A kamerafelvételek őrzési idejét módosítja, a munkahelyi számítógépek magáncélú használatának főszabály szerinti tilalmát elrendeli, és sok másról is rendelkezik az új GDPR salátatörvény. Az európai uniós adatvédelmi rendelettel való összhang megteremtése érdekében a Parlament április 1-jén nyolcvannál is több jogszabályt módosított. A törvény végleges szövegére és a kihirdetésre még pár napot várni kell, de nagy valószínűséggel az alábbi főbb módosítások hamarosan hatályba lépnek.
Mire érdemes a munkáltatóknak és a munkavállalóknak odafigyelniük?
Szigorúbb előírásokkal kell számolniuk a munkáltatóknak a Munka törvénykönyvének új rendelkezései értelmében. A munkavállalók személyiségi jogait eddig is csak akkor korlátozhatták, ha arról előzetesen tájékoztatták őket, mostantól azonban az értesítést írásba is kell foglalniuk. A tájékoztatásban továbbá mindig meg kell indokolniuk a korlátozás szükségességét és arányosságát.
„Rendkívül fontossá válik a GDPR megfelelőségi programok kiterjesztése a cégeknél a munkavállalókra, munkaszerződésekre, munkavállalókkal kapcsolatos szabályzatokra, adminisztrációra stb.” – figyelmeztet Bitai Zsófia adatvédelmi szakjogász, a Collegium Bitai&Partners Ügyvédi Iroda vezető ügyvédje.
Ez a szabály alkalmazandó akkor is, ha a munkáltató a munkavállaló ellenőrzéséhez technikai eszközt, például elektronikus megfigyelő, beléptető vagy nyomkövető rendszert alkalmaz. Erről is előzetesen és írásban kell tájékoztatni a munkavállalót.
A törvénymódosítás következtében a munkavállalótól csak okirat bemutatása követelhető, azok tárolására, másolat készítésére nem lehet szükség. Elegendő a szükséges adatok feljegyzése a munkáltató által. „Problémák adódhatnak ebből, például ha egy esetleges munkaügyi ellenőrzés alkalmával nincs a munkavállalónál valamely irata, mivel akkor a munkáltatót büntetik meg. Azoknál a munkáltatóknál, ahol eddig lemásolták a személyes iratokat, a rendszerek megváltoztatása vagy maszkolás javasolt” – mondja Bitai Zsófia.
Egy másik lényeges előírás kimondja: főszabály szerint tilos a munkáltató által biztosított számítógépet, laptopot, mobilt privátcélra használni. A munkáltató ezt engedélyezheti, egy esetleges ellenőrzés során azonban a munkáltató csak a munkaviszonnyal kapcsolatos adatokat nézheti meg, akár a saját, akár a céges gépét használja a munkavállaló. Így a magánélet védelme biztosított marad.
A munkavállaló egészségügyi adataival kapcsolatos az az új rendelkezés, miszerint a foglalkozás-egészségügyi vizsgálat során keletkező adatok kezelésére – a GDPR rendelettel összhangban – jogosult a munkáltató. „Ahol ilyen adatot kezelnek, külön meg kell felelni az egészségügyi adatok kezelésére vonatkozó speciális feltételeknek” – mondja a szakértő ügyvéd.
Nem szükséges a korábbi 3 munkanap, 30 vagy 60 nap elteltével törölni a kamerafelvételeket
A személy- és vagyonvédelmi tevékenység keretében felszerelt kamerák felvételeit eddig főszabály szerint 3 munkanap (valamint 30 és 60 nap) elteltével meg kellett semmisíteni, amennyiben azok felhasználására nem került sor. Ezt az előírást most eltörölték. Így ezentúl az adatkezelő maga határozhatja meg, hogy jogos érdeke alapján mennyi ideig kívánja kezelni a felvételeket. Természetesen a GDPR rendelet alapelveit – adattakarékosság és korlátozott tárolhatóság – figyelembe kell venni.
„Ennek következtében az eddigi kamera szabályzatok kiegészítésre szorulnak érdekmérlegelési teszttel, melyben pontosan meg kell indokolni, hogy miért és meddig őrzik az adott cégnél a felvételeket” – jelzi Bitai Zsófia.
Ugyanez a szabály érvényes mostantól az elektronikus beléptető rendszerekre is. Ebben az esetben szintén hatályon kívül kerülnek az adatkezelés időtartamát szabályozó előírások és az adatkezelő – jogos érdeke alapján – határozhatja meg, hogy mennyi ideig kezeli az adatot.
Korlátozzák a direkt marketing célú adatgyűjtést
Eddig a direkt marketinggel foglalkozó cégek kapcsolat-felvételi és üzletszerzési lista összeállítása céljából gyűjthettek név- és lakcím adatokat. Mostantól azonban csak abban az esetben gyűjthetnek telefonkönyvből vagy lakcímnyilvántartásból ilyen célra adatokat, ha bizonyítják az adatok kezeléséhez fűződő jogos érdeküket. “Ilyen érdek lehet például az ügyfél-elégedettség mérése, vagy bevételek növelése, de ez esetről esetre változhat, így mindig az adott körülmények alapján kell megítélni” – figyelmeztet a szakértő ügyvéd.
A panaszkönyvbe bejegyzett személyes adatok védelme
Ezentúl a kereskedők kötelesek a panaszt tartalmazó bejegyzést azonnal eltávolítani a vásárlók könyvéből, és azt elkülönítve tárolni. Így valósítható meg a korábbi panasztevők személyes adatainak védelme.
Ellenőrzési jogot kap a jegyző
A Nemzeti Adatvédelmi és Információszabadság Hatóság mostantól megkeresheti a települési önkormányzati jegyzőket abból a célból, hogy ellenőrizzék az illetékességi területükön folytatott adatkezeléseket. Az ilyen ellenőrzés kiterjedhet például a kezelt személyes adatok körére, az adatkezelés eszközeire, így például a kamerafelvételekre. Ezzel két síkon folyhat az ellenőrzés, önkormányzati és hatósági szinten. A jegyzők általi ellenőrzés közelebb viheti a jogszabályok betartatását az önkormányzatok területén működő cégekhez.