Munkavállalói adatok harmadik felekhez kerülnek: mit érdemes tudni és mit kérdezhetsz rá?

Röviden

• A munkavállalói adat nem csak név és e-mail cím lehet: ide tartozhat belépési napló, eszközhasználat, teljesítményadat vagy akár böngészési jellegű információ is.

• Nem minden adatátadás jogsértő, de átlátható cél, jogalap és adatkezelési tájékoztatás kell hozzá.

• Dolgozóként jogod van érthető tájékoztatást kérni arról, milyen adataidat kezelik és kinek adják tovább.

Milyen adatokról lehet szó?

A modern munkahelyeken rengeteg rendszer működik: levelezés, chat, projektmenedzsment, beléptetés, ügyfélszolgálat, HR-szoftver, bérszámfejtés, laptopfelügyelet, vírusvédelem, analitika és felhős tárhely. Ezek mind kezelhetnek valamilyen munkavállalói adatot.

Az adat lehet egyszerű azonosító, például név, céges e-mail, munkakör. De lehet sokkal érzékenyebb is: bejelentkezési időpont, IP-cím, helyadat, eszközazonosító, aktivitási napló, teljesítménymutató vagy kommunikációs metaadat.

Miért kerülhet adat harmadik félhez?

Sok cég nem saját maga üzemeltet minden rendszert. A levelezést, tárhelyet, videóhívást, HR-adminisztrációt vagy biztonsági naplózást külső szolgáltató biztosíthatja. Ilyenkor adatfeldolgozó vagy más adatkezelő is beléphet a folyamatba.

Ez önmagában nem feltétlenül probléma. A probléma akkor kezdődik, ha a munkavállaló nem kap világos tájékoztatást, ha az adatgyűjtés aránytalan, ha a cél homályos, vagy ha olyan szolgáltató kap adatot, amelyre nincs megfelelő jogi és biztonsági kontroll.

Mire kérdezhetsz rá dolgozóként?

• Milyen adatokat kezel rólam a cég?

• Mely rendszerek gyűjtenek aktivitási vagy eszközhasználati adatokat?

• Kik a külső szolgáltatók vagy adatfeldolgozók?

• Milyen célból történik az adatkezelés?

• Meddig őrzik meg az adatokat?

• Van-e automatizált értékelés vagy profilalkotás?

• Hogyan lehet hozzáférést, helyesbítést vagy törlést kérni?

Mit érdemes nézni munkáltatóként?

Ha egy cég túl sok adatot gyűjt, az nemcsak jogi, hanem bizalmi kockázat is. A munkavállalók könnyen megfigyelésként élhetnek meg olyan eszközöket, amelyeket a cég biztonsági vagy működési okból vezetett be.

A jó gyakorlat: adatminimalizálás, világos tájékoztató, hozzáférési jogosultságok szűkítése, naplózás, szolgáltatói szerződések ellenőrzése és rendszeres felülvizsgálat.

Gyakori piros zászlók

• A tájékoztató csak általánosságokat mond, konkrét rendszereket nem nevez meg.

• Nem világos, hogy az adatot biztonsági, teljesítménymérési vagy marketingcélra használják.

• A dolgozó nem tudja, kihez fordulhat kérdéssel.

• A cég „mindent gyűjt, ami technikailag elérhető”, de nem tudja megmagyarázni, miért szükséges.

A lényeg

A munkavállalói adatkezelés nem csak jogi papírmunka. A munkahelyi bizalom része. Egy jól működő rendszer nem titkolja, mit figyel, mit nem figyel, és milyen célból kezel adatot.

Megjegyzés: ez általános tájékoztatás, nem jogi tanácsadás. Konkrét ügyben adatvédelmi szakértőt vagy jogászt érdemes megkérdezni.

Mitől lesz korrekt egy munkahelyi adatkezelési tájékoztató?

