Jövő év május 25-én lép hatályba az Európai Unió általános adatvédelmi rendelete (General Data Protection Regulation - GDPR). Újdonság, hogy a GDPR nem irányelv, hanem rendelet és így az EU egész területén közvetlenül alkalmazandó, így egységesítvén a 28 tagállam adatvédelmi szabályozását - hívta fel lapunk figyelmét Tóásó Bálint, a KPMG Legal Tóásó Ügyvédi Iroda irodavezető ügyvédje.
A hazai jogalkotás feladata pusztán annyi, hogy a magyar joganyagot összhangba hozza a GDPR-ral, illetve az abban meghatározott felhatalmazások alapján megalkossa a részletszabályokat. A jogszabály-módosítás első tervezete már elkészült, a végleges jogszabály elfogadása azonban csak decemberre várható.
A napokban vitára bocsátott tervezet még sok ponton módosulhat, továbbá az is érdekes lesz, hogy miként alakul majd a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) álláspontja a GDPR-ról. Ettől függetlenül a tervezet iránymutatást adhat arra nézve, hogy a magyar jogalkotó milyen irányokat jelölne ki a rendelet hazai alkalmazásakor - vélekedett Tóásó.
Nő a teher a cégek vállán
Mivel a munkáltatók a foglalkoztatottak személyes adatait kezelik, ezért adatkezelőnek minősülnek, így vonatkozik rájuk a GDPR. Jelenleg nagyon nehéz előre megbecsülni, hogy melyik vállalkozásnak milyen szinten hoz változásokat az új rendelet, hiszen minden társaságnál más és más a rendszer. Ennek ellenére érdemes elkezdeni a felkészülést, hiszen májusig - elvileg - mindenkinek el kell végeznie egy adatvédelmi auditot, amelynek alapján esetleg a szabályzatokat, szerződéseket és nyilvántartásokat módosítani kell. Ám az, hogy ez hogyan történik, már egyedi kérdés - fogalmazott a Napi.hu-nak Zempléni Kinga, a dr. Zempléni Kinga Ügyvédi Iroda vezetője.
Tóásó Bálint szerint az egyik legérdekesebb kérdés a munkavállaló-munkáltató viszonylatban az, hogy a munkáltató milyen jogalapot nevez meg az adatkezelése kapcsán. Ez a NAIH és az unió Adatvédelmi irányelv 29. cikke alapján létrehozott adatvédelmi munkacsoportjának állásfoglalása miatt kérdéses még.
Munkaviszonyban a hozzájárulás ugyanis csak szűk körben elismert, a felek közötti függőségi viszony miatt. Ugyanakkor a munkáltatóknak egyrészt jogszabályi kötelezettségek teljesítésével kapcsolatban van joga a munkavállalók személyes adatait kezelni. Gondoljunk például a bérek és az adók fizetésére, amelyek kiszámítása és megfizetése elképzelhetetlen lenne e nélkül. Másrészt, a Munka Törvénykönyve egy másik felhatalmazást is tartalmaz a személyes adatok kezelésére, ez alapján van lehetőség például a munkavállalók korlátozott ellenőrzésére.
Fontos különbség azonban, hogy a munkáltató az ilyen esetekben nem köteles, csak jogosult az adatok kezelésére. Ezért az adatkezelés jogalapja valójában a munkáltató gazdasági érdeke és nem jogszabályi kötelezettség teljesítése. Ez azért fontos, mert a két eset eltérő következményekkel járhat. Ha a munkavállalók profilozása (munkahelyi teljesítménymérése) során az adatkezelés alapja a munkáltató gazdasági érdeke, és nem jogszabályi kötelezettség teljesítése, akkor a munkavállaló elvileg tiltakozhat az ilyen ellenőrzés miatt, míg a másik esetben nem, magyarázta a KPMG Legal szakértője.
Bekamerázni, Facebookot monitorozni tilos?
