Annyit bízvást ki lehet jelenteni, hogy a jövő májusban életbe lépő európai Általános Adatvédelmi Rendelet (GDPR) bonyolultsága és nem kevés nehezen értelmezhető rendelkezése miatt nemcsak megosztja mind a jogászi, mind az informatikai szakmát, hanem újabb kihívások elé is állítja őket.
Ennek jele egy újabb - még júniusban kiadott - álláspont: az európai uniós tagállamok adatvédelmi biztosaiból és a tagállami adatvédelmi hatóságok képviselőiből álló 29-es Adatvédelmi Munkacsoport nemrégiben véleményt fogadott el a munkahelyi adatkezelés szabályairól. Ebben a GDPR munkáltatókat érintő új adatvédelmi kötelezettségeire, többek között az előzetes adatvédelmi hatásvizsgálatra, valamint a technológiai fejlődéssel járó adatvédelmi kockázatokra is kitérnek. E vélemény értelmezését végezték el Bertók Gábor és Vári Csaba, a Horváth és Társai DLA Piper Ügyvédi Iroda ügyvédei. Bejegyzésük elolvasását mindenkinek ajánljuk, itt csak a legfontosabb megállapításait idézzük fel.
A 29-es Munkacsoport kiemeli, hogy ma olyan munkahelyi adatkezelési technológiák léteznek, amelyek a korábbiakhoz képest jelentősen olcsóbban képesek óriási mennyiségű személyes adat kezelésére. Ráadásul az adatkezelés új formái gyakran rejtve maradnak, így egyre kevésbé nyilvánvalóak a munkavállalók számára. Ez különösen kiszolgáltatottá teheti a munkavállalókat az ilyen technológiákkal visszaélő munkáltatókkal szemben. Ezen felül az otthoni munkavégzés, valamint a Bring Your Own Device (munkahelyen való saját eszközhasználat) elterjedésével megnőtt a veszélye a munkavállalók privát környezetben való megfigyelésének is.
Az új technológiai körülmények fényében ezért indokolt ismételten összemérni a munkáltató jogos érdekeit a munkavállalók személyes adatok védelméhez fűződő jogával. Sok minden marad a régiben, de érdemes kiemelni a vélemény egyes hangsúlyos pontjait, ami az újdonságokra vonatkozik.
Beépített és alapértelmezett adatvédelem
A GDPR elvárja az adatkezelőktől, hogy alkalmazzák a beépített adatkezelés és alapértelmezett adatvédelem elvét, amelynél fogva az adatkezelők az adatkezelés módjának meghatározásakor, valamint az adatkezelés során kötelesek olyan megfelelő technikai és szervezési intézkedéseket végrehajtani, amelyek célja egyrészt az adatvédelmi elvek megvalósítása, másrészt az Általános Adatvédelmi Rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába. Hangsúlyos elv az adatminimalizáció követelménye is, mely szerint csak olyan személyes adatok kezelésére kerülhet sor, amelyek az adott adatkezelési cél szempontjából szükségesek.
Például, ha egy munkáltató nyomon követést lehetővé tevő eszközöket bocsát a munkavállalói rendelkezésére, az adatvédelmi szempontból legjobb (azaz munkavállalói magánszférába való legkisebb beavatkozással járó) megoldást kell választania.
Előzetes adatvédelmi hatásvizsgálat
Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.
Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő köteles konzultálni a felügyeleti hatósággal.
Nyitott a lehetőség a tagállami jogalkotásra
Az Általános Adatvédelmi Rendelet a fentieken túlmenően a munkahelyi adatkezelés kapcsán, így különösen a munkaerő-felvétel, a munkaszerződés teljesítése, a munkaszervezés, a munkahelyi egyenlőség és sokféleség, a munkahelyi egészségvédelem és biztonság, a foglalkoztatáshoz kapcsolódó jogok és juttatások, a munkáltatói tulajdonvédelem, valamint a munkaviszony megszüntetése céljából kifejezetten lehetővé teszi a tagállami jogalkotást, ideértve a kollektív szerződések útján való szabályozást is.
