A GDPR csak a kötelező adatkezeléseket szabályozza, azon túl az egyéb lehetséges adatkezelésekről a munkáltatónak kell döntenie, akinek ugyanakkor mindig szem előtt kell tartania az elszámoltathatóság elvét, hogy igazolni tudja lépései jogszerűségét - emelte ki Balogh Gyöngyi, a Nemzeti Adatvédelmi és Információszabadság Hatóság adatvédelmi főosztályának főosztályvezetője az OrientPress Hírügynökség által szervezett foglalkozáspolitikai konferencián.

Az európai általános adatvédelmi rendelet, a GDPR szövevényében való eligazodáshoz nyújtott támpontokat Balogh Gyöngyi, aki szólt arról is, milyen hatósági eljárásokra számíthatnak a munkáltatók az adatkezelésükkel kapcsolatban, és hogy a GDPR-ban erőteljesebb lett szabályok betartásának számon kérése.

Mit kellett már megtenniük a munkáltatóknak?

Az adatvédelmi szakember reményét fejezte ki, hogy a munkáltatói adatkezeléssel foglalkozó szakemberek, vezetők tudatosan foglalkoznak a kérdéskörrel, és lényegében már felülvizsgálták az összes adatkezelési folyamatukat. GDPR-konformmá tették például a munkavállalóknak átadandó dokumentumokat vagy a kitöltendő nyomtatványokat. A sokféle adatkezelés áttekintésében nagy segítséget nyújthat a GDPR 30. cikke szerinti nyilvántartás-vezetés. Ennek lényege, hogy adatkezelési célként kell leírni az adatokat – emelte ki.

Mi változott, és mi nem a GDPR életbe lépésével?

A 2018 májusában hatályba lépett GDPR mellett nagyon fontos maradt az infotörvény, valamint az ágazati szabályozás is. Ezek azok a jogszabályok, amelyeket továbbra is figyelembe kell venni az adatkezelések során – hangsúlyozta az előadó. Értékelése szerint a korábbi szabályozáshoz képest a GDPR nem hozott nagyon nagy változást, hiszen az alapelvek és a keretszabályok lényegesen nem módosultak. Ugyanakkor a GDPR-ban megjelentek olyan új jogi intézmények, mint a hatásvizsgálat; az incidenskezelés szabályozása; a bejelentési kötelezettség vagy a magatartási kódex.

Most már a GDPR-t kell elővennünk, ha valamilyen kérdésre választ keresünk.

Ami gyakran nehéz feladatot jelenthet, mert más a szövegezése és a fogalmi rendszere, mint ami a magyar jogi gondolkodásban megszokott. Ezért nehezen olvasható ki belőle a jogalkotói akarat” – fogalmazott.

A jogalkotók célja az volt, hogy uniós szinten egységes követelmények érvényesüljenek. Azért választották a rendeleti formát, mert így a GDPR közvetlenül alkalmazandó a tagállami jogban, tehát nem kellett végrehajtó szabályokat alkotni. Ez alapján készült az info törvény több módosítása is. Ehhez jött még a GDPR salátatörvény, amely mintegy nyolcvan ágazati speciális szabályozás módosítását végezte el.

Fontos változás, hogy megnőtt az adatkezelő döntési szabadsága, hiszen a jog csak a kötelező adatkezeléseket szabályozza, azon túl az egyéb lehetséges adatkezelésekről a munkáltatónak kell döntenie. Ezzel együtt fokozódott a felelőssége is, tehát szem előtt kell tartania az elszámoltathatóság elvét, igazolni is tudnia kell lépései jogszerűségét.

Továbbá dokumentálnia kell azt is, hogy az adott munkavállaló megkapta a szóban forgó tájékoztatást. Tehát

az elszámoltathatóság elvén keresztül van rá kényszerítve arra, hogy ő maga gondoskodjon arról, hogy minden folyamat rendben legyen,

és ezt a hatóság számára egy eljárás során bizonyítani is tudja. A bizonyítási teher a munkáltatón van!

A szabályozással kapcsolatban felhívta a figyelmet a GDPR 88. cikkére, amely valamelyes mozgásteret ad a foglalkoztatással kapcsolatos jogviszonyok tekintetében. Ez alapján történt például a Munka törvénykönyve vagy a foglalkoztatási törvény módosítása. A felhatalmazás ugyanakkor csak pontosító szabályok alkotására vonatkozott.

A jogszabály-változásokat tekintve az egyik fő témakör a jogalapok kérdése. Részben ugyanazok, mint a korábban, részben újdonságokat is tartalmaznak. Korábban például a hozzájárulás automatizmus volt, kivéve természetesen a törvényi felhatalmazást, amikor a jogszabály pontosan meghatározza – például az adózással kapcsolatban – mit és hogyan kell a munkáltatónak nyilvántartania. A hozzájárulás jogalapjáról a hatóság – már korábban is – „számtalanszor” kimondta: nem alkalmazható akkor, amikor erős függelmi viszonyokról van szó. Például a munkáltató–munkavállaló jogviszony esetén. Tehát ez nem újdonság, ugyanakkor sokkal erőteljesebben megjelenik a GDPR-ben.

Felhívta a figyelmet a jogos érdeken alapuló adatkezelésre, ebből kiindulva minden olyan szabályozást, amely képlékeny megfogalmazásban szólt az adatkezelő adatkezeléséről, azt deregulálni kellett. Ez nem azt jelenti, hogy tiltott lenne minden olyan egyéb adatkezelés, ami nincs a jogszabályban kötelezően meghatározva, hanem azt, hogy

a munkáltató döntési jogkörébe tartozik, és neki kell felelősséget vállalni ezért.

Nem hozzájáruló nyilatkozatot kell kérni a munkavállalótól a különböző adatkezelésekre, hanem a munkáltatónak pontosan be kell mutatnia az adatkezelés folyamatát, hogy mi történik a munkavállaló adataival. Azt íratja alá, hogy ő ezt a tájékoztatást megkapta. Ezzel tudja igazolni, hogy az elszámoltathatóság elvének eleget téve megfelelő tájékoztatást adott.

Ennek kapcsán a jogalap kérdését is rendezni kell!

Ez nem a hozzájárulás lesz, hanem jellemzően a szerződés, a jogi kötelezettség vagy a jogos érdek. A hozzájárulás alkalmazása csak kivételes esetekben képzelhető el. Akkor, ha hozzájárulás szabadon, következményektől mentesen megtagadható. Ha például ez a feltétele a munkaviszony fenntartásának, vagy elesne valamilyen előnytől, esetleg hátrányt szenvedne, ha megtagadná, akkor a hozzájárulás érvénytelen, hiába írta alá a munkavállaló. Nagyon sokan ezekkel még nincsenek tisztában – tette hozza. (OP)