Munkahelyi adatkezelés az EU új adatvédelmi rendelete és az új technológiák fényében
Az európai uniós tagállamok adatvédelmi biztosaiból és a tagállami adatvédelmi hatóságok képviselőiből álló 29-es Adatvédelmi Munkacsoport nemrégiben újabb véleményt fogadott el a munkahelyi adatkezelés szabályairól.
Ebben az Általános Adatvédelmi Rendelet (GDPR) munkáltatókat érintő új adatvédelmi kötelezettségeire, többek között az előzetes adatvédelmi hatásvizsgálatra, valamint a technológiai fejlődéssel járó adatvédelmi kockázatokra is kitér – a véleményt Bertók Gábor és Vári Csaba, a Horváth és Társai DLA Piper Ügyvédi Iroda ügyvédei tekintik át.
Az új vélemény elfogadását a munkahelyeken alkalmazott olyan új információtechnológiai eszközök megjelenése indokolta, mint például a céges autóba telepített GPS-es fedélzeti kamera, a geolokációt lehetővé tevő céges “okos” eszközök, vagy az olyan felhő alapú alkalmazások, amelyekkel a munkavállalók számítógépes tevékenysége részleteiben is nyomon követhető. Az ilyen új technológiák alkalmazása adott esetben jogos munkáltatói érdekeket védhet, azonban egyben új adatvédelmi kihívásokat is jelent a munkáltatók számára.
A 29-es Munkacsoport kiemeli, hogy ma olyan munkahelyi adatkezelési technológiák léteznek, amelyek a korábbiakhoz képest jelentősen olcsóbban képesek óriási mennyiségű személyes adat kezelésére. Ráadásul az adatkezelés új formái gyakran rejtve maradnak, így egyre kevésbé nyilvánvalóak a munkavállalók számára. Ez különösen kiszolgáltatottá teheti a munkavállalókat az ilyen technológiákkal visszaélő munkáltatókkal szemben. Ezen felül az otthoni munkavégzés, valamint a Bring Your Own Device (munkahelyen való saját eszközhasználat) elterjedésével megnőtt a veszélye a munkavállalók privát környezetben való megfigyelésének is.
Az új technológiai körülmények fényében ezért indokolt ismételten összemérni a munkáltató jogos érdekeit a munkavállalók személyes adatok védelméhez fűződő jogával.
Ami nem változik:
Az új technológiák mellett is változatlanul érvényesek 29-es Munkacsoportnak a munkahelyi adatkezeléssel kapcsolatban megfogalmazott korábbi megállapításai:
- A munkáltatók az alkalmazott technológiától függetlenül mindig kötelesek figyelembe venni az alapvető adatvédelmi elveket.
- A munkáltató helyiségeiből küldött elektronikus kommunikáció ugyanolyan alapjogi védelmet élvez, mint az analóg kommunikáció.
- Erősen valószínűtlen, hogy a hozzájárulás a munkahelyi adatkezelés jogalapja lehet, kivéve, ha a munkavállalók a hozzájárulást hátrányos következmények nélkül visszautasíthatják.
- A szerződés teljesítésére és a jogos érdekre lehet az adatkezelés jogalapjaként hivatkozni, amennyiben az adatkezelés szigorúan a jogszerű cél érdekében szükséges és az arányosság és szubszidiaritás elveinek megfelel.
- A munkavállalókat hatékonyan tájékoztatni kell a munkahelyi megfigyelésről.
- A munkavállalói adatokat érintő minden nemzetközi adattovábbítás csak oda kivitelezhető, ahol a megfelelő szintű adatvédelem biztosított.
Munkahelyi környezetben is változatlanul igaz, hogy az adatkezeléshez megfelelő jogalap szükséges. Ezzel kapcsolatban a vélemény az alábbiakra hívja fel a figyelmet:
- Az esetek legnagyobb többségében a hozzájárulás nem lehet a munkahelyi adatkezelés jogalapja.
- Megfelelő jogalap lehet, ha az adatkezelés egy szerződés teljesítése miatt szükséges.
- Megfelelő jogalap lehet, ha az adatkezelés valamilyen munkajogi (vagy más jogi) kötelezettség teljesítése miatt szükséges.
- Amennyiben a munkáltató a jogos érdekre mint jogalapra támaszkodik, az adatkezelés céljának jogszerűnek kell lennie, az adatkezelés módjának illetve eszközének szükségesnek és arányosnak, a munkavállalóra nézve legkisebb beavatkozással járónak kell lennie, azzal, hogy a munkáltató megfelelő intézkedéseket kell, hogy tegyen, hogy az adatkezelés a munkavállaló alapvető jogaival egyensúlyban legyen. Ebben az esetben továbbá figyelembe kell venni, hogy a munkavállaló bármikor jogosult tiltakozni az adatkezelés ellen.
- Az adatkezelésnek meg kell felelnie az átláthatóság követelményének, a munkavállalóknak teljes mértékben tisztában kell lenniük az őket érintő adatkezeléssel.
- A munkáltatónak megfelelő technikai és szervezési intézkedéseket kell tennie az adatkezelés biztonsága érdekében.
