CLV Partners

Adatvédelem

A sütikkel kapcsolatos adatkezelés gyakorlati problémái

Bevezető

Mai digitális világunkban rendkívüli módon elterjedtek a személyes adatok gyűjtésére és kezelésére irányuló módszerek és technológiák (pl.: cookie-k, magyarul: sütik), hiszen ezek révén az adatkezelők igen fontos információkat tudhatnak meg rólunk. Elegendő, ha például arra gondolunk, hogy egy cipő interneten történő egyetlen felkeresését követően szinte borítékolhatóan szembe találkozunk a megtekintett, illetve ahhoz hasonló cipők reklámjaival más platformokon.

Az adatkezelő cégek és a magánszemélyek viszonya alapvetően egyenlőtlen, hiszen az átlag felhasználók tipikusan nincsenek tisztában a személyes adataik sokrétű kezelésével kapcsolatban. Ennek kiegyensúlyozásaként, a magánélet tiszteletben tartása és a személyes adatok védelme érdekében került megalkotásra – többek között – az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelv („Elektronikus hírközlési adatvédelmi irányelv”), valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló 2016/679/EU rendelet („GDPR”). Ezek az uniós jogszabályok olyan minimum követelményeket fogalmaznak meg az adatkezelőkkel szemben, amelyek az aszimmetrikus jogviszonyok kiegyenlítését hivatottak szolgálni.

A jogok tényleges érvényesülését segítik elő az olyan civil szervezetek, mint például a None of Your Business („NOYB”). A NOYB tevékenységének eredményeképpen idén megjelent a sütikkel kapcsolatos legújabb, az Európai Adatvédelmi Testület sütikre szakosodott munkacsoportjának összefoglaló jelentése. A munkacsoport jelentésében 7 főbb süti kezelési gyakorlatot mutatott be, amely álláspontja szerint nem megfelelő az irányadó jogszabályok fényében. Ezeket az alábbiakban röviden és összefoglalóan ismertetjük annak érdekében, hogy a honlapot működtető cégek megfelelően alakítsák gyakorlatukat és a felhasználók is legyenek tudatosabbak:

Visszautasítási gomb hiánya: A hozzájárulással szemben támasztott követelményeknek nem felel meg, ha a hozzájáruláshoz kötött sütikkel kapcsolatos tájékoztató ablakban elsőre kizárólag az “elfogadás”, illetve a “további tudnivalók” lehetősége ugrik fel, de az elutasításra vonatkozó gomb nem.

Előre bejelölt opciók: Csakugyan nem megfelelő az az eljárás, ha a cookie-k beállítása során a lehetséges opciók közül előre be vannak pipálva az adatkezelő által preferált választási lehetőségek.

Link használata: A sütikkel kapcsolatos adatkezelésre vonatkozó elfogadó gomb tipikusan minden oldalon automatikusan felugrik, ugyanakkor vannak olyan adatkezelők, akik az elutasításra vonatkozó lehetőséget csupán egy külön linken keresztül biztosítják, ezzel megnehezítve a felhasználók önkéntes választását és nyomást helyezve rájuk.

Megtévesztő gomb színek, kontrasztok: Az érvényes hozzájáruláshoz az sem elhanyagolható körülmény, hogy a lehetséges opciók vizuálisan miként kerülnek megjelenítésre. Ugyanis, ha a megjelenített gombok színe vagy kontrasztja megtévesztő az érintettek számára (pl.: ha az elfogadás gomb egyértelmű megjelenítése mellett az elutasítás, valamint a további lehetőségek gomb színeinek kontrasztja olyan minimális, hogy az szinte láthatatlan), az így adott hozzájárulás nagy valószínűséggel érvénytelennek fog minősülni. Természetesen ezt mindig esetről-esetre szükséges vizsgálni.

Jogalappal kapcsolatos félrevezetés: Nem jogszerű az a gyakorlat, amikor az oldal kezelője először a látogató hozzájárulására, annak hiányában pedig jogos érdekére alapozza az adatkezelést. E tekintetben különösen jogszerűtlen az, amikor a hozzájárulás kapcsán tiltakozási lehetősége nincsen a felhasználónak arra tekintettel, hogy hozzájárulás hiányában az adatkezelő a jogos érdekére alapozva fogja kezelni azokat, hiszen, ez azt a benyomást keltheti az érintettben, hogy az adatkezeléshez csak hozzájárulni tud, más lehetősége nincs.

