Adatvédelem, Adatkezelés, GDPR, Info törvény és még sok más jogszabály, Adatkezelés, mit értünk sze

Az egészségügyi adat, különleges személyes adat. A betegségekből való felgyógyulás és a védettség ténye egészségügyi adat. A jogalapok közül választási lehetőséget ad a jogalkotó az adatkezelő számára.

Az érintett kifejezett hozzájárulása mellett jogszerű, vagy

az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkért jogai gyakorlása érdekében szükséges, vagy

az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges.

A betegségből való felgyógyulás és a védettség ténye egészségügyi adat, azaz különleges személyes adat:

A munkajogi, munkavédelmi, foglalkozás-egészségügy és munkaszervezési céllal,

Objektív szempontok alapján elvégzett kockázatelemezés alapján,

Egyes munkakörökben illetve munkavállalói körben indokolt esetében,

Szükséges és arányos lehet,

Élet és egészség védelme,

Munkáltatói kötelezettségek teljesítése,

közérdek szolgálata.

Adatkezelőnek célszerű a fentieket átgondolva meghatározni a belső szabályrendszerét.

Javasolt az adatkezelőnek az elveket sorbavenni, ezért a

célhoz kötöttség elvét ismerve, a munkáltatónak meg kell tennie a szükséges intézkedéseket, valós és tényleges cél elérése érdekében, a védettséggel kapcsolatos információkat tartalmazó applikáció vagy védettségi igazolvány megismerésén kívül más adat nem gyűjthető és kezelhető.

Az elszámoltathatóság elvére minden adatkezelési szakaszban fontos figyelemmel lenni.

Az adattakarékosság elve ismeretében csak olyan adat kezelhető, amely a cél megvalósításához elengedhetetlenül szükséges és az arányos. 

A szükségesség elve okán az adatkezelőnek munkakörönként kell a felmérést elvégeznie.

Az arányosság elve ismeretében csak bemutatásra lehet kérni, másolat tárolása, továbbítása nem szabályos.

A munkáltató továbbra sem kötelezheti a munkavállalót a koronavírus-védettségi igazolvány bemutatására, ezáltal a vakcina igénylésére sem. Ugyanakkor ettől a hónaptól már kiállítják az igazoltan koronavírus-ból felgyógyultaknak és a vakcinázáson átesett magyar állampolgároknak a védettségi igazolványt. Az igazolvány felmutatását - szakértők szerint - csak az olyan munkakörök esetén kérheti a munkáltató, ahol a munkavégzés során találkozhat vírussal fertőzött személlyel, vagy országhatáron átnyúló feladat teljesítést végez a munkavállaló. Az igazolványról fénymásolat készítése, összhangban a NAIH korábbi iránymutatásával tilos, de az igazolvány sorszámának rögzítése a személyes adatok közé már nem. A részletszabályokról a jogalkotó még nem döntött, ezért az igazolvány további adatainak munkáltatói nyilvántartásba vétele (pl. vakcina típusa, beadás dátuma, helyszíne, immunitás szerzésének időpontja...) nem javasolt, azaz egyértelműen nem támogatott, mert objektíven nem lehet megtámogatni, megvédeni egy esetleges vizsgálati eljárás során.

A munkavállaló biztosítja a munkáltatót, hogy a munkavállaló tudomására jutott személyes és üzleti adatokat nem teszi hozzáférhetővé a családtagok, hozzátartozók és más személyek részére.

Az otthoni munkavégzés során az adatkezelési szabályzatban rögzített eljárásoktól, szabályoktól eltérő személyes adatkezelés tilos.

Adatkezelési incidens gyanújának észlelése során úgy kell eljárni, mintha a munkavégzés a munkáltató székhelyén, telephelyén történt volna.

Zsaroló e-mailek, üzenetek, levelek esetén a munkavállaló értesíti a munkáltató képviseletét ellátó vezetőjét. A munkavállaló minden további intézkedéstől tartózkodik.

Fontos gondolni az információbiztonsági előírások fokozott betartására, valamint a munkavédelem szabályainak az érvényre jutatására is. Egyes gazdasági szervezetek az otthoni munkavégzésről szóló szabályokat (munkavédelem, információbiztonság, adatkezelés) egy dokumentumban foglalják össze.

