MIKOR KELL A MUNKAHELYEN HATÁSVIZSGÁLATOT VÉGEZNED A GDPR SZERINT?

03 December 2018

GPS nyomkövetők vannak céges autóidban? Esetleg billentyűzet-, vagy egéraktivitás méréssel figyeled az otthonról dolgozó kollégák munkakedvét? Jobb, ha ezeket az eszközöket körültekintően használod, mert a NAIH legfrissebb iránymutatása szerint akár hatásvizsgálatra is szükséged lehet, ha meg akarsz felelni a GDPR-nek.

Mi az a hatásvizsgálat?

A hatásvizsgálat egy olyan elemzés, aminek az a célja, hogy feltárja az adatkezelés jellegét, szükségességét, arányosságát, és az esetleges kockázatok kezelését elősegítse azáltal, hogy értékeled ezeket a kockázatokat és a kezelésükre intézkedéseket határozol meg.

A GDPR nem határozza meg, hogy pontosan milyen vizsgálatról van szó, csak néhány utalást találhatunk, hogy mit kell szükségszerűen tartalmaznia:

• a tervezett adatkezelési műveletek módszeres leírását és az adatkezelés céljainak ismertetését, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;
• az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatát;
• az érintett jogait és szabadságait érintő kockázatok vizsgálatát; és
• a kockázatok kezelését célzó intézkedések bemutatását, ideértve a személyes adatok védelmét és a rendelettel való összhang igazolását szolgáló garanciákat, biztonsági intézkedéseket és mechanizmusokat.

Mikor van szükség ilyen vizsgálatra?

Alapvetően minden olyan esetben el kell végezned a hatásvizsgálatot, amikor az adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve. Ezzel kapcsolatban a GDPR tartalmaz némi részletező magyarázatot, de a megfogalmazása meglehetősen általános.

Gyakorlati példák

Ahhoz, hogy tudd, hogy a gyakorlatban mik is azok a magas kockázatú helyzetek, amikor szükség van hatásvizsgálatra, érdemes egy pillantást vetni a NAIH által közzétett listára, melyről jelen cikkünkben a munkavállalók megfigyelésével kapcsolatos helyzeteket foglaljuk össze.

• Pontozás különösen a munkahelyi teljesítményre, megbízhatóságra, viselkedésre, tartózkodási helyre vagy mozgásra vonatkozó jellemzők alapján, ha ez kihatással van a munkavállaló részére teljesítendő kötelezettségekre.

Ide tartozik például, ha a munkavállalók teljesítményét valamilyen számlálórendszerrel, vagy más eszközzel folyamatosan méred, és ezeket az adatokat később esetleges fizetésemeléshez, bónuszhoz vagy szerződésmódosításhoz, szerződésmegszüntetéshez felhasználod.

• Profilozás, ami alatt nagyszámú módszeres értékelést kell érteni a munkahelyi teljesítményre, megbízhatóságra, viselkedésre, tartózkodási helyre vagy mozgásra vonatkozó jellemzők alapján. Például a munkavállalók chipkártyája által a tartózkodási hely automata rögzítése annak ellenőrzése céljából, hogy a munkavállalók tesznek-e valami olyat, ami eltér a napi rutintól.
• Módszeres megfigyelés: munkavállalók nagyszámú és módszeres megfigyelése abban az esetben, ha az kamerarendszerek, drónok felhasználásával, illetve bármely más új technológia használatával (Wi-Fi tracking, Bluetooth tracking, testkamera) történik.

Itt fontos megjegyeznünk, hogy nem minden kamerás megfigyelésnél kötelező a hatásvizsgálat, csak ha az a munkavállalók nagyszámú és módszeres megfigyelésére alkalmas – jellemzően más azonosítóval együtt. Például ha a kamerák arcfelismerő vagy rendszámfelismerő funkcióval rendelkeznek.

 

• Helymeghatározási adatok kezelése, ha az módszeres megfigyelésre vagy profilalkotásra utal. Például, ha a munkavállalók által használt járműveket GPS berendezéssel látod el.
• Munkavállaló munkájának megfigyelése, ha a megfigyelés során a munkavállaló személyes adatainak nagyszámú és módszeres feldolgozása, illetve értékelése történik. Például kamerás megfigyelés lopás vagy csalás elleni fellépés céljából, vagy a munkavállalók internetes tevékenységének, e-mail levelezésének nyomon követése.
• Munkavállalókkal kapcsolatosan nagy számban kezelt adatok eredeti céltól eltérő kezelése. Például ha a munkavállalók munkaszerződés megkötésével kapcsolatosan megadott e-mail címét hírlevélküldésre is szeretnéd használni.
• Új technológiai megoldások használata az adatkezelés során. Ideértve az érzékelővel ellátott eszközök által előállított adatok interneten vagy más csatornán keresztül történő nagyszámú kezelése, és amelyek adatokat szolgáltatnak a természetes személy megbízhatóságára, viselkedésére, tartózkodási helyére, és amelyek alapján profilalkotás történik. Például a munkavállaló munkája során az egérhasználat követése annak ellenőrzésére, hogy mikor dolgozik.

A lista nem kimerítő, a rendeletben is szereplő „különösen” szóhasználat azt jelenti, hogy ne dőlj hátra, ha az adatkezelésed nem esik a fenti kategóriák valamelyikébe, mert magas kockázat esetén akkor is el kell végezni a hatásvizsgálatot, ha a fenti leírás közül egyik sem illik rád.

Mire jó ez az egész?

Egyrészt a hatásvizsgálat elvégzése megkönnyíti a GDPR előírásainak teljesítését, és egyben elszámoltathatóság szempontjából is fontosak, mivel ezzel bizonyíthatók a megfelelő intézkedések végrehajtása is.

Azt is érdemes észben tartani, hogy ha a kötelező hatásvizsgálatot elmulasztod, akkor közigazgatási bírságot szabhat ki a hatóság (10 millió Euro összegig terjedően), így ennek elkerülése sem egy utolsó szempont a hatásvizsgálat elvégzése.

Egy hatásvizsgálat összetett, bonyolult folyamat, és a helytelen elvégzése ugyanúgy bírsággal járhat, mintha nem is végezted volna el. Ezért javasoljuk, hogy ha felmerül benned, hogy a fentiek alapján szükséged lehet hatásvizsgálatra, mindenképpen szakembert keress meg annak lebonyolításához.