hirdetés
hirdetés
hirdetés

GDPR HR-eseknek workshop

Ne az internet mélyéről előbányászott e-mail címre írjunk!

A március 8-án megrendezett „GDPR HR-eseknek: adatvédelemről, adókról, új szabályokról” workshopon a Deloitte jogi szakértője, dr. Majoros Gábor vezette végig a résztvevőket a GDPR útvesztőin az alapvető tudnivalók tisztázásától kezdve számos jó gyakorlat megosztásáig.

A GDPR-ra a szakértők szerint 6–8 hónap alatt lehet teljes alapossággal felkészülni, ijesztett meg először mindenkit dr. Majoros Gábor, de aztán gyorsan meg is nyugtatta a résztvevőket: a szükséges változtatásokat ennél hamarabb is el lehet végezni, így ha most elkezdjük, még nem késtünk el vele. Ráadásul a francia adóhatóság e héten tett nyilatkozata alapján ha nem sikerül befejezni a felkészülést, a következő pár hónapban még nem kell bírságra számítanunk. A lényeg tehát az, hogy kezdjünk el készülni a GDPR-ra, tájékozódjunk, értsünk meg alaposan mindent, és akkor nem lesz baj. Az előadás számos ponton segítette a résztvevőket abban, hogy a hr-esek munkáját érintő kérdésekben tisztábban lássanak a GDPR-ral kapcsolatban. Az alábbiakban néhány, a workshopon felmerült kérdést járunk körül.

Arról, hogy pontosan mire vonatkozik a GDPR és mire nem, itt írtunk bővebben.

„Másoljuk le, jó lesz az még valamire!” Ezt felejtsük el!

A GDPR adatkezelésre vonatkozó elvei közül az adattakarékosság elvével kapcsolatban kiemelte az előadó, hogy a „Jó lesz még az az adat valamire, másoljuk csak le azt a diplomát!” hozzáállás kevéssé lesz szerencsés a GDPR szempontjából. Erre az a jó gyakorlat, ha elkérjük a munkavállalótól a papírjait, ő megmutatja nekünk azokat, a szükséges adatokat rögzítjük, amit kell, azt lekérjük a nyilvántartásból. Erkölcsi bizonyítványt is csak akkor kérjünk el, ha szükséges (mert például az ágazati jogszabály előírja).

A szükséges adatokat se tároljuk a végtelenségig, ha nem muszáj. „A korlátlan ideig megőrzött szavatosság nem jellemző az adatokra”, emlékeztet az előadó. A GDPR adatkezelésre vonatkozó elvei közé tartozik a korlátozott tárolhatóság: ennek értelmében a toborzást követően töröljük az aktákat, selejtezzük mindazt, amire később már nem lesz szükségünk!

Mi számít személyes adatnak?

Fontos az az elhangzott információ, hogy nemcsak az a személyes adat, amit a munkavállaló vagy pályázó maga nyújt be nekünk, hanem a mi róla levont következtetéseink is. Például ha az interjún lejegyezzük róla, milyen jól kommunikál, ez is egy személyes adat lesz.

Adatkezelési tájékoztató: tényleg olvastassunk el velük évi 240 órányi szöveget?

A jelölt vagy munkavállaló hozzájárulásának megfelelő tájékoztatáson kell alapulnia, ezért mindenképp készítsünk adatkezelési tájékoztatót. Fontos, hogy ezek a tájékoztatók közérthetőek legyenek, tehát ne jogszabályszöveget próbáljunk meg létrehozni. Érdekes adat, hogy éves szinten 240 órát kellene az olvasásra szánnia annak, aki mindent bepipál vagy leokéz, ami adatkezelési tájékoztatóként a szeme elé kerül. Jelentkezők esetében mindenképp szerepelnie kell a tájékoztatóban, hogy meddig őrizzük meg az adatait, és hová fordulhat a panaszaival. Az alkalmazottaknál a tájékoztatás legfontosabb része az, amelyik a munkavállalók ellenőrzésére vonatkozik. Tegyük ki az asztalra, hogy mi milyen ellenőrzéseket végzünk! Például: vannak-e a cégnél kamerák, hol, hány darab, és mit vesznek fel?

Ha ajánlás jön, tehát valaki elküldi nekem valaki másnak az önéletrajzát, akkor az önéletrajz tulajdonosát hogyan tájékoztassam az adatkezelésről?

Alapból azt kell feltételezünk, hogy ő is akarta ezt a jelentkezést, tehát nem a tudta nélkül vagy akarata ellenére küldték el nekünk az önéletrajzát. Ilyenkor az első kapcsolatfelvétel alkalmával kell majd őt arról tájékoztatni, hogy kezeljük a személyes adatait.

„Miért ne nézhetném meg, amit a pályázó nyilvánosan közzétett?”

