B. Tóth Ferenccel, az IQOM üzletfejlesztőjével, GDPR-szakértővel beszélgettem.

É.: Mennyire felkészült a HR-szakma a GDPR szempontjából? A direktíva már 2016-ban tudott volt, két év felkészülési idő után, 2018-tól kötelezővé vált. Mennyire sikerült a cégeknek alkalmazkodni hozzá?

F.: A GDPR elsősorban azoknak jelent újdonságot, akik nem használták, vagy nem ismerték az Info törvényt. Az Info törvény Magyarországon EU-s viszonylatban is egy elég szigorú törvényi intézkedés, és aki az Info törvényt használta és betartotta, annak a GDPR sok újdonságot nem hozott.

Fontos tudni, hogy két dologról beszélünk. Az egyik a törvénynek való megfelelés céljából elkészített szabályzatok, a másik a mindennapos alkalmazás. A GDPR-útmutatók elkészítése egy dolog, az azokban foglaltak betartása, alkalmazása egy másik. Szerintem a legnagyobb kérdés tehát nem az, hogy a GDPR-szabályzatokat elkészítették-e a cégek jogászai, hanem hogy ki és hogyan alkalmazza ezeket.

A GDPR akkor probléma egy szervezetnél, ha a személyes adatokkal visszaélnek, vagy olyan emberekhez kerülnek, akikhez nem kéne, esetleg az adat elvész, megsemmisül és így tovább. Tehát valójában nem az a fontos, hogy a törvénynek megfelelően valaki csinál egy szabályzatot, hanem hogy miképpen használja a hétköznapokban. Sokkal fontosabb az, hogy a cégek ezt alkalmazás szintjén bevezették-e, és hogy erre mennyire van felkészülve a HR-szakma.

Ha egyszerűen akarok fogalmazni, akkor csekély mértékben, ha szofisztikáltabban, akkor vannak cégek, ahol erre jobban odafigyelnek. De a cégek többségénél erre még mindig nem figyelnek kellőképpen.

É.: A HR az a terület, ahol szinte kizárólag személyes adatokkal foglalkoznak. Mi számít személyes adatnak?

F.: A személyes adat az, amit egyértelműen kötni lehet egy személyhez. A HR-eseknek fel kell ismerniük ezeket, és általában nagy biztonsággal fel is ismerik.

Ha a munkatársakat munkatársi azonosítókkal tartják nyilván, és ahhoz kötnek adatokat, és ugyanazon rendszeren belül megállapítható, hogy egy munkatársi szám melyik személyhez köthető, akkor onnantól kezdve személyes adatról beszélünk. Ez nem túl bonyolult abból a szempontból, hogy mindenképp személyhez köthetőnek kell lennie. Sokkal fontosabb az, hogy legyen megfelelő protokoll arra, hogy ha különválasztják a dolgozók nevét és a munkatársi azonosítókat, akkor ezek ne legyenek egyszerűen összepárosíthatók.

É.: A munkaviszonynak több szakasza is van, nézzük ezeket egyenként, először a toborzás és kiválasztás folyamatát. Például ahhoz, hogy jogszerűen kezeljék a pályázatokat, mire kell figyelnie a HR-nek?

F.: Az első és legfontosabb az, hogy meglegyen a tájékoztatás a jelentkezők felé arról, hogy milyen célból, milyen adatokat, hogyan és mennyi ideig tárolnak. A célhoz kötöttség nagyon fontos, és ha ez megszűnik, pl. ha valaki egy állásra jelentkezik, és a célhoz kötöttség az, hogy az a pozíció be legyen töltve, akkor azután, hogy az a pozíció be lett töltve, az önéletrajzokat törölni kell. És minden olyan személyes adatot, ami ezekhez kapcsolódik, törölni kell.

Bizonyos tekintetben kell személyes adatokat kezelni kötelező érvénnyel. A törvény előírja, hogy a munkavállalókkal munkaszerződést kell kötni. Ha bérszámfejtés történik, akkor szintén szükséges személyes adatokat kezelni. De fontos, hogy a jelentkező tudja azt, hogy milyen célból kezelik az adatát.

É.: Világos, de ezt honnan tudhatja? Beadja a pályázatát, lehet, hogy közvetítőcégen keresztül, lehet, hogy a LinkedInen. Lehet, hogy azt sem tudja, kihez adja be, kinek küldi el valójában. Hogyan tud meggyőződni a jelentkező arról, hogy a HR biztosítja-e a személyes adatainak védelmét?