Alaptalanul nélkülözhetetlennek feltüntetett sütik: A munkacsoport jelentésében kitért arra az esetre is, miszerint sok adatkezelő alapvető szükségletű, nélkülözhetetlen sütiként tüntet fel olyan cookie-kat, amelyek valójában nem minősülnek annak.

Visszavonási lehetőség hiánya: A hozzájárulással szemben támasztott további követelmény, hogy az bármikor, ugyanolyan egyszerű módon visszavonható legyen, mint annak megadása volt az érintett számára. Így ennek lehetőségét biztosítania kell az adatkezelőknek a sütikkel kapcsolatban is (pl.: egy visszavonásra utaló lebegő gomb, link elhelyezésével).

Összefoglaló

A fentiek alapján látható, hogy az adatkezelőknek úgy kell eljárniuk, hogy a felhasználók részére biztosítsák a megfelelő információkhoz való hozzáférés lehetőségét és azok így kerüljenek döntési helyzetbe. Természetesen az már az érintettek felelőssége, hogy ténylegesen tájékozódjanak, és így, mint jogtudatos felhasználók járjanak el, illetve hozzanak döntést saját adataik vonatkozásában (pl.: adatkezelési beállítások testreszabásával, felkeresett oldalak használat utáni elhagyásával, NAIH tájékoztatók, adatkezelő adatkezelési tájékoztatójának megismerésével).

Az EDPB új iránymutatása az adatkezelő és adatfeldolgozó fogalmáról

Az Európai Adatvédelmi Testület („EDPB” vagy „Testület”) 2021. július 7-i ülésen elfogadta az adatkezelő és adatfeldolgozó GDPR szerinti fogalmáról szóló 07/2020. számú iránymutatás végleges változatát, mely megújítja és egyben felváltja a korábbi 29. cikk szerinti Adatvédelmi Munkacsoport azonos tárgyban született 1/2010. számú iránymutatását.

Az adatkezelői és adatfeldolgozói szerepkörök meghatározása mind a GDPR hatálya alatt, mind azt megelőzően az adatvédelmi jog legvitatottabb kérdésköre volt, mivel a betöltött szerep a kötelezettségeket és ez által a felelősséget is determinálja. Ebből kifolyólag az EDPB új iránymutatása minden adatkezelési tevékenységet folytató szereplő számára alapvető fontosságú.

  1. Az adatkezelő meghatározása

A GDPR szerint adatkezelőnek kell tekinteni azt a személyt, aki az adatkezelés célját és eszközeit meghatározza. A fogalom elemei közül az új iránymutatás az adatkezelés eszközeit fejtette ki részletesebben, a korábbi iránymutatáshoz képest élesebb elhatárolást alkalmazva.

A Testület álláspontja szerint az adatkezelő azonosításakor az adatkezelés eszközei alatt kizárólag a lényeges eszközöket kell érteni, amelyek a következők:

  • kezelt adatok köre;
  • adatkezelés időtartama;
  • a kezelt adatokhoz hozzáféréssel rendelkezők köre (ideértve az adattovábbítást is);
  • az adatkezeléssel érintett személyek köre.

Az EDPB hangsúlyozza továbbá, hogy az adatkezelő fogalmának nem eleme a személyes adatokhoz való tényleges hozzáférés.

  1. Az adatfeldolgozó meghatározása

A GDPR szerint adatfeldolgozónak minősül az a személy, aki az adatkezelési műveleteket az adatkezelő nevében végzi. Az EDPB az adatfeldolgozó azonosításánál két kifejezett, és egy implikált feltételt állapított meg. A két kifejezett feltétel a következő:

  • Az adatfeldolgozó az adatkezelőtől különálló személy;
  • Az adatkezelési műveleteket kizárólag az adatkezelő nevében végzi, az adatkezelő céljától és érdekétől eltérő bármely egyéb célból vagy érdekből nem kezeli.

A fentiekhez képest a harmadik, implikált feltétel, hogy az adatfeldolgozó diszkréciójába tartozik az adatkezelés nem lényeges eszközeinek megválasztása, mint például az adatok tárolásának a helye, az adatkezelési műveletekhez használt szoftver, módszertan.

Az adatkezelő és adatfeldolgozó között az adatfeldolgozás tárgyában írásbeli szerződésnek kell fennállnia, a szerződés hiánya mindkét szereplő részéről a GDPR megsértésének minősül.