Ez szokott lenni az álláspont, de valójában az álláspályázatba kik kellene írnunk, hogy a pályázó nyilvános profiljait (pl. Facebook, LinkedIn) megnézhetjük, ehhez jogos érdekünk fűződik. Amit viszont semmiképp ne csináljunk, az az, hogy lementjük ezeket az adatokat. A közzétett információ megismerhető, mondja a GDPR: tehát ha valaki kiteszi a Facebook-profiljára a telefonszámát, azon nyugodtan felhívhatjuk, hiszen ezt ő maga tette közzé azzal a céllal, hogy fel lehessen venni vele a kapcsolatot; az viszont már vitatható eljárás, ha a régi középiskolája oldalán közzétett listából kibányászott telefonszámán keressük meg egy ajánlattal (és ugyanez vonatkozik az e-mail címekre is).

A kulcsszó az, hogy tájékoztassuk őket ezekről a tevékenységeinkről, mert ezzel lehetővé tesszük, hogy tiltakozzanak, míg ha eltitkoljuk, hogy ilyen tevékenységeket végzünk, azzal elvesszük tőlük ezt a lehetőséget.

Incidenskezelés: ha nem észleljük, nem kell bejelenteni?

Az adatvédelmi incidenst az észleléstől számított 72 órán belül be kell jelenteni. Az „akkor inkább ne észleljük” itt nem igazán jó megoldás. Mikre kell itt gondolni? Ide tartozik például, ha egy kolléga a kávézóból dolgozik, és véletlenül ottfelejt 10–15 önéletrajzot. Ma, amikor a rugalmas munkavégzés egyre elterjedtebb, preventív kontrollként oda kell figyelni arra, hogy ne kerülhessen ki tőlünk adatok még akkor se, ha valaki hazaviszi a munkát.

Hogyan ne lépjük át a hatáskörünket az ellenőrzésben?

A jogos érdeket minden esetben igazolni kell, és az ellenőrzésnek arányban kell állnia a jogos érdekkel. Tehát például ha monitorozni akarjuk a munkavállalóink internetes tevékenységét, vagy ujjlenyomatos beléptetést alkalmaznánk, azt igen alaposan meg kell tudnunk indokolni. Ha nem szabad a céges gépeket magáncélra használni, és egy kolléga mégis megteszi, akkor se nézhetjük meg a magántartalmakat, amiket rárakott. Ha például privát levelezést folytat, első körben csak a levél tárgyát szabad ellenőrizni, és csak akkor mehetünk ennél tovább, ha feltételezhető, hogy adatszivárgás történt. Ha folyamatosan figyelem a munkavállalókat, az a magánszféra sérelmét jelenti. Itt gyakran határterületen mozgunk, például kérdéses, nézegethetem-e a kamerán keresztül, mit csinál az alkalmazottam a bankfiókban egész nap.

A szuper-alapelv – itt és általában véve is – az elszámoltathatóság. Az emberi tényező a legfontosabb, tehát kiemelten fontos lesz a képzés és a tudatosságnövelés: aki ténylegesen foglalkozik az adatokkal, az tisztában legyen majd a kötelezettségeivel, és részesüljön ennek megfelelő oktatásban.

hirdetés

Címkék

IRATKOZZON FEL
HÍRLEVELÜNKRE!

KÖVESSEN MINKET A FACEBOOKON!

hirdetés
ÉRDEKES HÍRE VAN? KÜLDJE EL NEKÜNK!
hirdetés

Pakk Csomagolásdizájn-verseny célja, hogy megtaláljuk Magyarország legszebben tervezett és kivitelezett termékcsomagolásait. Nevezési határidő: május 25.

A Magyar Instagram Körkép 3.0 kutatás eredményeinek és az Instagram legfrissebb híreinek ismertetése, a turisztikai szektorra fókuszálva. Május 30., 09:00

Idén tizedik alkalommal hirdetjük meg az online videótartalmak versenyét. Hosszabbított nevezési határidő: június 1.

Gyakorlatorientált tréning a SAKKOM Interaktív szakmai támogatásával a Google AdWords kampány létrehozásának és optimalizálásának technikájáról és trükkjeiről, egészen a kezdő lépésektől. június 6., 08.30 - 14.00

Nemzetközi PR Best Practices június 7-én: Nemzetközi PR vezetők esettanulmányai és vacsora az ICCO elnökségi tagjaival

Játssz komolyan! – LEGO® SERIOUS PLAY® workshop: Legózz a fejlődésért, legózz a flow élményért! Három LEGO® SERIOUS PLAY® workshop egy napon, válaszd ki a saját témádat! Időpont: június 14.

Ülj a géphez! – Facebook tréning HR-eseknek. Toborzási kampányok a Facebookon, lépésről lépésre, június 20-án.

Az Élelmiszer az FMCG szektor meghatározó szaklapja új versenyt indít. A verseny célja, hogy megtaláljuk a hazai piac legkiemelkedőbb minőségű mentes termékeit. Nevezési határidő: augusztus 31.

hirdetés