Hiába alkalmazandó már lassan egy éve a GDPR, még nincs vége az általa hozott újításoknak. Azért, hogy a magyar szabályozás összhangban álljon az európai uniós adatvédelmi rendelettel, 2019 áprilisában az úgynevezett GDPR salátatörvény keretében több, mint 80 jogszabályt módosított a hazai jogalkotó. A módosítások érintik a munka világát is: lássuk, miként módosult a Munka Törvénykönyve a GDPR-ral összefüggésben!
GDPR és a magyar jog
Napjainkban az információs társadalom térnyerése és a rohamos technológiai fejlődés miatt fokozottan merül fel a személyes adatok védelmének kérdése. 2016-ban szemtanúi lehettünk az európai uniós adatvédelmi szabályozás reformjának, amely fontos előrelépést jelent a személyes adatok hatékony védelme felé. Hosszas jogalkotási folyamat eredményeképp 2016. május 25-én lépett hatályba, és 2018. május 25-től alkalmazandó az Európai Unió általános adatvédelmi rendelete (General Data Protection Regulation, GDPR).
Bár korábban is létezett EU-s adatvédelmi szabályozás – a 95/46 EK irányelv – szükségessé vált a szabályozás felülvizsgálata és megreformálása, így a GDPR felváltotta a korábbi adatvédelmi irányelvet. Ennek oka, hogy a rohamos technológiai fejlődés és a globalizáció új kihívásokhoz vezetett az adatvédelem területén is, valamint a személyes adatok gyűjtése sokkal kifinomultabbá és kevésbé kimutathatóvá vált. Továbbá az is problémaként merült fel, hogy az irányelv nem érte el a kívánt harmonizációs hatást, és így a tagállamok szabályozásai sok esetben különböztek. [1] Szükségessé vált tehát az adatvédelmi reform annak érdekében, hogy az EU a 21. században is megfelelőképpen tudja biztosítani a személyes adatok védelmét.
A korábbi, irányelv formájában történő szabályozás helyett ezúttal a rendeleti forma mellett döntött az EU-s jogalkotó, egységesítve az uniós adatvédelmi jogot. [2] Bár a rendeletek közvetlenül alkalmazandóak – azaz anélkül, hogy a tagállamok azt valamiképp átültetnék a saját jogrendszerükbe – mégis szükségessé vált bizonyos magyar jogszabályoknak a módosítása. Ennek oka, hogy bizonyos esetekben a GDPR maga ad felhatalmazást a tagállamoknak arra, hogy részletesebben rendezzenek egy-egy kérdést. Ezen területek közé tartozik többek között a foglalkoztatással összefüggésben folytatott adatkezelés.
GDPR salátatörvény
A GDPR 88. cikke lehetővé teszi a tagállamoknak, hogy részletesebb formában rendezzék „különösen a munkaerő-felvétel, a munkaszerződés teljesítése céljából, ideértve a jogszabályban vagy kollektív szerződésben meghatározott kötelezettségek teljesítését, a munka irányítását, tervezését és szervezését, a munkahelyi egyenlőséget és sokféleséget, a munkahelyi egészségvédelmet és biztonságot, a munkáltató vagy a fogyasztó tulajdonának védelmét is, továbbá a foglalkoztatáshoz kapcsolódó jogok és juttatások egyéni vagy kollektív gyakorlása és élvezete céljából, valamint a munkaviszony megszüntetése céljából.”
Ez azt jelenti, hogy – mivel egységes EU-s munkajog sem létezik – a tagállamok között bizonyos eltérések lehetnek a munkahelyi adatkezelések szabályozásában. A tagállamoknak értesíteniük kell a Bizottságot az e téren elfogadott rendelkezésekről, amely kötelezettségének Magyarország kis késéssel ugyan, de eleget tett, megjelölve a Munka Törvénykönyvének (a továbbiakban: Mt.) vonatkozó szakaszait.
