Elektronikus beléptetés, elektronikus munkaidő nyilvántartás
Manapság szinte valamennyi modern iroda épület rendelkezik valamilyen beléptető rendszerrel melynek alkalmazása több célt is szolgálhat egyszerre.
A belépők beazonosításán kívül a kártyák által tárolt adatokat a munkáltatók gyakran összekötik a munkaidő-nyilvántartó rendszerekkel.
Adódik a kérdés hogy milyen esetekben használható munkaidő nyilvántartásra a beléptető kártya és mik az elektronikus beléptetés adatvédelmi vonatkozásai.
A GDPR szerint minden olyan adat személyes adatnak minősül, amely következtetést tartalmaz, vagy amelyből következtetés vonható le a munkavállaló személyére, munkavégzésére. Ennek minősül pl. munkavállaló munkaidejének kezdete és vége, a munkaközi szünetek időtartama is, vagyis minden olyan információ, amely a munkavállaló épületen belüli és kívüli mozgását eredményezi.
Személyes adatok kezelésénél a legfontosabb teendő az adatkezelési viszonyok, kapcsolatok feltárása, adatkezelők és esetleges adatfeldolgozók meghatározása.
Nagyobb irodaházak esetén az az általános, hogy a beléptető rendszert az épület üzemeltetője működteti, a munkáltatók, mint az irodák bérlői pedig csak rendkívüli események miatt kapnak információt. Az esetek többségében ilyenkor az adatkezelési cél szimplán a belépési jogosultság ellenőrzése, vagyonvédelem, jogellenes cselekmények megelőzése.
A vállalatok saját beléptető rendszereinél már gyakran előfordul, hogy a beléptető kártya és a munkaidő nyilvántartás összekapcsolásra kerül. Számos esetben a belépési jogosultságot tovább differenciálják, épületek szintjeire esetleg ajtókra lebontva a munkatársak között.
Ebben az esetben a munkáltatók figyelemmel kísérhetik a munkavállalók épületen belüli mozgására vonatkozó adatokat is.
Minden esetben elsőrendű az adatkezelői és az adatfeldolgozói pozíció meghatározása.
Egy egyszerű irodaházas belépési jogosultság ellenőrzésnél általában az irodaház üzemeltető az adatkezelő a bérlő adatfeldolgozó.
Munkaidő nyilvántartással összekapcsolt saját beléptető rendszer esetében természetesen már maga a munkaadó az önálló adatkezelő így hát az adatkezelési tájékoztatást is eszerint kell megadni a dolgozó felé, az adatvédelmi dokumentációt is ennek megfelelően kell összeállítani.
Az adatkezelőnek több kötelezettsége van mint az adatfeldolgozónak és az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a GDPR-ben meghatározott kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta, vagy azokkal ellentétesen járt el.
Előfordulhat közös adatkezelés esete is, ilyenkor célszerű szerződésben rendelkezni a felelősség megosztásról.
Mint minden személyes adatkezelésnél a beléptető rendszer alkalmazásánál is GDPR rendelkezései szerint kell eljárni.
Meg kell határozni az adatkezelés célját és jogalapját. Az érintetteket megfelelően tájékoztatni kell, ill. szükséges elvégezni egy ún. érdekmérlegelési tesztet, amelyben az adatkezelőnek garanciákat kell bemutatnia a jogszerű adatkezelésekre:
Célhoz kötöttség: személy és vagyonbiztonság valamint munkaidő nyilvántartáson kívül a kapott adatokat nem kezeli más célból.
Adattakarékosság: Csak annyi adatot kér, amennyire ténylegesen szükség van, pl. nem másolja le a személyi igazolványokat a vendég beléptetésnél.
Adatok védelme: Biztosítja a bekért és eltárolt adatok megfelelő szintű védelmét.
Adatok korlátozott tárolhatósága: A bekért adatokat egy előre meghatározott megőrzési idő után törölni kell.
Az egyszerűbb elektronikus beléptető rendszerek által rögzített adatok a munkahelyre történő érkezés és távozás időpontját mutatják, azaz több időt, mint amennyit a munkavállaló effektív munkavégzéssel tölt. Nem elég tehát csak a beléptető rendszer által tárolt adatokra hagyatkozni, azok nem a tényleges munkavégzési időszakot mutatják.
Azoknál a cégeknél, amelyek olyan beléptető rendszerrel rendelkeznek, ami rögzíti az épületen belüli mozgásokat is sokszor adatokkal rendelkeznek arról is, hogy a munkavállalók dohányzással vagy egyéb személyi szükségleteikkel töltött ideje pl. mosdó használata hogyan alakult.
Ezen információk figyelése és következtetések levonása mennyire jogszerű?
Az adatkezelési célok között a személy és vagyonvédelem, ill. a munkaidő nyilvántartás szerepelhet, Az elektronikus beléptető rendszer működtetése nem irányulhat a munkavállaló munkájának megfigyelésére, szokásainak folyamatos lekövetésére. Tehát egy helyhez kötött munkaállomás esetében (pl.: ügyfélszolgálat, pénztáros) is a munkaadó csak olyan tényeket állapíthat meg amelyek személyeskedéstől mentesek. Elhagyta a munkaterületét, de nem lényeges hogy milyen célból.
