Amikor a szerződéseink ellenünk fordulnak GDPR szempontból
Jelen bejegyzésem a hatóság NAIH-4495-1/2021. számú határozatának értelmezését, és az azokhoz kapcsolódó gondolataimat tartalmazza. Úgy gondolom, hogy minden vezetőnek tanulságos, ahogy egy gondosan megírt szerződés, mely tartalmazza az alvállalkozónk ellenőrzésének módját is, az adatvédelmi feltételek hiányosságai miatt ellenünk fordul. Tapasztalatom szerint szinte minden cég rendelkezik olyan korábbi szerződésekkel, melyek a GDPR-nak még nem felelnek meg, és egy esetleges ellenőrzés, vagy panaszbejelentés során a cég ellen fordulhat ez a jogi konstrukció. Jelen határozat alapján igyekszem a hatósági határozatban ismertetett helyzetet rekonstruálni és a következtetéseket levonni. Úgy gondolom, hogy az egész ügy kiinduló pontja egy elküldött munkavállaló volt. Ráadásul, nem azé az adatkezelőé, aki a nagyobb büntetést kapta. A hatóság nem nevezte meg az adatkezelőket, csak Cég1 és Cég2-ként hivatkozik rájuk. A Cég1 alkalmazza a Cég2-őt mint alvállalkozót. A Cég1 közfeladatot ellátó szervezet, és a Cég2 ezen szervezet számára nyújt szolgáltatást, mely része a közfeladatot ellátó tevékenységének. A szolgáltatási szerződés részletesen kitér a Cég2 szolgáltatás teljesítésének ellenőrzésére. Itt a Cég1 kikötötte, hogy az ellenőrzés érdekében, a Cég1 hangfelvételt is alkalmazhat. A Cég1 igyekezett gondosan eljárni, és a szerződésükben, az ellenőrzéshez megfelelőnek tűnő eszközöket rendelni, mégis a szerződésből fakadó GDPR követelményekkel nem foglalkoztak a hatóság szerint megfelelően! A Cég2 munkavállalója, a szolgáltatás teljesítése során telefonon beszélt a Cég1 munkavállalójával. A Cég1 munkavállalójánál, a pozícióhoz tartozik a folyamatos telefonos hangrögzítés is. A telefonbeszélgetést követően, az ott elhangzottakat, a Cég1 nem megfelelő teljesítésnek ítélte. Erről tájékoztatta a Cég2-őt, aki megkapta a hangfelvételt is. A Cég2 a hangfelvétel alapján elbocsátotta a munkavállalóját, aki ezen szerepelt. A volt munkavállalója, mint az adatgyűjtésben érintett kikérte a hangfelvételt a Cég1-től, és azt követően a NAIH-hoz fordult panaszával. A hatóság a Cég2-őt elmarasztalta több szempontból is. A Cég2 megkötött egy szerződést, melynek része a másik cég által üzemeltetett hangfelvétel, és erről nem tájékoztatta a munkavállalóit. A Cég2, amikor megkapta a hatóság vizsgálati kérdéseit, azzal védekezett, hogy nem ő működteti a hangfelvételt, vagyis nem ő az adatkezelő. Azonban a megkapott hangfelvételt meghallgatta, és ez alapján elbocsátotta a munkavállalóját, vagyis az adott hangfelvétel szempontjából már adatot kezelt, adatkezelőnek minősült, mert az eredetileg a szerződés teljesítéséhez kapcsolódó minőség ellenőrzési célból Cég1 által készített hangfelvételt, egy eltérő célra, munkaügyi eljárásra is felhasználta. A Cég2-őt utasította ezért a hatóság, hogy hozza létre a szükséges adatkezelési dokumentációkat a hangfelvételek kezelésével kapcsolatban és arról tájékoztassa az Érintetteket. A hatóság a Cég1-et is elmarasztalta több szempontból is. A jogalap a hangfelvételek kezeléséhez nem volt megfelelő, mivel a közhatalmi, közfeladati jogosítvány helyett jogos érdekre hivatkoztak. Probléma volt továbbá a jogos érdekhez tartozó érdekmérlegeléssel is. Az érdekmérlegelés során nem került megvizsgálásra a hatóság szerint, hogy milyen alternatív, az Érintett jogait kevésbé sértő megoldással lehetne ugyan azt az adatkezelési célt elérni. Az adatkezeléshez kapcsolódó érintettek megfelelő tájékoztatása is alapvető, de a hatóság szerint ezt a Cég1 elmulasztotta a Cég2 és annak munkavállalói vonatkozásában. A hatóság itt egy későbbi tájékoztatás bizonyíthatóságára is felhívta a figyelmet. A fentiek alapján a Cég1-et és a Cég2-őt is a hatóság elmarasztalta és egyenként néhány százezer forint bírság megfizetésére kötelezte. Probléma lehet még a Cég2 számára, az elbocsátott munkavállaló esetleges