A HR szakemberekre hatalmas mennyiségű érzékeny és bizalmas adatot bíznak már az első munkanapjukon. Hozzáférnek a vállalati nyilvántartásokhoz, munkaügyi információkhoz, bérekhez, egészségügyi adatokhoz, amiket akár illetéktelenek is szeretnének megszerezni. De mi a feladatuk a HR-eseknek ezekkel az információkkal?
Szinte minden dokumentáció, amivel a HR-esek dolgoznak személyes adatokat tartalmaznak: név, születési idő, telefonszám, bankszámla adatok, csak hogy néhányat említsünk. Mindezen információk kezelése elég nagy felelősséggel jár. Egy HR szakembernek az egyik legfontosabb feladata, hogy olyan bizalmas környezetet teremtsen, ahol az emberek – legyen szó akár az alkalmazottakról vagy jelöltekről – rá merik bízni a legérzékenyebb személyes adataikat, és biztosak lesznek abban, hogy dokumentumaikat a legnagyobb körültekintéssel fogják kezelni.
2018 óta a GDPR (Általános Adatvédelmi Rendelet) miatt még nagyobb nyomás nehezedik a HR-re, hogy megóvják az általuk kezelt bizalmas fájlokat, és gondoskodjanak arról, hogy véletlenül se kerüljenek nyilvánosságra személyes adatokat. A rendelet bevezetése óta Magyarországon már közel kétszáz ügyben hozott határozatot a Nemzeti Adatvédelmi és Információszabadság Hatóság, ezeknek majdnem fele pénzbírsággal végződött, amik között százezer forintos tétel és több tízmilliós is előfordult, ami azt mutatja, hogy szükség van a folyamatos edukációra és figyelemfelhívásra az adatbiztonság kapcsán, mert sokszor nincsenek tisztában az érintettek az előírásokkal.
Miért kell a HR-eseknek ezzel foglalkozni?
A HR osztályok nagy mennyiségű személyes adatot gyűjtenek, kezelnek és dolgoznak fel nemcsak a jelenlegi alkalmazottaikról, hanem az állásokra jelentkezőkről, vállalkozókról és korábbi alkalmazottakról is. A birtokukban lévő információk érzékeny adatokat tartalmaznak, például egészségügyi információkat, munkahelyi feljegyzéseket, fizetéseket. Ezért kiemelten fontos, hogy a HR szakemberek tisztában legyenek az adatvédelmi előírások követelményeivel, és ennek megfelelően kezeljék a személyes adatokat.
A GDPR megköveteli a szervezetektől, hogy különböző intézkedéseket tegyenek az általuk tárolt, személyazonosításra is alkalmas adatok mennyiségének minimalizálására, és biztosítsák, hogy semmilyen információt ne tároljanak a szükségesnél tovább. A GDPR azt is rögzíti, hogy az adatok gyűjtését és kezelését például csak az érintettek kifejezett hozzájárulásával kezdhetik meg. Bár az alkalmazottak vagy jelöltek adatainak megőrzéséhez korábban is kellett hozzájárulás, a GDPR előírja, hogy a HR szakembereknek írásbeli (elektronikus) vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulást kell kérniük az érintettektől.
Ehhez kapcsolódik továbbá, hogy a HR-esek csak arra a célra használhatják fel az adatokat, amelyekre azokat megkapták, tehát amibe beleegyeztek a személyek. Ennélfogva a munkavállalóknak lehetőséget kell adni arra, hogy külön engedélyezzék munkáltatóik számára egyes személyes adataik feldolgozását.
Az elmúlt években népszerűvé vált távmunka és a hibrid munkavégzés bevezetése is hordozhat adatvédelmi kockázatokat, amik mellett nem mehetünk el. Míg egy irodai környezetben az informatikai szakemberek szorosan ellenőrizhetik az összes hálózat biztonságát, a kollégáink otthoni hálózata valószínűleg gyengébb protokollal rendelkezik, ami az adathalászoknak könnyebb elérést biztosít a céges laptopok tartalmához is.
A GDPR értelmében milyen jogai vannak a munkavállalóknak?
A HR szakembereknek tisztában kell lenniük azzal, hogy milyen személyes adatokat és milyen célból dolgoznak fel. Biztosítaniuk kell azt is, hogy a személyes információk pontosak és naprakészek legyenek, és lehetővé kell tenniük, hogy a munkavállalók hozzáférjenek saját adataikhoz. Az úgynevezett törléshez és elfeledtetéshez való jog alapján a munkavállalók jogosultak arra, hogy bizonyos körülmények között megköveteljék munkáltatójuktól a róluk tárolt személyes adatok törlését. Ez akkor fordulhat elő, ha az adatokra már nincs szükség abból a célból, amelyből azokat eredetileg gyűjtötték, vagy ha a munkavállaló egyszerűen visszavonja korábbi hozzájárulását.
A fentieken túl az érintetteknek helyesbítéshez, korlátozáshoz, adathordozhatósághoz, az adatok kezelése elleni tiltakozáshoz is joga van.
Felelősek-e a HR-esek a harmadik fél által kezelt adatokért?
A HR részlegek birtokában lévő információkat sokszor egy harmadik fél rendszerei tárolhatják vagy dolgozhatják fel, ilyen például a bérszámfejtő vagy felhőalapú HR szoftverek, teljesítményértékelő rendszerek, de az adatok megoszthatók például fejvadász cégekkel is.
A HR szakemberek azonban felelősek a személyes adatok védelméért akkor is, ha harmadik fél (adatfeldolgozó) szolgáltatásait veszik igénybe az adatok nevükben történő kezelésére, és gondoskodniuk kell arról, hogy ezek a szolgáltatások csak az eredeti hozzájárulásokkal megegyező módon dolgozzák fel az információkat. Ezért fontos megérteni a különböző programokon folyó összes adatáramlást, és olyan szolgáltatásokat kell használniuk, amelyek a legmagasabb védelmet nyújtják.
