Blog
Blog » MIKOR KELL A MUNKAHELYEN HATÁSVIZSGÁLATOT VÉGEZNED A GDPR SZERINT?
MIKOR KELL A MUNKAHELYEN HATÁSVIZSGÁLATOT VÉGEZNED A GDPR SZERINT?
03 December 2018
GPS nyomkövetők vannak céges autóidban? Esetleg billentyűzet-, vagy egéraktivitás méréssel figyeled az otthonról dolgozó kollégák munkakedvét? Jobb, ha ezeket az eszközöket körültekintően használod, mert a NAIH legfrissebb iránymutatása szerint akár hatásvizsgálatra is szükséged lehet, ha meg akarsz felelni a GDPR-nek.
Mi az a hatásvizsgálat?
A hatásvizsgálat egy olyan elemzés, aminek az a célja, hogy feltárja az adatkezelés jellegét, szükségességét, arányosságát, és az esetleges kockázatok kezelését elősegítse azáltal, hogy értékeled ezeket a kockázatokat és a kezelésükre intézkedéseket határozol meg.
A GDPR nem határozza meg, hogy pontosan milyen vizsgálatról van szó, csak néhány utalást találhatunk, hogy mit kell szükségszerűen tartalmaznia:
- a tervezett adatkezelési műveletek módszeres leírását és az adatkezelés céljainak ismertetését, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;
- az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatát;
- az érintett jogait és szabadságait érintő kockázatok vizsgálatát; és
- a kockázatok kezelését célzó intézkedések bemutatását, ideértve a személyes adatok védelmét és a rendelettel való összhang igazolását szolgáló garanciákat, biztonsági intézkedéseket és mechanizmusokat.
Mikor van szükség ilyen vizsgálatra?
Alapvetően minden olyan esetben el kell végezned a hatásvizsgálatot, amikor az adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve. Ezzel kapcsolatban a GDPR tartalmaz némi részletező magyarázatot, de a megfogalmazása meglehetősen általános.
Gyakorlati példák
Ahhoz, hogy tudd, hogy a gyakorlatban mik is azok a magas kockázatú helyzetek, amikor szükség van hatásvizsgálatra, érdemes egy pillantást vetni a NAIH által közzétett listára, melyről jelen cikkünkben a munkavállalók megfigyelésével kapcsolatos helyzeteket foglaljuk össze.
- Pontozás különösen a munkahelyi teljesítményre, megbízhatóságra, viselkedésre, tartózkodási helyre vagy mozgásra vonatkozó jellemzők alapján, ha ez kihatással van a munkavállaló részére teljesítendő kötelezettségekre.
Ide tartozik például, ha a munkavállalók teljesítményét valamilyen számlálórendszerrel, vagy más eszközzel folyamatosan méred, és ezeket az adatokat később esetleges fizetésemeléshez, bónuszhoz vagy szerződésmódosításhoz, szerződésmegszüntetéshez felhasználod.
- Profilozás, ami alatt nagyszámú módszeres értékelést kell érteni a munkahelyi teljesítményre, megbízhatóságra, viselkedésre, tartózkodási helyre vagy mozgásra vonatkozó jellemzők alapján. Például a munkavállalók chipkártyája által a tartózkodási hely automata rögzítése annak ellenőrzése céljából, hogy a munkavállalók tesznek-e valami olyat, ami eltér a napi rutintól.
- Módszeres megfigyelés: munkavállalók nagyszámú és módszeres megfigyelése abban az esetben, ha az kamerarendszerek, drónok felhasználásával, illetve bármely más új technológia használatával (Wi-Fi tracking, Bluetooth tracking, testkamera) történik.
Itt fontos megjegyeznünk, hogy nem minden kamerás megfigyelésnél kötelező a hatásvizsgálat, csak ha az a munkavállalók nagyszámú és módszeres megfigyelésére alkalmas – jellemzően más azonosítóval együtt. Például ha a kamerák arcfelismerő vagy rendszámfelismerő funkcióval rendelkeznek.
