Sok érzékeny ponton érinti a HR-t is a GDPR

Ugyanazok az elvek érvényesek a HR esetében is mint más adatkezelésnél, de érdemes tisztázni, hogy mit jelent az általános adatvédelmi rendelet szempontjából például a célhoz kötöttség vagy az adattakarékosság elve a toborzás vagy a munkavállalók megfigyelése során. A tegnap rendezett GDPR Konferencián dr. Kováts Borbála, a Sár és Társai Ügyvédi Iroda ügyvédjelöltje külön előadásban tért ki a HR és a GDPR-ral kapcsolatos kérdésekre. Az előadó már a bevezetőben egyértelműsítette, hogy a GDPR mellett az Infotörvény és a Munka Törvénykönyve szabályait is egyaránt figyelembe kell venni a témakörben. A konkrét magyar szabályozást és gyakorlatot az Infotörvény 2018 októberére ígért módosítása fogja majd egyértelművé tenni, hiszen a tagállami jog eltérhet a GDPR szabályaitól a munkavállalók személyes adatainak foglalkoztatással összefüggő kezelése kapcsán. A GDPR szabályrendszerének való megfelelés, illetve az arra való felkészülés azonban jó kiindulópont, mivel a tagállami jog az EU-s rendeletnél csak szigorúbb rendelkezéseket írhat elő.

Sokat emlegetett kérdés az ügyvédjelölt szerint, hogy a munkavállalók adatainak kezeléséhez a munkáltatónak hozzájárulást kell-e kérnie, amire a válasz, hogy nem kell és nem is lehetséges, mivel "a hozzájárulás nem szolgálhat érvényes jogalapként a személyes adatok kezeléséhez, ha az érintett és az adatkezelő között egyértelműen egyenlőtlen viszony áll fenn" - mondja ki a rendelet. Márpedig a munkáltató-munkavállaló viszony a legtöbb esetben alá-fölérendeltséget jelent, így a munkavállaló adatkezeléshez való hozzájárulása többé nem lehet érvényes jogalap.

Az adatkezelés érvényes jogalapjai közé tartozik a munkaszerződés teljesítése (például a munkabér átutalásához), a jogi kötelezettség teljesítése (például adójogi, TB jogi bevalláshoz) vagy pedig a munkáltató jogos érdeke, ami "ingoványosabb talaj", mivel itt érdekmérlegelést kell végezni a munkáltató jogos érdeke és a munkavállaló jogai között; a jogos érdek mint jogalap főleg a munkáltatói ellenőrzés során szokott fontos lenni.

Változni kell az álláshirdetéseknek

Az adatgyűjtés viszont nem csak a munkavállalóknál történik, hanem a HR-es már a toborzás és a munkaerő-felvétel során elkezdi azt, úgyhogy a GDPR erre a területre is kiterjed. Így a jövőben megszűnhet vagy legalábbis csökkenhet az anonim álláshirdetések száma, ami a céget nem nevezi meg, mint például "belvárosi ügyvédi iroda keres..." kezdetű kiírások. Ez esetben ugyanis aránytalanul sérülnek a jelentkezők jogai, akik nem kapnak elegendő tájékoztatást, miközben kiadják saját személyes adataikat. Emiatt a jövőben csak "különösen indokolt, rendkívüli esetben, korlátozott mértékben" lehetséges az anonim álláshirdetés - mondja Kováts Borbála.

A munkáltató jogos érdekére hivatkozva viszont kérhetők különböző alkalmassági vizsgálatok, ha a munkáltató részletes tájékoztatást ad a jelentkezők számára arról, hogy pontosan milyen készség, képesség felmérésére irányul a vizsgálat, illetve azt milyen eszközzel és módszerrel végzik. Ez nem az orvosi vagy pszichológiai teszteket, hanem például az IQ teszt jellegű felméréseket jelenti. Az erkölcsi bizonyítvány továbbra is jogszerűen elkérhető, ha az ágazati jogszabály értelmében a munkakör betöltéséhez elengedhetetlen. Azonban a bűnügyi nyilvántartásban szereplő adatok bekérése eddig sem volt jogszerű módszer az erkölcsi alkalmasság megállapításához és ezután sem lesz az, mivel súlyosan sérti az érintett jogait.

Érdekes kérdés, hogy egy cég toborzója böngészheti-e a potenciális jelöltek közösségi média oldalait. A nyilvános adatok esetében teljesen "életszerűtlen elvárni a munkáltatótól", hogy ezt ne tehesse meg - jegyzi meg az ügyvédjelölt. Úgyhogy az oldalakon az adatokat meg lehet tekinteni, de erről a hirdetésben előzetesen tájékoztatni kell a jelentkezőket, és böngészés során is csak a "pályázattal, munkaviszonnyal kapcsolatos lényeges információk" tekinthetők meg. A korlátozottan nyilvános adatok, például a jelentkező zárt csoportokban végzett tevékenysége, aktivitása viszont nem nézhetők meg. A munkáltató vagy toborzó által jogszerűen megismert adatokat nem lehet lementeni, tárolni és továbbítani sem, ha pedig a cég mégsem veszi fel a jelentkezőt, vagy a jelentkező visszautasította az ajánlatot, akkor a megszerzett adatokat törölni kell, mint például a beküldött önéletrajzokat és motivációs leveleket.