A munkavállalótól kizárólag olyan személyes adatok kérhetők és tarthatók nyilván, továbbá olyan munkaköri orvosi alkalmassági vizsgálatok végezhetők, amelyek a munkaviszony létesítéséhez, fenntartásához és annak megszüntetéséhez, és amelyek a munkavállaló személyhez fűződő jogit nem sértik. 

A munkáltató a foglalkoztatási szerződés teljesítéséhez az alábbi adatokat kérheti:

- név,

- születési név,

- születési ideje,

- anyja neve,

- lakcíme,

- állampolgársága,

- adóazonosítása,

- TAJ száma,

- nyugdíjas munkavállaló esetén a törzsszám

- telefonszám,

- e-mail cím,

- személyi igazolvány, jogosítvány, útlevél száma,

- lakcímet igazoló hatósági igazolvány száma,

- bankszámlaszáma,

- munkába lépésének kezdő (befejező) időpontja,

- foglalkoztatás munkaköre,

- munkakör betöltéséhez szükséges iskolai, szakmai végzettség(ek),

- önéletrajz,

- munkabér összege, az ezzel kapcsolatos egyéb adatok (pl. levonások, átutalások, végrehajtás alá eső összegek).

Egyes munkáltatók az új diagnosztikai lehetőségek, genetikai vizsgálati módszerek ismeretében olyan tesztek végzését ösztönzik az új munkavállalók vagy meglévő kollégáikkal kapcsolatosan, amelyek valószínűsítik a jövőbeli betegségek adott személynél való megjelenését. A nyomásgyakorlást a jogalkotó megtiltotta a munkáltatóknak, amennyiben mégis megtörténik ez a vizsgálat, nem szabad megkérdezni, megszerezni vagy felhasználni egy más indok alapján végzett genetikai vizsgálat eredményeit.

A gazdasági társaság által megbízott alkalmassági vizsgálatot ellátó üzemorvos által a családtagok súlyos betegségeinek orvosi vizsgálatát érintő kérdéseit sem kell megválaszolnia a kérdezettnek. Amennyiben a munkavállaló önként ad a családtagjairól információkat, nem szabad azokat felhasználni.

A munkavédelem és egészségvédelem esetén kivételes esetekben szigorú feltételek mellett engedélyezett a genetikai vizsgálat a felvételt megelőző orvosi alkalmassági vizsgálat részeként.

A munkavállalók az orvosi alkalmassági vizsgálatra való beutalót írásban kapják meg. A beutaló birtokában mehetnek a leendő munkáltató által megnevezett üzemorvoshoz, aki a munkavállaló által betöltendi kívánt munkakörhöz igazítja az orvosi alkalmassági vizsgálatot. Ennek több szintje van, előfordul olyan munkakör is, ahol a vérvétel mellett széklet vizsgálatot is végeznek az alkalmassági vizsgálat során. A legtöbb esetben az egy évnél nem régebbi tüdőszűrő lelet, vagy annak igazolása mellett pár perces vizsgálat után az üzemorvos aláírja a munkavállaló orvosi alkalmassági tesztjét, azaz munkára alkalmasnak találja. 

A jelenlegi helyeztben az új munkavállalók esetében eltekintenek az üzemorvosok a tüdőszűrő lelet bemutatásától, azaz a vészhelyzet elmúltát követő 15 nap türelmi időt kapnak az ebben az időszakban új munkahelyre felvételt nyert alkalmazottak. 

Ez egy olyan engedmény, amelyről tudnunk szükséges és éljünk vele.

A koronavírussal kapcsolatosan megjelent NAIH állásfoglalás értelmében: a munkavállaló bejelentés útján tájékoztathatja a munkáltatóját, ha olyan helyen járt, ahol már megjelent a vírus. Ugyanakkor, ha a munkáltatóban ilyen gyanú fogalmazódik meg, akkor a munkavállalóját akár kérdőív útján kikérdezheti a meglátogatott országokról, időpontokról valamint a munkavállaló beazonosításához szükséges személyes adatok megadását is kérheti. Ezt követően a munkáltató biztosíthatja az üzemorvoshoz fordulás lehetőségét, vagy a munkavállaló önkéntes otthoni karanténba vonulását is engedélyezheti. A NAIH egyértelműen  megfogalmazza, hogy a munkáltató egészségügyi dokumentáció becsatolását nem írhatja elő, azonban a munkavállaló egészséges állapotára vonatkozó igazolás felmutatását nem tiltja. A munkáltató számára munkajogi előírások írják elő azon kötelezettségét, mely szerint minden munkavállaló számára egészséges és biztonságos munkavégzési körülményeket kell biztosítania.

