Öt pont az adatvédelemről

Öt pont az adatvédelemről

- a munkaviszony irányából szemlélve -

Adatvédelem a munkavállaló és a munkáltató szemszögéből?

For the English version please click here and scroll down

Ez is egy a témakörök közül, amelyek mozgalmassá teszik az idei januárt. Erre még nem gondoltál? Ne aggódj, mi megtettük helyetted és ezúttal is egy remek szakértő segít abban, hogy gyorsan átlátható legyen ez a témakör számodra, dr. Menyhárt Anna aki,adr. Fodor T. Gábor és Partnerei munkatársa. Vágjunk is bele!

Nézzük mi változott!

Ez év januárjában – éppen húsz évvel elődje, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló törvény megalkotását követően - lépett hatályba az új adatvédelmi törvény. Az új jogszabály elnevezésében is különbözik a régitől: a 2011. évi CXII. tv. az információs önrendelkezési jogról és az információszabadságról címet viseli, és elősegíteni hivatott az – ugyancsak idén életbe lépő - Alaptörvény VI. Cikkében foglalt alapjog érvényesülését, mely szerint mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez.

Összességében elmondható, hogy az új törvény a korábbihoz képest nem tartalmaz jelentős számú újdonságot - nagyobb részt követi a korábbi törvény rendszerét. Mégis vannak figyelemre méltó eltérések, melyeket érdemes kiemelni. Cikkünkben rövid áttekintést nyújtunk a legfontosabb változásokról, azok gyakorlati alkalmazásáról, különösen hangsúlyt helyezve a munkáltatókat és munkavállalókat potenciálisan érintő rendelkezésekre – foglalja össze Anna.

Öt pontban!

1.Az egyik legjelentősebb változás, hogy a jogérvényesítést a 2012. évtől kezdődően az adatvédelmi biztos helyett–eleget téve az Alaptörvény erre vonatkozó rendelkezésének-az ún.Nemzeti Adatvédelmi és Információs Hatóságszolgálja, független, autonóm államigazgatási szervként. Itt jegyezzük meg, hogy a részletesebb szabályozás mellett általánosságban szintén elmondható, hogy a törvény szigorúbb a korábbinál; erre utal többek közt, hogy a Hatóság által alkalmazható szankciók köre bővült, jogkörei az adatvédelmi biztoséival összehasonlítva szélesebbek - kezdi Anna, az első ponttal.

2.A legfőbb adatkezelési elv változatlanul a célhoz kötöttség elve, mely kiemelkedően fontos a gyakorlati alkalmazás szempontjából. Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető, mégpedig csak a cél megvalósulásához szükséges mértékben és ideig.

A célhoz kötöttség elvéből kiindulva - így például munkaközvetítés esetén - a cél megvalósulását követően (tehát amennyiben a munkavállaló kiközvetítése megtörtént), az adatkezelést meg kell szüntetni. Ez azt is jelenti, hogy a pályázók által rendelkezésre bocsájtott önéletrajzokat meg kell semmisíteni, ahhoz pedig, hogy egy esetleges újabb ajánlat kapcsán, jövőbeni kapcsolatfelvétel céljából a munkaközvetítő raktározza az adatokat, egyrészt a pályázó előzetes hozzájárulása, másrészt az önéletrajz-adatbázis nyilvántartásba történő bejelentése szükséges. Hasonlóképpen: egy állásinterjú lezárultát követően a felvételt nem nyert jelentkező adatait meg kell semmisíteni – ellenkező, kifejezett hozzájárulása hiányában.

Részben fentieket erősítik meg – mondja Anna - az alábbi adatvédelmi biztosi állásfoglalás következtetései, mely az álláshirdetésekkel, valamint a magán-munkaközvetítők tevékenységével kapcsolatban gyakorta felmerülő kérdések tekintetében ad iránymutatást. (Ugyan az idézett állásfoglalás a korábbi adatvédelmi törvényre hivatkozik, az abban foglaltak változatlanul irányadók a témában.)

A felvételi eljárás lezárultával, annak eredményéről tájékoztatni kell az érintett munkavállalót, kérelmére az általa megküldött személyes adatait vissza kell juttatni a részére, azok kezelését pedig meg kell szüntetni.

A fentiekből következik, hogy a jeligével, anonim módon feladott álláshirdetések eredményeképpen létrejövő adatkezelések, a jelentkező munkavállalók személyes adatok védelméhez való jogát korlátozzák, sértik. Az adatkezelésekről ugyanis az érintett nem kap tájékoztatást, így az az alkotmányos követelmény, miszerint az érintett a személyes adatainak kezelését nyomon követhesse, nem érvényesül, s mivel nem ismeri az adatkezelő személyét, nem képes érvényesíteni továbbá az Avtv. által az adatkezeléssel kapcsolatban biztosított egyéb jogait sem. (Ügyszám: 167/A/2006-3.)

