Lépések a GDPR felé (3) – Milyen jogalapon kezelhetünk HR adatokat?

gdpr-hr-jogalapok2Korábbi cikkeinkben áttekintettünk néhány alapvető tudnivalót és alapelvet a GDPR-ral kapcsolatban.

Ebben a bejegyzésben azt nézzük meg, hogy milyen jogalapokat biztosít a GDPR az adatkezelésre – ismét kifejezetten a HR szemszögéből vizsgálva.

A GDPR rendelet összesen hat jogalapot határoz meg az adatkezeléssel összefüggésben, tehát valamelyiknek – vagy többnek – meg kell felelnünk annak érdekében, hogy a HR adatkezelése jogszerű legyen.

Hozzájárulás

Evidensnek tűnik, hogy ha az a személy, akinek az adatait kezeljük (vagyis az „érintett”) az adatkezeléshez hozzájárul, akkor nem lehet vitás az adatkezelés jogszerűsége. A GDPR szerint az adatkezelés jogszerű, ha az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez. Az érintett hozzájárulása akkor megfelelő, ha az az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. Ennek megfelel az aláírás vagy az elektronikus felületen kipipált „checkbox” négyzet is, a lényeg, hogy a hozzájárulásnak aktív cselekménynek kell lennie.

Az adatvédelmi gyakorlat alapján azonban óvatosan kell bánnia a HR-nek a hozzájárulással, ugyanis egy függő helyzetben (munkáltató – munkavállaló) a hozzájárulás önkéntessége erősen megkérdőjelezhető.

Szerződés teljesítése

Jogszerű az adatkezelés a GDPR szerint akkor is, ha az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. Tipikus példa erre a HR-ben a munkaszerződés vagy egyéb, a munkaviszonyhoz kötődő megállapodás (pl. tanulmányi szerződés, a tanulmányok eredménye).

gdpr-hr-jogalapok1

Jogi kötelezettség teljesítése

Jogszerű az adatkezelés, ha az az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. A HR folyamatokban túlnyomórészt ezzel a jogalappal találkozhatunk, hiszen a munkabérek számfejtése és kifizetése, az adó- és járulékbevallások mind jogszabályon alapulnak, mint ahogyan a kötelező munkaköri alkalmassági vizsgálat (üzemorvosi vizsgálat) ténye is.

Az érintett létfontosságú érdeke

A GDPR megfelelő jogalapként elfogadja azt az esetet is, amikor az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges. A HR tevékenységben ilyen lehet például egy adott egészségügyi kockázat, például a várandós nő foglalkoztatása kapcsán (megjegyzendő, hogy ilyen adatokat a munkáltató jogi kötelezettség alapján is kezelhet).

Közhatalmi jogosítvány gyakorlása

Jogszerű az adatkezelés, ha az közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges. A HR-re vetítve álláspontunk szerint szóba jöhet ennek kapcsán az az eset, amikor a munkáltató TB-kifizetőhelyként működik és ezen jogkörében tb-ellátásokról dönt (pl. üzemi baleseti táppénz). (Minden munkáltató, amely legalább 100 társadalombiztosítási ellátásra jogosult személyt foglalkoztat, köteles gondoskodni törvényben vagy kormányrendeletben meghatározott társadalombiztosítási és egyéb feladatok ellátásáról, ennek érdekében társadalombiztosítási kifizetőhelyet köteles létrehozni vagy e feladatok ellátására más, kifizetőhelyet fenntartóval megállapodást kötni.)

Jogos érdek

Végül jogszerű az adatkezelés, ha az az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.

A HR-re lefordítva ezt számos példa juthat eszünkbe, elég csak például a céges autóba épített GPS adatainak rögzítésére, tárolására gondolnunk, amelynek elsődleges célja a munkáltató vagyonának védelme, ugyanakkor nem kerülhető el, hogy a munkavállaló mozgását is rögzítse.

Ne felejtsük azt, hogy hiába volt jogalapunk egy adat kezelésre, ha annak célja már nem létezik – ilyen esetben az adat nem kezelhető tovább. Például a toborzás során megszerzett önéletrajz – kifejezett, meghatározott ideig történő megőrzésre adott érintetti hozzájárulás hiányában – törlendő, ha nem az illető pályázót vesszük fel.

Fontos, hogy a HR által kezelt minden egyes adat tekintetében meg tudjuk határozni legalább egy jogalapot, jelenlegi jogalapjainkat felülvizsgáljuk és szükség esetén módosítsuk.

Ha bővebben is érdekli, hogy milyen feladatai lesznek a HR-nek a GDPR-ral kapcsolatban, jöjjön el erre a rendezvényre.

Ha pedig cégére szabott, HR-t érintő felkészülésre vagy segítségre van szüksége, keressen minket.

2 thoughts on “Lépések a GDPR felé (3) – Milyen jogalapon kezelhetünk HR adatokat?

Hozzászólás