A gibraltári adatvédelmi hatóság (Gibraltar Regulatory Authority, GRA) egy jól forgatható útmutatót adott ki 2021. decemberében a munkaviszonyhoz kapcsolódó adatkezelések kapcsán. (A gibraltári adatvédelmi hatóság már korábban is több, az adatkezelők számára komoly segítséget jelentő útmutatóval jelentkezett. Ezekről itt írtam korábban.)
Milyen témákat tárgyal az útmutató?
Az útmutató az alábbi nagyobb témákat járja körül:
- a munkáltatók, mint adatkezelők általános adatvédelmi kötelezettségei,
- toborzás és kiválasztás,
- munkaügyi nyilvántartások,
- munkavégzés megfigyelése,
- távmunkavégzés,
- munkavállalók jogainak gyakorlása.
Hogyan használjuk az útmutatót?
Az útmutató azért különösen hasznos, mert segít abban, hogy az általános adatvédelmi követelményeket a munkaviszony sajátosságaira tekintettel tudják alkalmazni az adatkezelők (munkáltatók). Természetesen az útmutató alkalmazása kapcsán figyelemmel kell arra lenni, hogy a GRA a Gibraltáron alkalmazandó jogszabályokra figyelemmel készítette el az útmutatóját, így egy magyar munkáltatónak az útmutatót a magyar jogszabályokra tekintettel szabad csak alkalmaznia. Ennek ellenére számos téma kapcsán hasznos segédlet lehet a NAIH 2016-os tájékoztatója és a WP29 vonatkozó véleményei, azaz a 2001-es Wp49 és a 2017-es Wp249 mellett. (A spanyol adatvédelmi hatóságnak (AEPD) is készült egy átfogó útmutatója a témában 2021-ben, amely jelenleg csak spanyol nyelven érhető el.)
Hogyan kezelhetők a munkavállalók által előterjesztett hozzáférési igények?
A hozzáférési igények kezelése a munkaviszonyban gyakran különösen komoly kihívást jelent. Egyrészt - a munkavállalókat érintő adatkezelések szerteágazó volta és terjedelme miatt - egyes esetekben nehezen teljesíthetők lehetnek az igények, másrészt harmadik felek érdekeit is jelentős mértékben érinthetik. Más esetekben pedig a hozzáférési jog gyakorlása a munkáltató működésére lenne hátrányos hatással (pl. a munkavállalóval folyamatban lévő tárgyalásokhoz kapcsolódó adatok, illetve a munkavállalók tervezett előmenetelére vonatkozó adatok esetében vagy a visszaélések, bűncselekmények megelőzése érdekében kezelt adatok tekintetében; lásd az útmutató 32-33. o.).
Az útmutató I. sz. függeléke egy folyamatábra segítségével mutatja be, hogy a munkáltatóknak milyen módon érdemes értékelniük, ha a munkavállaló hozzáférési igénye harmadik felek érdekeit is érintheti. Ilyen esetekben különösen körültekintően érdemes eljárni annak érdekében, hogy a munkavállaló hozzáférési joga se sérüljön, ugyanakkor a harmadik fél érdekei se szenvedjenek sérelmet. Utóbbira tekintettel felmerülhet az adatok részleges kiadása (akár egyes részek kitakarásával) vagy végső esetben, akár a hozzáférési igény megtagadása is (vö. GDPR 15. cikk (4) bekezdés).
Forrás: (25) Data Protection in the Employment Context - Guidance on the Gibraltar General Data Protection Regulation & Data Protection Act 2004 (21st December 2021, Guidance Note IR01/21), 37. o. [Az ábra az ICO által 2005-ben kiadott "The Employment Practices Code - Supplementary Guidance" c. dokumentumában megtalálható ábrán alapul. Lásd "The Eployment Practice Code - Supplementary Guidance", 40. o.]