3.Az adatkezelés továbbra is kétféle felhatalmazáson alapulhat - hozzájáruláson vagy jogszabály alapján (kötelező adatszolgáltatás). Újdonság azonban a törvényszövegbe illesztett vélelmek köre, melyek az adatkezelés jogalapjának meghatározásában némi zavart okoznak. Az új szabályok értelmében ugyanis, amennyiben az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, az érintett hozzájárulása hiányában is kezelhető a személyes adat. Ugyanez áll arra az esetre is, ha az adatkezelés az adatkezelő vagy harmadik személy jogos érdekeinek érvényesítése céljából szükséges, feltéve, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.

Ugyanezen logika mentén haladva - a vélelem másik oldala: amennyiben a személyes adat felvételéhez az érintett hozzájárulását már megadta, fenti indokok alapján további külön hozzájárulás nélkül, sőt: az érintett hozzájárulásának visszavonását követően is kezelhető az adat. Némiképp finomít a szövegen az az új rendelkezés, mely szerint kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.

A személyes adatok kezeléséhez történő hozzájárulást előzetes tájékoztatásnak kell megelőznie – hívja fel a figyelmünket Anna - az ezen kötelezettségre vonatkozó szabályozás a korábbinál részletesebb, így az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező, egyúttal az adatok kezelésével kapcsolatos minden tényről meg kell adni számára a tájékoztatást (az adatkezelés célja, jogalapja, időtartama; az adatok megismerésére jogosultak köre, jogorvoslati lehetőségek, stb.)

4.Az adatvédelmi nyilvántartásra vonatkozó szabályok részletesebbek a korábbihoz képest. Az adatkezelést – csak úgy, mint eddig - be kell jelenteni, most már a Hatóság nyilvántartásába, mely 8 napon belül intézkedik a nyilvántartás felől. A bejelentést megelőzően nem kezdhető meg adatkezelés. Országos hatósági-, munkaügyi- és bűnügyi adatállományok, pénzügyi szervezetek, közüzemi szolgáltatók és elektronikus hírközlési szolgáltatók új adatkezeléseit 40 napon belül veszi nyilvántartásba a Hatóság.

Bizonyos adatokra vonatkozó adatkezeléseket nem kell bejelenteni. Utóbbi körbe tartozik az adatkezelés, amely az adatkezelővel például munkaviszonyban, ügyfélkapcsolatban álló személyek adataira vonatkozik. Így a munkavállalókra vonatkozó adatokat a munkaviszony ideje alatt nem kell bejelenteni, ugyanakkor a munkaviszonyhoz közvetlenül nem kapcsolódó adatokat tartalmazó adatbázis kezelése bejelentésre szorul. Természetesen mindezek mellett az állásra pályázók adatait tartalmazó adatbázisról a célhoz kötöttség körében írtakat sem szabad figyelmen kívül hagyni. Egyelőre nem egyértelmű, tisztázatlan fogalom az „adatkezelővel ügyfélkapcsolatban álló személyek” köre.

Az új törvény értelmében a bejelentés díjköteles, ám ennek mértékéről egyelőre nem áll rendelkezésre információ, csak annyi bizonyos, hogy a díjtételek miniszteri rendelettel kerülnek majd megállapításra. A 2012. január 1-jét megelőzően megkezdett, de az adatvédelmi nyilvántartásba ezt az időpontot megelőzően be nem jelentett adatkezelések esetében adatkezelés csak akkor folytatható, ha a nyilvántartásba vételt 2012. június 30-ig kérelmezik.

5.Az új törvény új terminológiákat vezet be, egyes fogalmak pontosítását is elvégzi. Gondolunk itt többek között az „érintett” fogalmára, mely a korábbi törvényben is szerepelt, mégsem létezett annak megfelelő meghatározás - annak ellenére, hogy a törvény e kifejezést sűrűn használta szövegében. Az immáron az értelmező rendelkezések közé illesztett fogalom a jelenlegi törvényben is központi szerepet tölt be. Zárja az öt ponton átívelő gondolatmenetet Anna.

Fontos tehát, hogy ne felejtkezzünk e új kötelezettségeinkről és szenteljünk figyelmet ennek a témakörnek HR-esként, vezetőként és munkavállalóként is!

Ti hogy álltok ezzel a kérdéskörrel? Mi a véleményetek? Maradt még nyitott kérdés is, ugye? Akkor tegyétek fel, mi várjuk!

dr. Menyhárt Anna és a JAM csapata

------------------------------------------------------------------------------------------------

Five points on privacy protection

- from the perspective of employment relationship

Privacy protection as the employer’s and employee’s consideration?

This is also one of the topics which makes this year eventful. Haven’t thought about it yet? Don’t worry, we have, and again, an excellent expert, dr. Anna Menyhárt – a co-worker of dr. Gábor T. Fodor and Partners - helps you make this topic transparent. Let’s get it started!

Let’s see what’s changed!

This January – twenty years exactly after its predecessor, the Act of privacy protection and the publicity of data of common interest was created – the new privacy protection Act came into force. Even the name of the new act differs from the previous one: it is called „Act CXII. of 2011. on informational privacy and freedom of information”, and it is aiming to foster the enforcement of the fundamental right contained in art. VI. of the Constitution – also entered into force this year – according to which everyone has the right to the protection of personal data, and the cognition and propagation of data of common interest.

