Fontos változás lépett hatályba 2019. április 26-án a Munka Törvénykönyvében, amely akár alapvetően befolyásolhatja a mindennapi munkavégzést, többek között a munkaidőn belüli internetezés (lehetséges) megszűnésével. Cikkünkben ezeket a GDPR alapján megszületett változásokat vizsgáljuk meg részletesebben.
A GDPR már életbe lépésekor is korbácsolt indulatokat, rengeteg jogértelmezésbeli tanácstalanságot, és bár a gyakorlatba ültetése, mondjuk így, nem megy éppen zökkenőmentesen (sok területen még az alapvető jogi értelmezéssel is akadnak gondok), lassan azért a jogszabályokban is megjelennek a vonatkozó irányelvek.
Nincsen ez másként a magyarországi munkajoggal sem, és a legutóbbi változtatások, amelyek áprilisban léptek életbe, már komolyan befolyásolhatják a legkisebb és legnagyobb vállalatok mindennapi rutinját is.
Kezdjük azzal, hogy egészen pontosan mi változott ebben a tekintetben – ezt követően pedig kommentáljuk a változásokat, kitérve arra, hogy ez pontosan mit is jelent a Magyarországon működő cégek számára.
A Munka Törvénykönyvének 2019-es változása
A Munka Törvénykönyvében (többek között) az alábbiak kaptak helyet:
5. A személyiségi jogok védelme9. § (2) A munkavállaló személyiségi joga akkor korlátozható, ha a korlátozás a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos. A személyiségi jog korlátozásának módjáról, feltételeiről és várható tartamáról, továbbá szükségességét és arányosságát alátámasztó körülményekről a munkavállalót előzetesen írásban tájékoztatni kell. (3) A munkavállaló a személyiségi jogáról általános jelleggel előre nem mondhat le. A munkavállaló személyiségi jogáról rendelkező jognyilatkozatot érvényesen csak írásban tehet. 5/A. Adatkezelés10. § (1) A munkáltató a munkavállalótól olyan nyilatkozat megtételét vagy személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy e törvényből származó igény érvényesítése szempontjából lényeges. (2) A munkáltató, az üzemi tanács, a szakszervezet e törvény Harmadik Részében meghatározott jogának gyakorlása vagy kötelességének teljesítése céljából nyilatkozat megtételét vagy adat közlését követelheti. (3) Az (1) és (2) bekezdés alapján okirat bemutatása követelhető. (4) A munkavállalóval szemben olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. (5) A munkáltató az (1)-(4) bekezdésen alapuló adatkezeléséről az érintettet írásban tájékoztatja. 11. § (1) A munkavállaló biometrikus adata az érintett azonosítása céljából abban az esetben kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely a) a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy b) törvényben védett jelentős érdek súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna. (2) Az (1) bekezdés b) pontja alkalmazásában jelentős védett érdek különösen a) a legalább „Bizalmas!” minősítési szintű minősített adatok védelméhez, b) a lőfegyver, lőszer, robbanóanyag őrzéséhez, c) a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez, d) a nukleáris anyagok őrzéséhez, e) a Btk. szerint legalább különösen nagy vagyoni érték védelméhez fűződő érdek. (3) A munkáltató a munkavállaló vagy a munkáltatóval munkaviszonyt létesíteni szándékozó személy bűnügyi személyes adatát annak vizsgálata céljából kezelheti, hogy törvény vagy a (4) bekezdésben foglaltak szerint a munkáltató a betölteni kívánt vagy a betöltött munkakörben nem korlátozza vagy nem zárja-e ki a foglalkoztatást. (4) A (3) bekezdés szerinti korlátozó vagy kizáró feltételt a munkáltató akkor határozhat meg, ha az adott munkakörben az érintett személy foglalkoztatása a) a munkáltató jelentős vagyoni érdeke, b) törvény által védett titok, vagy c) a (2) bekezdés b)-d) pontja szerinti törvény által védett érdek sérelmének veszélyével járna. (5) A munkáltató a bűnügyi személyes adat kezelését megalapozó (4) bekezdés szerinti korlátozó vagy kizáró feltételt, és a bűnügyi személyes adat kezelésének feltételeit előzetesen írásban meghatározza. 11/A. § (1) A munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető. Ennek keretében a munkáltató technikai eszközt is alkalmazhat, erről a munkavállalót előzetesen írásban tájékoztatja. (2) A munkavállaló a munkáltató által a munkavégzéshez biztosított információtechnológiai vagy számítástechnikai eszközt, rendszert (a továbbiakban: számítástechnikai eszköz) – eltérő megállapodás hiányában – kizárólag a munkaviszony teljesítése érdekében használhatja. (3) A munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be. (4) A (3) bekezdés szerinti ellenőrzési jogosultság szempontjából munkaviszonnyal összefüggő adatnak minősül a (2) bekezdésben meghatározott korlátozás betartásának ellenőrzéséhez szükséges adat. (5) A (3) bekezdést alkalmazni kell, ha a felek megállapodása alapján a munkavállaló a munkaviszony teljesítése érdekében saját számítástechnikai eszközt használ. |
Az alapok: ezért adatkezelő a munkáltató
Amikor egy munkavállaló és munkáltató között szerződéses jogviszony jön létre, értelemszerűen adatok cserélnek gazdát a munkaügyi adminisztráció során.
