A GDPR tavalyi hatálybalépése óta több alkalommal is foglalkoztunk azzal, hogyan érinti a munkahelyi adatkezelést az Európai Unió adatvédelmi reformja. A Parlament áprilisban elfogadott egy törvényt, amely a GDPR végrehajtása érdekében számos részletszabályt ír elő.
Az áprilisi törvénymódosítás értelmében a Munka Törvénykönyve módosított szövege szerint a munkáltató a munkavállalótól olyan nyilatkozat megtételét vagy személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy e törvényből származó igény érvényesítése szempontjából lényeges. A módosítás következtében kikerült a szövegből a tilalom, amely szerint a nyilatkozat megtétele vagy az adat közlése a munkavállaló személyiségi jogát nem sértheti.
Az új szabályozás értelmében a személyes adatok kezeléséről a munkáltató a munkavállalót írásban köteles tájékoztatni, amelyet a munkáltató a tájékoztatás helyben szokásos és általában ismert módon való közzétételével is teljesíthet.
Bűnügyi adatok kezelése
A büntetett előélettel kapcsolatos személyes adatok kezelését a GDPR csak a tagállami jogszabály kifejezett rendelkezése esetén teszi lehetővé. Ezt a hazai szabályozás meglehetősen szűken szabályozta eddig, szinte valamennyi munkakört kizárva a büntetlen előélet vizsgálatából.
Az új szabályozás értelmében a munkavállaló vagy a leendő munkavállaló bűnügyi személyes adatát a munkáltató annak vizsgálata céljából kezelheti, hogy fennállnak-e a munkakör betöltését korlátozó vagy kizáró feltételek. Ilyen feltételeket vagy törvény határozhat meg, vagy a munkáltató – ő azonban csak akkor, ha az adott munkakörben ez
- a törvény által védett titok
- a munkáltató jelentős vagyoni érdeke
- lőfegyver, lőszer, robbanóanyag őrzése,
- mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzése,
- nukleáris anyagok őrzése
érdekében szükséges. Ezek a kivételek a korábbi, tételes munkaköri felsorolásokon alapuló szabályozáshoz képest jóval szélesebb körben engedik meg a munkáltatónak az erkölcsi bizonyítvány megkövetelését és bemutatását, hiszen a „jelentős gazdasági érdek” védelmében erre szükség lehet egy gazdasági vezető, főkönyvelő vagy beszerzési vezető, de akár egy raktáros vagy eladó munkatárs alkalmazása esetén is.
A munkáltatóknak a bűnügyi személyes adat kezelését megalapozó korlátozó vagy kizáró feltételt, és a bűnügyi személyes adat kezelésének feltételeit előzetesen, írásban kell meghatároznia. Így munkáltatóknak előre meg kell határoznia azokat a munkaköröket, amelyek esetében az erkölcsi bizonyítvány bemutatását kérheti, valamint érdekmérlegelési teszt keretében mérlegelnie kell jogos érdekeit és a munkavállaló alapvető jogait és szabadságait.
A munkavállalók ellenőrzése
A munkavállalók ellenőrzése körében eddig is bevett gyakorlat volt a kamerás megfigyelőrendszer alkalmazása a munkahelyen, a személy-és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló törvényben meghatározott célok (az emberi élet, testi épség, személyi szabadság védelme, a veszélyes anyagok őrzése, az üzleti, fizetési, bank- és értékpapírtitok védelme, valamint a vagyonvédelem) érdekében. Az új szabály megerősíti a technikai eszközök alkalmazásának lehetőségét a munkavállalók munkaviszonnyal összefüggő magatartása körében.
A munkáltató ellenőrizheti továbbá a munkavégzéshez biztosított számítástechnikai eszközöket is. Számos munkáltatói szabályzat már eddig is kimondta, immáron viszont a törvény is megerősíti, hogy a munkavállaló eltérő rendelkezés hiányában ezen eszközöket csak munkavégzésre használhatja. Fontos, eddig is fennállt korlátozás azonban, hogy a munkáltató az általa munkavégzésre átadott számítástechnikai eszközön tárolt, de a munkaviszonnyal össze nem függő adatokba továbbra sem tekinthet be.
Biometrikus adatok kezelése
Az Mt. módosítása azt is pontosította, hogy a munkavállalók biomertikus adatai (azaz, a GDPR terminológiája szerint azon testi, fiziológiai vagy viselkedési jellemzőikre vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adata, amely lehetővé teszi vagy megerősíti egyedi azonosításukat – így az arckép vagy az ujjlenyomat) milyen esetben kezelhetők. Az új szabályozás értelmében biometrikus adat akkor kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy törvényben védett jelentős érdek súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna. Ilyen jelentős érdeknek minősíti a törvény többek között a lőfegyver, lőszer, robbanóanyag, mérgező vagy veszélyes vegyi vagy biológiai anyagok, valamint a nukleáris anyagok őrzését, illetve az 50 millió forintot meghaladó érték védelmét. Egy iroda dolgozói esetében tehát valószínűleg nem állja meg a helyét az ujjlenyomat-alapú azonosítás – hacsak nem mondjuk egy brókercég vagy bank irodájáról van szó.