Kiszervezett feladatok adatvédelmi szempontból

Legutoljára frissítve: 2020.01.18

Olvasási idő:

Ez a tartalom 1555 napja jelent meg, lehetséges, hogy az itt szereplő információk már nem aktuálisak. Legfrissebb tartalmainkat itt érheti el.

Örvendetes tény, hogy az adatvédelmi tudatosság kezd beépülni az alapvető folyamatokba, így a munkaügy főbb területeibe is. Ennek révén érhető el az a fontos követelmény, hogy csak a szükséges mértékű adattovábbítás történjen meg az ilyen kapcsolatokban. Az alábbiakban a kiválasztás és a bérszámfejtés adatvédelmi vonatkozásait tekintjük át.

Az Általános Adatvédelmi Rendelet (Az Európai Parlament és a Tanács 2016/679 Rendelete) alkalmazása óta rendszeresen felmerül, hogy a kiszervezett tevékenységek kapcsán milyen adatkezelési megállapodásokat szükséges kötni a beszállítókkal.

Toborzás-kiválasztás

A vállalkozások alapvetően kétféleképpen végzik toborzási-kiválasztási tevékenységüket: vagy saját maguk hirdetik meg a szabad pozíciót és folytatják le az interjúkat, vagy professzionális toborzó cég szolgáltatását veszik igénybe.
Utóbbi esetben a társaságok gyakran tekintenek a munkaerő-közvetítő cégekre adatvédelmi szempontból úgy, mint bármely más beszállítójukra, hiszen a saját HR-folyamataikat szervezik ki. Ennek eredményeként adatfeldolgozóként definiálják a szolgáltatókat, ami azonban adatvédelmi szempontból az esetek legnagyobb részében nem helytálló. A munkaerő-közvetítő cégek ugyanis nem csak és kifejezetten a konkrét ügyfél által meghatározott célokból és eszközökkel kezelik a személyes adatokat, hanem önállóan alakítják ki az adatkezelés célját és eszközeit, saját jelölti adatbázist építenek – ennek segítségével tudják magas szinten és hatékonyan kiszolgálni a partnereiket.
A közvetítő cégekkel, mint önálló adatkezelőkkel lehetséges – de nem kötelező – adattovábbítási megállapodást kötni, amelyben a felek mint önálló adatkezelők vállalják a kapcsolódó adatvédelmi szabályoknak történő megfelelést.
Kölcsönzési szolgáltatásra irányuló megállapodás esetén amellett, hogy a cégeknek vannak önálló adatkezelési céljaik és emiatt önálló adatkezelőnek minősülnek, megjelennek olyan témakörök, ahol az adatkezelési célokat és/vagy eszközöket közösen határozzák meg a kölcsönvevővel. Tipikusan ide sorolhatóak az Mt. 217. §-ában foglalt egyes feladatkörök, illetve a munkavállalói kártérítési igények érvényesítésével összefüggő adatkezelések. Az ilyen típusú adatkezeléssel érintett folyamatokat egy közös adatkezelésről szóló megállapodásban kell rögzíteni, amelyben a felek konkrétan allokálják az egyes feladat- és felelősségi köröket – összhangban a Rendelet 26. cikkében foglaltakkal.

letölthető adatvédelmi iratminták

Bérszámfejtés

A bérszámfejtő szolgáltató egyértelműen a munkáltató, mint adatkezelő utasításai alapján, az adatkezelő által meghatározott célok elérése érdekében végzi tevékenységét, nem dönt önállóan az adatkezelés lényegéről, ezért adatfeldolgozónak minősül. Többször felmerült már kérdésként, hogy tekintettel a bérszámfejtő szakmai önállóságára és a megbízás teljesítése során tanúsított függetlenségére – pl. saját maga határozza meg, milyen bérszámfejtő rendszert használ, hogyan építi fel tevékenységét – nem minősülhet-e adatkezelőnek. Álláspontom szerint önmagában az, hogy az adatkezelés eszközeit még csak részben sem az adatkezelő határozza meg, nem alapozza meg a másik fél adatkezelői minőségét, hiszen nem ő az adatkezelés „ura”, és az alapul szolgáló szolgáltatás hiányában fel sem merülne az adott személyes adatok kezelése részéről. Vagyis az adatkezelés technikai és szervezeti mikéntjéről való döntés nem avanzsálja adatkezelővé a beszállítót – ezt az értelmezést támasztja alá a 29. cikk alapján létrehozott Adatvédelmi Munkacsoport 1/2010. számú véleménye is. A bérszámfejtő szolgáltatóval a fentiekre tekintettel legalább az Általános Adatvédelmi Rendelet 28. cikke szerinti tartalommal adatfeldolgozói szerződést kell kötni, amely biztosítja a kezelt személyes adatok védelmét a beszállító tekintetében is.
A fentiekben igyekeztem bemutatni a gyakorlatunkban leggyakrabban előforduló beszállítói körök adatvédelmi minősítését és annak jelentőségét. A további, felmerülő esetekben mindig azt érdemes tisztázni, hogy történik-e egyáltalán adatkezelés a beszállítói oldalon (aminek első lépése, hogy a szolgáltató hozzáfér az adatokhoz), és ha igen, akkor a tevékenysége során milyen mértékű szabadsága van az adatkezelés módjának meghatározásakor, mert ez fogja meghatározni, hogy a másik fél adatfeldolgozónak vagy adatkezelőnek minősül-e. Ha pedig megállapítható az adatkezelői minőség, akkor azt kell mérlegelni, hogy mennyiben közös cél érdekében történik az adatkezelés, mert ha a felek részben közösen határozzák meg a célokat, akkor közös adatkezelőnek minősülnek.

Az adatvédelem kérdéseit felvető esetekben mindig azt érdemes tisztázni, hogy történik-e egyáltalán adatkezelés a beszállítói oldalon (aminek első lépése, hogy a szolgáltató hozzáfér az adatokhoz), és ha igen, akkor a tevékenysége során milyen mértékű szabadsága van az adatkezelés módjának meghatározásakor. Ez fogja ugyanis meghatározni, hogy a másik fél adatfeldolgozónak vagy adatkezelőnek minősül-e. Amennyiben megállapítható az adatkezelői minőség, akkor azt kell mérlegelni, hogy mennyiben közös cél érdekében történik az adatkezelés, mert ha a felek részben közösen határozzák meg a célokat, akkor közös adatkezelőnek minősülnek.

(Cikkünket teljes terjedelmében a Humán Tanácsadó januári számában olvashatják)