Hogy pontosan milyen adatok, azt az egyes esetekben a Munka Törvénykönyve határozza meg, hiszen ezeket az illetékes hatóságok felé is jelenteni kell.
A most életbe lépett szabályoknak az a célja, hogy az e folyamat során keletkezett adatok beszerzésére jogalapot teremtsen a munkáltatónak megfelelő feltételek mellett, illetve biztosítsa azt, hogy mindezeket az adatokat a munkáltató adatvédelmi szempontból kockázatos tevékenységekhez bekérhesse, azokat kezelhesse.
Vége a szabad munkahelyi netezésnek?
A legtöbb hírportál ezt a vonatkozását emelte ki az új szabályoknak – nem véletlenül, hiszen a gyakorlatban ezt értékelheti leginkább a munkavállaló.
Az újonnan életbe lépett törvény szövege értelmében a munkáltatótól kapott számítástechnikai eszközt (a gyakorlatban ez asztali számítógépet, laptopot, táblagépet, okostelefont jelenthet jellemzően) kizárólag arra használhatja, hogy a munkaviszonyával kapcsolatos tevékenységeket végezzen. Ez az alaphelyzet, arról, hogy a munkavállaló ettől eltérő célra is használhassa a munkaeszközét, a munkaadóval külön megállapodást kell kötni.
Ennek a célja nem az, hogy megszüntesse az munkaidőben történő Facebookozást, vagy hogy a munkaadók keményebben lecsaphassanak arra, aki ebédszünetben a 9GAG-et böngészi a céges laptopon. A módosítások oka, mint azt említettük, a GDPR kapcsán szükségessé vált jogharmonizáció. Tehát a cél az, hogy a munkáltató által kezelt adatok biztonságát így hatékonyabban garantálhassák.
Mit jelent ez a gyakorlatban?
Persze nagyban változhat, hogy pontosan melyek azok a szoftverek, alkalmazások, amelyeket az adott munka megfelelő ellátásához használniuk kell a kollégáknak, tehát ha már a munkaadó ellenőrizni akar, ezeket nem árt rögzíteni a munkaszerződésben vagy egy külön megállapodásban.
Egy külön megállapodás, ami lehetővé teszi, hogy a számítástechnikai eszközöket a munkavállaló más célra is használja, teljesen elfogadható ugyan, viszont ez esetben a munkaadó vállalja a kockázatot, amely az adatkezelésre nézve fellép.
„Belenéznek majd, hogy mit csetelek?”
Szóljunk röviden arról is, hogy mit jelent pontosan az „ellenőrzés” ebben a kontextusban. A jogszabály szerint a munkáltatónak joga van betekinteni a munkával kapcsolatos adatokba – ami annyit tesz, hogy ellenőrizhetik azt, munkavállalóként pontosan milyen szoftvereket használunk az eszközön, és azok esetében, amelyeket kifejezetten a munkavégzéshez használjuk, magukat az adatokat is (azok kezelését, tartalmát, tehát életszerűen például azt, hogy egy céges Google Drive mappát nem osztottunk-e meg egy családtaggal véletlenül).
Ha viszont olyan alkalmazást találnak, amit nem munka célra használunk, abba továbbra sem tekinthetnek be. Tehát előfordulhat néhány kellemetlen beszélgetés arról, ahogy pontosan mennyit csetel vagy játszik valaki munkaidőben, az viszont, ha a munkaadó például bele is olvasna egy személyes beszélgetésbe, már törvénytelen volna.
Reálisan nézve tudjuk, hogy a legtöbben valószínűleg legalábbis magán levelezésre, a közösségi oldalak böngészésére alkalmanként használják a céges eszközöket is. A gyakorlatban ez jellemzően nem is jelent problémát munkáltatóként. Tekintve, hogy a kockázatot nem feltétlen érdemes átvállalni, érdemes a munkaszerződés szövegezésekor gondolni erre.
A másik gyakorlatias szempont az, hogy még a munkához használt szoftverek és alkalmazások is rejthetnek magukban kockázatot, a céges inboxba is ugyanúgy érkezhet fertőzött levél és így tovább. Ha tehát kiemelt figyelmet akarunk fordítani a céges adatok védelmére, érdemes első körben egy, a kiber biztonsághoz értő szakemberrel közösen megalkotni egy céges policy-t azt illetően, hogy pontosan hogyan tarthatják biztonságosan eszközeiket a munkavállalók, mit tölthetnek le, mi az, amit jelenteniük kell (mondjuk egy zsarolóprogram felbukkanását nem árt) és így tovább. Az ilyen adatvédelmi intézkedések hatékonyabban biztosíthatják, hogy a kettős használat nem vezet valamilyen incidenshez (adatszivárgás például), mint a vaskezű ellenőrzések.