A munkajog területén várhatón a NAIH tesz majd állásfoglalásokat: egyebek közt a munkavállaló nyomkövetése, vagy a kamerás megfigyelés terén is érkezik majd vélemény.
Erős iránymutatóként szolgálhat azonban az EU adatvédelmi munkacsoportjának nyáron kiadott állásfoglalása, amely a munkahelyi megfigyelés kapcsán a GDPR-t is figyelembe veszi - hívta fel a figyelmet Zempléni Kinga.
E vélemény alapján a dolgozók munkájának technikai eszközökkel való megfigyelését "arányosan" kell végezni, a munkáltatónak igazolnia kell, hogy ehhez mennyire fűződik jogos érdeke és nem elég hozzá pusztán a foglalkoztatott beleegyezését kérni, mivel a munkaviszony nem minősül egyenrangú viszonynak. (Például a kamionsofőrök nyomkövetése lehet jogos érdek, hiszen egy bizonyos órán túl nem szabadna vezetniük, ám egy ügyfélszolgálati munkatárs kamerás megfigyelése már aránytalan lehet.)
A dokumentumban nagyon szigorúan foglalnak állást arra vonatkozóan, hogy egy eszközt, amelyet magáncélra lehet használni (például laptop), megvizsgálhatja-e a munkáltató. Szerintük a megfigyelésről mindig tájékoztatni kell a munkavállalót, magánhasználatú készülékek esetén lehetőséget kell adni, hogy kikapcsolják ezt a megfigyelést, vagy legyen a számítógépnek egy olyan része, amelyhez nem fér hozzá a munkáltató.
Az EU-s állásfoglalás szerint a munkaadónak alapvetően nem lenne szabad néznie az alkalmazott Facebook profilját, mert az személyes adatokat sért. Mi több, eszerint például a vállalathoz jelentkező interjúalanyoknak sem lehetne megtekinteni a Facebook-profilját, márpedig gyakori, hogy azt a hr-esek leellenőrzik - mondta Zempléni.
Tóásó Bálint szerint azonban, hogy a 29. cikk alapján létrehozott munkacsoport által meghozott állásfoglalások további sorsa kérdéses, hiszen a GDPR nem tartalmaz rendelkezést a testületet által kiadott korábbi állásfoglalások sorsáról.
A szigorítás már a levegőben van
A GDPR több ponton hoz újdonságot a munkajog területén, Zempléni szerint fontos kiemelni az adatvédelmi hatásvizsgálat bevezetését, melynek alapján, ha például valamilyen új technológiát alkalmaz egy munkáltató, amely magas kockázattal jár a munkavállalók személyes adatai kapcsán, akkor kötelező lesz egy vizsgálatot elvégezni, hogy mennyire arányos és mennyiben kockázatos ez a lépés, továbbá esetenként a hatósággal is egyeztetnie kell a társaságnak. A vizsgálat az esetben is szükséges lehet amennyiben a munkavállalókat monitorozzák.
Jelentős változás, hogy 2018 májusától megszűnik a NAIH által vezetett nyilvántartás. A munkáltatónak ki kell dolgoznia egy it-rendszert, amely elkülönítve kezeli a munkavállalói adatokat, s amennyiben a dolgozó érdeklődik arról, hogy milyen személyes adatokat tárolnak róla, akkor azt a munkaadónak meg kell adnia. A dolgozó kérheti azok helyesbítését és törlését, valamint gyakorolhatja a tiltakozáshoz való jogát. Ennek része az is, hogy a cégnél a munkaidőn belüli mozgását hogyan kezelik, az e-mailjeit, hogyan tárolják - ezeket mind könnyen hozzáférhetővé és lehívhatóvá kell majd tenni. A belső nyilvántartásnak tehát a cégeknél kell lennie, amelyet bejelentési kötelezettség nem terhel.
Zempléni szerint fontos változás még az adatvédelmi incidens intézményének bevezetését, amelynek értelmében személyes adat jogellenes kezelése, megsemmisítése, elvesztése és egyebek esetén a munkáltatónak bejelentési kötelezettsége lesz a felügyelő hatóság felé. Amennyiben ez az incidens a munkavállaló személyes adatait érinti, akkor munkavállalót is értesíteni kell.