F.: Fontos maga a személy oldaláról, hogy legyen tudatos azzal kapcsolatban, hogy a saját adatait küldözgeti. Mondok egy példát, az önéletrajzba nem kell feltétlenül fényképet csatolni (hacsak kimondottan nem kérik). Ez nem kötelező tartalmi eleme az önéletrajznak mint ahogyan az sem, hogy valaki beleírja a születési dátumát.

Ha közvetlenül beküldi egy cégnek, legyen az fejvadász, vagy maga a munkaadó, akkor annak, aki ezt az adatot majd tárolja és kezeli, tájékoztatnia kell majd a jelentkezőt arról, hogy ezeket az adatokat milyen célból, mennyi ideig fogja felhasználni.

A pályázó akárhová adja be a pályázati anyagát, és akármilyen csatornán, a HR-től, a közvetítőcégtől kell hogy kapjon egy levelet, ami leírja, miként kezelik a személyes adatait.

É.: És tényleg küldenek ilyen levelet a munkaadók, közvetítők?

Van, aki küld, van, aki nem. A többség, a nagy cégek automatizált rendszerekkel dolgoznak, a kisebb cégek, ahol nem használnak erre rendszereket (a kis- és középvállalkozások ebbe a kategóriába tartoznak), jellemzően kevésbé, vagy nem küldenek.

Ha valaki online felületen jelentkezik, kell, hogy elérhető legyen az adatkezeléssel kapcsolatos tájékoztató. Nagyon fontos, hogy itt nem a GDPR rendelkezéseit kell egy 80 oldalas tájékoztatóban leírni, hanem a mai gyakorlat az, hogy legyen egy rövid, érthető tájékoztató. Álláspályázatra való jelentkezés esetén mennyi ideig tároljuk, kinek továbbítjuk, kik férhetnek hozzá, hogyan töröljük az adatokat.

Az én meglátásom szerint a legjobb gyakorlat, ha van egy rövid tájékoztató, és szerencsére efelé megyünk. Ha ezt valaki részletesen el akarja olvasni, akkor álljon rendelkezésre egy részletes tájékoztató is. Fontos, hogy lehessen látni, részleteiben hogyan zajlik a folyamat. De alapvetően mindenkit az érdekel, hogy mikor, mennyi ideig, ki fér hozzá, hogyan törlik a személyes adatokat.

É.: Ma az adat az arany. Valaki beadja a pályázatát, lehet, hogy az adott állásra be sem hívják, viszont látja a HR-es, hogy a jelentkező később egy másik pozícióra akár jó jelölt lehet. Ha nem tarthatja meg az önéletrajzot, akkor eldobja a kezében lévő aranyrögöt?

F.: Az önéletrajzot megtarthatják, de ilyenkor beleírják a saját adatkezelési tájékoztatójukba, hogy tekintettel a nagyszámú nyitott pozícióra, korlátozott ideig, mondjuk egy évig tárolják a személyes adatokat, mielőtt törlik azokat.

Egy CV közel fél-egy évig releváns. Ha öt évvel ezelőtt kaptam egy önéletrajzot, az ma nem releváns. Nem tartom reálisnak azt, hogy egy évnél tovább célszerű legyen egy önéletrajzot tárolni.

Mielőtt megtörténik az adattörlés, és ez benne van az adatkezelési tájékoztatóban, tájékoztathatjuk a pályázót, hogy frissítse az adatait, ha szeretne hozzánk pályázni a jövőben is. Ebben az esetben küldje el a friss, aktuális önéletrajzát. Meg lehet ezt tenni, ami fontos, hogy mindig friss, releváns adatok legyenek az adatbázisban.

Az adat az érték, és az adatokból rengeteg dologra lehet következtetni. De alapvetően mindig az a lényeg, hogy aktuális és friss adatokat kezeljen a munkaadó. Egy év alatt változhat a jelentkező telefonszáma, az e-mail-címe, lehet, hogy időközben részt vett egy újabb képzésen, amit érdemes feltüntetni.

É.: Mi a helyzet GDPR-szempontból, ha valaki a LinkedInen keresztül pályázik állásokra?

F.: Amikor valaki regisztrál a LinkedIn-re, akkor elfogadja az adatai kezelésével kapcsolatos szabályokat, amik egyébként folyamatosan változnak. Erről a LinkedIn tájékoztatást küld (ha mást nem is) akkor, amikor regisztrálsz a LinkedInre, hasonlóan ahhoz, mint amikor regisztrálsz a Facebookra, Instagramra.

A LinkedIn a saját szabályait elfogadtatja mind a felhasználókkal mind pedig a munkaadókkal, és ez biztosítja azt a lehetőséget, hogy állást lehessen keresni. Ha valaki kimásolja és elmenti valakinek a LinkedIn-profilját, ahhoz szükséges lenne további adatkezeléssel kapcsolatos tájékoztatás. Facebookon is, ha valaki neked az ismerősöd, és látod az adatait, amelyeket lementesz és tárolsz, onnantól kezdve adatkezelővé válsz, és erről tájékoztatnod kell, hogy milyen célból, mennyi ideig tárolod a személyes adatait.

É.: Van-e még olyan fontos, toborzással és kiválasztással kapcsolatos tudnivaló, amit jó, ha tudnak a cégek?

F.: Mindig aktualizálják az adatkezelési tájékoztatót! Változhatnak a jogszabályok és a belső folyamatok is. Ezekről naprakésznek kell lennie a tájékoztatásnak.

Ha egy cég együttműködik kiválasztást végző cégekkel, vagy egy cégcsoportról van szó, amelynek vannak leányvállalatai, és átadnak adatokat egy másik jogi entitásnak, arról külön tájékoztatni kell az álláspályázót, hiszen bővült az adatkezelők köre. Tipikusan pl. egy nagy bank esetén, ahol van számos fiók, lízingcég, ingatlanhasznosító. Ha jelentős mértékben változik az adatkezelési gyakorlat, akkor ahhoz újabb hozzájárulás kell a pályázótól.

É.: GDPR-oldalról történt-e változás az elmúlt két évben, amiről esetleg tudniuk kellene a toborzóknak, kiválasztást végzőknek?

F.: Igen, minden országnak van erre egy intézménye, Magyarországon ez a NAIH. Folyamatosan adnak ki állásfoglalásokat arra vonatkozóan, hogyan is kell kezelni a személyes adatokat, illetve maga az EU is fogalmaz meg olyan állásfoglalásokat, hogy ezt vagy azt hogyan kell érteni.

Tudni kell, hogy a GDPR alapvetően személyesadat-kezelésre vonatkozik, de előbb-utóbb rendelet formájában alkalmazandó lesz mindenki számára az elektronikus adatkezelésre vonatkozó szabályozás, ami kiegészíti a GDPR-t.

A toborzókat érdekelheti, hogy aki regisztrál a karrieroldaláról elérhető adatbázisába, honnan, milyen felületről érkezett (pl. Instagramról, Facebookról), amiket utána össze lehet kötni. Ha öt perccel később feltölti valaki az önéletrajzát, akkor követhető a teljes életútja.

É.: Nézzük a munkaviszony létesítését követő időszakot, mi az, ami a GDPR szempontjából kulcsfontosságú?

F.: Ketté kell választani a törvényi kötelezettséget és az attól eltérő kötelezettségeket. Például, a tb-jogviszony miatt törvényi kötelezettségből köteles a munkaadó kezelni az adatokat. Itt nincs mérlegelés, hogy elkérje-e az új munkatárs tajszámát vagy adószámát, a törvény előírja ezek tárolását.

Ezen felül is képződhetnek adatok, pl. teljesítménnyel, kompetenciákkal kapcsolatosan, illetve ilyenek a céges programokon vagy vagyonvédelmi célból kamerás megfigyelés által készült fényképek, videók. Az ez utóbbi esetben készült felvételeket például nem lehet felhasználni arra, hogy mondjuk Piroska késett öt percet.

É.: Ha jól értem, akkor belső GDPR-szabályzatra is szükség van.

F.: Igen, másrészt pedig tájékoztatni kell a munkavállalókat, hogy ki, milyen célból, mikor férhet hozzá a személyes adataikhoz. Ha egyértelműen a vagyonbiztonságot jelölik meg célként, akkor az adatokat nem lehet HR-oldalról használni.

Ismerek olyan céget, ahol nagyon fontos az élelmiszer-biztonság, és ahol videokamerával rögzítik, hogy mikor mi került bele az ételbe. Ugyanakkor azt is nézik, hogy ki mikor érkezik be. Ezt nem szabadna. Ha ilyen történik, akkor ez nyilván egy hiba. Emiatt a munkaadót meg lehet büntetni, amelynek az összege tetemes lehet.

É.: Ez fegyver is lehet a munkavállalók kezében?

F.: Igen, és erre figyelnek legkevésbé a munkaadók.

