Véget ér a türelem – milliárdos is lehet a bírság

2017. szeptember 29. péntek - 13:30 / kfarkas
  •    

Az Általános Adatvédelmi Rendelet (GDPR) 2018. május 25-ig biztosít lehetőséget a munkáltatóknak arra, hogy adatkezelésüket megfelelően alakítsák át. A munkáltatók nagyszámú, eltérő jellegű személyes adatot kezelnek, ezért az új szabályozásnak történő megfelelés igen komplex és összetett feladatot ró rájuk – hívták fel a figyelmet a Réti, Antall és Társai PwC Legal szakértői.

„Ez már a türelmi időszak, 2018. május 25-e az utolsó határidő” – hívta fel a figyelmet a Csenterics András és Szűcs László, a Réti, Antall és Társai PwC Legal szakértő ügyvédjei. A szakemberek szerint minden magyar vállalkozásnak át kell alakítania adatkezelési módszereit, különös tekintettel a munkavállalók adataira, csakhogy a munkáltatók egy jelentős része ezzel nincs tisztában. „Sok cég azt sem tudja, hogy rájuk is vonatkozik a GDPR hatálya, és azzal sincs tisztában, hogy mit kell tennie” – mondták a szakemberek.

Itt olvashat arról, milyen egyéb kötelezettségekkel jár még a GDPR.

Első lépésként a jelenleg kezelt adatvagyont kell felmérni. A munkáltatónak be kell azonosítania, hogy milyen személyes adatokat tárol és használ, és mindezt milyen jogalapon, milyen célból teszi. Az adattakarékosság és a célhoz kötöttség elvéből következik, hogy a munkáltatók a jövőben csak olyan adatokat kezelhetnek, amelyek kezelésére – a GDPR szabályai szerinti – megfelelő jogalappal rendelkeznek. A jogalap a jövőben főként jogszabályon, jogos érdeken, kivételes esetben hozzájáruláson alapulhat. Jogalap hiányában pedig a személyes adatokat törölni kell.

Második lépésként a munkáltatónak be kell azonosítania, hogy a jövőben a munkáltató a munkavállalók, esetenként családtagjaik mely személyes adatait kezeli, illetve az adatkezelési folyamatok során ki lesz jogosult a személyes adatokhoz hozzáférni. Arról is döntést kell hoznia, hogy amennyiben történik adatkezelés, úgy a személyes adatokat meddig tárolja. Itt természetesen be kell azonosítania azokat a jogszabályokat, amelyek a munkáltatót a meghatározott személyes adatok őrzésére kötelezik, és ennek alapján kell megállapítania az adattárolás időtartamát.

adatok

Kép: Kaspersky Lab

Akár ötven évig is

Számos vállalat használ egységes HR-adatbázisokat, amelyekhez nem csupán az Európai Unió országaiból, hanem esetenként azokon kívülről is lehet hozzáférése egyes személyeknek. Ezen adatbázisok szükségességét felül kell vizsgálni és amennyiben a munkáltató, illetve anyacége az adatbázis fenntartása mellett dönt, úgy az adatbázis adattartalmát, továbbá a hozzáférést, a tárolás időtartamát át kell alakítani a GDPR szabályainak megfelelően. (Amelyekkel kapcsolatban nem kizárható, hogy még inkább szigorodni fognak a jövőben.)

Eddig sok munkáltató nem fordított erre figyelmet, sokan rendelkeznek olyan adatbázisa, amely 10-20 évvel ezelőtti munkavállalókkal kapcsolatban is tartalmaz adatokat és – ahogy a szakértők megjelgyzik – ezekhez az adatokhoz sokszor nem korlátozott a hozzáférés. „ Ha sarkítani akarunk, akkor sok magyar cégnél még a portás is hozzáférhet munkavállalók bizonyos adataihoz. Most viszont le kell zárni a múltat minden vállalkozásnál és csak azokat az adatokat szabad megtartani, amelyet az illetékes jogszabályok előírnak” – mondta Szűcs László. Kérdésünkre példaként elmondta: ilyenek például a béradatok, amelyeket a jelenleg hatályos előírás szerint 50 évig kell tárolnia a munkáltatónak. „Erre akkor lehet szükség, ha a munkavállaló nyugdíjba megy, a nyugdíj kapcsán a nyugdíjfolyósítónak szüksége van a munkában eltöltött időszak béradataira.”