Az új általános adatvédelmi rendelet a belső adatvédelmi tisztviselő, vagy egy külső tanácsadó kinevezését a jelenlegi szabályoknál szélesebb adatkezelői körben teszi kötelezővé. Az adatvédelmi tisztviselő kinevezését a GDPR többek között abban az esetben írja elő, ha az adatkezelő olyan adatkezelési műveleteket folytat, amely az érintetteket rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé.
Milyen kötelezettségek, költségek jöhetnek?
Egy kis magyar céget egy nemzetközi vállalattal összevetve látható, hogy nagyon eltérő szinten állhatnak a folyamatok dokumentációi, a rendszerek információbiztonsági fejlettsége, és úgy általában az adatvédelmi tudatosság. Vannak olyan cégek, ahol a felkészülés minimális munkát követel meg, és nincs szükség nagy befektetésre, ugyanakkor vannak olyanok, ahol még a jelenlegi jogszabályoknak való megfelelés is problémás - utóbbiaknál bőven lesz tennivaló.
A felkészülés költsége tehát sok tényezőtől függ: bizonyos vállalatoknál nem kell majd sokat áldozni rá, viszont esetleg egy olyan óriás szervezetnél, ahol eddig az adatvédelem nem volt hangsúlyos, a GDPR-ra való felkészülés több tízmillió forintra is rúghat, figyelmeztet a KPMG Legal szakértője. Szerinte legalább az informatikai fejlesztések kapcsán érdemes lehet még idén megcsinálni egy előzetes auditot, amely megmutatja, hogy nagyjából milyen és mekkora összegű fejlesztések kellenek. Így lehetősége lesz az adott cégnek, hogy a jövő évi büdzsében számoljon ezekkel a költésekkel.
Ezt aztán később követheti egy részletes jogi és információbiztonsági audit. Egy ilyen részletes audit során meg kell vizsgálni, hogy a vállalat milyen személyes adatot, hol, milyen célból, milyen jogalap alapján és meddig kezel. Ilyenkor pedig több esetleges hiányosságra is fény derülhet. A leggyakoribb például, hogy egy adott személyes adat alanyának esetleges törléshez való jogát nem tudják teljesíteni a vállalatok.
A felkészülés várhatóan a kkv szektor számára lesz a legnagyobb tehertétel. A jogalkotó azonban előre gondolkodva, könnyítéseket is megfogalmazott a kevesebb, mint 250 főt foglalkoztató vállalkozásoknál, például az adatvédelmi nyilvántartás vezetése kapcsán - emlékeztetett Tóásó Bálint.
Ellenőrzés és bírság
A NAIH, saját kapacitásaihoz képest jelentős létszám növekedéssel készül a rendelet végrehajtásához kapcsolódó pluszfeladatokra: a hatóság körülbelül 30-50 fő új munkatárs felvételét tervezi.
A 2018 májusától érvényes GDPR-szabályozásban nagyon magas bírságmaximumokat jelöltek meg. A jogsértéseket két csoportba sorolja a rendelet: enyhébb esetben legfeljebb a cég éves globális árbevételének 2 százaléka, vagy 10 millió euró lehet, a súlyosabb jogsértéseket esetén viszont az árbevétel 4 százaléka, vagy 20 millió euró a felső határa a bírságnak.
Tóásó Bálint szerint az első átmeneti időszakban valószínűleg nem fogják a legmagasabb bírságösszeget kivetni a hatóságok. Felhívta a figyelmet arra is, hogy a sokakban félelmet keltő összegek mellett azért a GDPR egy nagyon sokrétű eszközrendszert vezet be, amely a figyelmeztetéstől az alacsonyabb összegű bírságon át, számos egyéb "soft" következmény alkalmazását is lehetővé teszi, biztosítva ezzel a differenciált hatósági válaszok lehetőségét.