A munkavállalónak a foglalkoztatási jogviszonyból eredő együttműködési kötelezettségéből, valamint a jóhiszeműség és tisztesség elvéből következően tájékoztatnia kell az őt foglalkoztató szervet, ha olyan személlyel került kapcsolatba, aki potenciálisan fertőző betegség tüneteit mutatta, vagy egyéb kockázatról van tudomásuk, ideértve a saját potenciálisan fertőző megbetegedésük fennállásának veszélyéről. Ez a kötelezettség nem mond ellent a GDPR elveivel és az abban foglalt cikkekkel.

a vészhelyzet kihirdetése szerte Európában megtörtént a járvány megjelenése miatt. Ez az a helyzet, ami lehetőséget biztosíthat az állampolgárok szabadságjogainak korlátozására. Ennek a korlátozásnak arányosnak kell lennie és csupán a vészhelyzet idejére érvényesek. A munkáltatók, gazdasági tásaságok abban az esetben követelhetik meg az alkalmazottaktól vagy a látogatóktól a konkrét egészségügyi információkat korona vírussal kapcsoaltosan, ha erre a nemzeti jogszabály megengedi, írja az Európai Adatvédelmi Tanács. Ugyanakkor azt is tartalmazza az uniós állásfoglalás, hogy a munkáltatóknak tájékoztatniuk kell a személyzetet a koronavírusos esetekről és védőitnézkedéseket kell tenniük, de a szükségesnél több információt nem szabad átadniuk. A munkáltatók a munka megszervezése céljából gyűjthetnek személyes információkat, de ezeknek meg kell felelniük a nemzeti jogszabályoknak. DE jelenleg erre vonatkozó nemzeti jogszabály még nem született.

Adott egy mezőgazasági gépet értékesítő cég. A cég a gép betanításáról a vevő alkalmazottjának kép- és hangfelvételét marketing célból rögzítené, ezért már a ingóság adsávételi szerződésében kiköti, hogy a vevő hozzájárul a munkavállaló kép-és hangfelvétel jövőbeni felhasználásához.

A vevő alkalmazottjának kép- és hangfelvételéről érvényes jognyilatkozatot a vevő nem tehet. A munkavállaló kérheti a hangjának eltorzítását, valamint az arcának elmaszkolását jelen esetben. Továbbá az értékesítő cég külön kérhet a magánszemélytől írásban hozzájárulást az adatkezeléshez, megfelelő és bizonyított tájékoztatást követően. A magánszemély bármikor visszavonhatja a hozzájárulását, ez a nyilatkozat csak a jövőbeni adatkezelésre van hatással.

A koronavírussal kapcsolatosan megjelent NAIH állásfoglalás értelmében: a munkavállaló bejelentés útján tájékoztathatja a munkáltatóját, ha olyan helyen járt, ahol már megjelent a vírus. Ugyanakkor, ha a munkáltatóban ilyen gyanú fogalmazódik meg, akkor a munkavállalóját akár kérdőív útján kikérdezheti a meglátogatott országokról, időpontokról valamint a munkavállaló beazonosításához szükséges személyes adatok megadását is kérheti. Ezt követően a munkáltató biztosíthatja az üzemorvoshoz fordulás lehetőségét, vagy a munkavállaló önkéntes otthoni karanténba vonulását is engedélyezheti. A NAIH egyértelműen  megfogalmazza, hogy a munkáltató egészségügyi dokumentáció becsatolását nem írhatja elő, azonban a munkavállaló egészséges állapotára vonatkozó igazolás felmutatását nem tiltja. A munkáltató számára munkajogi előírások írják elő azon kötelezettségét, mely szerint minden munkavállaló számára egészséges és biztonságos munkavégzési körülményeket kell biztosítania.

A munkavállalónak a foglalkoztatási jogviszonyból eredő együttműködési kötelezettségéből, valamint a jóhiszeműség és tisztesség elvéből következően tájékoztatnia kell az őt foglalkoztató szervet, ha olyan személlyel került kapcsolatba, aki potenciálisan fertőző betegség tüneteit mutatta, vagy egyéb kockázatról van tudomásuk, ideértve a saját potenciálisan fertőző megbetegedésük fennállásának veszélyéről. Ez a kötelezettség nem mond ellent a GDPR elveivel és az abban foglalt cikkekkel. 

1./ Érintett jogai

Minden magánszemélyt megilleti az ún. érintetti jogok, amelyek az alábbiak:

- hozzáférési jog,
- helyesbítési jog,
- törléshez való jog ("az elfeledtetéshez való jog"),
- adatkezelés korlátozásához való jog,
- adathordozhatósághoz való jog,
- tiltakozáshoz valójog.

1.a/ Az elsővel, a hozzáférési joggal szeretném kezdeni az alábbiak szerint:

- az érintettnek joga van túlzott késedelem vagy költség nélkül, érthető formában, korlátozás nélkül, észszerű időközönként hozzáférni az adatkezelő által az érintettről kezelt személyes adatokhoz. Például a munkáltatónkhoz, a házi orvosunkhoz fordulhatunk ilyen kéréssel. Ha kiskorú gyermekünk személyes adatainak kezelésére vagyunk kíváncsiak, mint a szülői felügyeletet gyakorló szintén feltehetjük a kérdéseinket az oktató-nevelő intézethez, természetesen a jogosultságunk igazolását követően.

- Olyan információkhoz juthatunk ezáltal, ami az adatkezelés lényegét foglalja össze, tehát milyen célból, mely adatokat, mennyi időtartamig kezeli a megkérdezett adatkezelő; mely címzetthez juttatták el vagy fogják a jövőben eljuttatni a kezelt adatokat. Az érintett  a saját adatai vonatkozásában  pontatlanság esetén helyesbítéshez való jogával vagy panasz benyújtási jogával is élhet.

- Amennyiben nem az érintettől származnak a róla és vele kapcsolatosan kezelt adatok, akkor a forrás tekintetében is nyilatkoznia kell az adatkezelőnek.

- Az adatkezelő az első tájékoztatásért nem, de a további másolatokért az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel.

1.b/ Érintett jogai közül a hozzáférési joggal foglalkoztunk fentebb, most a helyesbítésről szeretnék bővebben, de gyakorlatiasan beszélni.

Az  érintett pontatlan személyes adatainak a helyesbítését vagy a hiányosan rögzített személyes adatok kiegészítését értjük ez alatt a helyesbítési jogosultság alatt. Ez utóbbira, csak kiegészítő nyilatkozat birtokában lehetséges. Nyilatkozattal szemben vannak korlátok, be kell tudni azonosítani a kérelmező személyt, a cél egyértelmű legyen és mások jogaira és szabadságaira nézve nem jelenthet veszélyt a nyilatkozat tartalma.

1.c/ A törléshez való jog, más néven elfeledtetéshez való jog alatt az adatkezelő késedelem nélkül törölni szükséges a személyes adatokat, ha például az érintett visszavonja a korábbi hozzájárulását vagy tiltakozik az adatkezelés ellen. Ez utóbbi helyzet áll például elő, ha a  munkavállaló például a céges gépjárművel engedély birtokában magáncélra is használja, azonban a helymeghatározó rendszer folyamatosan  működik, nem lehet a működését felfüggeszteni, kikapcsolni azt.

Kivételeket megfogalmazott a jogalkotó ezzel az érintetti joggal összefüggésben, tehát a személyes adatok további megőrzése - érintetti kérelem ellenére - jogszerű, ha az a véleménynyilvánítás és a tájékozódás szabadságához való jog gyakorlásához szükséges, vagy például népegészségügy területét érintően közérdekből az adatkezelő nem köteles a személyes adatok törlésére. 

