Munkavállalók személyes adatai vs. GDPR - 3 millió forint összegű bírság
Egy magyarországi cégnél történt, hogy a munkáltató a vezetői értekezleten kiosztott egy listát a résztvevőknek, mely 51 alkalmazott szakszervezeti egyesületi tagságra vonatkozó adatát tartalmazta.
Helyesen járt el a munkáltató ebben az esetben? Megteheti, hogy nyilvánosságra hozza egy értekezleten ezeket a személyes adatokat?
Nézzük hogy döntött a Hatóság az ügyben! Ugyanis adatvédelmi hatósági eljárásra került sor, mivel két érintett kérelemmel fordult a Hatósághoz, kifogásolták munkáltatójuk adatkezelését.
A munkáltató a szakszervezeti egyesületi tagdíjnak a munkavállaló illetményéből történő levonása érdekében jogszerűen kezeli az érintettek egyesületi-tagságra vonatkozó adatát, ehhez kétség nem fér. Ugyanakkor ez a felhatalmazás nem jelenti azt, hogy a díjlevonás érdekében kezelt adatok más célra is felhasználhatók lennének (célhoz kötött adatkezelés elve).
A Hatóság álláspontja szerint, az érdekképviseleti tagságra vonatkozó adatokat kizárólag a munkáltató szervezetén belül bérszámfejtéssel foglalkozók ismerhetik meg. A munkáltató kötelezettsége, hogy olyan körülményeket teremtsen, hogy az adatokhoz mások – akár vezetők – ne férhessenek hozzá.
A személyes adatoknak a gyűjtésük eredeti céljától eltérő egyéb célból történő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető az adatkezelés eredeti céljaival.
A Hatóság szerint a tagsági díj levonásával, nyilvántartásával (eredeti cél) nem volt összeegyeztethető, hogy a munkáltatói jogkör gyakorlója a bérszámfejtéshez használt adatbázisból más célú felhasználás érdekében, érdekképviseleti tagsági lekérdezésre vonatkozó utasítást adott, és a lekérdezett adatokat listába szedve kezelte. Szintén megállapítást nyert a lekérdezett adatok vezetők részére történő továbbításának, közlésének jogellenessége, miáltal a listán szereplők adatait az értekezlet résztvevői jogszerű hozzájárulás nélkül ismerték meg.
A Hatóság 3.000.000,- Ft összegű adatvédelmi bírságot szabott ki, amelyet a cég megfizetett és a határozattal szemben bírósági felülvizsgálatot nem kezdeményezett.
