Adatvédelem. Adatkezelés. Adatkezelő és érintett. Tudják, hogy mit jelentenek ezek a kifejezések? Tisztában vannak azzal, hogy Önöknek, mint adatkezelőknek, milyen jelenlegi és jövőbeli kötelezettségeik vannak, lesznek? Most, hogy egyre közeledik az európai általános adatvédelmi rendelet, a GDPR rettegett bevezetésének időpontja: 2018. május 25., egy cikksorozatban vezetjük végig Önöket, hogy segítsük elkerülni a jelenleg maximális 20 millió forint, jövő májustól 20 millió euró büntetést.

Korábban már megismerkedtünk a munkáltató törvényi kötelezettségével, a jelentkezők és munkavállalók adatinak kezelésével és a céges laptop/számítógép ellenőrzésével. De vajon a céges e-mail fiók is ellenőrizhető?

A 2018. május 25. napján hatályba lép az Európai Unió Általános Adatvédelmi Rendelete (GDPR). A rendelet számos területen változtat az adatvédelem hatályos szabályrendszerén, így a szakszervezeteknek is át kell tekinteniük, hogyan kezeljék az adatokat a jövőben.
A rendelet kizárólag a természetes személyek otthoni tevékenységére nem vonatkozik, így lényegében minden gazdasági és nonprofit vállalkozás (egyesület, alapítvány stb.) találkozni fog a szabályokkal. Nézzük, mely területeken hoz változásokat a GDPR. 

Az adatkezelő vállalkozások egyik alapvető kötelezettsége az, hogy az adatkezeléseiket az érintettek számára adatkezelési tájékoztatók, érdekmérlegelési tesztek stb. formájában bemutassák. Rendszeresen visszatérő panasz ezzel összefüggésben a vállalkozások részéről, miszerint az adatkezelési folyamataik láthatóvá tétele, bemutatása üzleti titkaikat fedi fel. Kiderülhet például az, hogy mely szolgáltatókkal, szerződéses partnerekkel (bérszámfejtő, könyvelő, külsős rendszergazda stb.) állnak kapcsolatban, illetve, hogy milyen ügyviteli rendszereket használnak. Az alábbiakban azt vizsgáljuk meg, hogy mi ennek a tájékoztatási kötelezettségnek a terjedelme.

A vállalkozások a működésükkel összefüggésben személyes adatok sokaságát kezelik. A kezelt személyes adatok körének meghatározásakor azonban érdemes szem előtt tartani azt a követelményt, hogy csupán azon személyes adatok gyűjtéséhez (kezeléséhez) ragaszkodjunk, melyek abszolút szükségesek a jogszerű adatkezelési cél eléréséhez. Sem praktikus szempontból, sem pedig biztonsági megfontolásból nem kezelhetünk ugyanis szükségtelen mértékben személyes adatokat. Ezen követelmény részleteit példákon keresztül mutatjuk be:

Adatvédelmi incidens bármikor előfordulhat egy vállalkozás működése során. Ide tartozik például az, amikor valamely alkalmazott elveszít egy adathordozót, amikor téves címzettnek szolgáltatunk személyes adatokat vagy amikor az informatikai rendszerbe valaki jogosulatlanul behatol. Incidens esetére pontos kötelezettségeket ír elő a GDPR, illetve a felügyeleti szerv is egyre több döntésében részletezi elvárásait. Ezen követelményrendszert mutatjuk be az alábbiakban:

A munkaerő-hiányra tekintettel egyre nagyobb teret kap a részmunkaidős foglalkoztatás, hiszen a munkavállalók gyakran több munkáltatónál is részmunkaidőben helyezkednek el. Ennek természetesen a munkáltatók is örülnek, hiszen valamilyen módon a munkaerőszükségletük kielégítésre kerül. Ilyen esetben számos munkajogi kérdés felmerülhet: jogi tilalmak, összeférhetetlenség, szabadság számítása és annak a kiadása, mely kérdésekre az alábbiakban választ keresünk. Lássuk a kérdéseket és a válaszokat:

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) friss döntésében rögzített telefonbeszélgetés miatt szabott ki 500.000,-FT, illetve 200.000,-Ft adatvédelmi bírságot az érintett közhatalmi szervekre. Az ügy tanulságait az alábbiakban mutatjuk be:

Csak így kérhetik le az adatokat a cégek

A munkaerőfelvétel a pályázók személyes adatainak kezelésével jár együtt, így annak során a személyes adatok kezelését szabályozó 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) sok esetben nem túl egyszerű szabályai alkalmazandóak. Nézzük meg hogyan is néz ez ki a gyakorlatban: