Ez évi első lapszámunkban megjelent cikk folytatásaként a következőkben bemutatjuk az Európai Parlament és a Tanács (EU) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i 2016/679 rendelet (általános adatvédelmi rendelet)[1] (a továbbiakban: Rendelet) IV-V. és VIII. fejezeteiben szabályozott egyes jogintézményeket, amelyek a hatályos magyar adatvédelmi jogi szabályozáshoz képest változást hoznak a foglalkoztatással összefüggő adatkezelések esetében is. Továbbá ismertetünk példálózóan egyes szabályozási tárgyköröket, amelyekben a speciális szabályok megalkotásának lehetősége a foglalkoztatási jogviszonyban különös jelentőséggel bírhat.
1. Az adatkezelőre és az adatfeldolgozóra vonatkozó egyes új rendelkezések
1.1. A közös adatkezelőkre vonatkozó követelmények
1.2. Az adatfeldolgozó igénybevételére vonatkozó egyes garanciák
2. Az adatkezelések kockázatalapú értékelése
2.1. Dilemmák az adatvédelmi tevékenységek nyilvántartása alóli kivételről
2.2. Dilemmák az adatvédelmi hatásvizsgálatról a foglalkoztatási jogviszonyban
3. A személyes adatok továbbításának szabályozása
4. Az adatvédelmi szabályok végrehajtását ösztönző egyes új rendelkezések
4.1. A panasztételhez való jog és a hatékony bírósági jogorvoslathoz való jog
4.2. A kártérítéshez való jog szabályozása
4.3. A képviselet szabályozása
4.4. A közigazgatási bírságokra vonatkozó rendelkezések
5. A foglalkoztatásspecifikus szabályozás jelentősége
Jelentős változás az irányelv szabályozásához képest, hogy a Rendelet IV. fejezete részletesen meghatározza az adatkezelő és az adatfeldolgozó feladatait és kötelezettségeit, és azokhoz kapcsolódóan új jogintézményeket vezet be. Az alábbiakban azokat emeljük ki, amelyek a foglalkoztatással összefüggő adatkezelések során relevánsak lehetnek.
A Rendelet szabályozza a közös adatkezelőket, amelyre vonatkozó követelmények az irányelvhez kapcsolódóan az adatvédelmi joggyakorlatban kerültek kimunkálásra.[2] Ezzel egyértelművé teszi, hogyha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek.[3] Eszerint például közös adatkezelőknek minősülhetnek a munkáltatók a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) 195. §-a szerinti több munkáltatóval létesített munkaviszonyban.
A foglalkoztatás egyes sajátos formáiban ugyanakkor kérdéses lehet, hogy a munkáltatók tekintetében a közös adatkezelőkre vonatkozó rendelkezések mennyiben alkalmazhatóak, úgymint például munkaerő-kölcsönzés esetén a kölcsönbeadó és a
- 15/16 -
kölcsönvevő, vagy kiküldetés esetén a kiküldő munkáltató és a fogadó munkáltató vonatkozásában, vagy az Mt. 53. § (1) bekezdése szerinti másik munkáltatónál történő foglalkoztatás esetén. Erre tekintettel a jogalkotónak célszerű felülvizsgálnia és szükség szerint pontosítania, hogy az atipikus foglalkoztatási formákban az adatkezelő munkáltatók mikor tekinthetőek közös adatkezelőnek.
Ezen túlmenően a jogalkotó speciálisan szabályozhatja a közös adatkezelők felelősségének megoszlását[4], amely elősegítheti azt, hogy közös adatkezelés esetén a felelősségi szabályok egyértelműek legyenek a közös adatkezelői minőség speciális jellegéhez igazodóan a foglalkoztatási jogviszonyban.
Kiemeljük továbbá, hogy a Rendelet az adatkezelők közötti megállapodás tekintetében tág teret ad a felek számára, azaz a közös adatkezelők a megállapodásuk tartalmáról a Rendelet keretei között szabadon rendelkezhetnek a rögzített garanciákra figyelemmel.[5] A fentiekben megjelölt speciális esetekhez kapcsolódóan, ugyanakkor a jogalkotó pontosíthatja e megállapodás szabályait is.
Hiánypótló jelleggel szabályozza a Rendelet 28. cikke az adatfeldolgozó kötelezettségeit és az igénybevételének feltételeit, az adatfeldolgozó tevékenységének ellátásához kapcsolódó alapvető garanciákat, valamint az adatkezelő és az adatfeldolgozó közötti szerződés vagy más jogi aktus tartalmi elemeit, amelyet az uniós jog vagy a tagállami jog szabályozhat. E rendelkezések alapvető jelentőséggel bírnak a foglalkoztatással összefüggő adatkezelések kapcsán is, ha az adatkezelő foglalkoztató adatfeldolgozót vesz igénybe.
Kiemelhetőek ezek közül az adatkezelő és az adatfeldolgozó közötti jogviszony szabályozására vonatkozó követelmények. A Rendelet az adatfeldolgozó által végzett adatkezelést uniós vagy tagállami jog alapján létrejött szerződés vagy egyéb jogi aktus alapján teszi lehetővé, amely köti az adatfeldolgozót az adatkezelővel szemben.[6] Ennek megfelelően szabályozhatja a jogalkotó az adatfeldolgozó és az adatkezelő közötti szerződést vagy rendelkezhet azok viszonyáról egyéb jogi aktus formájában. Így meghatározhatja az adatkezelés tárgyát és időtartamát, az adatkezelés jellegét és céljait, a személyes adatok típusát és az érintettek kategóriáit, figyelembe véve az adatfeldolgozóra az elvégzendő adatkezelés kapcsán háruló konkrét feladatokat és felelősségeket, az adatkezelő kötelezettségeit és jogait, valamint az érintettek jogait és szabadságait érintő kockázatot is.[7]
A Rendeletben példálózóan meghatározott - a szerződésre vagy más jogi aktusra vonatkozó - főbb tartalmi elemek világossá teszik az adatkezelő és az adatfeldolgozó kölcsönös együttműködésére és az adatfeldolgozó eljárásának jogszerűségére vonatkozó követelményeket, úgymint például az utasításhoz kötöttség, titoktartási kötelezettség, feladatok az adatbiztonság teljesítéséért, további adatfeldolgozó igénybevételének feltételei, az adatkezelő segítése, az adatkezelési szolgáltatásnyújtás minőségének és jogszerűségének biztosítása.[8] Ezen elvek és követelmények alapján a jogalkotó pontosíthatja és bővítheti a Rendeletben felsorolt tartalmi elemeket a foglalkoztatás terén, ha azt az adatfeldolgozók igénybevételéhez fűződő speciális körülmények indokolják.
Ezenkívül kiemelt jelentőséggel bír az adatfeldolgozó által további adatfeldolgozó igénybevételére vonatkozó garancia[9], valamint az a vélelem, amely szerint, ha egy adatfeldolgozó a Rendeletet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.[10]
A fentieken túl az adatvédelmi szabályok betartása és a felelősség megállapítása szempontjából a foglalkoztatási jogviszonyban is különösen jelentős a Rendelet 29. cikke, amely az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés kapcsán rendelkezik az adatkezelő utasításához való kötöttségről. Ennek tárgyában lehetőséget biztosít arra is, hogy a jogalkotó meghatározzon olyan esetkört, amelyben az adatkezelő utasításától való eltérés megengedett. A foglalkoztatási jogviszonyban erre tekintettel indokolt felülvizsgálni, hogy ilyen kivétel meghatározása indokolt lehet-e.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
