A HR-menedzsment kiszervezésének adatvédelmi kérdései
Olvasási idő:
Az Általános Adatvédelmi Rendelet alkalmazása óta gyakran felmerül, hogy a kiszervezett tevékenységek kapcsán milyen adatkezelési megállapodásokat szükséges kötniük a beszállítókkal. Egyrészt üdvözlendő, hogy az adatvédelmi tudatosság már kezd beépülni az alapvető folyamatokba, számos esetben viszont nem lehet pontosan megítélni a szerződéses viszonyokat.
Toborzás-kiválasztás
A vállalkozások alapvetően kétféleképpen végzik toborzási-kiválasztási tevékenységüket: vagy saját maguk hirdetik meg a szabad pozíciót és folytatják le az interjúkat, vagy professzionális toborzó cég szolgáltatását veszik igénybe.
Utóbbi esetben a társaságok gyakran tekintenek a munkaerő-közvetítő cégekre adatvédelmi szempontból úgy, mint bármely más beszállítójukra, hiszen a saját HR-folyamataikat szervezik ki. Ennek eredményeként adatfeldolgozóként definiálják a szolgáltatókat, ami azonban adatvédelmi szempontból az esetek legnagyobb részében nem helytálló. A munkaerő-közvetítő cégek ugyanis nem csak és kifejezetten a konkrét ügyfél által meghatározott célokból és eszközökkel kezelik a személyes adatokat, hanem önállóan alakítják ki az adatkezelés célját és eszközeit, saját jelölti adatbázist építenek – ennek segítségével tudják magas szinten és hatékonyan kiszolgálni a partnereiket.
A közvetítő cégekkel mint önálló adatkezelőkkel lehetséges – de nem kötelező – adattovábbítási megállapodást kötni, amelyben a felek mint önálló adatkezelők vállalják a kapcsolódó adatvédelmi szabályoknak történő megfelelést.
Kölcsönzési szolgáltatásra irányuló megállapodás esetén amellett, hogy a cégeknek vannak önálló adatkezelési céljaik és emiatt önálló adatkezelőnek minősülnek, megjelennek olyan témakörök, ahol az adatkezelési célokat és/vagy eszközöket közösen határozzák meg a kölcsönvevővel. Tipikusan ide sorolhatóak az Mt. 217. §-ában foglalt egyes feladatkörök, illetve a munkavállalói kártérítési igények érvényesítésével összefüggő adatkezelések. Az ilyen típusú adatkezeléssel érintett folyamatokat egy közös adatkezelésről szóló megállapodásban kell rögzíteni, amelyben a felek konkrétan allokálják az egyes feladat- és felelősségi köröket – összhangban a Rendelet 26. cikkében foglaltakkal.
Bérszámfejtés
A bérszámfejtő szolgáltató egyértelműen a munkáltató mint adatkezelő utasításai alapján, az adatkezelő által meghatározott célok elérése érdekében végzi tevékenységét, nem dönt önállóan az adatkezelés lényegéről, ezért adatfeldolgozónak minősül. Többször felmerült már kérdésként, hogy tekintettel a bérszámfejtő szakmai önállóságára és a megbízás teljesítése során tanúsított függetlenségére – pl. saját maga határozza meg, milyen bérszámfejtő rendszert használ, hogyan építi fel tevékenységét – nem minősülhet-e adatkezelőnek. Álláspontom szerint önmagában az, hogy az adatkezelés eszközeit még csak részben sem az adatkezelő határozza meg, nem alapozza meg a másik fél adatkezelői minőségét, hiszen nem ő az adatkezelés „ura”, és az alapul szolgáló szolgáltatás hiányában fel sem merülne az adott személyes adatok kezelése részéről. Vagyis az adatkezelés technikai és szervezeti mikéntjéről való döntés nem avanzsálja adatkezelővé a beszállítót – ezt az értelmezést támasztja alá a 29. cikk alapján létrehozott Adatvédelmi Munkacsoport 1/2010. számú véleménye is. A bérszámfejtő szolgáltatóval a fentiekre tekintettel legalább az Általános Adatvédelmi Rendelet 28. cikke szerinti tartalommal adatfeldolgozói szerződést kell kötni, amely biztosítja a kezelt személyes adatok védelmét a beszállító tekintetében is.
(Cikkünket teljes terjedelmében a Mezőgazdasági és élelmiszeripari KKV Tanácsadó) márciusi számában olvashatják)
