A finn adatvédelmi hatóság (Tietosuojavaltuutetun toimisto) érdekes döntést hozott az állásra jelentkezők személyes adatainak megőrzésével kapcsolatban – alábbiakban összefoglaltuk a határozat legfontosabb megállapításait. Tapasztalataink szerint a magyarországi munkáltatók gyakorlata sem egységes abban, hogy a GDPR szerint milyen adatmegőrzési időtartamot alkalmaznak az állásra jelentkezők személyes adatainak megőrzése kapcsán. A finn döntés tanulságai ezért hasznos útmutatásul szolgálhatnak az adatmegőrzési szabályzatok felülvizsgálata során.
A tárgyalt hatóság döntése ITT érhető el (kizárólag finn nyelven).
1. Előzmények
Az érintett jelentkezett egy munkaerő-közvetítéssel foglalkozó adatkezelő által közzétett álláshirdetésre. A felvételi eljárás keretében kitöltött egy tesztet, azonban végül nem vették fel az adott pozícióra. Az érintett ezt követően kérte az adatkezelőtől személyes adatai törlését, kérelmét azonban elutasították. (A nyilvánosan elérhető információk alapján nem derül ki, hogy az említett teszt eredményén túl pontosan milyen adatokat kezelt az adatkezelő.) Ezt követően az érintett az finn adatvédelmi hatósághoz fordult.
2. Az adatkezelő érvelése a hatósági eljárás során
A hatósági megkeresésre az adatkezelő előadta, hogy a törlési kérelmet a GDPR 17. cikk (3) bekezdés b) (a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése) és e) (jogi igények előterjesztése, érvényesítése, illetve védelme) pontjai alapján nem teljesítette. A finn büntetőtörvénykönyv 8. fejezet 1 szakasz (2) bekezdés (4) pontja szerint ugyanis a munkahelyi diszkrimináció büntethetősége két év alatt évül el. Az adatkezelő erre alapozva, a kétéves elévülési idő lejártát követő hat hónapig kezelte a sikertelen állásra jelentkezők adatait. A kétéves időszak hat hónapos meghosszabbítása elővigyázatossági intézkedésként szolgált, hogy adatkezelő védekezni tudjon a diszkriminációval kapcsolatos jogi igények ellen, ha azokat az elévülési idő legvégén nyújtják be. (A nyilvánosan elérhető információk alapján nem derül ki, hogy az adatkezelő eredetileg a GDPR szerint melyik jogalapra alapította az adatkezelést, és ezt a kérdést a hatóság sem vizsgálta.)
3. Az adatvédelmi hatóság döntése
A finn adatvédelmi hatóság megállapította, hogy az adatkezelő a kétéves elévülési időn belül jogszerűen kezelte a jelentkező személyes adatait, így jogszerűen utasította el a törlési kérelmet. A hatóság szerint azonban a kétéves időszakot meghaladó hathónapos megőrzési időszak már nem jogszerű, mivel az elévülési idő az esetleges diszkrimináció megtörténtétől és nem a vonatkozó kereset benyújtásától kezdődik. A konkrét érintett esetében ugyanakkor még nem telt le a kétéves időszak, így a hatóság nem állapított meg jogsértést.
4. Javaslatok hazai munkáltatók részére
A fenti hatósági döntés tanulságai alapján a magyarországi munkáltatóknak is érdemes felülvizsgálniuk a kiválasztási folyamataikkal kapcsolatos adatmegőrzési gyakorlatukat. Az egyenlő bánásmódról és az esélyegyenlőség előmozdításáról szóló 2003. évi CXXV. törvény 17. § alapján „az egyenlő bánásmód követelményének érvényesülését vizsgáló hatósági eljárás akkor indítható meg, ha a jogsértésről való tudomásszerzéstől számított egy év, és a jogsértés bekövetkezésétől számított három év még nem telt el”. A finn hatóság megállapítása alapján ez lehet az az időtartam, amit figyelembe kell venni az adatmegőrzési időtartam meghatározása során, figyelemmel az esetleges egyenlő bánásmód követelményének érvényesülését vizsgáló hatósági eljárás során történő, illetve a kapcsolódó jogi igények elleni védekezés szükségességére.