további jogi lépései, mivel a kezében van egy olyan határozat, melyben elmarasztalták a Cég2-őt az elbocsátás során felhasznált adatok kezelésével kapcsolatban. Mit tanít nekünk a hatóság, a határozatával? Mire figyeljünk, hogy okosak legyünk és más kárán tanuljunk? A) Általánosságban kijelenthető, hogy rengeteg olyan szerződés hatályos még, amit a felek a GDPR rendelet hatályba lépése előtt kötöttek. Ezeket át kell tekinteni egyesével. Az alábbi szempontokra mindenképpen figyeljünk: Határozzuk meg azon adatokat, amiket a felek átadnak egymásnak, vagy hozzáférést biztosítanak. Határozzuk meg az időtartamot, feltételeket, amik alatt ez az adatátadási felhatalmazás érvényes a felekre. Rögzítsük az adatkezelő, adatfeldolgozó szerepköröket. Rögzítsük az utasítási és jelentéstevő személyeket és hogy melyik félnek mihez van joga és kötelessége. Rögzítsük, hogy a szerződés megszűnésekor, kinek és milyen határidőn belül, mi a feladata az átadott adatok és hozzáférések tekintetében. Rögzítsük kinek milyen kötelezettsége van egy ellenőrzés, jogérvényesítés, vagy incidens során. Rögzítsük az elvárt biztonsági intézkedéseket az átadott adatokkal, hozzáférésekkel kapcsolatban. A GDPR rendelet általános betartásának kötelezettsége írásba legyen foglalva. B) Vizsgáljuk meg, hogy milyen adatkezelésekre terjednek ki ezek a szerződések. Rendelkezünk az adatkezelési tájékoztatónkban ezekhez az adatkezelésekhez kapcsolódó dokumentációval és az egyéb szükséges dokumentumokkal? Ha valami kimaradt, sürgősen pótoljuk! C) Nézzük át, hogy bármelyik szerződésünk tartalmaz olyan különleges adatkezelést, melyre a másik fél közreműködője nem számíthat? Ezek tipikusan olyan automatizált adatgyűjtések, melyek a köznapi üzleti életben nem gyakoriak. Ilyen lehet: hangfelvétel, folyamatos speciális videófelvétel, folyamatos informatikai naplózások és adatgyűjtések, stb. Ezekre tipikusan nem számít egy érintett, és kötelességünk megfelelően tájékoztatni őket. Itt jegyezném meg, hogy általában ezen automatizált adatgyűjtések adatvédelmi hatásvizsgálati kötelezettséget is jelentenek. D) Biztosítsunk az Érintettek számára oktatást, tájékoztatást. A tájékoztatás elsődleges eszköze az adatkezelési tájékoztatónk. Így mindenképpen annak kell rendben lennie. A szerződésben az adatfeldolgozó vállaljon kötelezettséget az adatkezelő adatkezelési tájékoztatójának megismerésére, és az általa biztosított adatkezelésben közreműködő érintettek felé történő megismertetésére, átolvastatására. Ez a pont, minden adatkezelő számára fontos, mert egy Érintett az adatfeldolgozónkhoz is fordulhat jogérvényesítéssel. Ha pedig nem ismerik az adatkezelési tájékoztatónkat, úgy hogyan tud bármilyen, a GDPR-nak megfelelő választ adni az Érintett számára? E) Ha a szerződéseink miatt kapunk egy adatot, melyet nem a szerződés teljesítése érdekében szeretnénk felhasználni, úgy jól gondoljuk át, hogy az adott adat vonatkozásában adatkezelővé akarunk-e válni? Itt valószínűleg érdemes adatvédelmi szakértőt is igénybe venni! Így elsőre talán ez az öt pont és alpontjai nem tűnik soknak, vagy bonyolultnak, de egy komolyabb szervezet esetén, akár több száz ilyen szerződés is lehet, amit korrigálni, javítani szükséges, valamint áttekinteni az adatkezelési tájékoztató megfelelő részével együtt! A határozatot az érdeklődő a hatóság honlapján, az alábbi linken találhatja meg: https://naih.hu/hatarozatok-vegzesek?download=381:diszpecseri-munkakort-betolto-munkavallaloval-folytatott-telefonhivas-rogzitese Remélem segítettem írásommal, hogy ezt a kérdést tisztázzuk. Ha bármilyen kérdés lenne, örömmel állok rendelkezésére bárkinek! Üdvözlettel, Földvári György adatvédelmi szakértő Készült: 2021. június 3. Email: info@beszerzokozpont.hu , Adószám: 23913714-2-13 , Webcím: www.beszerzokozpont.hu Jelen írás a szerző a véleményét tükrözi a dokumentum készítésekor az adott időpontban, és nem tekinthető jogi állásfoglalásnak!
