Változnak a foglalkoztatással összefüggő adatkezelési szabályok

2019.04.11

 

Az Országgyűlés elfogadta és a köztársasági elnök 2019. április 10-én aláírta, így kihirdetésre vár a T/4479. számon jegyzett törvényjavaslat*, amely az Európai Unió adatvédelmi reformjának a végrehajtásához szükséges jogszabály-módosításokat tartalmazza. A módosítások ugyan messze nem rendeznek minden nyitott kérdést, hiszen számos érintett ágazati jogszabály módosítására nem kerül sor ezzel, de a munka törvénykönyvét módosítani fogja a kihirdetésre váró jogszabály. A módosítások, amelyeken az adatvédelmi kodifikációs bizottság több, mint egy évig dolgozott, jelentős változást hoznak a foglalkoztatással összefüggő adatkezelések szabályokban.

 

 

A módosítási koncepció

A munkacsoport a törvény módosításával összefüggésben egyrészt arra törekedett, hogy egyértelmű adatkezelési szabályokat határozzon meg a munkáltatók, mint adatkezelők részére, másrészt pedig szigorúan célhoz kötötten lehetővé tegye számukra a rendelet által biztosított körben a személyes adatok különleges kategóriájának, illetve a bűnügyi személyes adatoknak a megfelelő garanciák között történő kezelését. Ezzel egyidejűleg a rendelet elsőbbsége alapján eltávolításra kerültek a törvényből azon rendelkezések, amelyek a GDPR által egyértelműen szabályozott területeket érintettek. Ide tartozik például az adatfeldolgozó részére történő adattovábbítás nevesítése, illetve a személyes adatok harmadik személyeknek történő általános továbbítására vonatkozó rendelkezések. Koncepcionális változást hajt végre továbbá a munkahelyi ellenőrzések vonatkozásában - tiltván fő szabályként a magáncélú eszközhasználatot. Két adatkezelési szempontból fontos területen marad a hatályos szabályozás, illetve gyakorlat: továbbra sem lehet okiratot fénymásolni (bár ez nem következne szükségszerűen a rendelet előírásaiból), valamint a munkavállaló részére továbbra is előzetes adatkezelési tájékoztatást szükséges adni. Végezetül az új jogszabály részletszabályokat határoz meg a biometrikus adatok, illetve a bűnügyi személyes adatok kezelésére is.

 

Biometrikus adat szigorú feltételek mellett, de kezelhető

A biometrikus adatok egyre szélesebb körben kerülnek felhasználásra. Mind általánosabbá válik ugyanis, hogy a számítástechnikai, illetve telekommunikációs eszközökhöz való hozzáféréssel összefüggésben az eszköz ujjlenyomatot vizsgál, azaz az érintett felhasználó biometrikus adatát kezeli. A biometrikus adatok munkaviszonnyal összefüggő kezelése azonban a módosítást követően is szigorú feltételekhez kötött lesz. A munkavállaló biometrikus adata az érintett azonosítása céljából abban az esetben kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy törvényben védett jelentős érdek súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna. Ezzel összefüggésben jelentős védett érdeknek minősül különösen a legalább „Bizalmas!” minősítési szintű minősített adatok védelméhez, a lőfegyver, lőszer, robbanóanyag őrzéséhez, a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez, a nukleáris anyagok őrzéséhez, valamint a Büntető Törvénykönyv szerint legalább különösen nagy vagyoni érték védelméhez fűződő érdek. Habár a felsorolás hagy a jogértelmezés számára némi mozgásteret, a felügyeleti hatóság gyakorlata tükrében nem tanácsos ezen rendelkezéseket kiterjesztően alkalmazni. Nem felel meg például a szabályozásnak a biometrikus azonosítást alkalmazó munkahelyi beléptetőrendszer, amennyiben annak egyedüli célja a belépőkártya „egyszerűbb” belépési módra történő lecserélése. Egy kórházi laboratóriumba történő bejutással összefüggésben azonban már felmerülhet az egyedi azonosítás szükségessége.