A GDPR-ral kapcsolatos törvénymódosításokat a 2019. évi XXXIV. törvény az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról tartalmazza, amelyet 2019. április 11-én hirdettek ki a Magyar Közlönyben és a cikk megjelenésekor a vonatkozó rendelkezések már hatályba is léptek. Az úgynevezett GDPR salátatörvény több, mint 80 jogszabályt módosít, köztük a munka világában előforduló adatkezelésről szóló rendelkezéseket tartalmazó Mt.-t is.
GDPR és a Munka Törvénykönyve
Bár az Mt. eddig is rendelkezett a felek személyiségi jogainak a védelméről, tartalmazott rendelkezéseket a nyilatkozatok és alkalmassági vizsgálatok megtételéről, valamint a munkavállalók megfigyeléséről, ezt nem részletekbe menően tette. Az adatkezelések és megfigyelések részletes szabályait a korábbi adatvédelmi biztos, valamint az őt 2012-ben felváltó Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) dolgozta ki a gyakorlatában.
A 2019. április 26-án hatályba lépő változásokkal ez a helyzet részben megváltozott. A GDPR salátatörvény ugyanis jelentősen módosította az Mt.-t, amely változások közül a cikk a legjelentősebbekre hívja fel a figyelmet. A módosítás érintette A személyiségi jogok védelme című részt, illetve nagyban bővítette a személyes adatok kezelésére vonatkozó szabályokat. Különösen fontos, hogy az Mt. immár tartalmaz egy Adatkezelés elnevezésű alcímet, benne a legfontosabb szabályokkal.
Az újítások közé tartozik, hogy a munkavállalótól a kezelhető személyes adatok körében csak okiratnak a bemutatása kérhető, ezen okiratok tárolására, fénymásolására nem lehet szükség, elegendő azok bemutatása és a szükséges adatok feljegyzése. [3]
Újdonságként jelenik meg, hogy az Mt. immár kifejezetten rendelkezik a biometrikus adatokról, valamint a bűnügyi személyes adatokról. A 11. § (1) értelmében „a munkavállaló biometrikus adata az érintett azonosítása céljából abban az esetben kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy törvényben védett jelentős érdek súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna.”
Bűnügyi személyes adat – azaz erkölcsi bizonyítvány – abból a célból kezelhető, hogy vizsgálják, hogy törvény vagy a meghatározott egyéb feltételek szerint a munkáltató a betölteni kívánt vagy a betöltött munkakörben nem korlátozza vagy nem zárja-e ki a foglalkoztatást. [11. § (3)]
Fontos változás, hogy az Mt. immár expressis verbis kimondja, hogy a munkavállaló a munkáltató által a munkavégzéshez biztosított számítástechnikai eszközt kizárólag a munkaviszony teljesítése érdekében használhatja. Ettől a felek megállapodással eltérhetnek. A munkáltató továbbra is ellenőrizheti a használatot, melynek keretében csupán a munkaviszonnyal összefüggő adatokba tekinthet be.
Ha tetszett a cikkünk, kövess minket Facebookon is!
Hivatkozások:
[1] De Hert, P. and Papakonstantinou, V. (2012) ‘The proposed data protection Regulation replacing Directive 95/46/EC: A sound system for the protection of individuals’, Computer Law and Security Review, 28(2), p. 131.
[2] Az irányelv és a GDPR közötti legfőbb különbségekről lásd bővebben: Lukács, A. (2017) ‘Adatvédelmi irányelv és rendelet, avagy hogyan változott a közösségi oldalakra vonatkozó szabályozás az Európai Unió adatvédelmi reformjával?’, in Homoki-Nagy, M. and Hajdú, J. (eds) Ünnepi kötet dr. Zakar András c. egyetemi tanár 70. születésnapjára. Szeged: Szegedi Tudományegyetem Állam- és Jogtudományi Kar, pp. 125–139.
[3] https://www.adatvedelmiszakerto.hu/2019/03/szavaz-a-haz-a-gdpr-salata-torvenyrol/