül kezelt adatok (lehetőleg automatikus) törlése, esetleg anonimizálása, vagy például az adathordozhatóság feltételeinek kialakítása.

Csenterics András

„A szükséges intézkedéseket haladéktalanul célszerű elkezdeni, annak ellenére, hogy a GDPR bevezetéséhez kapcsolódóan még számos magyar jogszabály vár módosításra. A rendelet alapján a munkáltatói kötelezettségek beazonosíthatóak, továbbá a rendelet Magyarországon is közvetlenül hatályos, ezért azt javasoljuk, hogy a szervezetek kezdjék el az adatvagyon felmérését, illetve a munkáltatói adatkezelés új szabályozásának megfelelő átalakítási folyamatot” – mondja Csenterics András.

A véget jelentheti egy bírság

A vállalatok eddig a legtöbb esetben megúszták az alkalmazottakat vagy ügyfeleket érintő adatvesztések következményeit, de a jövőben a hatóságok jelentős bírságot szabhatnak ki ilyen esetekben, amik akár egy cég teljes bukását is eredményezheti. „A bírság a cég éves árbevételének 2 százalékáig terjedhet, de legfeljebb 10 millió euróig, ám súlyos jogsértésnél az éves árbevétel 4 százalékát is elérheti, legfeljebb 20 millió eurót, azaz hatmilliárd forintos bírságot is kiszabhat a hatóság.

A hatóságok várhatóan nem fognak a hatálybalépés napjától milliárdos összegű bírságokat osztogatni, azonban olyan büntetési lehetőségek is rendelkezésükre állnak, amelyek még kellemetlenebbül érinthetik a cégeket, ilyen például az adatkezelés megtiltása, amely akár egy vállalat működését is veszélybe sodorhatja. Az sem mellékes, hogy komoly reputációs kockázata van egy adatkezelési bírságnak. Ráadásul a munkavállalók polgári pert is indíthatnak sérelemdíjért, ha a munkavállaló nem megfelelően kezeli adataikat. „Ezért már most meg kell kezdenie a munkáltatóknak az adatvédelmi szabályaik kidolgozását, adataik ellenőrzését, rendszerük auditálását. A május 25-ei határidő távolinak tűnhet, de nem az” – figyelmeztettek a szakértők.