Mi a helyzet a LinkedIn közösségi oldalon megadott vagy a külsős beszállítópartnerektől kapott adatok megismerésével GDPR szempontból, és szabad-e email üzenetben átküldeni személyes adatot? Még mindig sok kérdés felmerül a május 25-én alkalmazásba lépő európai uniós adatvédelmi rendelettel kapcsolatban a HR részéről, ezért indított ingyenes webes tájékoztatósorozatot a Nordconn HR és IT tanácsadó cég az érdeklődők számára. Az általános bemutató után nagyon sok kérdés érkezett különböző vállalatok HR-eseitől, ami jól mutatja, hogy érdemes még beszélni a témáról. Az IDC friss kutatása alapján az európai kisvállalkozások 29 százaléka és a közepes vállalkozások 41 százaléka tett eddig lépéseket, hogy megfeleljen a GDPR-nak, míg az Európán kívüli kisvállalatok közül csak 9 százalék és a közepes vállalatok közül 20 százalék kezdte el eddig a felkészülést. A tanácsadócég által idézett adat szerint a vállalatok több mint fele nem is tudja, kire vonatkozik egyáltalán a GDPR, és milyen teendői vannak ezzel kapcsolatban.

Pedig az uniós szinten alkalmazandó követelmény- és szabályrendszer a munkaügyet is érinti már egy állásra jelentkezők adatkezelésétől kezdve. A folyamat általában a jelöltek önéletrajzának megismerésével kezdődik, amelyet hiába önként küld el a pályázó, onnantól a cég már adatkezelőnek számít - szögezte le dr. Bocsi Bernadett, a Nordconn adatvédelmi tanácsadója. Ahhoz viszont, hogy ez jogszerű is legyen, az állásra jelentkezőknek először meg kell ismernie a céges adatvédelmi tájékoztatót, amit például a karrierportálon egy jelölőnégyzet bepipálásával tud megerősíteni. Ha viszont a pályázást nem előzi meg regisztráció, hanem a jelentkező csak emailben küldi át az önéletrajzát, akkor "nem lehet igazolni, hogy elolvasta-e az adatvédelmi tájékoztatót" - tette hozzá a szakértő. Ilyenkor a jelölt hozzájárulása ugyan vélelmezhető, de olyankor is bizonyítani kell tudni azt, például egy válaszlevélben megerősítő link küldésével, amely a tájékoztató tudomásul vételi felületre irányítja a jelöltet. Ebben az esetben a pályázó számára elküldött emailt is meg kell őrizni.

A tudatossághoz képest a felkészültség nagyon alacsony arányban van

Korábban előfordulhatott, hogy egy ajánlórendszerben nem a jelölt személy, hanem egy ajánló küldte be az önéletrajzot. Ebben az esetben viszont a cég nem tudná igazolni, hogy az ajánlott személynek tudomása van arról, hogy hozzá került az önéletrajza és megismerte az adatkezelési szabályait. Ez a jövőben úgy lehet jogszerű, ha a vállalat először tájékoztatja a saját munkavállalóját az ajánlási rendszer szabályairól - hivatkozik rá; jutalékos rendszerben tájékoztatja, hogy a jutalék kifizetéséig nyilván lesz tartva más személy személyi mappájában. Továbbá előírja, hogy csak az ajánlott személy küldhesse be az önéletrajzát, miközben az ajánló személyre hivatkozik - ez is történhet például honlapon keresztül, amelyen keresztül a cég tudja igazolni, hogy a jelentkező tisztába került az adatkezelési szabályokkal.

A HR-esek részéről a legtöbb kérdés is a felvételi folyamatra irányult. A tanácsadócég szerint, ha egy cég nem kap önéletrajzot, hanem LinkedIn ismeretségen keresztül tudja meg az adott személy telefonszámát vagy e-mail címét, ahhoz nem kell külön engedélyt kérni. "Mivel a LinkedIn egy social media platform, ott mindenki maga állíthatja be, hogy ki mit láthat róla. Így hogy ha [a jelölt] nyilvánosan elérhetővé teszi a privát telefonszámát, akkor oda nekünk nem kell tőle hozzájárulás, mert ő hozta nyilvánosságra." - válaszolta Német Nóra, a Nordconn vezető HR tanácsadója.