Az Általános Adatvédelmi Rendelet újdonságai:
A 2018. május 25-én hatályba lépő Általános Adatvédelmi Rendelet (Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete, az ún. GDPR, azaz “General Data Protection Regulation“) az irányelv eddigi kötelezettségeit megtartja és továbbfejleszti, valamint a munkáltatókat is érintő új adatkezelési kötelezettségeket is bevezet:
Beépített és alapértelmezett adatvédelem
Az Általános Adatvédelmi Rendelet elvárja az adatkezelőktől, hogy alkalmazzák a beépített adatkezelés és alapértelmezett adatvédelem elvét, amelynél fogva az adatkezelők az adatkezelés módjának meghatározásakor, valamint az adatkezelés során kötelesek olyan megfelelő technikai és szervezési intézkedéseket végrehajtani, amelyek célja egyrészt az adatvédelmi elvek megvalósítása, másrészt az Általános Adatvédelmi Rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába. Hangsúlyos elv az adatminimalizáció követelménye is, mely szerint csak olyan személyes adatok kezelésére kerülhet sor, amelyek az adott adatkezelési cél szempontjából szükségesek.
Például, ha egy munkáltató nyomon követést lehetővé tevő eszközöket bocsát a munkavállalói rendelkezésére, az adatvédelmi szempontból legjobb (azaz munkavállalói magánszférába való legkisebb beavatkozással járó) megoldást kell választania.
Előzetes adatvédelmi hatásvizsgálat
Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.
Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő köteles konzultálni a felügyeleti hatósággal.
Nyitott a lehetőség a tagállami jogalkotásra
Az Általános Adatvédelmi Rendelet a fentieken túlmenően a munkahelyi adatkezelés kapcsán, így különösen a munkaerő-felvétel, a munkaszerződés teljesítése, a munkaszervezés, a munkahelyi egyenlőség és sokféleség, a munkahelyi egészségvédelem és biztonság, a foglalkoztatáshoz kapcsolódó jogok és juttatások, a munkáltatói tulajdonvédelem, valamint a munkaviszony megszüntetése céljából kifejezetten lehetővé teszi a tagállami jogalkotást, ideértve a kollektív szerződések útján való szabályozást is.
Kapcsolódó cikkek
- A Kärcher a DXC felhő szolgáltatásával váltott valós idejű, intelligens IT-környezetre
- Akár ön is felelhet cége bezárásáért, ha jön a GDPR
- A felhő jogi környezete
- Megállj a Wi-Fi hekkereknek!
- ESET tippek: 5 dolog, amit a titkosításról tudni kell
- Egyre több vállalat használ MPS-t az adatai védelmében
- Biztonságos a vállalati adatok tárolása a Google Drive vagy hasonló szolgáltatóknál?
- Tovább szigorítanák az adatvédelmi előírásokat
- A KÜRT kompetencia központja segít kijutni a GDPR útvesztőjéből
- A cégek bíznak a határvédelemben, de adataikat nem érzik biztonságban
E-világ ROVAT TOVÁBBI HÍREI
A Széchenyi István Egyetem közreműködésével magyar műhold vizsgálja az aszályos területeket
Hiánypótló kutatás zajlik a győri Széchenyi István Egyetem részvételével, amelynek keretében egy műhold ad rendszeresen távérzékelt adatokat Magyarország területéről. A konzorciumban megvalósuló európai uniós projekt során az intézmény Albert Kázmér Mosonmagyaróvári Kara az űrből érkező információkat elemzi és kontrollálja az aszályos időszakok hatásainak enyhítése érdekében.
Élje át a "Yes" Moment Élményt az electronica-n
Jubileumi évében, november 12-15. között a világ vezető elektronikai szakvásárán minden a „Minden elektromos társadalom” körül forog – ideális helyszín a Conrad Sourcing Platform lehetőségeinek megismerésére! A Conrad Electronic beszerzési platformként személyre szabott digitális megoldásokat kínál üzleti ügyfeleinek, hogy még hatékonyabbá tegye a beszerzést. Különösen, ha rövid időn belül nem tervezett műszaki igények fedezéséről van szó.
Számos MI-t használó alkalmazással ismerkedhettek meg a résztvevők a Mobile Broadband Forum kiállításon
Már több mint három millió mesterséges intelligenciára képes alkalmazás készült világszerte, túlszárnyalva a hagyományos alkalmazások számát – derült ki a 2024-es Isztambulban megrendezett Global Mobile Broadband Forum (MBBF) során.
Még két hétig jelentkezhetnek az IT hallgatók a K&H STEM ösztöndíjpályázatára
Meghosszabbítja két héttel STEM pályázatának leadási határidejét a K&H bank, hogy minél több egyetemi hallgató vehessen részt a kezdeményezésben. Az új határidő szerint november 17-én éjfélig fogadja a pénzintézet a pályamunkákat. A pályázatra – amelyben nyolc aktuális, innovatív téma közül választhatnak a jelentkezők – hazai IT képzést nyújtó egyetemek hallgatói jelentkezhetnek két kategóriában: mesterképzés és alapképzés. A nyerteseket szakmai zsűri választja ki, és akár 500.000 forint értékű díjazásban is részesülhetnek.