Fénymásolás, okiratmásolás a GDPR tükrében

2019. április 23. 14:49
A munkáltatók Magyarországon rendszerint lefénymásolják a munkavállalók személyi igazolványát, lakcímkártyáját, adókártyáját, diplomáját és minden egyéb olyan dokumentumait, amelynek valóságtartalmát alá kívánják a későbbiek során támasztani. Ez önmagában akár jogos lépésnek is tűnhet. Hasonlóképpen járnak el sok esetben a szolgáltatók is ügyfeleik vonatkozásában. Fontos azonban tudni, hogy a hazai felügyeleti hatóság az okiratmásolást nem tartja jogszerű adatkezelésnek, így feltétlenül ajánlott a gyakorlat felülvizsgálata. Lássuk mit tehetünk és mit nem az okiratmásolással összefüggésben:

Amikor másolhatunk vagy másolnunk kell

A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII.tv. (Pmt.) alapján bizonyos szolgáltatóknak ügyfeleiket azonosítani szükséges. A Pmt.7.§ (8) bekezdése alapján a szolgáltató a személyazonosság igazoló ellenőrzése érdekében a törvényben meghatározott adatokat tartalmazó, bemutatott okiratról – a pénzmosás és a terrorizmus finanszírozása megelőzése és megakadályozása, a törvényben meghatározott kötelezettségek megfelelő teljesítése, az ügyfél-átvilágítási kötelezettség teljes körű végrehajtása, valamint a felügyeleti tevékenység hatékony ellátása céljából – másolatot készít. Ebben az esetben tehát a GDPR 6. cikk (1) (c) bekezdésében nevesített jogi kötelezettségről, mint jogalapról beszélünk, melynek alapja a jogalkotó által minősített, fokozott elszámoltathatóság. Ebben az esetben ugyanis a jogalkotó akként foglalt állást, hogy az általános polgári jogi elszámoltathatóságnál fokozottabb érdek forog fenn, mely speciális védelmet igényel. Egyéb esetekben azonban másik jogalapot kell keresnünk.

Ha nem jogi kötelezettség a jogalap, akkor mi ?

Olyan esetekben, amikor jogszabály nem ír elő dokumentálási kötelezettséget nem támaszkodhatunk a jogi kötelezettségre, mint jogalapra, hanem más, egyéb jogalapot szükséges keresnünk. Ilyen jogalap lehet az adatkezelő jogos érdeke. Ebben az esetben azonban érdekmérlegelési tesztet is kell végeznünk, melynek keretében többek között azt is be kell mutatnunk, hogy az adatkezelés szükséges, az érintett jogainak korlátozásával arányos lépés, nincsen kevésbé korlátozó alternatívája, és az érintett jogai ehhez képest nem élveznek elsőbbséget. Nem kizárt, hogy egy-egy adatkezelés esetében ezt be tudjuk mutatni, ennek az esélye azonban nem túl nagy. A helyzet ugyanis az, hogy a hazai felügyeleti szerv az okiratmásolást, mint adatkezelést rendszerint készletező adatkezelésnek tekinti. Egyrészt úgy véli, hogy a másolatnak nincsen bizonyító ereje, így annak jogszerű célja sem lehet. Másrészt azt is kihangsúlyozza, hogy a másolatkészítések igazgatási érdekeket is sértenek, az adatkezelők ugyanis ne tárolgassanak okirat/igazolványmásolatokat senkiről. Végezetül a másolaton olyan adatok is szerepelhetnek, melyek az adatkezeléshez nem is szükségesek (pl: fénykép), mely szintén a célhoz kötött adatkezelés alapelvét sértené.

Mi legyen a HR akta sorsa ?

Sajnos tudomásul kell venni, hogy a személyi igazolvány, lakcímkártya, adókártya stb. másolata nem felel meg a GDPR hazai értelmezési gyakorlatának. Ehelyett a felügyeleti szerv azt javasolja, hogy a munkáltató gondosan írja ki az okiratokból azokat az adatokat, melyre szüksége van. Ezzel összefüggésben tehát a megtekintésre és ellenőrzésre helyezi a hangsúlyt. Azt azonban nem fogadja el, hogy a tévedések elkerülése, illetve esetleges jogsértések megelőzése érdekében fénymásolat készítésével biztosítsuk az elszámoltathatóság elvének az érvényre juttatását. A HR aktában tehát pusztán olyan okiratok foglalhatnak helyet, melyek kezelésére jogszerű lehetőségünk van, mint például a munkaszerződés, a foglalkozásegészségügyi alkalmasság igazolása, munkahelyi értékelések stb.

Az ügyféltől akkor mit kérhetek?

Amennyiben az ügyfél vonatkozásában a Pmt. alapján bennünket ügyfélátvilágítási kötelezettség terhel, abban az esetben kötelesek vagyunk a kötelezettségünk teljesítését dokumentálni. Egyéb esetekben azonban adatkezelésenként szükséges vizsgálnunk a megfelelő jogalap fennállását. Fő szabályként pedig itt is azt kell a szemünk előtt tartani, hogy a szerződés teljesítéséhez, esetleges igényérvényesítéshez szükséges személyes adatokat megtekintéssel és nem másolással ellenőrizzük. Amennyiben pedig a polgári jogi elszámoltathatóságra szeretnénk hivatkozni tudnunk kell, hogy a felügyeleti szerv gyakorlata alapján ez nem tekinthető kellően erős érvnek ahhoz, hogy dokumentációs jogalapot teremtsen számunkra. Tekintettel arra, hogy ez a követelmény nem közvetlenül a GDPR előírásaiból vezethető le, reménykedhetünk abban, hogy az Európai Uniós gyakorlat majd eltérően alakul.

 

Dr. Kéri Ádám

ügyvéd

Kapcsolódó cikkek

"A becsöngetés neked szól, a kicsöngetés nekem"

2016. szeptember 02. 08:38
A legtöbb iskolában az óraközi szünet tíz perc, ez alatt kell átérniük a gyerekeknek a másik terembe, WC-re menniük és esetleg beleharapniuk a tízóraijukba. Vajon mi értelme ennek a rohanásnak? Hogyan lehetséges az, hogy már a “betűk birodalmába és a számok országába” való belépéskor megkezdődik a hajsza? Folytatjuk Ligeti György, oktatásszociológus iskolakezdő sorozatát.

Palkovics Imre: Új típusú szakszervezeti mentalitás szükséges

2019. május 13. 07:45
„Létezik a partneri viszonyon, egyeztetésen alapuló szociális párbeszéd”