1.d/ Az érintetti jogok közül az adathordozhatóságról szeretnék röviden szólni. Adatkezelő a nála kezelés alá tartozó személyes adatokat tagoltan, sokak által ismert és használt, géppel olvasható formátumban köteles az érintett személy kérésére eljuttatni. Amennyiben technikailag megvalósítható, abban az esetben kérheti az érintett az adatkezelőjétől a személyes adatainak a továbbítását más adatkezelő részére is. Itt is figyelemmel kell lenni, hogy az adathordozhatósághoz való jog gyakorlása nem lehet hátrányos mások jogaira és szabadságaira.

(Az adatok hordozhatóságának továbbítását gátló tényezők lehetnek például a közhatalmi jogosítványt birtokló szervezetek, például a helyi önkormányzatok, de a szakigazgatási szervek is.)

1.e/ Az érintett tiltakozhat a személyes adatainak kezelése ellen. Persze itt is vannak kivételek, például ha az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amely megelőzi az érintett érdekeit, jogainak és szabadságainak érvényrejutását. Ilyen ok lehet például az ingyenes céginformációs rendszerben a képviseletre jogosult személyes adataink nyilvánosságra hozatala. Az érintett tiltakozhat például a közvetlen üzletszerzés érdekében végzett adatkezelés ellen,  a marketing célú adatkezelésre gondolok, amely megvalósulhat ajánlatok e-mailben történő elküldésével, sms-ben vagy szóróanyag formájában. (Bizonyos kedvezmények  biztosítása a marketing célú levélhez csatolva már nem ellentétes a GDPR szabályaival, elveivel, ha az érintett lemondja a körlevél iránti igényét.) 

A személyes adatokat is tartalmazó dokumentumok archiválása, amennyiben tudományos és történelmi kutatási vagy statisztikai célból történik, összhangban áll a GDPR-rel.

1. ppt

Internet-bankolás, sociál média, oktatási-egészségügyi intézmények, okos eszközök használata.

Adatbiztonság elérése: jelszavak ne a családtagok neveiből álljanak össze vagy a születési dátumokból; ne legyen külön papíron elérhető a jelszó, pinkód vagy belépési kód.

2. ppt

Tanulmányi eredménnyel kapcsolatos (1,1 mértékű romlás)

Tanuló  mulasztásával kapcsolatos adatok továbbítása

Gyakorlati szintvizsga,

Családi helyzettel kapcsolatos információkhoz való hozzáférés,

Tanuló tanulmányi eredményével kapcsolatos információk közlése (17 éves)

3. ppt

Érdekesség: mi a különbség az ujjnyomat és az ujjlenyomat között? Az ujjnyomat az ember ujjának valamely felületen hagyott nyomata; az ujjlenyomat az ember  ujjának 360 fokos körbeforgatásával készített minta.

5. ppt

Erkölcsi bizonyítvány igénylése

Kamerahasználat magáncélból

Csomagátvizsgálás 

6.  ppt

Marketing célú levelek 

Tömegrendezvények 2020.01-től nincs felmentés, 25 ezer fő vagy afölötti résztvevők esetén

7. ppt

8. ppt

Döntések, bíróság, nemzetközi kitekintés

Német Alkotmánybíróság döntése – büntetett előéletű emberről is törölni kell az előéletére vonatkozó adatokat

Magyar Google is az adatvédelemre hivatkozik

Kamera használat bírságolása

Magán e-mailekhez hozzáférés miatti bírságok 1-5 millióig

Elveszett pendrive- lévő adatok „5 millió forintot értek”

9. ppt

Ingatlan adásvételét követően a lakásbiztosítás lemondása érdekmúlásra való hivatkozással lehetséges.

Az érdekmúlás alátámasztása történhet elektronikusan vagy személyes a biztosító kapcsolattartójánál.

Az írásos dokumentumok átadása során legyünk figyelemmel arra a tényre, hogy az adásvételi szerződés nagyon sok személyes adatot tartalmaz, a másik oldalon lévőkét is, akik még tiltakozni sem tudnak…….!

Csapatmunka, de a kritikus tényező még mindig a munkavállaló!

ISO során, az auditor 20-30 percig kérdezgeti az általa kiválasztott munkavállalót a személyes adatok kezelésének helyi gyakorlatáról, az általános ismérvekről.