Nagyon fontos odafigyelni a GDPR-re! Adatkezelési tájékoztatót kell készíteni, és ne feledjük azt sem, hogy a személyes adatok kezelése nagyon sok területre kihat: az informatikai rendszerre, a levelezőrendszerre, azoknak az archiválására. Olyan kérdések merülhetnek fel, hogy pl. a munkavállaló használhatja-e az e-mail-címét magánlevelezésre, a céges telefont magáncélra, erre mind oda kell figyelni. Ha egy cég ezt nem teszi, és ebből probléma adódik, akkor a munkavállalók a munkáltatót plusz bevételi forrásként használhatják. Sokan nem gondolnak erre, pedig ez egy potenciális veszély.

É.: Beszéljünk arról, hogy a munkaviszony megszűnését követően mi a helyzet a GDPR szempontjából?

F.: Munkaviszony megszűnését követően a személyes adatok kezelése nem szűnik meg. A törvény előírja, hogy mit kell tárolni, akár több tíz évig is.

Minden egyéb adatot, attól függetlenül, hogy erről tájékoztatták-e a munkavállalót, köteles törölni a munkáltató. Ezért is kell, hogy legyen megfelelő adatkezelési tájékoztató.

É.: Rengeteg tehát a teendő: törvényismeret, szabályzatírás és utána maga a kivitelezés. Erre van kapacitásuk a cégeknek?

F.: Van, akinek van, van, akinek nincs. Ezek valóban időigényes feladatok. A legtöbb cégnek nincs meg az a fajta tudása, ami ahhoz kell, hogy a saját személyes adatvagyonát fel tudja mérni, és egy adatleltárt tudjon csinálni. Nem beszélve arról, hogy egy sor szükséges dolog eszükbe se jut.

Célszerű külső segítséget bevonni, különösen a megfelelő adatleltár elkészítése végett. Gyakran a nagyobb cégeknél sem áll rendelkezésre ehhez szakember, nemhogy a kis- és középvállalkozásoknál, amelyeknek éppúgy nincs belső GDPR-szakembere, ahogy saját teljes állású jogásza vagy könyvelője sem.

É.: Miben tudtok segíteni a hozzátok forduló cégeknek?

F.: Nekünk van GDPR-tanácsadásunk, és abban tudunk segíteni, hogy a cégek eligazodjanak a GDPR rejtelmeiben.

Másrészt, mivel mi munkaerő-közvetítőként is működünk, abban tudunk segíteni, hogy a felvételhez kapcsolódóan garantáltan meglegyenek a kötelező minimumok, pl. miképpen tárolják az általunk továbbküldött önéletrajzokat.

Végső soron, ha a saját adatkezelésüket szeretnék rendben tudni, akkor tudunk csinálni egy GDPR-megfelelést. A korábban említett GDPR-szabályzat csak egy része a megfelelésnek. Szükség van még megfelelő tájékoztatásra és a folyamatos felülvizsgálatra. Ezek általában nem részei vagy kiegészítői a GDPR belső szabályzatának, pedig azoknak kellene lenniük.

É.: Miről nem beszéltünk, ami még fontos lehet GDPR-témában?

F.: Fontos a munkavállalók folyamatos oktatása. Tehát nemcsak az lényeges, hogy valaki elkészítse a mindenre kiterjedő szabályzatot, hanem az is, hogy oktassák a munkavállalókat. Olyan ez, mint egy ISO szabvány, attól, hogy valakinek van környezetpolitikája, ISO 14000-es szabványa, és van róla tanúsítása, az nem elegendő, a dolgozókat is informálni kell arról, hogy a cég ezt fontosnak tartja, ill. mik azok az elemek, amelyekre napi szinten figyelni kell.

É.: Létezik GDPR-tanúsítvány?

F.: Ilyen még nincs, az ISO 27000 szabványcsalád (információbiztonság) a vonatkozó szabvány, külön szabványosított rendszer nincs.

Mi adunk olyan oklevelet, hogy a cégnek elkészült a személyesadat-kezelésre vonatkozó felmérése, és a cég megfelel az adatkezeléssel kapcsolatos elvárásoknak. De ezt is folyamatosan felül kell vizsgálni, és újra és újra kell oktatni. Kicsit olyan ez, mint az egyetemen valamelyik előadás. Attól, hogy valaki elment az előadásra, még nem biztos, hogy megtanulta az anyagot. Állandóan ismételni kell, arról nem beszélve, hogy az ismeretek átadása az új munkatársaknak, szintén nagyon fontos.