Tapasztalatok a GDPR-ról: nehézséget okoznak a régi beidegződések

Megosztás Tetszik

Nehézséget okozott a cégeknek a GDPR hatályba lépését követő kezdeti időszakban a korábbi beidegződések és adatvédelmi szempontból nem megfelelő gyakorlatok felszámolása. A technológiai innovációk a cégek által alkalmazott munkavégzési struktúrák, munkakörök és munkaköri feladatok átalakulását fogják eredményezni – hangzott el a Deloitte Legal Erdős és Társai Ügyvédi iroda üzleti reggelijén.

Az informatikai rendszerek, a robotika és a mesterséges intelligencia világának rohamos fejlődése már napjainkban is befolyással van a munkaerőpiacra – mutatott rá dr. Kozma Zoltán, a Deloitte Legal munkajog, technológia & compliance csoportjának vezetője az üzleti reggelin. A szakember a technológia és a munkaviszony kapcsolatáról tartott előadása során elmondta azt is, hogy – bár egyes kutatások szerint a munkahelyek megközelítőleg 50 százaléka lehet veszélyben  –, ez a nagyságrend vélhetőleg jelentősen eltúlzott és csak az ismétlődő rutinfeladatok azok, ahol az automatizálás részben átveheti a munkavállalók szerepét.

A jelenlegi munkajogi szabályok viszonylag rugalmasan teszik lehetővé az újszerű technológiai megoldásokban rejlő előnyök érvényesülését, amelyek a munkavégzési folyamatok hatékonyabb elvégzését mozdíthatják előre. Figyelemmel kell kísérni azonban a munkaerőpiacot a jövőben várhatóan jelentősen érintő kihívásokat is, mint például a gig economy (hakni gazdaság) és a platform alapú munkavégzés, amely megnöveli az önfoglalkoztatók és atipikus munkaviszonyban foglalkoztatottak számát.

Bár az új foglalkoztatási formák rugalmasságuknál fogva előnyökkel járhatnak, a munkavállalók számára veszélyeket is hordoznak, hiszen nem feltétlenül érvényesülnek a munkajog által biztosított védelmi szabályok. Ez adott esetben indokolhatja a vonatkozó munkajogi szabályozás felülvizsgálatát is. Ebben a tekintetben folyamatban van egy új irányelv megalkotása, az Európai Unióban alkalmazandó átlátható és kiszámítható munkafeltételekről – tette hozzá dr. Kozma Zoltán.

A GDPR első három hónapjának tapasztalatairól dr. Majoros Gábor T., a Deloitte Legal adatvédelmi szolgáltatásokért felelős ügyvédje osztotta meg a gondolatait, aki szerint a GDPR megfelelés kulcsa a fenntarthatóságban, az eddig kialakított compliance struktúra folyamatos felülvizsgálatában és naprakésszé tételében rejlik. Dr. Majoros Gábor T. elmondta, hogy a tapasztalatok alapján a kezdeti időszakban a cégeknek nehézséget okoz a korábbi beidegződések és adatvédelmi szempontból nem megfelelő gyakorlatok felszámolása.

Sok esetben szemléletváltásra van szükség a vállalati kultúrában, hogy a kialakított adatvédelmi keretrendszer a szervezet minden szintjén kikényszeríthető legyen. Ennek elengedhetetlen eszköze az adatvédelmi tudatosság kialakítása és erősítése fókuszált, szervezeti egységekre optimalizált oktatások tartásával, e-learning anyagok bevezetésével.

A kezdeti tapasztalatok alapján jellemző probléma még a felkészülés teljeskörűségének hiánya, különösen az információbiztonság területén, valamint a cégeknél hiányzó kompetencia és a szűkös erőforrások is, tette hozzá dr. Majoros Gábor T. A megfeleléshez gyakori felülvizsgálat és oktatás indokolt különös tekintettel az Európai Adatvédelmi Testület által a következő időszakban elfogadásra kerülő jogértelmezésekre, valamint az első NAIH határozatokra is figyelemmel, amelyek változtatásokat, frissítéseket indokolhatnak a munkáltatók 2018. május 25-éig kialakított compliance struktúrájában.

A NAIH elnöke, dr. Péterfalvi Attila előadásában a munkahelyi adatkezelések kapcsán beszélt arról, hogy folyamatban van a munka törvénykönyvének (Mt.) módosítása, illetve az adatvédelmi munkacsoport által a korábbi 29. cikk szerinti munkahelyi adatkezelésekkel kapcsolatban kiadott 2/2017. számú vélemény Európai Adatvédelmi Testület által átdolgozott verziója a legfrissebb forrás a témában. Az érintett hozzájárulása, mint jogalap jelentős mértékben visszaszorul és ezzel szemben 90 százalékban a szerződéses jogalap és jogos érdek alkalmazása lesz a jövőben a munkahelyi adatkezelések tekintetében meghatározó.

A szankcionálás kapcsán a NAIH elnöke reflektált az infotörvény-módosítás kapcsán a kkv-szektorra vonatkozóan megjelent rendelkezésre és hangsúlyozta, hogy a bírságolás elmaradására nem minden esetben van lehetőség, hiszen az „elsősorban nem bírságol” kitétel nem jelent kötelezettséget, így súlyos gondatlanság, szándékosság, vagy gyermekek jogainak sérelme esetén a kkv-k sem kerülhetik el a bírságolást. Dr. Péterfalvi Attila elmondta továbbá, hogy a GDPR szövegének értelmezése kizárólag az Európai Adatvédelmi Testület hatáskörébe tartozhat az egységesség jegyében, az egyes nemzeti adatvédelmi hatóságok széttartó jogértelmezési gyakorlatának kialakulását elkerülendő. Ennek érdekében a konzultációs jellegű megkeresések megválaszolására a továbbiakban a NAIH-nak nincs lehetősége.