Szűcs László

Szűcs László

Van még elmaradás

Problémát okoz viszont, hogy a magyar jogalkotás is adós még néhány az átállással kapcsolatos jogszabállyal, illetve az ellenőrzéseket végző hatóságoknak sincs kialakult gyakorlata. A szakemberek szerint azonban várhatóan 2018 elejére minden olyan jogszabály megszületik, amely a GDPR bevezetéséhez szükséges.

„Amennyiben a jövőbeni adatkezeléshez a szükséges döntések megszülettek, úgy a munkáltatónak létre kell hoznia azokat a belső szabályozásokat, amelyek az érintett munkavállalók számára közérthetően, egyértelműen bemutatják a munkáltatónál irányadó adatkezelési szabályokat. A szabályzatokat úgy kell megalkotni, hogy valamennyi munkavállaló számára egyértelmű legyen, hogy mely személyes adatát kezeli a munkáltató, milyen célból és mely jogalapon, illetve meddig. A munkáltatónak arról is tájékoztatást kell adnia a munkavállalók számára, hogy az adatok törlésével, illetve a helytelen adatok kezelésével kapcsolatosan milyen jogai lesznek. Különös figyelmet kell fordítani arra, hogy a GDPR bizonyos típusú adatkezelések esetén több, a jelenlegi szabályozáshoz képest teljesen új jogot biztosít az érintettek részére” – hívja fel a figyelmet Szűcs László.

A munkaviszony az egyik legkomplexebb jogviszony, az akár évtizedeken átívelő munkaviszony miatt a munkáltató nagyon sok és eltérő típusú személyes adatot kezel. Valamennyi személyes adatra, illetve adatkezelésre nem lehet külön adatvédelmi tájékoztatást/szabályzatot készíteni, ezért célszerű egy egységes, a munkavállalók valamennyi személyes adatához kapcsolódó, keretszabályzatot készíteni. A keretszabályzatot ki lehet egészíteni olyan, speciális adatkezelésekhez kapcsolódó mellékletekkel, mint például a laptop használatához kapcsolódó adatkezelés, a GPS-rendszer által gyűjtött adatok tárolása és kezelése, vagy például a rehabilitációs jellegű munkakörökhöz kapcsolódóan az egészségügyi adatok kezelése.

Nem elég a szabály, tudni is kell róla

„A szabályzatok standardizálása bizonyos mértékig lehetséges, ám ezeknek a munkáltatónál alkalmazott egyedi jellegű adatkezelési folyamatokra kell épülniük. E tekintetben szinte nem is beszélhetünk két teljesen azonosan működő munkáltatóról” – hangsúlyozza Csenterics András, a Réti, Antall és Társai PwC Legal adatvédelmi és adatbiztonsági szakjogásza.

A szabályzatok elkészültét követően a munkáltatónak figyelmet kell fordítania arra, hogy a munkavállalók az adatkezelés új szabályait ténylegesen megismerjék. Ennek leghatékonyabb módja az oktatás, amely a szabályzatokban összefoglalt adatkezelési szabályok bemutatását jelenti. Emellett a munkáltatónak adatvédelmi tisztviselőt is ki kell jelölnie annak érdekében, hogy az adatvédelmi szabályok betartása kellő hatékonysággal ellenőrizhető legyen, továbbá 250 munkavállaló felett nyilvántartást kell készítenie az adatkezeléseivel kapcsolatosan.

