Április 1-jén megszavazták a GDPR salátatörvényt

A kamerafelvételek őrzési idejét módosítja, a munkahelyi számítógépek magáncélú használatának főszabály szerinti tilalmát elrendeli, és sok másról is rendelkezik az új GDPR salátatörvény. Az európai uniós adatvédelmi rendelettel való összhang megteremtése érdekében a Parlament április 1-jén nyolcvannál is több jogszabályt módosított. A törvény végleges szövegére és a kihirdetésre még pár napot várni kell, de nagy valószínűséggel az alábbi főbb módosítások hamarosan hatályba lépnek.

Mire érdemes a munkáltatóknak és a munkavállalóknak odafigyelniük?
 
Szigorúbb előírásokkal kell számolniuk a munkáltatóknak a Munka törvénykönyvének új rendelkezései értelmében. A munkavállalók személyiségi jogait eddig is csak akkor korlátozhatták, ha arról előzetesen tájékoztatták őket, mostantól azonban az értesítést írásba is kell foglalniuk. A tájékoztatásban továbbá mindig meg kell indokolniuk a korlátozás szükségességét és arányosságát.
 
„Rendkívül fontossá válik a GDPR megfelelőségi programok kiterjesztése a cégeknél a munkavállalókra, munkaszerződésekre, munkavállalókkal kapcsolatos szabályzatokra, adminisztrációra stb.” – figyelmeztet Dr. Bitai Zsófia adatvédelmi szakjogász, a Collegium Bitai&Partners Ügyvédi Iroda vezető ügyvédje.
 
Ez a szabály alkalmazandó akkor is, ha a munkáltató a munkavállaló ellenőrzéséhez technikai eszközt, például elektronikus megfigyelő, beléptető vagy nyomkövető rendszert alkalmaz. Erről is előzetesen és írásban kell tájékoztatni a munkavállalót.

Milyen főnök lennél? Megmutatjuk!

A törvénymódosítás következtében a munkavállalótól csak okirat bemutatása követelhető, azok tárolására, másolat készítésére nem lehet szükség. Elegendő azok bemutatása és a szükséges adatok feljegyzése a munkáltató által. „Problémák adódhatnak ebből, például ha egy esetleges munkaügyi ellenőrzés alkalmával nincs a munkavállalónál valamely irata, mivel akkor a munkáltatót büntetik meg. Azoknál a munkáltatóknál, ahol eddig lemásolták a személyes iratokat, a rendszerek megváltoztatása vagy maszkolás javasolt” – mondja Dr. Bitai Zsófia.
 
Egy másik lényeges előírás kimondja: főszabály szerint tilos a munkáltató által biztosított számítógépet, laptopot, mobilt privátcélra használni. A munkáltató ezt azonban engedélyezheti. Egy esetleges ellenőrzés során azonban a munkáltató csak a munkaviszonnyal kapcsolatos adatokat nézheti meg, akár a saját, akár a céges gépét használja a munkavállaló. Így a magánélet védelme biztosított marad.

A munkavállaló egészségügyi adatával kapcsolatos az az új rendelkezés, miszerint a foglalkozás- egészségügyi vizsgálat során keletkező ilyen adat kezelésére - a GDPR rendelettel összhangban –jogosult a munkáltató. „Ahol ilyen adatot kezelnek, külön meg kell felelni az egészségügyi adatok kezelésére vonatkozó speciális feltételeknek” – mondja a szakértő ügyvéd.
 

Nem szükséges a korábbi 3 munkanap, 30 vagy 60 nap elteltével törölni a kamerafelvételeket
 
A személy- és vagyonvédelmi tevékenység keretében felszerelt kamerák felvételeit eddig főszabály szerint 3 munkanap (valamint 30 és 60 nap) elteltével meg kellett semmisíteni, amennyiben azok felhasználására nem került sor. Ezt az előírást most eltörölték. Így ezentúl az adatkezelő maga határozhatja meg, hogy jogos érdeke alapján mennyi ideig kívánja kezelni a felvételeket. (Természetesen a GDPR rendelet alapelveit - adattakarékosság és korlátozott tárolhatóság - figyelembe kell venni.)
 
„Ennek következtében az eddigi kamera szabályzatok kiegészítésre szorulnak érdekmérlegelési teszttel, melyben pontosan indoklásra kerül, hogy miért és meddig őrzik az adott cégnél a felvételeket” – jelzi Dr. Bitai Zsófia.
 
Ugyanez a szabály érvényes mostantól az elektronikus beléptető rendszerekre is. Ebben az esetben szintén hatályon kívül kerülnek az adatkezelés időtartamát szabályozó előírások és az adatkezelő - jogos érdeke alapján - határozhatja meg, hogy mennyi ideig kezeli az adatot.
 
Korlátozzák a direkt marketing célú adatgyűjtést
 
Eddig a direkt marketinggel foglalkozó cégek kapcsolat-felvételi és üzletszerzési lista összeállítása céljából gyűjthettek név- és lakcím adatokat. Mostantól azonban csak abban az esetben gyűjthetnek telefonkönyvből vagy lakcímnyilvántartásból ilyen célra adatokat, ha bizonyítják az adatok kezeléséhez fűződő jogos érdeküket. Ilyen érdek lehet például az ügyfél-elégedettség mérése, vagy bevételek növelése, de ez esetről esetre változhat, így mindig az adott körülmények alapján kell megítélni, figyelmeztet a szakértő ügyvéd.
 
A panaszkönyvbe bejegyzett személyes adatok védelme
 
Ezentúl a kereskedők kötelesek a panaszt tartalmazó bejegyzést azonnal eltávolítani a vásárlók könyvéből, és azt elkülönítve tárolni. Így valósítható meg a korábbi panasztevők személyes adatainak védelme.
 
Ellenőrzési jogot kap a jegyző
 
A Nemzeti Adatvédelmi és Információszabadság Hatóság mostantól megkeresheti a települési önkormányzati jegyzőket abból a célból, hogy ellenőrizzék az illetékességi területükön folytatott adatkezeléseket. Az ilyen ellenőrzés kiterjedhet például a kezelt személyes adatok körére, az adatkezelés eszközeire, így például a kamerafelvételekre. Ezzel két síkon folyhat az ellenőrzés, önkormányzati és hatósági szinten. A jegyzők általi ellenőrzés közelebb viheti a jogszabályok betartatását az önkormányzatok területén működő cégekhez.