Az adat másolva jó? Sokmilliós büntetés jogtalanságért

A munkáltatók csak kivételes esetekben másolhatják le jogszerűen az alkalmazottak személyes iratait – mutat rá az egyik, adatvédelemmel is foglalkozó ügyvédi iroda. Csakis a jogszabályi felhatalmazás, illetve speciális, egyedi célhoz kötöttség lehet kivétel.

Gyakori tapasztalat, hogy a munkáltatók általános jelleggel másolják az alkalmazottaik valamennyi személyazonosító okmányát és egyéb iratait, az elkészült fénymásolatokat pedig időkorlát nélkül tárolják. Az okmányok fénymásolása adatkezelésnek minősül, így azt csak az Európai Unió általános adatvédelmi rendeletének (GDPR) és a célhoz kötött adatkezelés elvének és gyakorlatának a megtartásával tehetik meg a munkáltatók.

Az okmánymásolások indokaként leggyakrabban elhangzó érvek, mint például: „az elírások utólagos javíthatósága céljából” vagy a „jobb, ha megvan”, biztosan nem lesznek megfelelőek adatvédelmi szempontból. Az ilyen fajta adatgyűjtés „készletező adatkezelés”, amely a hatóság értelmezésében jogellenes.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2018 szeptemberében kiadott állásfoglalásában[1] kifejtette: okmánymásoláskor is figyelembe kell venni az adatkezelés általános elveit. Ennek értelmében a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, továbbá a kezelt adatoknak a szükségesre kell korlátozódniuk (adattakarékosság elve). Állásfoglalásában a NAIH kiemelte, hogy a bemutatott érvényes okmányban szereplő személyazonosító adatokat – tekintettel a dokumentum közhiteles voltára – másolatkészítés nélkül is el kell fogadni. A személyazonosító okmányról készült egyszerű másolat ugyanakkor nem bizonyítja hitelesen az érvényes hatósági okmány tartalmát, illetve nem alkalmas arra sem, hogy a személyazonosságot megállapítsa, a másolat megőrzése tehát általánosságban nem lehet célhoz kötött.

Az adatvédelmi hatóság érvelését erősíti A munka törvénykönyvének áprilisi módosítása is, amely szerint a munkáltató a személyazonosító okmányoknak a bemutatását kérheti, ugyanakkor a jogszabály nem hatalmazza fel a munkáltatót az okmányok lemásolására. Helyes gyakorlat lehet az, ha például az alkalmazott adatainak felvételekor a munkáltató részéről két ügyintéző megtekinti a személyes adatokat igazoló okmányokat, együttesen megállapítja a hitelességüket, majd erről feljegyzést készít, amelyet a munkavállaló az aláírásával helyben hagy. Erre a célra akár adatfelvételi formanyomtatvány is alkalmazható.

Bár az alkalmazottak okmányainak jogellenes másolása miatt a NAIH mind ez ideig nem szabott ki bírságot, a munkáltatóknak mindenképpen érdemes figyelembe venniük a jogellenes adatkezelési gyakorlatuk kockázatait. A GDPR szerint egy-egy jogellenes adatkezelés esetén a kiszabható bírság akár 20 millió euró (!) is lehet. – A NAIH eddig ismert határozatainak ismeretében (egyelőre) nem látszik valószínűnek 20–30 millió forintnál nagyobb összegű bírság kiszabása jogellenes okmánymásolás miatt, feltéve, ha az adatokkal egyébként visszaélés vagy más jellegű incidens nem történt.