GDPR “salátatörvény” és közvetlen hatásai

Az Európai Unió Általános Adatvédelmi rendelet, közismertebb angol nevén a GDPR 2018. május 25-én hatályba lépését követő alig egy év alatt a magyar adatvédelmi szabályokat is alaposan megváltoztatta, szinte egymást érték a közvetlenül alkalmazandó rendeletnek való megfeleléssel kapcsolatos adatvédelmi jogszabályváltozások. Ezek közül az eddigi legjelentősebb módosítás a több ágazati törvényt is érintő, GDPR salátatörvényként is emlegetett, 2019. április 26-án hatályba lépett 2019. évi XXXIV. törvény az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról.

A bevezetett változások elsősorban a munkáltatókra és a kereskedelmi szektorra vonatkozó magyar törvényeket érintik. A munkáltatók, ha ez indokolt volt, a munkavállalók személyiségi jogait eddig is korlátozhatták, de az új jogszabályi rendelkezések már szigorúbb tájékoztatási kötelezettséget írnak elő – a munkavállalót minden esetben előzetesen, írásban kell tájékoztatni, és a tájékoztatásnak ki kell terjednie ennek szükségességének körülményeire, a korlátozás módjára, feltételeire és várható tartamára.

A változások megteremtik annak jogi lehetőségét, hogy a munkaadók a munkavállalók bűnügyi személyes adatait is kezelhessék, pl. a Munka törvénykönyvének a 18 éven aluliak nevelésére, felügyeletére irányuló munkakörökre vonatkozó szabályai alapján, vagy ha ezt egyébként törvényi előírás (pl. ha a munkakör veszélyes áru vagy anyag őrzésére is kiterjed), vagy a munkáltató – előzetes érdekmérlegelési teszt alapján is alátámasztható – jogos érdeke kívánja meg. A különleges személyes adatnak minősülő bűnügyi adatok kezelésének feltételeit azonban előzetesen rögzíteni kell. Más szempontból viszont szűkül a munkáltató által kezelhető személyes adatok köre: a munkaviszony létesítéséhez kapcsolódó okiratok gyakorlatban megszokott lemásolása, tárolása helyett immár egyértelműen csak az okiratok bemutatása követelhető a leendő munkavállalótól, a rutinszerű okiratmásolást a jövőben már mellőzni kell.

Feladatot ad a törvénymódosítás azon munkáltatók számára is, akik munkavállalóik munkaviszonnyal kapcsolatos magatartását számítástechnikai, vagy más jellegű technikai eszközökkel figyelték – a mostani szabályozás alapján ilyen tevékenység csak akkor végezhető, ha erre a munkavállalót előzetesen írásban figyelmeztetik. Ha a megfigyelt számítástechnikai eszközt a munkáltató biztosítja, a megfigyelés kizárólag a munkaviszonnyal kapcsolatos adatokra terjedhet ki.

A munkavállalók vagy a vevők technikai megfigyelésének részeként elektronikus megfigyelőrendszer, biztonsági kamerák alkalmazása továbbra is megengedhető, azonban a megfigyelőrendszer már csak kizárólag magánterületen alkalmazható, ide nem értve a magánterületek közönség számára nyilvános részét, vagy a bérelt közterületeket (pl. az utca vagy a kávézó terasza már nem figyelhető meg). Könnyebbség ugyanakkor, hogy a kamerás megfigyelés korábbi merev szabályai pl. a rögzített felvételek megőrzése vagy a felvételkészítés megengedhetősége tekintetében lazultak, az adatkezelők a jogos érdek körében maguk határozzák meg a cél eléréséhez szükséges adatkezelési időtartamot. A jogos érdek fennállásának megállapításához az adatkezelőnek érdekmérlegelési tesztet kell végeznie, és annak eredménye alapján a megfigyelő kamerákat tovább lehet működtetnie, illetve le kell szerelnie. Társasházak és lakásszövetkezetek által alkalmazott kamerarendszerek esetében szigorodott a szabályozás: a belső kamerarendszer által készített felvételek megismeréséről jegyzőkönyvet kell készíteni.

A kereskedelmi vásárlók könyvével kapcsolatban korábban kisebb pánik alakult ki, hogy a GDPR módosítások miatt majd tömegesen kell új panaszkönyveket beszerezni, azonban ez alaptalannak bizonyult: az adatvédelmi gyakorlat akkor is helyes, ha a panasz megtételét követően – a panaszt tevő vásárló személyes adatait tartalmazó – a panaszbejegyzést a vásárlók könyvéből eltávolítják, és azt elkülönítve (más vásárlók vagy illetéktelen személyek által hozzá nem férhető helyen) a sorrendiség megőrzése mellett kell tárolni.

Bízunk benne, hogy a magyar vállalkozások szakavatott segítséggel könnyen eleget tudnak majd tenni az új adatvédelmi követelményeknek.

BALÁZS & KOVÁTSITS Ügyvédi Társulás