Az adatkezelőknek a személyes adatok megsértéséről haladéktalanul, de legkésőbb a tudomásszerzést követő 72 órán belül jelentést kell tenniük a felügyeleti hatóságoknak (Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóságnak). A jogsértést közölni kell az érintettekkel akkor is, ha az valószínűleg magas kockázatot jelent a természetes személyek jogaira és szabadságára nézve. Ez a bejelentési kötelezettség a munkavállalói adatokra is vonatkozik. Ezért a munkáltatóknak késedelem nélkül kell értesíteniük a dolgozóikat is, ha a jogsértés a személyes adataikat érinti.
Hogyan védhetők a személyes adatok, jogok a munkahelyen?
A GDPR előírja, hogy az adatkezelőknek és -feldolgozóknak a kezdetektől fogva megfelelő technikai és szervezési intézkedéseket kell végrehajtaniuk az adatvédelmi incidensek megelőzése érdekében, beleértve például a személyes adatok titkosítását – ez a beépített adatvédelem. Emellett biztosítaniuk kell, hogy a személyes adatok kezelése a magánélet védelmének legszigorúbb tiszteletben tartásával történjen, tehát csak a legszükségesebb adatokat kezeljék meghatározott, lehetőleg rövid tárolási időszakban, és csak azok férjenek hozzá, akik munkájához szükségesek ezek az információk, tehát senki ne élhessen vissza ezekkel az adatokkal – ez az alapértelmezett adatvédelem.
Éppen ezért a cégeknek felül kell vizsgálniuk a biztonsági kamerák telepítésére és használatára vonatkozó eljárásaikat is, hiszen az Emberi Jogok Európai Bírósága kimondta, hogy a rögzített kamerák felszereléséhez a munkavállalókat előzetesen és egyértelműen tájékoztatni kell arról, hogy mire használnák a felvételeket, és nyilatkozat szükséges arról, hogy ezt elfogadják-e vagy sem.
Ahogy azt a Profession.hu-n megjelent cikkben dr. Ulechla Gergő jogász is kiemelte, az emberi méltóság tiszteletben tartása érdekében a munkahelyen sem lehet elhelyezni kamerákat az öltözőkben, zuhanyzókban vagy illemhelyiségekben, valamint bizonyos kivételektől eltekintve a munkahelyi ebédlő és pihenőhelyiség is kameramentes övezetnek minősül. Magyarországon az elmúlt években számos több százezer forintos bírságról is olvashattunk, amit azért szabtak ki, mert nem megfelelő helyen volt a rögzítő eszköz vagy éppen a szabályzatot megszegve például a munkavállalók teljesítményének figyelésére alkalmazták ezeket.
A vállalatoknak adatvédelmi tisztviselőt kell kijelölniük, aki önállóan jár el, és rendelkezik a feladatai ellátásához szükséges erőforrásokkal. Az adatvédelmi tisztviselő felelős a vállalat adatvédelmi politikájának végrehajtásáért a GDPR-nak való megfelelés biztosítása érdekében.
Ahogy az a fenti példákból is látszik, az előírások be nem tartása súlyos kockázatokkal és büntetésekkel járhat. Azokat a vállalatokat, amelyek nem teljesítik a rendeletben foglaltakat, 20 millió euróig, vagy az előző pénzügyi évi világpiaci forgalmuk legfeljebb 4 százalékáig terjedő pénzbírsággal sújthatják (amelyik a magasabb értékű). A kevésbé súlyos jogsértések, mint például a helytelen nyilvántartás, vagy a jogsértések bejelentésének elmulasztása az éves világpiaci forgalmuk legfeljebb 2 százalékáig, vagy 10 millió euróig terjedő pénzbírsággal sújtható. Tekintettel arra, hogy a GDPR előírja, hogy az adatkezelők közöljék az érintettekkel a személyes adatok megsértését, a vállalkozások hírnevét is jelentősen rontó eljárásokkal kell szembenézniük egy adatvédelmi incidens esetén.
Mivel egy-egy vállalatnak számos különböző érintett csoportja lehet a weboldallátogatóktól kezdve az ügyfeleken át egészen a jelenlegi és volt alkalmazottakig, a GDPR kompatibilis adatvédelmi stratégia kialakításához érdemes szakember segítségét kérni, akinek tudásával minden kérdést biztonsággal körbe tudnak járni a vezetők és a HR-esek, hiszen a kötelezettségen túl a GDPR hozzájárulhat a szervezet teljesítményének, valamint az alkalmazottak bizalmának és jólétének javításához is.
A GDPR-ról röviden
Az Általános Adatvédelmi Rendelet (GDPR) egy átfogó szabályozás, amely egységesíti az adatvédelmi jogszabályokat az Európai Unióban. Szigorú követelményeket támaszt a cégek és szervezetek számára a személyes adatok gyűjtésére, tárolására, feldolgozására és kezelésére vonatkozóan.
Azoknak a szervezeteknek – a bejegyzett országuktól függetlenül –, amelyek az EU-ban tartózkodó egyének személyes adatait kezelik és feldolgozzák abból a célból, hogy árukat vagy szolgáltatásokat kínáljanak nekik, illetve hogy figyelemmel kísérjék magatartásukat az EU-n belül, meg kell felelniük az új szabályoknak. 2018. május 25-től kötelezően alkalmazni kell a rendeletet az Európai Gazdasági Térség valamennyi tagállamában.
Készítette: Varsányi Zsófi
A cikk a Tresorit, valamint a G-P szakmai anyagai alapján készült.