- Helymeghatározási adatok kezelése, ha az módszeres megfigyelésre vagy profilalkotásra utal. Például, ha a munkavállalók által használt járműveket GPS berendezéssel látod el.
- Munkavállaló munkájának megfigyelése, ha a megfigyelés során a munkavállaló személyes adatainak nagyszámú és módszeres feldolgozása, illetve értékelése történik. Például kamerás megfigyelés lopás vagy csalás elleni fellépés céljából, vagy a munkavállalók internetes tevékenységének, e-mail levelezésének nyomon követése.
- Munkavállalókkal kapcsolatosan nagy számban kezelt adatok eredeti céltól eltérő kezelése. Például ha a munkavállalók munkaszerződés megkötésével kapcsolatosan megadott e-mail címét hírlevélküldésre is szeretnéd használni.
- Új technológiai megoldások használata az adatkezelés során. Ideértve az érzékelővel ellátott eszközök által előállított adatok interneten vagy más csatornán keresztül történő nagyszámú kezelése, és amelyek adatokat szolgáltatnak a természetes személy megbízhatóságára, viselkedésére, tartózkodási helyére, és amelyek alapján profilalkotás történik. Például a munkavállaló munkája során az egérhasználat követése annak ellenőrzésére, hogy mikor dolgozik.
A lista nem kimerítő, a rendeletben is szereplő „különösen” szóhasználat azt jelenti, hogy ne dőlj hátra, ha az adatkezelésed nem esik a fenti kategóriák valamelyikébe, mert magas kockázat esetén akkor is el kell végezni a hatásvizsgálatot, ha a fenti leírás közül egyik sem illik rád.
Mire jó ez az egész?
Egyrészt a hatásvizsgálat elvégzése megkönnyíti a GDPR előírásainak teljesítését, és egyben elszámoltathatóság szempontjából is fontosak, mivel ezzel bizonyíthatók a megfelelő intézkedések végrehajtása is.
Azt is érdemes észben tartani, hogy ha a kötelező hatásvizsgálatot elmulasztod, akkor közigazgatási bírságot szabhat ki a hatóság (10 millió Euro összegig terjedően), így ennek elkerülése sem egy utolsó szempont a hatásvizsgálat elvégzése.
Egy hatásvizsgálat összetett, bonyolult folyamat, és a helytelen elvégzése ugyanúgy bírsággal járhat, mintha nem is végezted volna el. Ezért javasoljuk, hogy ha felmerül benned, hogy a fentiek alapján szükséged lehet hatásvizsgálatra, mindenképpen szakembert keress meg annak lebonyolításához.
-
When should employers pay the consideration for non-compete obligation in Hungary?
The Hungarian Labour Code does not specify the due date of the consideration for non-compete obligation, which resulted in legal uncertainty. Based on the recent case law, the judiciary filled this gap with legal interpretation. In our article we summarize this recent development in Hungarian labour law practice.
Read more » -
ARBITRATION PROCEEDINGS IN HUNGARY
The Hungarian arbitration procedure, compared to the Hungarian state court procedure, is much simpler, less formal. However, it is still necessary to know these simpler procedural rules, to conclude the dispute successfully. Consequently, we summarize below the most important procedural principles and rules based on the Hungarian Arbitration Act and on the Rules of Procedure.
Read more » -
Can Parties Choose a Foreign Court in a Purely Domestic Transaction in the EU?
Can the parties domiciled in the same EU Member State conclude a choice-of-court agreement conferring jurisdiction on the court of another EU Member State in a purely domestic transaction? Should the choice of a foreign court be considered as a sufficient international element, in itself, to trigger the application of the Brussels Ibis Regulation? The CJEU decided this long-standing debate between subjectivist and objectivist approaches to “internationality” in a recent judgment.
Read more »