Az EDPB kiemelte, hogy a GDPR szigorúbb kötelezettségeket ír elő az adatfeldolgozók részére is a korábbi szabályozáshoz képest. Az adatfeldolgozási szerződésben továbbá az adatkezelő közvetetten felelőssé teheti az adatfeldolgozót a GDPR szerint adatkezelő kötelezettségébe tartozó feladatok ellátásáért is, ezért az adatkezelő felelősségének korlátozása szempontjából minden adatkezelésnél az a legfontosabb, hogy felelős adatfeldolgozó kerüljön kiválasztásra, és az adatfeldolgozási szerződés kellően körültekintő legyen.

  1. Az adatkezelő, illetve adatfeldolgozó közvetlen irányítása alatt álló személy

Az adatkezelő és adatfeldolgozó fogalmához képest ritkábban tárgyalt szerep a GDPR 29. cikke szerinti, adatkezelő, illetve adatfeldolgozó közvetlen irányítása alatt személy, azonban a természetes személyek többsége e minőségben végez adatkezelési műveleteket a gyakorlatban.

Ebbe a kategóriába tartozik az a személy, aki nem különül el az adatkezelőtől vagy adatfeldolgozótól. Nem különül el például a cégtől az ügyvezetője, sem a cég valamely szervezeti egysége.

Szintén ebbe a kategóriába tartozik az a személy, aki ugyan az adatkezelő nevében végzi a műveleteket, de a műveletek tekintetében semmilyen önálló döntési jogosultsága nincs. Közvetlen irányítás alatt elsősorban a munkavállalók, illetve foglalkoztatottak állnak, ugyanakkor fontos megjegyezni, hogy az adatvédelmi jog szempontjából nem kizárólag a munka törvénykönyve szerinti munkaviszonyban állókat kell foglalkoztatottaknak tekinteni, hanem adott esetben a vállalkozási vagy megbízási jogviszonyban álló személyzetet is.

A közvetlen irányítás megállapítása során a jogviszony típusán túlmenően ezért célszerű a konkrét személy döntési jogosultságait, az adatkezelő vagy adatfeldolgozó szervezetébe történő betagozódását, és az adatkezelő vagy adatfeldolgozó irányítási jogkörét vizsgálni.

A közvetlen irányítás alatt álló személyekre egyetlen előírást tartalmaz a GDPR, miszerint a személyes adatokat az adatkezelő utasításától eltérően nem kezelhetik. Ezen személyek esetén is lehetőség, és egyben javasolt a GDPR szerinti kötelezettségek előírása, továbbá az adatvédelmi jogot sértő eljárás szankcionálása szerződésben vagy belső szabályzatban.

Amennyiben a fentiekkel kapcsolatban bármilyen kérdés merülne fel, állunk szíves rendelkezésükre.

CLV Partners hírek

A NAIH álláspontja a munkavállalók COVID-19 elleni védettségi adatainak kezeléséről

A Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”, „Hatóság”) 2021. április 1-i tájékoztatójában tette közzé a vakcina adatokkal kapcsolatos álláspontját. A Hatóság tájékoztatója kizárólag munkaviszonyban állókra értelmezhető, és az abban foglaltak csak a járványhelyzet alatt irányadók.

A NAIH hangsúlyozza, hogy a védettségi adatok kizárólag akkor kezelhetők, ha a munkáltató tényleges és szükséges munkavédelmi intézkedéseket tesz a gyűjtött adatok alapján. Tehát ha a munkáltató az adatok kezelése mellett dönt, akkor köteles azok alapján munkavédelmi intézkedéseket és döntéseket hozni, és ezeket dokumentálni, szükség esetén igazolni. Ha a munkáltató nem használja fel a gyűjtött adatokat, azzal készletező adatkezelést valósít meg, ami minden esetben jogellenes.

A munkáltatónak tehát a COVID-fertőzés a munkahelyi biológiai expozíciók felmérésére munkavédelmi kockázatelemzést kell készítenie. A munkavállaló védettségére (azaz az oltás ténye, vagy az a tény, hogy a fertőzésen átesett) vonatkozó adatot a munkáltató akkor kezelheti, ha a kockázatelemzés alapján egyes munkakörökben vagy foglalkoztatotti személyi kör esetében szükséges:

A Hatóság két végletet említ példaként, hogy milyen esetben szükséges vagy nem szükséges a védettségi adat kezelése:

  • az állandó jellegű távmunkavégzés esetén a szükségesség értelemszerűen nem állapítható meg.
  • szükséges az adatkezelés a kórházak COVID-19 osztályain elhelyezett orvostechnikai és egyéb eszközök javítását, karbantartását végző munkavállalónál.

Álláspontunk szerint a két véglet közötti térben több olyan munkakör van, ahol megállapítható a védettség kezelésének szükségessége.

