A GDPR szabályai a munkahelyi adatkezelésben
- az adatkezelési tevékenység időszakos felülvizsgálatának követelményei -

Tematika

150 perc

A munkaviszony előtt, alatt és után is számtalan személyes adatot kezel a munkáltató, ráadásul nem csak a munkavállalók személyes adatait, hanem a családtagokét is, éppen ezért nagy hangsúlyt kell fektetni az adatkezelési tevékenység végzésével kapcsolatos folyamatokra, ezen tevékenység során keletkezett dokumentumokre, valamint a jogszabályoknak való megfelelés teljesítésére.

I. Alapvető fogalmak (20 perc)

A GDPR szerint személyes adatnak minősül az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ.

Érintett

„Érintett” a munkavállaló, azonban nem csak a már munkaviszonyban álló munkavállaló minősülhet azonosítható természetes személynek: „érintett” lehet az álláspályázatra jelentkező vagy éppen a munkavállaló hozzátartozója is, hiszen a munkáltató rájuk vonatkozóan is kezel személyes adatokat, amelyek alapján az illető beazonosítható.

Különleges Adat

Különleges adat például a szakszervezeti tagságra vonatkozó adat, az egészségügyi adat vagy éppen a természetes személyek egyedi azonosítását célzó biometrikus adat, pl. az arckép – (fényképes munkahelyi belépőkártyák)

Adatkezelő

A GDPR szerint az adatkezelés nem más, mint a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége. Ilyen művelet lehet a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

A GDPR szerint kell eljárni az online és offline álláspályázatokra beérkezett önéletrajzok gyűjtése, tárolása, azaz adatkezelése során.

Adatfeldolgozó

Az adatkezelő fogalmától eltér az „adatfeldolgozó” fogalma: ez az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel. Adatfeldolgozó lehet például a könyvelő vagy a bérszámfejtést végző társaság, amely a munkavállalói jelenléti adatokat, az esetleges adókedvezményre jogosító körülményeket összesíti és ez alapján számfejti a munkabért

II. Adatkezelési elvek (20 perc)

Jogszerűség, tisztességes eljárás és átláthatóság, célhoz kötöttség, adattakarékosság, pontosság, korlátozott tárolhatóság, integritás és bizalmas jelleg, elszámoltathatóság

Az adatkezelési elveknek meg kell megfelelni a GDPR szerint, amelyek nélkülözhetetlenek a HR tevékenységek körében is.

A személyes adatok kezelését jogszerűen és tisztességesen, az érintett számára átlátható módon kell végezni.

III. Jogalapok (20 perc)

A GDPR rendelet összesen hat jogalapot határoz meg az adatkezeléssel összefüggésben, tehát valamelyiknek – vagy többnek – meg kell felelnünk annak érdekében, hogy a HR adatkezelése jogszerű legyen.

1. Hozzájárulás

2. Szerződés teljesítése

3. Jogi kötelezettség teljesítése

4. Az érintett létfontosságú érdeke

5. Közhatalmi jogosítvány gyakorlása

6. Jogos érdek

IV. 1. GDPR kötelező adatkezelések felülvizsgálata (30 perc)

Tekintsük át a jelenlegi adatkezeléssel kapcsolatos folyamatokat, a kezelt adatok körét és azt, hogy megfelelő jogalap áll-e rendelkezésre az adatkezeléshez. Célszerű, hogy a GDPR-alapelvek tükrében nézzük meg, hogy azoknak megfelelünk-e. Nézzük át azt is, hogy az érintettek (pl. álláspályázatra jelentkezők, munkavállalók) jogai biztosítottak-e a jelenlegi folyamatokban.

IV.2. Az elmúlt 4 évben felmerült események (incidensek) (30 perc)

V. Ellenőrzés és megfelelőség (30 perc)

A GDPR-nak való megfelelés nem egy egyszeri esemény, az adatvédelmi mechanizmusokat folyamatosan biztosítani kell. Az elmúlt 4 évben elkészített dokumentumokban szereplő adatkezelési típusokban bekövetkezett változások ellenőrzése. A korábbi adatkezelések jogszerűsége fennállásának ellenőrzése, a megszűnt adatkezelések archiválási, törlési lehetősége. Célszerű tehát, hogy minden téren és folyamatosan biztosított legyen a GDPR-nak való megfelelés.

Az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR-rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

V. 1. Az adatvédelmi tisztviselő feladatai

• tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, valamint azok alkalmazottai részére az adatvédelmi jogszabályok szerinti kötelezettségeikkel kapcsolatban;
• ellenőrzi az adatvédelemmel kapcsolatos összes jogszabálynak való megfelelést, ideértve az auditokat, a figyelemfelkeltő tevékenységeket, valamint az adatkezelési műveletekben részt vevő személyzet képzését;
• tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
• kapcsolattartó pontként működik azon érintettek számára, akik személyes adataik kezelésével és jogaik gyakorlásával kapcsolatban keresik meg;
• együttműködik az adatvédelmi hatóságokkal, és kapcsolattartó pontként működik a hatóságok felé az adatkezeléssel kapcsolatos ügyekben.