 Az Szvtv. (személy-vagyonvédelmi-magánnyomozói tevékenységről szóló 2005. évi CXXXIII. tv) 26. § (1) bekezdése szerint: „A vagyonőr a megbízó közterületnek nem minősülő létesítményének őrzése során jogosult:

a) a területre belépő vagy az ott tartózkodó személyt kiléte igazolására, a belépés, illetőleg a tartózkodás céljának közlésére, jogosultságának igazolására felhívni, ennek megtagadása vagy a közölt adatok nyilvánvaló valótlansága esetén – a megbízó eltérő rendelkezésének hiányában – az érintett belépését, ott-tartózkodását megtiltani, és távozásra felszólítani;

b) a területre belépő vagy onnan kilépő személyt csomag, illetve menet-, szállítási okmány bemutatására felhívni;

c) a területen tartózkodó vagy onnan kilépő személyt – a 28. § rendelkezései szerint – csomagja tartalmának, járművének, valamint a szállítmánynak bemutatására felhívni; 9 d) a jogsértő személyt magatartása abbahagyására felhívni; e) elektronikai vagyonvédelmi rendszert alkalmazni; f) a területre belépők ellenőrzésére fegyver-, illetve robbanóanyag-kutató műszert alkalmazni és a közbiztonságra különösen veszélyes eszközök bevitelét megtiltani.”

Az Szvtv. 28. § (1) bekezdése alapján: „A vagyonőr a csomag tartalmának, jármű és szállítmány bemutatására a szerződésből fakadó kötelezettségei érvényesítése céljából, a tervezett intézkedése okának és céljának közlése mellett akkor hívhat fel, ha

a) megalapozottan feltehető, hogy az érintett bűncselekményből vagy szabálysértésből származó olyan dolgot tart magánál, amelynek őrzése a vagyonőrnek szerződésből fakadó kötelezettsége;

b) e dolgot a felszólítás ellenére sem adja át; és

c) az intézkedés a jogsértő cselekmény megelőzése, megszakítása érdekében szükséges.”

A vagyonőri feladatot ellátó személy a megrendelő (nevezzük "B Kft"-nek) munkavállalói vonatkozásában szabályosan nem végezhet alkoholtesztet. Amennyiben a "B Kft." arra feljogosított vezető beosztású, vagy a "B Kft." által kinevezett munkavállalója kezdeményezi a "B Kft." által foglalkoztatott munkavállaló esetében alkoholszondás vizsgálatot; a vagyonőri feladatot ellátó (nem "B Kft." alkalmazásában álló) alkalmazott/egyéni vállalkozó, csupán tanúként írhatja alá a vizsgálatról felvett jegyzőkönyvet. Kontrolladatként sem fújhatja meg az alkoholszondát a vagyonőr, ahhoz is a "B Kft." munkavállalói  közül szükséges valakit kijelölni. Amennyiben az alkoholszonda eredményét vitatja a "B Kft." munkavállalója, a vérvétel helyszínére szintén a"B Kft." munkavállalója-vezetője kísérheti el. Amennyiben a "B Kft." úgy dönt, hogy vérvétel helyett fizetett vagy fizetés nélküli szabadságra küldi aznapra az elszíneződött alkoholszondát fújó "B Kft." munkavállalóját, ez már a munkáltatói jogkör gyakorlóját illető jog, nem része az alkoholszonda vizsgálatról készített jegyzőkönyvnek.

A 25 ezer fő vagy afölötti rendezvényen résztvevők személyes adatait (nevét, állampolgárságát, születési idejét, nemét, arcképmását, személyi azonosításra alkalmas igazolványát és az azt kibocsátó állam, hatóság megnevezését) a tömegrendezvény befejezésének időpontjától 90 napig kezelheti a rendezvény szervezője. Ez a szabály a múlt év derekán lépett hatályba, de felmentést kérhettek 2019. december 31-éig, ez év január 1-jétől viszont már minden szervezőnek számolnia kell ezzel a kötelezettséggel. A  jogalkotó a bűnmegelőzési, titkos információgyűjtés, terrorizmus elleni okokra hivatkozva fogadta el az új szabályt. Ez a sportrendezvényekre, fesztiválokra is alkalmazandó előírás.