Az adatkezelés előtt a munkáltatónak meg kell határoznia annak jogalapját, amely kapcsán fontos kiemelni, hogy a védettség ténye a személyes adatok különleges kategóriáiba tartozó egészségügyi adatnak minősül. Mindezekre tekintettel álláspontunk szerint a megfelelő jogalap a védettségi adatok kezelésére a munkáltató jogos érdeke a munkavédelmi kötelezettségeinek teljesítéséhez. A jogos érdek igazolásához a munkáltatónak érdekmérlegelési tesztet kell végeznie, egyensúlyt teremtve a munkavédelmi kötelezettségek és a munkavállalók magánélethez való joga között. Fontos megjegyezni, hogy a munkavállaló hozzájárulása nem megfelelő jogalap, mivel a hozzájárulás önkéntessége megkérdőjelezhető az alá-fölé rendeltségi viszonyra tekintettel.

Emellett a munkáltatónak adatkezelési tájékoztatót kell készítenie, amiben a munkavállalók számára közérthetően és kellően részletesen meg kell határozni az adatkezelés célját, jogalapját, meg kell határozni továbbá az adatok megőrzésének időtartamát, az adatokhoz hozzáférésre jogosultak körét, valamint az érintetteket tájékoztatni kell az őket a GDPR alapján megillető jogok gyakorlásának a lehetőségéről, illetve a jogorvoslati módokról.

Ha minden feltétel teljesül, a munkáltató legfeljebb az Elektronikus Egészségügyi Szolgáltatási Tér működtetője által biztosított applikáció megjelenítését, illetve a védettségi igazolvány bemutatását kérheti, azaz a védettségi igazolványról nem készíthető másolat, kizárólag a védettség ténye, valamint a védettség, amennyiben ez ismert, az időtartama rögzíthető. A koronavírus elleni védettség igazolásának céljára semmilyen egyéb adatot nem gyűjthet és kezelhet jogszerűen a munkáltató.

Amennyiben a fentiekkel kapcsolatban bármilyen kérdés merülne fel, állunk szíves rendelkezésükre.

CLV Partners hírek

Enyhített a NAIH elnöke a lázméréssel kapcsolatban

A Nemzeti Adatvédelmi és Információszabadság („NAIH”, „Hatóság”) elnöke, Dr. Péterfalvi Attila egy hírportál[1] kérdésére nyilatkozott a lázméréssel kapcsolatban.
Eltérően a Hatóság korábbi hivatalos álláspontjától, a mostani elnöki álláspont szerint a tavaszi helyzettel ellentétben a mai magyarországi járványhelyzetre tekintettel már nem tartja aránytalannak az általános jelleggel bevezetett lázmérést, azonban a lázmérés adatainak rögzítését továbbra is indokolatlannak tekinti, mivel az egészségügyi adatként különleges adatnak, kiemelten védettnek minősül.

A Nemzeti Adatvédelmi és Információszabadság („NAIH”, „Hatóság”) elnöke, Dr. Péterfalvi Attila egy hírportál[1] kérdésére nyilatkozott a lázméréssel kapcsolatban, eltérően a Hatóság korábbi hivatalos álláspontjától, a mostani elnöki álláspont szerint a tavaszi helyzettel ellentétben a mai magyarországi járványhelyzetre tekintettel már nem tartja aránytalannak az általános jelleggel bevezetett lázmérést, azonban a lázmérés adatainak rögzítését továbbra is indokolatlannak tekinti, mivel az egészségügyi adatként különleges adatnak, kiemelten védettnek minősül.

Emlékeztetőül, a Hatóság 2020. március 11-én kiadott tájékoztatója és azt megerősítő 2020. április 28. napján közzétett állásfoglalása még aránytalannak tekintett minden diagnosztikai eszközzel végzett általános és kötelező jelleggel bevezetett vizsgálatot, példaként a lázmérőt említve, mivel a tavaszi járványhelyzet ezt nem indokolta.

A NAIH elnök nyilatkozata a korábban kiadott tájékoztató és állásfoglalás többi részét nem érintette, így valamennyi koronavírus járvánnyal kapcsolatos adatkezelés mint a lázmérés továbbra is a munkáltató jogos érdeke alapján, érdekmérlegelési teszt elvégzésével vezethető be, a lázmérést pedig egészségügyi szakember által vagy az ő szakmai felügyelete mellett végezhető a GDPR 9. cikk (3) bekezdése alapján.

A Hatóság változatlanul megköveteli, hogy a munkáltatók adatkezeléssel nem járó intézkedéseket részesítsék előnyben (alapvető higiénia betartása, fertőtlenítőszerek biztosítása, megfelelő takarítás, védőeszközök biztosítása, munkavállalók közötti távolságtartás).