A jó tájékoztató nem csak jogi sablon. Konkrétan megnevezi a rendszereket, az adatkezelés célját, a megőrzési időt, a hozzáférő szerepköröket és a külső szolgáltatókat. Az is fontos, hogy a dolgozó tudja, kinél kérdezhet vagy élhet jogaival.

Ha egy tájékoztató túl általános, például csak annyit mond, hogy „üzleti célból adatokat kezelünk”, az nem sokat segít a valós megértésben. A bizalomhoz részletek kellenek.

Források / további olvasás

• European Data Protection Board: GDPR iránymutatások és munkavállalói adatkezeléshez kapcsolódó anyagok.

• NAIH: adatvédelmi tájékoztatók és állásfoglalások.

Milyen kérdéseket érdemes feltenni?

A munkavállalói adatok harmadik felekhez kerülése önmagában nem feltétlenül problémás. Sok cég használ bérszámfejtő rendszert, HR-szoftvert, beléptetőrendszert, oktatási platformot vagy felhős dokumentumkezelőt. A kockázat akkor nő meg, ha a dolgozó nem tudja, pontosan milyen adat kerül ki, milyen célból, meddig tárolják, és ki férhet hozzá.

Érdemes különbséget tenni a működéshez szükséges adatkezelés és a túl széles, kényelmi vagy ellenőrzési célú adatgyűjtés között. Egy jelenléti ív, egy béradat vagy egy céges e-mail cím más súlyú adat, mint például egészségügyi információ, teljesítményprofil, helyadat vagy viselkedési napló.

Dolgozóként erre figyelj

• Kérdezz rá, milyen külső szolgáltatók kezelnek rólad adatot.

• Nézd meg, van-e világos adatkezelési tájékoztató.

• Fontos, hogy az adatkezelés célja konkrét legyen, ne túl általános.

• Érdemes tudni, meddig őrzik meg az adatokat kilépés után.

• Ha valami aránytalannak tűnik, kérj írásos magyarázatot.

Cégként az átláthatóság nem csak megfelelési kérdés. Bizalmat is épít: a dolgozók könnyebben elfogadják az adatkezelést, ha látják, hogy annak valódi oka, határa és felelőse van.

Cégként miért éri meg tisztán kezelni?

A munkavállalói adatok körüli átláthatóság nem csak jogi kockázatcsökkentés. Ha a dolgozók nem értik, miért kell egy adat, könnyen bizalmatlanság alakul ki. Ez különösen igaz olyan rendszereknél, amelyek teljesítményt, jelenlétet, kommunikációt vagy viselkedési mintát is mérhetnek.

Érdemes belső adatleltárt tartani: milyen adatot kezel a cég, melyik rendszerben, ki a felelős érte, és mikor kell törölni. Ez nem látványos munka, de sok későbbi vitát megelőz. Az adatkezelés akkor működik jól, ha nem utólag kell kitalálni, miért gyűjtötték az adott információt.

Munkavállalói adatkezelés: kérdések HR-nek

Ha egy munkahely külső szolgáltatót használ bérszámfejtésre, beléptetésre, oktatásra, teljesítményértékelésre vagy IT-üzemeltetésre, a munkavállalói adatok gyakran nem maradnak kizárólag házon belül. Ez önmagában nem feltétlen probléma, de átlátható tájékoztatásra és arányos adatkezelésre van szükség.

• Milyen adatokat adnak át külső szolgáltatónak?

• Milyen célból történik az átadás?

• Meddig tárolják az adatokat?

• Ki fér hozzá, és milyen jogosultsági szintekkel?

• Van-e tájékoztató incidens vagy adatszivárgás esetére?

Miért fontos a pontos kérdés?

A túl általános „biztonságban vannak az adataim?” kérdésre könnyű általános választ adni. A konkrét kérdések viszont segítenek kideríteni, hogy a cég valóban átlátja-e a folyamatot. Munkavállalóként nem kell adatvédelmi jogásznak lenned, de jogod van érthető tájékoztatást kapni arról, hogyan kezelik a személyes adataidat.