GDPR nyilatkozat belső használatra. Hogyan biztosíthatjuk az alkalmazottak adatainak védelmét?
Miért szükséges belső használatú GDPR nyilatkozat a cégeknél?
A vállalkozások, cégek napi működése során számos olyan adatkezelési folyamat zajlik, amely közvetlenül érinti a munkavállalók személyes adatait. A munkaszerződések, jelenléti ívek, teljesítményértékelések, kamerás megfigyelések vagy akár a céges e-mail forgalom kezelése mind olyan tevékenységek, amelyeknek jogszerűségéhez elengedhetetlen, hogy a vállalkozás rendelkezzen GDPR nyilatkozattal. A jelenlegi magyar és uniós jogszabályok szigorúan szabályozzák, mikor és hogyan lehet munkavállalói adatokat gyűjteni, kezelni és tárolni.
Sokan úgy gondolják, hogy a nyilatkozat kizárólag ügyfelek, vevők vagy partnerek adatainak kezelésére irányul. Azonban ez tévedés. Az alkalmazottak adatai ugyanolyan védelem alatt állnak, és a munkáltatónak kötelessége dokumentált módon tájékoztatni őket arról, hogy milyen adataikat, milyen célból, mennyi ideig és milyen jogalapon kezeli. A belső GDPR nyilatkozat tehát nemcsak jogi kötelezettség, hanem a transzparens munkahelyi kultúra alapja is. Egy jól felépített dokumentum elősegíti a bizalmat a munkáltató és az alkalmazott között, valamint megelőzheti a jogvitákat.
GDPR nyilatkozat és a munkavállalói adatkezelés főbb területei
A cégen belüli adatkezelés kiterjedhet a következő területekre: munkaügyi adminisztráció, mint a szerződéses adatok, személyi anyagok, bérszámfejtési dokumentumok, munkaidő-nyilvántartás és jelenléti ívek, szabadságigények, teljesítményértékeléssel és fegyelmi eljárásokkal kapcsolatos ügyek, mint értékelések, jegyzőkönyvek, írásos figyelmeztetések. Az elektronikus megfigyelés is nagyon gyakori, hiszen szinte mindenütt vannak már céges kamerarendszerek, e-mail-figyelés, és az internetforgalmat is követik a céges számítógépeken.
Minden fenti esetben a GDPR nyilatkozatban konkrétan meg kell határozni, milyen adatok kerülnek rögzítésre, milyen technikai és szervezeti intézkedések védik azokat, és az érintett munkavállalóknak milyen jogai vannak az adatai kezelésével kapcsolatosan (pl. adatokhoz való hozzáférés, helyesbítés, törlés kérése).
Milyen jogalapon kezelhetők a dolgozók adatai, ki kezelheti azokat és mik a formai követelmények?
A leggyakoribb jogalap a munkáltatói jogos érdek és a szerződés teljesítése. Ugyanakkor bizonyos esetekben, például önkéntes céges eseményekre való jelentkezés vagy egészségügyi adatok kezelése során, az érintett hozzájárulása is szükséges. Fontos, hogy ha a hozzájárulás a jogalap, akkor annak teljesen önkéntesnek, visszavonhatónak és dokumentáltnak kell lennie, amelyet a GDPR nyilatkozat megfelelően rögzít. A dokumentumnak közérthetőnek és strukturáltnak kell lennie, nem elegendő a bonyolult jogi hivatkozások halmozása.
A GDPR nyilatkozat akkor megfelelő, ha világosan válaszol az alábbi kérdésekre: Ki kezeli az adatokat, milyen célból történik az adatkezelés, milyen típusú adatokat kezel a munkáltató, mi a jogalapja az adatkezelésnek, mennyi ideig tárolják az adatokat, kinek továbbíthatók az adatok, milyen jogai vannak az érintett dolgozónak?
A nem megfelelő GDPR nyilatkozat következményei
A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) már több olyan elmarasztaló határozatot hozott, amelyek hátterében a belső adatkezelések hiányosságai álltak. A jogellenes adatkezelés pénzbírságot, reputációs veszteséget és akár munkaügyi peres eljárásokat is maga után vonhat. A GDPR nyilatkozat megléte tehát nemcsak formai kérdés, hanem kockázatcsökkentő eszköz a cégek szemszögéből.
A munkavállalók személyes adatainak kezelése ma már nem intézhető el néhány sablonos szerződéses ponttal. A vállalat felelőssége, hogy átlátható és jogszerű módon járjon el minden belső adatkezelés során. A Gaál, Pintér és Lakatos Ügyvédi Társulás szakemberei szívesen segítenek a munkáltatóknak az adatvédelmi megfelelés biztosításában, akár meglévő dokumentumok felülvizsgálatáról, akár új GDPR nyilatkozat elkészítéséről van szó.