 

 

Hatalmas adatvédelmi bírságot szabott ki a NAIH

100 000 000 forintos adatvédelmi bírságot szabott ki a Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH” vagy „Hatóság”) 2020 május 18-án a DIGI Távközlési és Szolgáltató Korlátolt Felelősségű Társasággal („Digi” vagy „Társaság”) szemben.
A határozatot a hatóság a mai napon hozta nyilvánosságra, amely a GDPR hatálybalépése és a Hatóság fennállása óta messze a legmagasabb kiszabott összeg. A bírsághoz vezető tényállást, illetve azt követően a Hatóság döntését az alábbiak szerint foglaltuk össze:

Előzmény

1. A Digi egy korábbi adatvesztés miatt hibaelhárítási célra hozott létre egy tesztadatbázist, amelyet azonban valós személyes adatokkal töltött meg a Társaság. A tesztadatbázis eredetileg megfelelő hozzáférési jogosultsággal volt megtekinthető a Társaság weboldalán.

2. A Társaság által használt tartalomkezelő rendszerben (content management system, ’CMS’) több mint 9 éve észlelték a megfelelő eszközökkel, applikációkkal automatikusan is detektálható, illetve javítható sérülékenységet, amely révén hozzáférési jogosultság nélkül is bárki megtekinthette a tesztadatbázist.

3. Ezt a sérülékenységet kihasználva egy etikus hacker betekintést nyert a tesztadatbázisba, ahol bármiféle titkosítás nélkül, szabadon olvasható módon (’plain text’) tárolták az előfizetők jelentős részének személyes adatait, ez alatt értve az összes személyazonosító adatot, személyi igazolvány számot, esetenként személyi szám, e-mail cím, telefonszám és bankszámlaszám is szerepelt az előfizetőknél.

4. A fentieken túlmenően a hírlevélre feliratkozók és a teljes jogú rendszergazdák adataihoz is hozzá lehetett férni a sérülékenység révén, ezzel akár azt is lehetővé téve, hogy egy támadó a weboldal feletti teljes irányítást átvegye és az azon keresztül elérhető bármilyen személyes adathoz vagy üzleti titokhoz hozzáférjen.

A NAIH megállapításai

· Az érintett személyes adatok kategóriái alkalmasak arra, hogy azokkal egy támadó visszaéljen, az érintettek személyazonosságát ellopja.

· Súlyosító körülmény továbbá, hogy az adatvédelmi incidens érintetteinek száma Magyarország teljes lakosságára vetítve is számottevő, a Társaság piaci pozíciója önmagában indokolta volna komolyabb adatbiztonsági intézkedések alkalmazását.

· A nyílt forráskódú tartalomkezelő hibája régóta ismert, a sérülékenység kiküszöbölésére ingyenesen is elérhető javítás.

· A titkosítás mellőzése növelte az incidens kockázatát, pedig a titkosításra szintén csekély ráfordítás mellett lehetősége lett volna a Társaságnak.

· A teljes jogú rendszergazda felhasználók belépési adatainak kiszivárgása súlyosan növeli a biztonsági kockázatot.

· A tesztadatbázis fenntartása sértette a GDPR alapelveit, ugyanis a tesztadatbázist a cél teljesülését követően véglegesen törölni kellett volna.

· A Társaság a saját belső szabályzatának rendelkezéseit is megsértette.

Mindezek alapján a Hatóság mérlegelése szerint a figyelmeztetésnek nem lett volna kellő visszatartó ereje, ezért a bírság kiszabása volt indokolt, amelynek kiugróan magas összegét a számos súlyosító körülmény magyarázza.

További kérdéseikre készséggel válaszolnak a CLV Partners ügyvédei keressen minket bátran.

Az Európai Adatvédelmi Testület tájékoztatója a koronavírus járvány alatti adatkezelésről

Az Európai Adatvédelmi Testület (European Data Protection Board, „EDPB”) tájékoztatót tett közzé honlapján a koronavírus járvány alatti adatkezelésről. A tájékoztató részleteit az alábbiakban foglaltuk össze:
1. Az egészségügyi adatok, mint különleges adatok, munkáltató általi kezelésének feltételeit a nemzeti jognak kell meghatároznia a GDPR szerint. Ebben a körben a GDPR megköveteli, hogy a jogalkotó meghatározza a konkrét intézkedéseket és az érintettek jogait védő megfelelő garanciákat.