A GDPR szabályainak végrehajtása azonban nem csupán adminisztratív teendőkkel jár. Az egyes IT-rendszerek adatbiztonsági megfelelőségét is felül kell vizsgálni, továbbá olyan komplex feladatokat kell megoldani, mint a már nem szükséges, vagy jogalap nélkül kezelt adatok (lehetőleg automatikus) törlése, esetleg anonimizálása, vagy például az adathordozhatóság feltételeinek kialakítása.

Csenterics András

Csenterics András

„A szükséges intézkedéseket haladéktalanul célszerű elkezdeni, annak ellenére, hogy a GDPR bevezetéséhez kapcsolódóan még számos magyar jogszabály vár módosításra. A rendelet alapján a munkáltatói kötelezettségek beazonosíthatóak, továbbá a rendelet Magyarországon is közvetlenül hatályos, ezért azt javasoljuk, hogy a szervezetek kezdjék el az adatvagyon felmérését, illetve a munkáltatói adatkezelés új szabályozásának megfelelő átalakítási folyamatot” – mondja Csenterics András.

A véget jelentheti egy bírság

A vállalatok eddig a legtöbb esetben megúszták az alkalmazottakat vagy ügyfeleket érintő adatvesztések következményeit, de a jövőben a hatóságok jelentős bírságot szabhatnak ki ilyen esetekben, amik akár egy cég teljes bukását is eredményezheti. „A bírság a cég éves árbevételének 2 százalékáig terjedhet, de legfeljebb 10 millió euróig, ám súlyos jogsértésnél az éves árbevétel 4 százalékát is elérheti, legfeljebb 20 millió eurót, azaz hatmilliárd forintos bírságot is kiszabhat a hatóság.

A hatóságok várhatóan nem fognak a hatálybalépés napjától milliárdos összegű bírságokat osztogatni, azonban olyan büntetési lehetőségek is rendelkezésükre állnak, amelyek még kellemetlenebbül érinthetik a cégeket, ilyen például az adatkezelés megtiltása, amely akár egy vállalat működését is veszélybe sodorhatja. Az sem mellékes, hogy komoly reputációs kockázata van egy adatkezelési bírságnak. Ráadásul a munkavállalók polgári pert is indíthatnak sérelemdíjért, ha a munkavállaló nem megfelelően kezeli adataikat. „Ezért már most meg kell kezdenie a munkáltatóknak az adatvédelmi szabályaik kidolgozását, adataik ellenőrzését, rendszerük auditálását. A május 25-ei határidő távolinak tűnhet, de nem az” – figyelmeztettek a szakértők.

Nem kell úgy rettegni a GDPR-tól?
A mostanában sokat emlegetett GDPR-ról az hírlik, hogy olyan nagy horderejű változásokat hoz, amelyekre a cégek – különösen a kkv szektor – csak nagyon nehezen tudnak felkészülni. Szakértők szerint viszont valójában azok a vállalkozások, amelyek eddig is ügyeltek arra, hogy megfeleljenek a magyar adatvédelmi jogszabályoknak és a NAIH előírásainak, az új rendelet hatályba lépésével nem kényszerülnek gyökeres változtatásokra. Azok a cégek viszont, akik eddig sem foglalkoztak az adatvédelemmel és nem tanúsítottak jogkövető magatartást, tényleg újdonságokkal találkozhatnak – persze nem azért, mert annyira más lesz az új jogszabály, hanem azért, mert a régit sem ismerték és nem követték, és most egyszerre kell megfelelniük egy szigorúbb szankciót alkalmazó új rendeletnek.
Jogi kisokos
Kedves Olvasónk!
Ha érdekli ez a téma, és szeretne heti hírlevelet kapni a témában, vagy értesítést a megjelent új cikkekről, kérjük, adja meg nevét és e-mail címét!

Segítünk kiszámolni

EKÁER kalkulátor

kalkulátor

Céges bankszámla

kalkulátor

Pályázatkereső

kalkulátor