Megint más a helyzet, ha egy jelölt önéletrajza külsős partnertől vagy beszállítótól érkezik emailben. Ebben az esetben a külsős partnernek kell tudni igazolni, hogy az érintett személy hozzájárult ahhoz, hogy a cég más vállalathoz fogja továbbítani az önéletrajzot. Továbbá a partnercégnek igazolni kell tudni, hogy a pályázó megismerte az állást meghirdető cég adatkezelési szabályait.

Külön kérdés vonatkozott a személyes adatok emailes elküldésére akár cégen belül, akár a partnerekkel együttműködésben. A tanácsadócég szerint viszont ez inkább adatbiztonsági kérdés, mint jogi. A GDPR a zárt és adatszivárgástól védhető IT rendszert írja elő követelményként, "így az emailben küldést valamilyen úton-módon biztonságossá kell tenni" - írja az adatvédelmi tanácsadó. Jogi szempontból viszont az a kérdés lényeges része, hogy az adattovábbítás mennyire jogszerű, és a szóban forgó jelölt tisztában van-e az adatai megosztásával.

Minden esetben érvényes, hogy a CV-t és esetleg más dokumentumokat a cégek csak a felvételiztetési eljárási folyamat végéig őrizhetnek meg, utána törölniük kell, vagy ha felveszik a munkavállalót, onnantól kezdve már nem a hozzájárulás lesz az érvényes jogalap, hanem a szerződés teljesítése - erről, az álláshirdetések változásáról és a munkavállalók teljesítményének megfigyeléséről korábbi cikkben írtunk bővebben.

Rálátás a saját adatokra

A munkavállalókkal kapcsolatban azonban a cégeknek az adatminimalizáció elvét kell követni, tehát csak a szükséges adatok gyűjtésére szorítkozhatnak. A begyűjtött adatokról és a felhasználás módjáról pedig részletesen tájékoztatni kell a munkavállalókat már a belépésnél. "A szerződésbe rögzített adatkezelési pont jó megoldás, de fontos, hogy legyen egy külön részletes tájékoztató (...) ha a szerződésben ilyet vállal a cég, akkor azt tudnia kell a hatóság felé is igazolni, hiszen a szerződés jogi kötőerővel bír." - válaszolta egy kérdésre Bocsi Bernadett.

Egy másik kérdésre hozzátette az adatvédelmi tanácsadó, hogy a munkáltatói tájékoztatás már évek óta hatályos követelmény a munkáltatókra és az adatkezelőkre nézve, nem pedig egy új GDPR szabály. A Munkatörvénykönyve [2012. évi I. törvény] 10. paragrafusa rendelkezik arról, hogy a munkáltató kötelezettsége tájékoztatni a munkavállalót a személyes adatainak kezeléséről, amelyet az Infotörvény [2011. évi CXII. törvény] 20. paragrafusa konkretizál, hogy ennek az előzetes tájékoztatásnak mire kell kiterjednie. Tehát ha a cég eddig nem rendelkezett ilyennel, akkor célszerű májusig pótolni és ezt minden munkavállaló tudomására hozni. Mindezt pedig igazolni is kell tudni, hogy a munkavállaló megismerte és tudomásul vette a tájékoztatót.

A cégek feladata természetesen nem áll meg a tájékoztató megismertetésével. Az adatokat a vállalatoknak egy olyan dolgozói önkiszolgáló rendszerben kell nyilvántartaniuk, amely lehetőséget ad a munkavállalóknak a rálátásra, valamint a személyes adataik szerkesztésére. A csoportvezetők pedig a hozzájuk tartozó munkavállalók szükséges adatait is láthatják, például a csapat tagjainak lejáró képesítéseit.

Ha pedig egy munkavállaló távozik a cégtől, akkor szintén az adatminimalizáció elve érvényesül. Bizonyos adatokat, például a nyugdíjhoz kapcsolódóan kötelező megőrizni, de amit a jogszabály nem ír elő, azt törölni vagy anonimizálni kell, azaz visszafordíthatatlanul beazonosíthatatlanná tenni az adatokat. Ha a fentiek közül bármely kötelezettséget nem teljesít a vállalat, akkor járhat az akár 20 millió eurós vagy a globális bevétel 4 százalékát elérő bírság, illetve a reputációs veszteség.