2. Ahogy a NAIH álláspontja is hangsúlyozta, az egészségügyi vizsgálatoknál, mint amilyen a lázmérés is, ez a garancia az egészségügyi szakember jelenléte, ezért továbbra sincs lehetőség szakember jelenléte nélkül lázmérés bevezetésére a munkahelyen.

3. Az EDPB álláspontja szerint a munkáltatónak közölnie kell a munkavállalókkal, ha a munkahelyen koronavírus fertőzött személyt azonosítottak (hogy megtegyék a szükséges védelmi intézkedéseket), anélkül, hogy felfednék ezen személy kilétét. Az érintett munkavállalókat előzetesen kell értesíteni, a méltóságuk megóvása mellett. A fertőzésről való információkat elsősorban az ilyen adatok kezelésére jogosult hatóságoknak, illetve kezelő orvosoknak kell az ő kérésükre átadni.

Mivel a GDPR széles körben enged eltérést a nemzeti jognak, a járvánnyal kapcsolatos adatkezelésről részletesebb magyar szabályozásra számíthatunk a közeljövőben.

A jelen cikk tartalma nem ad teljes körű tájékoztatást, és nem minősül jogi tanácsadásnak. Amennyiben cikkeinkkel kapcsolatban konkrét jogi kérdése merülne fel, kérjük, forduljon hozzánk kérdéseivel, észrevételeivel, és készséggel állunk rendelkezésére.

A KORONAVÍRUS JÁRVÁNNYAL KAPCSOLATOS ADATKEZELÉSRŐL

A Nemzeti Adatvédelmi és Információszabadság („NAIH”, „Hatóság”) tájékoztatót tett közzé a honlapján a koronavírus járvánnyal kapcsolatos adatkezelésről, kitérve bizonyos általános, adatvédelmen túli jogi kötelezettségekre is. A tájékoztató legfontosabb információit az alábbiakban foglaltuk össze:
1. A munkáltatóknak nem csak elemi érdeke, hanem egyben jogi kötelezettsége is az egészséges és biztonságos munkahely megteremtése.

2. Az adatkezelés megkezdése előtt a munkáltatótól elvárható járványügyi cselekvési terv készítése (megelőző lépések, alternatív munkavégzési lehetőségek („home office”) megteremtése, fertőzés megjelenése esetén alkalmazandó eljárás, szervezeten belüli felelősök kijelölése, bejelentőrendszer kialakítása).

3. Szintén a cselekvési terv keretében, mint megelőző intézkedés, javasolt a munkavállalók részletes tájékoztatása a koronavírussal kapcsolatos legfontosabb tudnivalókról (higiéniai szabályokról, tünetekről, illetve, hogy kihez fordulhat a munkavállaló a szervezeten belül). A tájékoztató megfogalmazásában a munkáltatók segítségéül szolgálhat a Nemzeti Népegészségügyi Központ által (annak honlapján) közzétett „Eljárásrend a 2020. évben azonosított új koronavírussal kapcsolatban” dokumentum.

4. Az Mt. alapján a munkavállalók kötelesek tájékoztatni a munkáltatót, ha fertőzésveszély kockázatukról van tudomásuk, beleértve a saját megbetegedésük fennállásának veszélyét is. Erre tekintettel a bejelentőrendszert úgy kell kialakítani, hogy a munkavállalók személyes adatainak kezelése bizalmasan történjen.

5. Bejelentés, illetve fertőzés gyanúja esetén a NAIH elfogadhatónak tartja kérdőívek kitöltetését is. Az adattakarékosságra különös figyelmet kell fordítani. A kérdőívben megadott adatokon túl a munkáltató nem jogosult a fertőzésgyanús munkavállaló adatait kezelni a járvánnyal kapcsolatban. A Hatóság külön felhívja a figyelmet, hogy az adatkezelés során egészségügyi kórtörténetre vonatkozó adatokat, egészségügyi dokumentációt nem kérhet és nem kezelhet a munkáltató!

6. Hangsúlyozandó, hogy a munkáltató nem kezdhet kontaktus-kutatásba, ezt bízzák az illetékes nyomozóhatóságra!

7. Szintén fontos megjegyezni, hogy a munkáltató nem jogosult egészségügyi vizsgálatok végzésére (pl. lázmérő alkalmazása), azonban egészségügyi szakemberek bevonásával (elsősorban az üzemorvos) kezdeményezhető a munkavállalók szakszerű kivizsgálása.

8. A fenti adatkezelések a munkáltató jogos érdekén alapulnak, amennyiben munkavállalók kivizsgálása is szükségessé válik, az adatok kivételesen munkahelyi egészségügyi cél érdekében kezelhetők.