A múlt évtől kezdődően a munkavállaló foglalkoztatásával kapcsolatos (szolgálati idő, nyugellátás megállapításául szolgáló jövedelemigazolások) dokumentumokat, az adott munkavállalóra irányadó öregségi nyugdíjkorhatár betöltését követő 5 évig őrzik meg azon vállalkozások, amelyek társadalombiztosítási nyilvántartás vezetésére kötelezettek. /A negyven (32 szolgálati) év után kedvezményes nyugdíjazást igénylő hölgyek esetén is igaz az előbbi állítás./ Amennyiben a vállalkozás jogutód  nélkül szűnik meg és nem gondoskodott a bejelentési vagy megőrzési kötelezettségéről, a volt tulajdonosra terhelhetik a mulasztási bírságot.

Biometrikus adatok közé tartozik többek között egy magánszemély hangja, ujj- és tenyérlenyomata, retina mintázata, vagy az adott egyénre jellemző jellegzetes szófordulat, vagy járás, testtartás, de akár az illető fül mérete, testaránya is.

Az a természetes személy, akinek személyes adatát vagy adatait kezeii gazdasági társaság, szervezet vagy magánszemély.

A kezelés alatt a személyes adattal történő műveleteket értjük. Ez lehet feldolgozás, továbbítás, gyűjtés, .... is.

cloud computing: a számos, naponta bővülő informatikai szolgáltatást felölelő gyűjtőfogalomnál a szolgáltatások közös jellemzője, hogy azt nem a felhasználó számítógépe, hanem egy távoli szerver biztosítja.

A leggyakoribb felhő alapú szolgáltatások az internetes levelezőrendszerek, tárhelyek, fejlesztő környezetek, virtuális munkaállomások.

Felhő alapú informatika-alapon működnek például a milliók által használt internetes levelező rendszerek (pl.: Gmail),  vagy az online tárhelyek (pl.: Dropbox).

Fontos előny, hogy az ügyfél gazdaságosan és személyre szabottan juthat informatikai rendszerhez, anélkül, hogy az ehhez szükséges drága beruházásokra költenie és a rendszerek fenntartásához szükséges személyzetet alkalmaznia kellene.

A felhő alapú informatika azonban számos adatvédelmi-adatbiztonsági kérdést vet fel. A felhasználó által feltöltött adatok ugyanis folyamatos mozgásban vannak, amelyről a felhasználó nem értesül. Több szolgáltatás esetén a szolgáltatást nyújtó saját, főleg marketing, céljaira is felhasználja az ügyfél személyes adatait. A  szolgáltató a világ minden pontján igénybe vesz alvállalkozókat, akik az ügyfél tudta nélkül dolgozzák fel az adataikat. Több alkalmazás esetén az adatok a felhőből csak nehézkesen menthetők le, így a felhasználó csak komoly anyagi terhek árán tud a felhő alapú szolgáltatástól szabadulni.

A cégvezetők klasszikus hozzáállása mentén gondolkodva, még mindig jobban megbíznak a nem felhő alapú szolgáltatásokban. Természetesen a fizikai mentéseket követő véletlen adatvesztés, vagy szándékos károkozás okozta károk enyhítése után, már változik a cégvezetők hozzáállása is.

Több NAIH határozat született ebben a tárgykörben, ezért a munkáltatók számára a legegyszerűbbnek tűnő döntés, ha az adatkezelési szabályzatukban megtiltják a munkavállalók számára a céges mailek magáncélú használatát.

A munkáltatók számára jogalapot nem a jogi kötelezettség vagy a szerződéses kötelezettség nyújthat a munkavállalók e-mailfiókjába történő belenézésre, hanem a jogos érdek. A jogos érdeket meg kell, hogy előzzön az érdekmérlegelési teszt végzése. Az e-mailfiók ellenőrzése, a tartalomhoz való hozzáférés, az archiválás, a tájékoztatás, mind mind olyan téma, amelyre gondolnia kell a munkáltatónak 

Fontos, hogy végiggondolja, melyik munkakört betöltő alkalmazott levelezésére lehet szüksége és milyen esetekben a munkáltatónak, ha a munkavállalói távozás következik be. Fontos, hogy keretet szabjon az archiválás utáni betekintésre jogosult vagy jogosultak számára, esetkörre vonatkozóan is. 