Hogyan lehet megfigyelni a munkavállalót?

Számos módja felmerül, hogy a munkáltató hogyan ellenőrizheti a munkavállalót, akár a nem eleve megfigyelésre tervezett eszközökkel. Egyik módja a belépési és kilépési adatok rögzítése a beléptetésnél használt kártyával, amely a rendelet és az Európai Bizottság mellett működő Adatvédelmi Munkacsoport állásfoglalása szerint pusztán a munkavállalók teljesítményének értékeléséhez, a benn töltött munkaidő ellenőrzésére nem alkalmazható, annak használata csak olyan esetekben igazolható, mint például nagy értékű tárgy lopása.

Továbbá a kamerákat is lehet használni az irodában, de elsődlegesen csak a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvényben (Szvtv.) meghatározott célokból. Ha a munkáltató ettől eltérő célból tervez kamerás megfigyelést alkalmazni, a GDPR-ban meghatározott „jogos érdek” jogalapjára kell hivatkoznia, és ezt a jogos érdeket igazolnia kell. A Szvtv. szabályozza a tárolás lehetséges időtartamát is. Fontos újdonság azonban, hogy nem elegendő a kamerás megfigyelésről szóló általános tájékoztatás, hanem minden kamera vonatkozásában egyesével kell tájékoztatni az érintetteket az adott kamera látószögéről, céljáról és szükségességéről.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

A munkahelyi internethasználat ellenőrzése csak azokra az oldalakra terjedhet ki, amelyet a munkáltató blokkol a belső szabályzata szerint. Úgyhogy az ellenőrzés során csak a tiltott weboldalak címének megjelenését ellenőrizheti a munkavállalóknál, de nem figyelheti meg a többi internetes tevékenységet, például azt, hogy a munkavállaló milyen linkekre kattintott az adott weboldalon belül, vagy miket töltött le az oldalról.

A korábbi cikkünkben az email címmel és fiókokkal kapcsolatos szabályozásra részletesebben kitértünk, melyben érintettük, hogy a magánjellegű levelek munkáltató általi megismerése jogellenes. Újabb információként derült ki, hogy a munkáltatónak a fokozatosság elvét kell követni, hogy felismerje, és ne ismerje meg a magáncélú levelek tartalmát. Erre jó gyakorlat lehet elsőként a címzett email címének és a levél tárgyának megismerése, hiszen ezen információk alapján már a legtöbb esetben megállapítható, hogy magáncélú levelezésről van szó. Ha a munkáltató valamilyen plusz információ birtokában van az ellenőrzés során, például tudja, hogy milyen időpontban küldte el a munkavállaló azt az emailt, amelyet ellenőrizni szeretne, úgy elegendő a csak ebben az időtartamban kiküldött levelek ellenőrzése.

Már az emailekről szóló cikkünk kapcsán is felmerült a hozzászólások közt a céges laptop és mobiltelefon magáncélú használatának kérdése, melyet alapesetben a munkáltató szabályozhat, hogy lehetséges-e. A Sár és Társai Ügyvédi Iroda javaslatai szerint amennyiben engedélyezi a munkáltató a céges laptop magáncélú használatát, érdemes a laptop merevlemezén partíciók létrehozása, melyek közül a magáncélút a munkáltató nem tekintheti meg, vagy a szabályzatban egyéb korlátok meghatározása. Mobiltelefonnál pedig hasonlóan jó megoldás lehet a dupla SIM használata a magán és a céges ügyek elkülönítéséhez.

Egy másik eset a céges autókban a GPS navigációs rendszer ellenőrzése, amellyel pedig csak a jármű követését lehet ellenőrizni, de semmiképpen nem a munkavállalót. Például fontos lehet futárszolgálatok esetében, hogy a jármű hol jár vagy éppen ha a veszélyes áru ellenőrzése, esetleg a munkavállaló testi épségének védelme a cél. A magáncélú autóutaknál viszont az ellenőrzés nem lehetséges. A konferencián elhangzott tipp szerint jó gyakorlat lehet például a kapcsológomb használata a magáncélú és céges utak között, amely segítségével a munkavállaló a céges autó magáncélú használatának megkezdésekor kikapcsolhatja a GPS nyomkövetést.

Még mielőtt a elkezdődne a GDPR alkalmazása május 25-e előtt, érdemes felülvizsgálni a cégeknél a jelenlegi adatkezelési gyakorlatot, mely magában foglalja a szerződések, nyilvántartások, eljárások, irányelvek, IT rendszerek ellenőrzését. Továbbá az adatbiztonsági és információbiztonsági szabályzat, valamint a munkavállalói tájékoztatók módosítását vagy esetleg elkészítését. A Data Economy Conference-en a Digital Europe vezérigazgatója elmondta, hogy európai szinten a GDPR-ra a cégek 19 százaléka készült fel, a GDPR konferencia saját - 365 hazai céget megkérdező - kutatása szerint 41 százalék rendelkezik már adatvédelmi stratégiával és 39 százalék ütemtervvel a megvalósításhoz, úgyhogy május 25-ig sok cégnek lesz még tennivalója.