9. Javasolt, hogy a munkáltatók adatkezeléssel nem járó intézkedéseket részesítsék előnyben (alapvető higiénia betartása, fertőtlenítőszerek biztosítása, megfelelő takarítás). Felhívjuk a figyelmet, hogy a szabályozás nem teszi lehetővé, hogy a munkáltató vitaminokat, gyógyszereket, immunerősítőket, stb. biztosítson a munkavállalók számára, ezért erre jogszerűen nem kerülhet sor megelőző intézkedésként.

Célunk, hogy a jelen weboldalon megjelent cikkekben felvetett kérdésekről rövid, összefoglaló jellegű tájékoztatás nyújtsunk. A jelen weboldal és az azon olvasható cikkek tartalma nem ad teljes körű tájékoztatást, és nem minősül jogi tanácsadásnak. Amennyiben cikkeinkkel kapcsolatban konkrét jogi kérdése merülne fel, kérjük, forduljon hozzánk kérdéseivel, észrevételeivel, és készséggel állunk rendelkezésére.

A NAIH közleményt adott ki a munkavállalói e-mail fiókok ellenőrzéséről

A tavalyi év végén a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) közleményt adott ki, amelyben a NAIH elkötelezi magát, hogy minden lehetséges lépéssel és minden rendelkezésére álló eszközzel – beleértve a megfelelő jogkövetkezmények alkalmazását a további jogsértések megelőzése érdekében – megállítsa a munkavállalói („céges”) e-mailek jogtalan kezelésének széles körben elterjedt gyakorlatát.
Hogyan jön képbe a személyes adat?

Ha egy e-mail cím munkavégzés céljára lett biztosítva, akkor is előfordulhat, hogy a munkavállaló magáncélra használja, illetve harmadik felek személyes jellegű e-maileket küldhetnek a címre, ez által a kérdés az adatvédelemre tartozik. Habár lehet bizonyos célszerű lépéseket tenni a munkahelyi e-mail címek magáncélú használatának megelőzése érdekében (pl. a munkahelyi eszközök magáncélú hasznosításának megtiltása), a két cél teljes elválasztása nem tűnik lehetségesnek, hiszen a harmadik felektől érkező magán e-mailek általában a munkáltató és a munkavállaló ellenőrzési körén kívül esik. Azt is fontos megjegyezni, hogy amennyiben a munkavállaló a munkahelyi e-mail címét magánérdekeire használja az esetleges kifejezett tilalom ellenére, az ilyen tevékenység is a munkáltató adatkezeléseként kerül értékelésre, tehát a személyes adatok kezelése elkerülhetetlen.

Mi várható el a munkáltatóktól?

A munkáltatónak mindenek előtt meg kell határoznia az adatkezelés jogalapját. A NAIH kiemelte a tárolást, archiválást és a keresést/ indexelést, mint a munkavállalói e-maileken leggyakrabban alkalmazott műveleteket. Természetesen a munkáltatóknak komoly érdeke fűződik a munkavállalói e-mailek ellenőrzéséhez, mivel az szükséges a munkafolyamatok irányításához és fenntartásához, tehát a jogalapot egy részletes érdekmérlegelési teszttel kell alátámasztani az adatkezelést megelőzően. Amint meghatározásra került a jogalap, javasolt belső szabályzatot készíteni az ellenőrzési folyamatról.

A munkáltatónak megfelelően értesítenie kell a munkavállalókat a munkahelyi e-mailek ellenőrzéséről, az adatkezelésről, és arról, hogy a munkahelyen az e-mail címek magáncélú használata megengedett, vagy tilos.

Az ellenőrzés előtt vagy alatt a munkáltató köteles minden észszerű lépést megtenni a munkával kapcsolatos és a személyes e-mailek elkülönítése érdekében. Az elszámoltathatóság elvével összhangban a munkáltatónak jegyzőkönyvet kell vezetnie az ellenőrzés során tett lépésekről.

Figyelembe véve a tényt, hogy szinte minden munkáltató biztosít a munkavállalóinak munkavégzés céljára szolgáló e-mail címet, ez a közlemény fontos minden munkáltatónak, akik szeretnének a GDPR követelményeinek megfelelni, és a munkavállalóknak, akik a magánéletük védelmében érdekeltek.

A GDPR salátatörvény felülírja a megszokott HR folyamatokat

Alig néhány hónap telt el azóta, hogy a munkáltatók a GDPR miatt újraszabályozták a folyamataikat, máris itt van a GDPR salátatörvény, amely többek között a Munka Törvénykönyvét is módosítja.