Egyéb változások
Más téren radikálisan nem változik az adatok kezelésének módja, a felelősségi körök, általánosságban inkább jogharmonizáció megy végbe. Ezzel együtt azonban munkáltatóként ez jó alkalom arra, hogy áttekintsük a jelenlegi adatgyűjtési gyakorlatokat, felmérjük a cégben rendelkezésre álló adatvagyont, és megállapítsuk, hogy ebből mi ténylegesen szükséges, mi jelenthet kockázatot, mi az, amit lehet, hogy jogsértő módon gyűjtött és tárolt eddig a cég, akár teljesen szándékolatlanul is.
A céges eszközök használatával kapcsolatban például külön érdemes azt megnézni, hogy milyen megállapodások alapján használják azokat a munkavállalók vagy éppen alvállalkozók, és hogy azokon milyen adatok keletkeznek – főleg, hogy ezeket hogyan és miként tekinthetjük meg vagy tárolhatjuk adott esetben. Ha nincsen erről konkrét megállapodás, érdemes lehet ilyet fogalmazni akár a munkaszerződések részeként, akár külön megállapodásként.
Ha egy adott munkakör betöltéséhez orvosi alkalmassági vizsgálat szükséges, ez szintén speciális bánásmódot igényel, a GDPR szerint ugyanis az egészségügyi adatok különösen védett személyes adatnak számítanak. Arról tehát, hogy ezeket a munkavállaló törvényszerűen átvehesse, tárolhassa, azokba egyáltalán betekinthessen szintén külön megállapodást szükséges kötni.
A biometrikus adatok kezelését is érintik a változások, a lényeg itt annyi, hogy a munkavállalók jogaik védelme érdekében garanciákat kapnak, így az ilyen adatok kezelése csak akkor jogszerű, ha „a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy törvényben védett jelentős érdek súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna”, ha ez nem történne meg. Ha egyértelműen tisztázzuk, hogy miért van szükség a biometrikus azonosításra, emiatt nem kell aggódnunk – a gyakorlat alapján a KKV-k között egyébként is elenyészően kevesen élnek ezzel.
A bűnügyi adatok kezeléséről is esik szó: a törvényben pontosan meghatározzák, hogy milyen esetben férhet ezekhez hozzá a munkáltató, vagyis mikor ellenőrizheti, hogy valaki büntetlen előéletű-e. Erre akkor van lehetőség, ha a büntetett előélet miatt valaki nem láthatná el az adott munkát, nem tölthetné be a munkakört. Ez akkor lehetséges, ha a foglalkoztatás „a munkáltató jelentős vagyoni érdeke, törvény által védett titok, vagy lőfegyver, lőszer, robbanóanyag őrzésére, a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzésére, illetve a nukleáris anyagok őrzésére vonatkozó törvény által védett érdek sérelmének veszélyével járna.”
Mi a legfontosabb teendő?
A munkaügyi adatok tárolása külön szabályzatban legyen rögzítve, melyben a munkavállaló engedélyezi, és aláírásával ezt nyomatékosítja is, hogy a cég munkaügyért felelős munkatársai megismerhetik a személyes adatait, kezelhetik azokat (amire jellemzően a NAV, OEP és egyéb szervek felé történő adatszolgáltatások teljesítésekor kerül sor a gyakorlatban). Ezek az adatok jellemzően: név, születési hely és dátum, anyja neve, munkavállaló lakcíme, tartózkodási helye, TAJ száma, adóazonosító száma, végzettsége, bankkártyaszáma.
Amennyiben a bérszámfejtést külső cég végzi, természetesen annak is a GDPR szabályzatának megfelelően kell eljárnia. Ezt, bár nem a cég felelőssége, szintén nem árt ellenőrizni, azaz egyeztetni a könyvelő/bérszámfejtő céggel, hogy adott cég munkaügyi adatait ki kezeli, ki láthat bele, milyen formában biztosítja a külsős, megbízott cég az adatbiztonságot.
Ha a fent leírtakkal megvagyunk, akkor nincsen aggódni valónk - legalábbis ami ezeket a legutóbbi változásokat illeti.
Ezekről azonban mindenképpen érdemes egyeztetni a cég jogászával, könyvelőjével, és minden érintettel. A GDPR be nem tartása ugyanis nagyon is valóságos bírságokat vonhat maga után, Magyarországon is volt már példa arra, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) bírságot szabjon ki: egy hazai áramszolgáltatót már egymillió forintra büntettek azért, mert nem volt megfelelő a kamerakezelési gyakorlatuk. Persze, ez messze van a maximálisan kiszabható 10, illetve 20 millió eurós büntetésektől (ehhez kirívóan törvénysértő gyakorlatokat kellene folytatni), de biztosak vagyunk benne, hogy egyetlen hazai KKV sem szívesen fogadna egy akár csak pár milliós büntetést sem.
