2018. május 25-én hatályba lép az európai unió adatvédelmi rendelete (General Data Protection Regulation, továbbiakban rövidítve GDPR), amely egységesíti a 28 tagállam adatvédelmi rendelkezéseit és felülírja a nemzeti jogszabályokat. A GDPR elsősorban a személyek jogait, másodszor pedig a társaságok a kötelezettségeit növeli.
- Mivel a munkáltató a munkaviszony során a munkavállalók személyes adatait kezeli, ezért adatkezelőnek minősül, így vonatkozik rá a GDPR.
- A GDPR szabályainak megsértése esetén bírság szabható ki, melynek mértéke 20 millió euró vagy a vállalkozás előző pénzügyi év teljes éves világpiaci forgalmának 4 %-át kitevő összege is lehet.
A GDPR megengedi, hogy a tagállamok jogszabályban vagy kollektív szerződésekben az előírtaknál pontosabb szabályokat állapítsanak meg a munkavállalók adatkezelésével kapcsolatosan, a toborzástól a munkaviszony megszűnéséig. Ilyen lehet például annak meghatározása, hogy munkaszerződésben található adatvédelmi hozzájárulás mikor tekinthető érvényesnek. Minden tagállamnak legkésőbb 2018. május 25-ig kell értesíteni az Európai Bizottságot ezen rendelkezésekről. Magyarország jelenleg nem fogadott még el e témában részletesebb rendelkezéseket.
Zempléni Kinga, munkaügyi ügyvéd szerint az alábbiakat kell megtenniük a munkáltatóknak az elkövetkező hónapokban:
- Átnézni a jelenlegi HR-szerződésmintákat, szabályzatokat és megállapítani, hogy a GDPR-nek mely részek nem felelnek meg.
- A GDPR rendelkezései alapján módosítani a mintákat és új eljárásokat bevezetni.
- Mintaválaszokat kidolgozni adatkérések esetén, annak érdekében, hogy a GDPR-nek megfelelően kommunikáljon a társaság.
- Az informatikai rendszert oly módon módosítani, hogy könnyen kereshetőek legyenek az egyes munkavállalókra vonatkozó személyes adatok.
- Az adatvédelemmel foglalkozó munkatársak részére megfelelő adatvédelmi tréninget biztosítani.
- Lehetőség szerint egy online rendszer kialakítása munkavállalók személyes adatainak tárolása és hozzáférése céljából.
A GDPR, munkáltatókra vonatkozó szabályainak részletesebb ismertetése:
- Tájékoztatás és hozzájárulás
Jelenleg általában a munkaszerződés tartalmaz egy rövid összefoglalót a személyes adatok kezeléséről és hozzájárulást is a harmadik személy részére történő adattovábbításhoz. A jövőben a foglalkoztatás során a munkáltató a munkavállaló személyes adatait csak bizonyos esetekben kezelheti jogszerűen, ezért fontos, hogy a munkáltató helyesen állapítsa meg az adatkezelés jogalapját. Ennek megfelelően, jövő májusig a munkáltatónak át kell vizsgálnia a munkaszerződés mintát és megállapítani, hogy egyes adatokat milyen jogcímen kezelik. A munkáltatóknak vélhetően egy részletesebb adatvédelmi tájékoztatást kell a munkaszerződésbe vagy az adatvédelmi szabályzatba foglalniuk, illetve egyedi hozzájárulásokat kérni adatok kezelésére.
- Munkavállaló jogai
A munkáltatónak olyan mechanizmust kell kialakítania, amely által többek között a munkavállalónak lehetősége van díjmentesen kérelmezni, illetve adott esetben megkapni különösen a személyes adatokhoz való hozzáférést, azok helyesbítését és törlését, valamint gyakorolni a tiltakozáshoz való jogát. A munkáltató ennek megfelelően köteles biztosítani a kérelmek elektronikus benyújtását lehetővé tevő eszközöket is, különösen, ha a személyes adatok kezelése elektronikus úton történik.
- Adatvédelmi incidens
Az új szabályok értelmében személyes adat jogellenes kezelése vagy feldolgozása, megsemmisítése, elvesztése, megváltoztatása esetén a munkáltatónak bejelentési kötelezettsége keletkezik a felügyelő hatóság felé. Amennyiben ez az incidens a munkavállaló személyes adatait érinti, akkor munkavállalót is értesíteni kell.
- Az adatvédelmi tisztviselők
Az új általános adatvédelmi rendelet a belső adatvédelmi tisztviselő kinevezését a jelenlegi. szabályoknál szélesebb adatkezelői körben teszi kötelezővé. Ha erre kerül sor, akkor fontos, hogy a munkáltató megbizonyosodjon arról, hogy valaki a szervezeténél vagy egy külső tanácsadó megfelelően felelősséget vállal az adatvédelmi eljárásoknak való megfelelésért, és elegendő tudással, támogatással és fennhatósággal rendelkezik ehhez.
- Adatvédelmi hatásvizsgálat
Az új szabályok értelmében, ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa valószínűsíthetően magas kockázattal jár a munkavállalók jogaira, személyes adataira nézve, akkor a munkáltatónak az adatkezelést megelőzően hatásvizsgálatot köteles végezni.
- Adatvédelmi nyilvántartás
Megszűnik a NAIH hivatalos adatvédelmi nyilvántartása, a jövőben azonban minden munkáltatónak kötelessége adatkezelési tevékenységeiről nyilvántartást vezetni.
- Adatvédelmi szabályzat
A munkáltató köteles adatvédelmi szabályzatokat elfogadni, amely az adatkezeléssel, a munkavállalók jogaival kapcsolatos főbb szabályokat tartalmazza.