A COVID-19 jelentős változást hozott az irodahasználati szokásokban – ma úgy tűnik, hosszabb távon hódíthat az úgynevezett hibrid (részben otthoni, részben irodai) munkavégzés. A hibrid munkavégzéssel kapcsolatban viszont felmerülhet a kérdés, miként tartatható be, hogyan ellenőrizhető az irodai jelenlét.
Talán a legkézenfekvőbb megoldás a szinte valamennyi modern irodaház által alkalmazott beléptetőrendszer, hiszen minden dolgozó rendelkezik beléptetőkártyával. A Deloitte szakértői azt vizsgálták, használható-e munkaidő-nyilvántartásra a kártya, és hogy melyek a beléptetőrendszerek adatvédelmi vonatkozásai.
Személyes adat, mikor dolgozunk, mikor nem
A beléptetőrendszerek alkalmazása több célt is szolgálhat egyszerre: az épületbe belépők azonosítása mellett a kártyák által tárolt adatokat a munkáltatók gyakran összekötik a munkaidő-nyilvántartó rendszerekkel. A GDPR-ben meghatározott szabályok alapján személyes adatnak minősül:
- a munkavállaló munkaidejének kezdete és vége,
- a munkaközi szünet és
- a szabadság időtartama is.
Vagyis minden olyan információ személyes adat, amely a munkavállaló épületen belüli és kívüli mozgásáról szól. Ezért javasolja a tanácsadó cég, hogy először meg kell határozni ki kezeli a beléptetőrendszer által tárolt adatokat.
Ki az adatkezelő és ki az adatfeldolgozó?
Mint írják, nagyobb irodaházaknál általános a gyakorlat, hogy a beléptetőrendszert az épület üzemeltetője működteti. A munkáltatók pedig – mint az irodaterületek bérlői – csak rendszeres adatszolgáltatás keretében, vagy bizonyos események, incidensek kapcsán kapnak adatot. Más persze a helyzet, ha a beléptetőkártyát összekapcsolják a munkaidőnyilvántartással – ekkor a munkáltatók is kézhez kaphatják a munkavállalók mozgására vonatkozó adatokat. Akármelyik eset is érvényesüljön, az adatkezelő és -feldolgozó pozíciók rögzítése mindig rendkívül fontos, ugyanis a GDPR eltérő kötelezettségeket határoz meg mindkettejükre.
Felmerülhet közös adatkezelés is: ilyenkor célszerű szerződésben rendelkezni a felelősség-megosztásról. Az adatkezelőnek az adatfeldolgozóhoz képest többletkötelezettségei vannak, az adatfeldolgozó pedig csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a GDPR-ben meghatározott kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta, vagy azokkal ellentétesen járt el.
Erre kell figyelni, ha beléptetőrendszert alkalmazunk
Mivel a beléptetőrendszer alkalmazása személyes adatok kezelésével jár, a GDPR rendelkezései szerint kell eljárni. Az adatkezelőnek meg kell határoznia az adatkezelés célját és jogalapját, és megfelelően tájékoztatnia is kell az érintetteket. A beléptetőrendszerek alkalmazásakor mindig el kell végezni az úgynevezett érdekmérlegelési tesztet is, amelyben az adatkezelőnek többek között az alábbiakat kell bemutatnia:
- A személyes adatokat csak az adott célok elérése érdekében kezeli (pl. személy-, és vagyonbiztonság, munkaidő-nyilvántartás).
- Csak annyi adatot kér be, amennyire ténylegesen szükség van (pl. vendég belépésekor nem fénymásol személyigazolványt, amelyről a NAIH több határozatában is kimondta, hogy jogellenes).
A GDPR-nek persze ennyivel nem elég megfelelni, további előírásokat is megállapít, például az adatok tárolásakor biztosítani kell a megfelelő védelmet, továbbá az adatokat csak a megőrzési időn belül szabad kezelni, tehát annak lejártát követően törölni kell azokat. A szakértő felhívta arra is a figyelmet, hogy az irodai beléptetőrendszerek alapján készült jelenlét-nyilvántartások nem alkalmasak rá, hogy helyettesítsék a munkáltató által kötelezően vezetendő munkaidő-nyilvántartást.
Ha biometrikus a beléptetőrendszer, még szigorúbbak a szabályok
Bár úgy tudni, Magyarországon a belépőkártyás rendszerek a legelterjedtebbek, fontos megemlíteni a biometrikus adatokon alapuló beléptetőrendszerek alkalmazását is. Ezeknél ugyanis még szigorúbbak az adatkezelésre vonatkozó követelmények. Az Európai Adatvédelmi Testület legújabb állásfoglalása alapján az ilyen érzékeny adatokon alapuló beléptetés csak és kizárólag szigorúan indokolt esetben lehetséges (például ha egy gyártóüzem know-how technológiát alkalmaz, amely nyilvánvalóan magasabb fokú vagyonbiztonságot kíván meg). Biometrikus beléptetésnél az adatvédelmi hatásvizsgálatot is el kell végezni a tervezett adatkezelés kapcsán. Ehhez be kell mutatni, ki kell értékelni az adatkezelés körülményeit és következményeit, valamint a kockázatcsökkentő intézkedéseket szintén.
