A legfontosabb kockázat a kirúgott munkavállaló

A munkaügyi jogvitákhoz hasonlóan az adatvédelmi hatósági eljárások is általában munkaviszony megszűntetéséhez kapcsolódnak. Ilyen esetben a munkavállalók növekvő számban tesznek panaszt a Nemzeti Adatvédelmi és Információszabadság Hatóságnál. Az esetek többségében ráadásul a munkaviszony megszüntetése jogszerűnek tűnik. Az egyik esetben például az a munkavállaló tett bejelentést a hatóságnál, amelyik munkavállaló munkaviszonya azért került megszüntetésre, mivel kiderült róla, hogy az előírásokat megsértve a diszpécserszoba kamerarendszereinek a képeit kinyomtatta, és jegyzetekkel ellátva kitette az ebédlőben. Egy másik esetben az a volt ügyvezető tett a hatóságnál a munkáltató adatkezelésére vonatkozó bejelentést, aki a bírsághoz is vezető archiválórendszert annak idején megrendelte. Mindkét eset adatvédelmi bírsághoz vezetett. Tekintettel arra, hogy ez a körülmény nem kiküszöbölhető, így minden vállalkozás elemi érdeke a megfelelés megvalósítása.

Adatvédelmi incidensek is bírságok forrásai

Az „adatvédelmi incidens” a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Incidens előfordulása hasonlóképpen nem zárható ki. Személyes adatokhoz történő jogosulatlan hozzáférés vezetett a Magyar Honvédség Egészségügyi Központja, a Budapesti Rendőr-főkapitányság, a Demokratikus Koalíció vagy a Ferencvárosi Szociális és Gyermekjóléti Intézmények Igazgatóságának megbírságolásához. Adatvédelmi incidens leggyakrabban eszköz, adathordozó elvesztéséből, illetve jogosulatlan címzett részére történő (általában téves, de nem szándékos) adatszolgáltatásból származik. Az adatvédelmi incidensekkel összefüggésben alapvető fontosságú azok 72 órán belül történő bejelentése a felügyeleti szervhez, melynek elmaradása automatikusan bírsághoz vezet.

SOS teendők, ha nem felelünk meg

Első lépésben mérjük fel a vállalkozás által kezelt személyes adatokat, valamint a vállalkozás működésével összefüggő adatkezelési kockázatokat. Ennek során annak van jelentősége, hogy milyen személyes adatokat kezelünk, azokat hogyan kezeljük, hol és hogyan tároljuk, megvalósul-e a személyes adatok törlése, illetve kik és miért férnek hozzá a személyes adatokhoz. Készíttessük el a vállalkozás adatkezelési tájékoztatóit. Készítsünk tehát egy munkavállalói és egy ügyféladatkezelési tájékoztatót. A munkavállalói tájékoztató részeként ajánlott a magáncélú eszközhasználat lehetőségének a kizárása. Következő lépésben vizsgáljuk meg, hogy rendelkezünk-e incidenskezelési eljárásrenddel, illetve incidensnyilvántartással. Amennyiben nem, ezeket sürgősen pótolni szükséges. Meg kell vizsgálnunk az adatvédelmi tisztviselő kijelölésének szükségességét, valamint azt is, hogy szükséges-e adatvédelmi hatásvizsgálat lefolytatása. Végezetül a munkavállalók adatvédelmi tudatosságát is növelni kell, ajánlott így belső képzéseket is szervezni.

A megfelelést folyamatosan felül kell vizsgálni

A megfelelés sajnos egy folyamatos, proaktív hozzáállást igényel. A meglévő szabályrendszert egyrészt a működésünk, másrészt a felügyeleti hatóság változó gyakorlata tükrében felül kell vizsgálni. Mérlegelni szükséges például azt is, hogy a jogos érdeken alapuló adatkezeléseink folytatása (lsd. elektronikus megfigyelőrendszer) a továbbiakban is szükséges-e. Amennyiben igen, ezt az elszámoltathatóság bizonyítása érdekében dokumentáljuk.

Dr. Kéri Ádám

ügyvéd