 

Több esetben kezelhetünk bűnügyi személyes adatot

A bűnügyi személyes adatok kezelésére 2018. május 25. napjáig az Infotv. és a felügyeleti szerv jogértelmezése alapján kizárólag azon esetekben volt lehetőség, ahol ezt jogszabály írta elő (lsd. pl: közszféra, Mt.44/A§), s ott is csupán meglehetősen szűk keretek között. A felügyeleti szerv például úgy értelmezte a szabályokat, hogy a büntetlen előéletet igazoló dokumentum csupán megtekinthető, másolat készítése nem fogadható el. Habár a megtekintés, mint az adatkezelés egyedüli formája továbbra is követelmény maradt, tavaly május óta más jogalapra is támaszkodhatunk, azaz szélesebb körben lehetséges ezen adatokba betekintést nyernünk. Habár ez a lehetőség már fennáll (erről NAIH állásfoglalás is született), az adatkezelés konkrét feltételeit a munka törvénykönyvének a módosítása kívánja lefektetni. Az elfogadott törvénymódosítás rögzíti, hogy a munkáltató, a munkavállaló, vagy a munkáltatóval munkaviszonyt létesíteni szándékozó személy bűnügyi személyes adatát annak vizsgálata céljából kezelheti, hogy ellenőrizze, a betölteni kívánt, vagy a betöltött munkakörben törvény vagy maga a munkáltató nem korlátozza, vagy nem zárja-e ki a foglalkoztatást. Ilyen feltételt a munkáltató maga akkor határozhat meg, ha az adott munkakörben az érintett személy foglalkoztatása a munkáltató jelentős vagyoni érdeke, törvény által védett titok, vagy törvény által védett érdek (lsd. biometrikus adatoknál) sérelmének veszélyével járna. A munkáltató a bűnügyi személyes adat kezelését megalapozó korlátozó vagy kizáró feltételt, és a bűnügyi személyes adat kezeléséneknek feltételeit előzetesen írásban kell, hogy meghatározza. A szabályozás tükrében egyértelművé válik, hogy a büntetett előélettel összefüggő adatok kezelésére szigorúan célhoz kötötten, megfelelő dokumentáció mellett, jogszabályi előírás nélkül is sor kerülhet.

 

A magáncélú eszközhasználat fő szabályként tiltott

Továbbra is alapvető szabály, hogy a munkavállaló kizárólag a munkaviszonyával összefüggésben ellenőrizhető. A munkaviszony során azonban a „privátszféra” tiszteletben tartása nem várható el a munkáltatótól az általa biztosított eszközökkel összefüggésben. Ellenkező megállapodás hiányában úgy kell tehát tekinteni, hogy a munkahelyi telefont, asztali vagy hordozható számítógépet, autót stb. kizárólag munkavégzés céljára kapta a munkavállaló. Ennek oka nem a munkavállalók jogkorlátozása, hanem egyértelműen az, hogy a munkáltató a munkavállalók munkaviszonnyal össze nem függő személyes adatait véletlenül se kezelhesse. Természetesen ellenkező tartalmú megállapodásnak akadálya nincsen, a személyes adatok kezelésének szabályait azonban gondosan kell kialakítani. Amennyiben tehát a munkáltató a magáncélú eszközhasználatot a munkavállaló számára engedélyezi, köteles ezzel egyidejűleg az eszközhasználat ellenőrzésére vonatkozó szabályokat arra tekintettel kialakítani, hogy az eszközön a munkaviszonnyal összefüggésben nem álló, így általa nem kezelhető személyes adatok is fellelhetőek lesznek.

* A jogszabály (2019. évi XXXIV. törvény Az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról) a cikk közlését követően került kihirdetésre.

A cikk szerzője:

dr. Kéri Ádám

ügyvéd,  a Magyar Könyvvizsgálói Kamara Oktatási Központjának oktatója,

az adatvédelmi kodifikációs munkacsoport tagja

2019. június 4-én dr. Kéri Ádám - ügyvéd, adatvédelmi szakértő, a PM adatvédelmi kodifikációs bizottságának a tagja, Az adatkezelés szabályai a foglalkoztatásban előadásán további aktuális információkat oszt meg a részvevőkkel.

Tovbbi információ, regisztráció»

További kreditpontos továbbképzések, szakmai rendezvények tanteremben és távoktatásban»