Jövő év május 25-én lép hatályba az Európai Unió általános adatvédelmi rendelete. Újdonság, hogy a GDPR nem irányelv, hanem rendelet és így az EU egész területén közvetlenül alkalmazandó.

"Mivel a munkáltatók a foglalkoztatottak személyes adatait kezelik, ezért adatkezelőnek minősülnek, így vonatkozik rájuk a GDPR. Jelenleg nagyon nehéz előre megbecsülni, hogy melyik vállalkozásnak milyen szinten hoz változásokat az új rendelet, hiszen minden társaságnál más és más a rendszer. Ennek ellenére érdemes elkezdeni a felkészülést, hiszen májusig - elvileg - mindenkinek el kell végeznie egy adatvédelmi auditot, amelynek alapján esetleg a szabályzatokat, szerződéseket és nyilvántartásokat módosítani kell. Ám az, hogy ez hogyan történik, már egyedi kérdés" - fogalmazott a Napi.hu-nak Zempléni Kinga, a dr. Zempléni Kinga Ügyvédi Iroda vezetője.

Bekamerázni, Facebookot monitorozni tilos?

A munkajog területén várhatón a NAIH tesz majd állásfoglalásokat: egyebek közt a munkavállaló nyomkövetése, vagy a kamerás megfigyelés terén is érkezik majd vélemény.

Erős iránymutatóként szolgálhat azonban az EU adatvédelmi munkacsoportjának nyáron kiadott állásfoglalása, amely a munkahelyi megfigyelés kapcsán a GDPR-t is figyelembe veszi - hívta fel a figyelmet Zempléni Kinga.

E vélemény alapján a dolgozók munkájának technikai eszközökkel való megfigyelését "arányosan" kell végezni, a munkáltatónak igazolnia kell, hogy ehhez mennyire fűződik jogos érdeke és nem elég hozzá pusztán a foglalkoztatott beleegyezését kérni, mivel a munkaviszony nem minősül egyenrangú viszonynak.

A kiadott állásfoglalás igen szigorúan vélekedik arról, hogy ha például egy eszközt, amelyet magáncélra lehet használni (például laptop), megvizsgálhatja-e a munkáltató. Szerintük a megfigyelésről mindig tájékoztatni kell a munkavállalót, magánhasználatú készülékek esetén lehetőséget kell adni, hogy kikapcsolják ezt a megfigyelést, vagy legyen a számítógépnek egy olyan része, amelyhez nem fér hozzá a munkáltató.

Az EU-s állásfoglalás szerint a munkaadónak alapvetően nem lenne szabad néznie az alkalmazott Facebook profilját, mert az személyes adatokat sért. Mi több, eszerint például a vállalathoz jelentkező interjúalanyoknak sem lehetne megtekinteni a Facebook-profilját, márpedig gyakori, hogy azt a hr-esek leellenőrzik - mondta Zempléni.

Jelentős változás még, hogy 2018 májusától megszűnik a NAIH által vezetett nyilvántartás. A munkáltatónak ki kell dolgoznia egy it-rendszert, amely elkülönítve kezeli a munkavállalói adatokat, s amennyiben a dolgozó érdeklődik arról, hogy milyen személyes adatokat tárolnak róla, akkor azt a munkaadónak meg kell adnia.

Milyen költségek terhelik a magyar cégeket a módosítás hatására?

A felkészülés költsége sok tényezőtől függ: bizonyos vállalatoknál nem kell majd sokat áldozni rá, viszont esetleg egy olyan óriás szervezetnél, ahol eddig az adatvédelem nem volt hangsúlyos, a GDPR-ra való felkészülés több tízmillió forintra is rúghat.

A felkészülés várhatóan a kkv szektor számára lesz a legnagyobb tehertétel. A jogalkotó azonban előre gondolkodva, könnyítéseket is megfogalmazott a kevesebb, mint 250 főt foglalkoztató vállalkozásoknál, például az adatvédelmi nyilvántartás vezetése kapcsán.

A 2018 májusától érvényes GDPR-szabályozásban nagyon magas bírságmaximumokat jelöltek meg. A jogsértéseket két csoportba sorolja a rendelet: enyhébb esetben legfeljebb a cég éves globális árbevételének 2 százaléka, vagy 10 millió euró lehet, a súlyosabb jogsértéseket esetén viszont az árbevétel 4 százaléka, vagy 20 millió euró a felső határa a bírságnak.