Újabb véleményt fogadott el a munkahelyi adatkezelés szabályairól az európai uniós tagállamok adatvédelmi biztosaiból és a tagállami adatvédelmi hatóságok képviselőiből álló 29-es adatvédelmi munkacsoport. Az általános adatvédelmi rendelet (GDPR) munkáltatókat érintő új adatvédelmi kötelezettségekre, egyebek mellett az előzetes adatvédelmi hatásvizsgálatra, valamint a technológiai fejlődéssel járó adatvédelmi kockázatokra is kitér.

A 2018. május 25. napján hatályba lép az Európai Unió Általános Adatvédelmi Rendelete (GDPR). A rendelet számos területen változtat az adatvédelem hatályos szabályrendszerén, így a szakszervezeteknek is át kell tekinteniük, hogyan kezeljék az adatokat a jövőben.
A rendelet kizárólag a természetes személyek otthoni tevékenységére nem vonatkozik, így lényegében minden gazdasági és nonprofit vállalkozás (egyesület, alapítvány stb.) találkozni fog a szabályokkal. Nézzük, mely területeken hoz változásokat a GDPR. 

Bár bírságot még nem kapott magyar cég a GDPR miatt, hamarosan változhat a helyzet, hiszen több ügyben is már végső stádiumban van a döntéshozatal – árulta el a Napi.hu érdeklődésére Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság vezetője.

Milyen részletességet kíván meg a GDPR szerinti munkáltatói tájékoztatási kötelezettség a foglalkozás-egészségügyi szolgáltató által végzett kötelező alkalmassági vizsgálat eszközeit, módszereit illetően? – kérdezte az Adózóna olvasója. Dr. Kéri Ádám ügyvéd válaszolt.

A médiában már olvasni és hallani lehetett arról, hogy a jövőben a munkáltató által munkavégzés céljára biztosított számítástechnikai eszközök magáncélú használata a munkavállalók számára megtiltásra kerül a Munka törvénykönyve (Mt.) módosításával. Azonban a tervezett módosítás nem csak a számítástechnikai eszközök munkáltatói ellenőrzését érinti. Az Országgyűlés március közepén tárgyalja azt a törvényjavaslatot, mely többek között Mt. adatkezelésre vonatkozó rendelkezéseit módosítja vagy egészíti ki. Dr. Kapetz Mónika, a Kapolyi Ügyvédi Iroda ügyvéde foglalta össze a legfontosabb tudnivalókat.

A vállalkozások a működésükkel összefüggésben személyes adatok sokaságát kezelik. A kezelt személyes adatok körének meghatározásakor azonban érdemes szem előtt tartani azt a követelményt, hogy csupán azon személyes adatok gyűjtéséhez (kezeléséhez) ragaszkodjunk, melyek abszolút szükségesek a jogszerű adatkezelési cél eléréséhez. Sem praktikus szempontból, sem pedig biztonsági megfontolásból nem kezelhetünk ugyanis szükségtelen mértékben személyes adatokat. Ezen követelmény részleteit példákon keresztül mutatjuk be:

Adatvédelmi incidens bármikor előfordulhat egy vállalkozás működése során. Ide tartozik például az, amikor valamely alkalmazott elveszít egy adathordozót, amikor téves címzettnek szolgáltatunk személyes adatokat vagy amikor az informatikai rendszerbe valaki jogosulatlanul behatol. Incidens esetére pontos kötelezettségeket ír elő a GDPR, illetve a felügyeleti szerv is egyre több döntésében részletezi elvárásait. Ezen követelményrendszert mutatjuk be az alábbiakban:

A munkaerő-hiányra tekintettel egyre nagyobb teret kap a részmunkaidős foglalkoztatás, hiszen a munkavállalók gyakran több munkáltatónál is részmunkaidőben helyezkednek el. Ennek természetesen a munkáltatók is örülnek, hiszen valamilyen módon a munkaerőszükségletük kielégítésre kerül. Ilyen esetben számos munkajogi kérdés felmerülhet: jogi tilalmak, összeférhetetlenség, szabadság számítása és annak a kiadása, mely kérdésekre az alábbiakban választ keresünk. Lássuk a kérdéseket és a válaszokat:

Meglehetősen hosszú türelmi idő után az adatvédelmi hatóságok egyre gyakrabban nyúlnak az adatvédelmi bírság kiszabásának eszközéhez. A bírságok ráadásul egyre nagyobbak, így a vállalkozások alapvető érdeke a megfelelés megvalósítása. Sokan alaptalanul abban reménykednek, hogy nem kerülnek az adatvédelmi hatóság látókörébe, ám a hatósági vizsgálat előfordulása bármikor bekövetkezhet. Nézzük mely szempontokra kell különösképpen ügyelni:

A személyes adatok védelmét szabályozó Általános Adatvédelmi Rendelet (GDPR) 83. cikke akár milliárdos bírságok kiszabását is lehetővé teszi. Ez idáig azonban jelentős mértékű adatvédelmi bírság kiszabására Európában alacsony, bár egyre növekvő számban került sor. Magyarországon az első százmilliós nagyságrendű büntetést a felügyeleti hatóság 2020. május 18. napján szabta ki, s ezzel új fejezet nyílt az adatvédelem történetében. Az alábbiakban az ügy tanulságait mutatjuk be: