ADATVÉDELMI HÍRLEVÉL 2019/1.

ADATVÉDELMI HÍRLEVÉL 2019/1.

JOGSZABÁLYMÓDOSÍTÁSOK AZ EU ADATVÉDELMI REFORMJÁNAK VÉGREHAJTÁSA ÉRDEKÉBEN

AVAGY A „GDPR” SALÁTA TÖRVÉNY TERVEZETÉNEK FŐBB MÓDOSÍTÁSAI

Változnak a munkahelyi számítógép és mobiltelefon használat valamint az erkölcsi bizonyítvánnyal kapcsolatos munkáltatói adatkezelés szabályai, továbbá a közvetlen üzletszerzéssel kapcsolatos jogszabályok. Módosulnak továbbá a kamera felvételek megőrzésének időtartamára, a munkahelyi visszaélés bejelentő rendszerben (azaz az ún „whistleblowing” rendszerek) kezelt adatok körére vonatkozó jogszabályok.

A Parlament elé terjesztett ún. „GDPR Saláta Törvény” összesen 86 jogszabályt érint, és a jogszabálytervezethez már nem lehet módosító javaslatot fűzni, az várhatóan rövid időn belül hatályba lép, ezért a törvényjavaslat szövege és indokolása alapján körbejártuk az Ügyfeleink részéről várhatóan relevánsabb és mindennapi tevékenységüket érintő fontosabb módosításokat.

1. A munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) módosítása

a.)    Írásbeli tájékoztatás a személyiségi jogok korlátozásának körülményeiről

Az Mt. 9 § (2) bekezdése úgy módosul az eddigiekhez képest, hogy a jogalkotó az eddigi előzetes tájékoztatás követelményéhez már az írásbeliséget is előírja, azaz a munkavállalót előzetesen és írásban is tájékoztatni kell a személyiségi jogainak korlátozásának módjáról, feltételeiről és várható tartamáról.

A GDPR rendelkezései miatt a Munkáltatók a gyakorlatban már eddig is írásban tájékoztatták a munkavállalókat a munkahelyi adatkezeléssel, a kapcsolattartói adatok továbbításával, vagy az irodában üzemelő kamerás megfigyeléssel kapcsolatos jogokról, ugyanakkor a személyiségi jogok korlátozásának jogszabályban rögzített körülményei vonatkozásában már elkerülhetetlen lesz az írásbeli tájékoztatás, így aki ezt nem tette meg, annak ezt haladéktalanul pótolnia szükséges.

b.)    A munka törvénykönyvéből származó munkáltatói igény érvényesítés céljából kérhető nyilatkozatok és adatközlés

Egy új, önálló „Adatkezelés” címet viselő fejezetben kerültek szabályozásra az Mt. adatkezeléssel kapcsolatos rendelkezései. A munkáltató – az eddigieken felül – most már jogosult olyan nyilatkozat megtételét illetve személyes adat közlését is követelni a munkavállalótól, amely a munka törvénykönyvéből származó igény érvényesítése szempontjából lényeges, továbbá az üzemi tanács és a szakszervezetek is követelhetik ilyen nyilatkozat megtételét vagy adat közlését. Ezekben az esetekben akár okirat bemutatása is követelhető. (Mt. 10 § (3)). A Munkáltató köteles ezekről az adatkezelésekről – ideértve a munkahelyi alkalmassági vizsgálatra vonatkozó adatkezeléseket is – írásban tájékoztatást adni a Munkavállalóknak.

c.)     Biometrikus adat kezelése a munkavállaló azonosítása céljából

A módosítás tartalmazza a biometrikus adat, mint a munkavállalót azonosító adat kezelésének lehetőségét és feltételeit. A biometrikus adat, az érintett azonosítása céljából abban az esetben kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy törvényben védett jelentős érdek súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna. A módosítás teljes körűen tartalmazza azt is, hogy mi minősül ilyen jelentős érdeknek. Ilyen lehet például a legalább „Bizalmas!” minősítési szintű minősített adatok védelméhez vagy a Büntető Törvénykönyv szerint legalább különösen nagy vagyoni érték védelméhez fűződő érdek.

d.)    Bűnügyi személyes adatok kezelése (erkölcsi bizonyítvány)

Az Mt. módosítás az eddiginél tágabb körben hatalmazza fel a munkáltatót arra, hogy a munkavállaló bűnügyi személyes adatát kezelje abból a célból, hogy a munkavállaló által betöltött munkakörben a munkáltató nem korlátozza vagy zárja ki a foglalkoztatást.  Az új szabályok kiterjednek a munkaviszonyt létesíteni szándékozó személyre is, tehát adott esetben egy állásra pályázótól is követelhető erkölcsi bizonyítvány az Mt.-ben és a vonatkozó jogszabályokban rögzített esetekben.

Új elemként jelenik meg, hogy a jogszabályi keretek között a Munkáltató maga határozhatja meg az adott munkakörre vonatkozó korlátozó vagy kizáró feltételt, ugyanakkor az adatkezelés feltételeit előzetesen és írásban köteles megtenni.

Az Adatvédelmi Hatóság (NAIH) 2019. január 22. napján kelt, és honlapján nyilvánosságra hozott határozata ugyanakkor, a Munkáltató jogos érdeke alapján nem látja akadályát annak, hogy előzetes érdekmérlegelési teszt lefolytatását követően, abban az esetben, ha a munkáltatói jogszerű érdek magasabb rendű, mint a munkavállalók személyes adatok védelméhez fűződő joga akkor a Munkáltató betekintsen az erkölcsi bizonyítványba, és így győződjön meg annak tartalmáról. Ugyanakkor ebben az esetben sem lehet, azokról másolatot készíteni. A határozat bővebben elérhető az alábbi linken: https://www.naih.hu/files/NAIH_2019_1073_erkolcsi_biz.pdf

e.)    Céges számítógép, laptop, telefon egyéb informatikai eszközök használata a munkahelyen;

Az Mt. módosítás tartalmazza, hogy a munkáltató által a munkavégzéshez biztosított számítástechnikai eszközt – eltérő megállapodás hiányában – a munkavállaló kizárólag a munkaviszony teljesítése érdekében használhatja. A munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt a munkaviszonnyal összefüggő adatokba tekinthet be. Ez irányadó abban az esetben is, ha a munkavállaló a munkaviszony teljesítése érdekében saját számítástechnikai eszközt használ.

A GDPR kötelező alkalmazásától (2018. május 25. napjától) függetlenül is indokolt volt korábban is belső szabályzatban vagy munkáltatói utasításban szabályozni a vállalati informatikai eszközök (asztali számítógép, laptop, mobiltelefon; tablet; GPS stb.) használatára vonatkozó szabályokat, ugyanakkor az új szabályozás hatályba lépését követően, ez már megkerülhetetlen lesz. Ilyen szabályozás hiányában ezen eszközök magáncélú felhasználása tiltott, azon így a gyermek tablófotói vagy a nyaralásról készült képek nem tárolhatóak jogszerűen.

f.)     SharePoint, Intranet és más hasonló oldalak írásbelisége

Az új. Mt. kiegészíti az írásbeliségre vonatkozó rendelkezéseket, oly módon, hogy a jövőben írásbelinek tekinthető a nyilatkozat akkor is, ha azt a helyben szokásos és általában ismert módon közzé teszik.

Tehát ha a Munkáltató egy belső intranetes oldalon teszi közzé a legújabb kamerás megfigyelésre vonatkozó szabályzatot, és ez az intranetes oldal a munkavállalók részére ismert, könnyen és sűrűn használatos, akkor nem szükséges minden egyes példányt kinyomtatni és a munkavállaló kezébe adni, elegendő az is, ha az intranetre kerül feltöltésre. Természetesen itt is szükséges annak igazolása, hogy a Munkavállaló tudomásul vette a tájékoztatást, például egy check-boxba kattintással, vagy feleletválasztós teszt kitöltésével.

2. A kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény (Kksztv.) módosítása)

A GDPR 47 preambulumában rögzítettekkel összhangban, a személyes adatok közvetlen üzletszerzési (direkt marketing) célú kezelése jogos érdeken alapuló adatkezelésnek tekinthető, ekként a személyes adatok közvetlen üzletszerzéssel összefüggő kezelése az GDPR 6. cikk (1) bekezdés f) pontja szerinti jogalapon, tehát a jogos érdeken alapulhat. A Kksztv. módosítás a közvetlen üzletszerzésre vonatkozó korábbi szabályokat hatályon kívül helyezi, így az adatkezelők a GDPR rendelkezéseire alapíthatják az adatkezeléseiket. Ugyanakkor ajánlott egy érdekmérlegelési teszt elvégzése is, az adatkezelés megkezdése előtt, a vonatkozó adatvédelmi ajánlásoknak megfelelően.

3. A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény módosítása

A jogalkotó számos, az elektronikus megfigyelő- és beléptető rendszerekre vonatkozó részletszabályt hatályon kívül helyezett. Kikerültek a felvételek megőrzésére vonatkozó határidők, azaz már nem feltétlenül szükséges 3 munkanapot követően megsemmisíteni a felvételeket, ahogyan azon taxatív felsorolás is hatályon kívül helyezésre került, amely rögzítette azokat a célokat (területeket) amelyek érdekében megfigyelőrendszer alkalmazható. A módosítás ugyanakkor az elektronikus megfigyelőrendszer működtetése körében készült jegyzőkönyvek tartalmára és formájára vonatkozóan rögzít néhány szabályt.

Ez a gyakorlatban azt jelenti, hogy pl. egy kamerás megfigyelő rendszer alkalmazását megelőzően az Adatkezelőnek érdekmérlegelési tesztet kell végeznie, és ezen teszt eredményei alapján kell saját döntéseket hoznia a rendszer alkalmazásáról, az adatkezelés céljairól, a felvételek megőrzésének időtartamáról, illetve megismerhetőségének körülményeiről. Ezeket indokolt egy egységes belső szabályzatban rögzíteni.

A jogalkotó az elektronikus megfigyelőrendszerek jogalapi megítélésénél törölte a természetes személy hozzájárulására vonatkozó rendelkezéseket, ezzel biztosítja, az elektronikus megfigyelőrendszert üzemeltető részére a jogos érdeken alapuló adatkezelést, összhangban a vonatkozó hatósági ajánlásokkal és gyakorlattal.

Fontos, hogy vagyonőr elektronikus megfigyelőrendszert kizárólag magánterületen alkalmazhat a jövőben, ugyanakkor a módosítás hatályon kívül helyezte azokat a rendelkezéseket, miszerint a vagyonőr a vagyonőrzési tevékenysége során illetve távfelügyeleti rendszer vagy adat- és informatikai védelemre irányuló biztonságtechnikai rendszer működtetése során adatkezelőnek minősül.

4. A panaszokról és a közérdekű bejelentésekről 2013. évi CLXV. törvény módosítása

Az adatvédelmi nyilvántartás megszűnésével, a visszaélés bejelentő rendszereket sem kell már bejelenteni az Adatvédelmi Hatóság részére, ezért ez kikerült az új szabályozásból. Fontos változás, hogy a visszaélés bejelentő rendszer működtetője – a korábbi szabályozással ellentétben – akár különleges adatokat és bűnügyi személyes adatot is kezelhet. A visszaélés bejelentő rendszer működtetője a gyakorlatban már eddig is kezelt ilyen adatokat, hiszen pl.: egy munkahelyi szexuális zaklatás bejelentése is tartalmazhatott különleges adatokat. Eddig szabályozás kimondta a különleges adatok kezelésének tilalmát, ráadásul a visszaélés bejelentő rendszer működtetője a bejelentés tartalmát sem tudja befolyásolni, indokolt volt tehát a jogszabály pontosítása.

5. Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről 1997. évi XLVII. törvény módosítása (Eüak.)

Fontos és lényeges változás, hogy a GDPR szabályozásával összhangban jövőben nincs szükség írásbeli hozzájárulására az egészségügyi adatok kezeléséhez, ugyanakkor hozzájárulásra továbbra is szükség van, annak megfelelő tájékoztatáson alapulónak, önkéntesnek, egyértelműen kifejezett akaratot tartalmazónak, és a szabályszerű nyilatkozat megtételét hitelt érdemlően bizonyító módon tettnek kell lennie.

Az Eüak. módosításában a magyar jogalkotó kiegészíti a GDPR egészségügyi adat fogalmát, és az elhalálozott személy halálának okát és körülményeit is az egészségügyi adat kategóriájába vonja, így ez is egészségügyi személyes adatnak minősül.

Személyazonosító adatnak minősülnek továbbá az egészségügyi adat érintettjének azonosítására szolgáló személyes adat, amelyet az adatkezelő az egészségügyi adattal együtt, az egészségügyi adat kezelésével azonos vagy attól elválaszthatatlan céllal az egészségügyi dokumentáció részeként kezel.

Az egészségügyi adatokat kezelőnek biztosítania kell a betekintést illetve az ingyenes másolat kiadását a személyes adatokról, ugyanakkor a további másolatokért már költségtérítést kérhet, ennek mértékét miniszteri rendelet fogja szabályozni.

Irodánk számára kiemelt jelentőséggel bír, hogy Ügyfeleink megfelelő tájékoztatást kapjanak és ezáltal naprakész információkkal rendelkezzenek az őket érintő jogszabályok változásairól.

A fentiekben ezért kiemeltük a „GDPR Saláta törvény” legjelentősebb és álláspontunk szerint ügyfeleink számára releváns módosításait, minden jogszabály módosításra külön nem tértünk ki. A „GDPR Saláta törvény” tervezete és indokolása elérhető az alábbi linkről: https://www.parlament.hu/irom41/04479/04479.pdf

Amennyiben a fenti hírlevélben foglaltakkal kapcsolatban, illetve egyéb adatvédelmi joggal, kapcsolatos jogszabállyal kapcsolatos kérdése merül fel, kérjük, hogy forduljon bizalommal a Germus és Társai Ügyvédi Irodához, mely kiterjedt szakismeretekkel, elméleti és gyakorlati tapasztalatokkal rendelkezik az adatvédelmi jog területén, és képes gyakorlat-, és ügyfélorientált megoldások kidolgozására.

A fentiekben rögzített információ kizárólag tájékoztató jellegű és nem tekinthető a Germus és Társai Ügyvédi Iroda vagy annak bármely ügyvédje, ügyvédjelöltje által nyújtott jogi tanácsadásnak.

Az alábbi e-mail címen bármikor felveheti velünk a kapcsolatot, készséggel állunk rendelkezésére: office@germus.hu