Mi a helyzet az üzleti titok kérdésével az ilyen esetekben?

Mire kell gondolnia a munkáltatónak, ha mégis úgy dönt, hogy engedi a munkavállalónak a céges mail magáncélú használatát? Kettő adatkezelésről van-e szó? Milyen időtartamra terjedhet visszafelé az e-mailfiók ellenőrzése, az abban való kutatás? 

Milyen eljárást kell folytatni egy fegyelmi felelősségre vonás miatti e-mail fiók ellenőrzése során? 

A munkáltató és a munkavállaló együtt gyűjti le a magáncélú maileket, vagy a munkavállaló egyedül hajtja végre a feladatot?

Hogyan oldják meg, hogy egy már a munkahelyéről távozó egykori alkalmazott vagy meghatalmazott képviselője jelen legyen a fiók ellenőrzése során? Mi a helyzet az adhoc jellegű és sűrgős betekintés eseteinél? A munkáltatónak van-e joga önállóan belenézni a fiókba, ha az egykori munkavállaló nem elérhető, nem jelentkezik, de a munkáltató érdeke megkívánja a fiókba való betekintést?

Minden esetben adminisztrálni szükséges az e-mailfiókba történő ellenőrzést, kutatást. 

Számos kérdés, gondolat, amire a munkáltatónak figyelemmel szükséges a saját belső rendjét kialakítani.

• Munkáltatói hiányosságok
• az adatkezelő vállalkozás adatkezelési szabályzataiban leírtak és a tényleges adatkezelési gyakorlat összhangjának hiánya,
• az adatkezeléshez való hozzájárulást nem megfelelően kérte el az adatkezelő vállalkozás az érintettől,
• nem volt tisztázott a munkahelyi vagy munkavállalói számítástechnikai eszközök magánhasználatának engedélyezése vagy tiltása
• adatkezelés lényeges körülményeiben beállt változások bejelentése
• munkavállalók nem megfelelő tájékoztatása az adataik kezeléséről

Újabb munkáltatót kötelezett a NAIH mulasztási bírság (700 ezer forint) kifizetésére, a nem megfelelő és bizonyítható tájékoztatás hiánya miatt, valamint a munkavállalók nem megfelelő, azaz indokolatlan, vagyonvédelmi célon felüli megfigyelése miatt.

A 37 fő adminisztratív munkavégzése nem indokolja a kamerahálózat munkáltató általi működtetését, hiszen a személyek élet és biztonsága az ellenőrzött munkahelyen nincs közvetlen életveszélyben.

A munkáltatók számára a NAIH állásfoglalást adott ki, melyben kihangsúlyozta, hogy munkakörönként vagy foglalkoztatotti személyi körönként kell felmérést végezni, mely esetekben szükséges a COVID elleni vakcinázás megtörténtének igazolása.  Olyan munkakörökben, ahol a megfertőződés esélyesebb, mint egy szociális intézményben, kórházi épületben, ott szükséges annak a ténynek az ismerete, adatnak a kezelése, hogy az ott dolgozó munkavállaló védettséget élvez. Az üzemeltetés, a takarítás területén egyértelműen indokoltnak tűnik a vakcina igazoláson szereplő adatok kezelése, vagy majd a kifejlesztett applikáció által kezelt adatok ismerete.

A hatályos jogszabályok szerint az egészségügyi adatok kezelése tilos, de például szerződés teljesítése érdekében jogalap lehet a munkáltatónak az ilyen szenzitív adatok kezelésére. Azokon a munkaterületeken, ahol fontos lehet a védettség bizonyítása, ott tudjuk megindokolni és alátámasztani az indokoltságot. Természetesen ott sem minden korlát nélkül, tehát olyan beosztással, munkaköri leírással rendelkező munkatárs nem tartozik oda, aki például otthoni munkavégzéssel segíti a szerződésben foglaltak teljesülését, nem tudjuk megindokolni a vakcinázás igazolását, bizonyítását.

A szükségesség, arányosság mellett tehát az elszámoltathatóságnak is meg kell tudnia felelni a munkáltatóknak, tehát a megfelelő tájékoztatásnak meg kell előznie az adatok kezelését, és ezt utólag a munkáltatónak bizonyítani is szükséges.