Adatvédelmi bírságot eredményezett a nem törölt személyes adat
A munka törvénykönyve 6. § (4) bekezdése alapján a munkáltató és a munkavállaló is köteles egymást minden olyan tényről, adatról, körülményről vagy ezek változásáról tájékoztatni, amely a munkaviszony létesítése, valamint az e törvényben meghatározott jogok gyakorlása és a kötelezettségek teljesítése szempontjából lényeges.
A munkavállaló ezen kötelezettségének eleget téve még 1999 nyarán jelezte a munkáltatónak, hogy megszűnt az ideiglenes lakáscíme, továbbá kérte ennek törlését a munkáltató által kezelt adatok köréből. A törlésre nem került sor, annak ellenére sem, hogy a munkavállaló a törlés iránti kérelmét a későbbiekben több alkalommal is bizonyíthatóan megismételte.
A munkáltató nemhogy a személyes adatot nem törölte, hanem a munkavállaló egyéb személyes adatait – köztük a már hatálytalan lakcímet is – hozzájárulása nélkül továbbította egy másik adatkezelő (egy pénzintézet) részére a munkavállaló SZÉP-kártya-használatával összefüggésben.
A munkavállaló panasszal fordult az adatvédelmi hatósághoz.
A Hatóság megállapította, hogy mivel a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük, az adatkezelőnek (munkáltató) minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse.
A munkáltató az adattovábbítás jogalapjaként a jogos érdek jogalapját jelölte meg, ennek keretében arra hivatkozott, hogy az ő részéről jogos érdekként merült fel, hogy ezt a béren kívüli juttatást zökkenőmentesen biztosítsa a munkavállalói részére, a munkavállalók felől pedig, hogy az ügyintézést megkönnyítsék az oldalukon. A Hatóság álláspontja szerint a jogos érdek jogalapjára akkor lehet alapozni adatkezelést, ha az adatkezelés az adatkezelő vagy egy harmadik fél, nem pedig az érintettek (munkavállalók) jogos érdekeinek érvényesítéséhez szükséges.
A Hatóság álláspontja szerint a Kérelmezett SZÉP Kártya igénylésével összefüggő adatkezelését megfelelő jogalap hiányában alkalmazta, adattovábbításának jogalapja a munkavállaló hozzájárulása lehetett volna.
A munkáltató éveken át tartó figyelmetlenségből eredő mulasztása (nem törölte a személyes adatot), valamint a megfelelő jogalap hiányában történő személyes adat továbbítása 600 000,- Ft adatvédelmi bírságot eredményezett.
Munkáltatóként tehát érdemes megteremteni azokat az eljárási mechanizmusokat, melyek biztosítják, hogy a munkavállaló megváltozott adatai átvezetésre kerüljenek a belső nyilvántartásokban, másrészt törekedni kell arra, hogy a személyes adatok kezelésének és továbbításának jogalapját is jogszerűen határozzuk meg munkáltatóként.
Ne kerüljön hasonló helyzetbe! Vegye igénybe GDPR tanácsadásunkat >>