Átláthatóság, egyszerűség
Fontos, hogy az előzetes tájékoztatás kötelezettségét úgy teljesítsük, hogy a dokumentum könnyen érthető, egyszerű szövegezésű, átlátható legyen és ne a vonatkozó jogszabályok szövegének másolata legyen. Ne felejtsük el, hogy az adatvédelmi szabályzat és egyéb szabályok ismeretét és betartásának kötelezettségvállalását a munkavállaló igazolható módon, így például egy nyilatkozat aláírásával tegye meg. Ez azért is fontos, hogy a jövőre hatályba lépő GDPR szerinti elszámoltathatóság elvének megfeleljünk, azaz bizonyíthassuk azt, hogy az adatkezelésünk minden mozzanata, tehát ez is, jogszerű volt.
A munkavállalókat már csak azért is vonjuk be az adatvédelmi kötelezettségeinkbe, hogy ne csak a dokumentálás történjen meg és legyen jogszerű, hanem a tényleges, adatvédelmi szempontból helyes működés kialakítása és megvalósítása is megtörténjék. Így majd könnyűszerrel fogjuk teljesíteni a GDPR privacy by design elvét, amely nagyjából arról szól, hogy a működésünk során figyelembe vesszük az adatvédelmi szabályokat, azokat beépítjük az egyes adatkezelések kialakításába, és folyamatosan monitorozzuk megfelelőségünket, szükség esetén pedig megtesszük a változtatásokat.
Említettük, hogy a szabályzat meghatározhatja az adatvédelem szervezetét. Lényeges ugyanis az, hogy kialakítsuk ezt. Ehhez kapcsolódóan a felelősségi, jogosultsági köröket, hogy a munkavállalók pontosan tudják, hogy milyen jogokkal, lehetőségekkel bírnak, milyen felelősségük van és milyen kötelezettséget kell betartaniuk, kihez kell fordulniuk kérdéseikkel, vagy kitől kell kérni egy adatvédelmi ügyben a jóváhagyást.
Ki az a belső adatvédelmi felelős és az adatvédelmi tisztviselő?
Létrejön egy teljesen átlátható, könnyen felismerő rendszer, ahol mindenki tudja, hogy mi a dolga. Egy ilyen adatvédelmi szervezet kulcsfigurája lehet a belső adatvédelmi felelős, vagy a GDPR hatályba lépését követően az adatvédelmi tisztviselő, akit vagy jogszabályi rendelkezés alapján kötelező kineveznünk (erről lásd a hatályos 2011. évi CXII. törvény 24. §-át), vagy pusztán az adatvédelmi kötelezettségek teljesítésének elősegítésére kinevezhetünk. Ő az, akire mi, mint munkáltatók, valamint a munkavállalók is támaszkodhatnak, aki kialakítja és karban tartja az adatvédelmi szabályozási rendszerünket, segít, tanácsot ad, adatvédelmi nyilvántartásokat vezet, kapcsolatot tart hatósággal, érintettel, közreműködik döntések meghozatalában, érintettek jogainak gyakorlásában stb.
Nekünk munkáltatóként elő kell segítenünk az érintettek, a munkavállalók, és egyéb személyek joggyakorlását, válaszolnunk kell a hozzánk érkező adatvédelmi témájú megkeresésekre, pl. tájékoztatás kérésére, törlési, helyesbítési igényre stb. A tapasztalat azt mutatja, hogy ezeket a feladatokat nehezen tudjuk jól megoldani, könnyen bele lehet futni olyan helyzetekbe, amelyek akár bírságolással is végződhetnek, ha nincsen egy adatvédelemben jártas kollégánk.
Hogyan legyünk példás adatkezelők?
A fentiekből látható, hogy a munkatársak kisebb-nagyobb százaléka kapcsolatba kerül személyes adatokkal a munkavégzésük során, legyenek azok a HR-rel foglalkozó osztály adatai, ügyfelek adatai, partnerek adatai. De vajon ők helyesen, jogszerűen kezelik az adatokat?
Hangsúlyos az, hogy az adatvédelmi tudatosságukat magas szinten tartsuk, amely oktatások, oktatási anyagok nélkül nem fog megvalósulni. Ahhoz, hogy a szabályzatok leírt, statikus anyagát átültessük egy dinamikus működésbe, elengedhetetlen a munkavállalók rendszeres adatvédelmi oktatása. Ennek ugyanúgy be kell épülnie a gyakorlatba, mint más képzéseknek, oktatásoknak.
A munkáltatónak adatkezelőként feladata különböző adatvédelmi témájú nyilvántartások vezetése, mint például az adattovábbítások, vagy éppen az adatvédelmi incidenseknek nyilvántartása. Ezt a feladatot egy munkavállaló, vagy egy külsős adatvédelmi felelős látja el, működik benne közre.
Jó, ha tudjuk azt, hogy vannak olyan adatkezelések, amelyeket be kell jelenteni a hatóságnak, de szerencsére a munkaviszonyban álló személyek adatainak kezeléséről a NAIH nem vezet nyilvántartást. Ez természetesen vonatkozik minden, munkaviszony jellegű egyéb jogviszonyra is. Ebből következik az, hogy ha olyan kamerarendszert üzemeltetünk, amely által megfigyelt területre kizárólag munkavállaló léphet be, azt nem kell bejelentünk, viszont, ha olyan kamerarendszert működtetünk, amely által megfigyelt területre beléphet más személy, például ügyfél is, tehát a kamera például ügyféltérben van, akkor azt a kamerás megfigyelést már be kell jelentenünk a hatóságnak.
Cikksorozatunk további részeiben kitérünk majd a jogszerű megfigyelés egyes eseteire és egyéb, adatvédelmi kérdésekre is.
Cikkünk létrehozásában segítségünkre volt az Adatvédelmi Auditor csapata (www.adatvedelmiauditor.hu), Bölcskei Nikolett vezetésével. „Hobbink a munkák, a munkánk a szenvedélyünk, szenvedélyünk a az adatvédelem.”
(A tájékoztatás legfrissebb munkatörvényi változatát a következő linken tekintheti meg.)
Cikkünk több oldalas! Lapozzon!
1. oldal - A munkáltató is adatkezelő: az adatvédelmet érintő munkáltatói kötelezettségekről II.
2. oldal - Átláthatóság, egyszerűség