A módosítás azonnali és jelentős munkát ró a HR-re, ugyanakkor sok a nyitott – munkajogászok, valamint HR és adatvédelmi szakemberek értelmezésére váró – kérdés, főként, hogy a munkáltatók HR gyakorlata hogyan feleltethető meg az új és nem teljesen egyértelmű rendelkezéseknek. A gond az, hogy bár a magyar törvényhozók jelentős késedelemben voltak a GDPR implementációjával, a HR folyamatok felülvizsgálatára és a mögöttes dokumentumok ki-, illetve átdolgozására április 26-ig csak néhány napot hagytak, annak ellenére, hogy minden munkáltató számára kötelezően alkalmazandóak az új követelmények az első naptól. Erősen reméljük, hogy – amint az már előfordult számos esetben-, a saláta törvény pontosítása hamarosan megtörténik.

Amint már korábbi hírlevelünkben jeleztük, a GDPR salátatörvény 2019. április 26-ai hatálybalépésével összesen 86 törvényt módosít a GDPR rendeletnek való megfelelés érdekében. Ezek között szerepel a Munka Törvénykönyve is. Az említett módosítás és számos fontos HR folyamat újragondolását és alapvető szabályzatok, a munkaszerződések felülvizsgálatát követeli meg, mint a toborzás-kiválasztás, a munkaviszony létesítése/beléptetés, az adatok kezelése a munkahelyi beléptető rendszerek működtetése, valamint a munkáltatói eszközök használata, csak néhány jellemző területet említve. A felkészülésre a jogalkotó mindössze néhány napot hagyott, így minden cégnek ilyen rövid időn belül kellene megfelelnie az új törvényi előírásoknak.

Az új rendelkezések ugyan a korábban közzétett törvényjavaslathoz képest részletesebbek, de még így is sok nyitott kérdést hagy a gyakorlati jogalkalmazók számára, úgymint a munkavállalók személyiségi jogainak (pld. levelező rendszer, eszköz, internet használat ellenőrzése vagy kamerás megfigyelés stb.,) korlátozására vonatkozó a szükségességi-arányossági teszt fogalma és szempontjai, hiszen a GDPR érdekmérlegelési tesztet és adatvédelmi hatásvizsgálatot kíván meg.

A munkáltatók új munkavállaló beléptetésére alkalmazott folyamatait alapjaiban írja át az a szabály, miszerint a munkavállaló munkaviszony létesítése/teljesítése szempontjából lényeges iratainak csak a bemutatása kérhető, az iratokat lemásolni és így dokumentálni nem lehet, még a munkavállaló hozzájárulásával sem, ami a személyazonosság ellenőrzését nem teszi lehetővé, bár a hamis adatszolgáltatás a munkaviszony érvénytelenséghez vezethet, de dokumentáció hiányában munkáltató nem léphet fel.

A bűnügyi adatok kezelése tekintetében a munkáltatói érdekek szempontjából ugyancsak szigorúbbá válik a szabályozás, és a jövőben főszabályként, a pályázóktól/munkavállalóktól nem lehet erkölcsi bizonyítvány kérni. A módosítás kivételként és nagyon szigorúan határozza meg azokat a szempontokat, amelyre hivatkozással erkölcsi bizonyítvány kérhető, de ezek pontos kimunkálása is a munkáltatókra vár, miközben kétségtelenül komoly üzleti kockázatot hordoz, ha a munkáltató nem tudja, vagy vele nem közlik, hogy valamely munkakör esetleg büntetett előéletű személy által kerül betöltésre.
Végezetül, a módosítás érinti továbbá a biometrikus adatokat használó beléptető rendszereket (pl. ujjlenyomat, írisz- és retina azonosító, arcfelismerő rendszer), valamint a munkahelyi eszközök használata tekintetében is új alapelvre helyezkedik, amely a vonatkozó szabályzatok mielőbbi felülvizsgálatát teszi szükségessé.

Kihirdették a GDPR-ral kapcsolatos törvénymódosításokat

A mai napon kihirdették az április 1-jén az Országgyűlés által elfogadott GDPR-ral kapcsolatos törvénymódosításokat.

A törvénymódosítás az Európai Uniós adatvédelmi rendeletnek megfelelően módosít több mint 80 törvényt, beleértve a Munka Törvénykönyvét is.

A törvénymódosítások nagy része április végén, míg a nemzeti akkreditálással és a találmányok szabadalmi oltalmával kapcsolatos módosítások majd csak május közepén lépnek hatályba.