All in all, the new Act does not contain a significant amount of novelties compared to the previous one; it mainly sticks to the system of the „old” act. Still, there are some remarkable amendments worth to emphasize. In this article, we provide a short revision of the main changes, including their practical application – with special regards to the provisions potentially affecting employers and employees – summarizes Anna.

Let’s see it through five points!

1.    One of the most significant changes is that – aiming to fulfill the provisions of the Constitution - the enforcement of rights  is laid upon the National Privacy Protection and Information Authority instead of the responsible ombudsman from this year on, being an independent, autonomous administrative body. We have to remark that – besides the more detailed rules - the act is stricter than the previous one; this can be seen from the wider range of sanctions applicable by the Authority, its authorities are wider, compared to that of the ombudsman’s – starts Anna with point 1.

2.    The main principle of privacy policy is still the principle of purpose limitation, which is extremely important in practical application. Personal data shall be managed for limited purposes only, in favour of exercising rights and fulfilling obligations, only until the realization of the purpose and to the necessary extent.
Based on the principle of purpose limitation – for instance, in case of work placement – by the purpose realized (so when the employee is successfully placed to a certain workplace) the data management shall be ceased. That means, all the CV-s provided by the candidates shall be destroyed, and, if in connection with a possible, new offer the recruitment agency wishes to store the datas, two things needed: the candidate’s prior approval, and the registration of the CV-database. In the same way, after a job interview, the data of the unsuccesful candidates shall be destroyed – except if the candidate gives his/her explicit approval.

The conclusions of the ombudsman’s resolution cited below reinforce the above – says Anna – which provides guidelines regarding questions frequently arising related to vacancies and the activities of private-recruitment. (However, the cited resolution refers to the previous act, the conclusions are still governing.)

After the recruitment process, the employee concerned shall be informed about its results, his/her personal data shall be given back upon the candidate’s request, and the data management shall be ceased.

The data management derived from vacancies published by mottos or/and in an anonimized form, constitutes a limitation on- even a breach of the candidates’ rights to privacy protection. The person concerned does not get information about the data management, thus the constitutional requirement – that the person concerned shall be able to follow the process of data management – does not prevail. Moreover, as the data manager is unknown, the person concerned is not able to enforce any additional rights deriving from the act.) (Case no. 167/A/2006-3.)

3.    There are still two bases of data management. The authorisation can be based either on approval or upon law (mandatory data provision). The newly added presumptions complied in the act are a bit confusing when determining the legal basis of data management. According to the new rules, in case the approval of the person concerned is unobtainable, or getting the approval might be associated with a high expense, and the data management is aiming to fulfill a legal obligation related to the data manager, the data is allowed to be managed even without the approval of the person concerned. The same rules apply for the case when the data management is aiming to enforce the data manager’s or a third person’s  legitimate interest, provided that the enforcement of this interest is proportional to the limitation of the right to privacy protection.

The other side of the presumption is quite similar to the above: In case the person concerned has already given his/her approval for providing the personal data, based on the above reasons, no further approval is needed, the data is free to be managed, moreover: even after the person concerned revoked the approval. Making the text a bit smoother, in case of doubt it is presupposed that the person concerned has not given the approval.

A prior notification shall preceve the approval  - Anna draws our attention on that – the regulations related to this is more detailed than  they used to be, namely the person concerned shall be informed about the basis of the data management, and about all the necessary information (the purpose, legal basis, period of data management; the persons entitled to get to know the data, remedies, etc.)

4.    The rules applying for privacy protection register are more detailed. The data management shall still be registered, from this year on at the Authority’s register, which takes the appropriate measures within eight days. The data can not be managed prior to registration. The Authority registers the new data managements of national authorities, industrial- and criminal databases, financial institutions, public utility providers and electronic telecommunications service providers within 40 days.

In some cases, data management is not needed to register. For instance, data management related to people employed by data managers, or in customer relations. Thus there’s no need to register the data related to employees during the employment relationship. However, the management of databases indirectly connected to employment relationship shall be registered. It is, of course,  important to consider also the notification written above about the principle of purpose limitation related to the database containing the data of candidates. For the time being, „people being in customer relationship with the data manager” is an unclear notion, which needs to be clarified.

According to the new Act, the registration is subject to a fee, however, there is no information about the exact measures yet. It is certain that the fees are to be determined by a ministerial decree. The data management commenced but not registered in the privacy protection registration before 1st January, 2012., can only be continued in case a claim for registration filed no later than 30st June, 2012.

5. The new Act introduces new terminologies, and even makes certain notions clear. For instance, the notion of „person concerned”, which is found in the previous act, too, yet no adequate definition had been provided – despite the act frequently used the phrase in its text. The expression already incorporated in the explanatory provisions plays a certain rule even in the act newly came to force. Says Anna, finishing the line of thinking summarized in five points.

So it is important not to forget about our new obligations written above, and consider this topic as a HR specialist or a leader!

Dr. Anna Menyhárt and the JAM