Labour & Employment

Hungary: Protection of Employees’ Personal Data in Light of the Introduction of Binding Corporate Rules

Can employees’ personal data be transferred freely within a company group? The importance of protecting personal data of employees has been and remains in the spotlight. Despite the fact that data protection has been regulated in Hungary since 1992, new developments such as the introduction of computer or web-based systems, closed-chain television systems, and GPS devices, as well as the extensive use of smartphones and other IT equipment make it necessary to revise and reinterpret those regulations.

Background

The previous Hungarian Labour Code and the previous Act on Data Protection were enacted in 1992 and 1993, respectively. While the Act on Data Protection regulated this field progressively, the previous Labour Code contained only one general clause relating to the handling of employees’ personal data.

Since then new laws have been enacted in both fields – the new Act on Data Protection in 2011 and the new Labour Code in 2012.

Core areas of data protection in employment law

Regulations on handling the personal data of employees need to address two main areas: (i) the exact scope of data that the employer may handle (in other words, the limits of the employees’ right to privacy at the workplace), and (ii) the ways the employer must handle the personal data to which it is entitled.

Scope of data to be handled – privacy

The general rule is that data may only be handled with the data subject’s consent or specific authorisation of law. In addition to this general rule, the Labour Code stipulates that employees may be required to disclose information or data only if the disclosure does not violate their personal rights and is deemed necessary for the conclusion, fulfillment, or termination of employment. This means that the employees’ tax and social security numbers may be requested and subsequently handled by the employer, but the employees’ contacts on social networks or other personal data not related to the employment cannot be requested and handled by the employer at all. If such data is in the possession of the employer, it can only be handled upon the employee’s consent.

The Labour Code stipulates that the employer must inform employees when handling their personal data and prescribes the conditions for sharing that data with third parties. As a growing number of employers make use of third party service providers to perform some of their obligations which require the transfer of certain personal data of their employees (such as payroll and tax administration), the new Labour Code has introduced a rule, allowing employers to transfer their employees’ data to third-party data processors for specific purposes only if they have notified the employees in advance.

The practices of the data protection commissioner and its successor – the national data protection authority – established the most important principles concerning the employees’ right to privacy. Generally, employees must be informed in advance and provide their consent to all potential means of tracking them to be used by the employer, including GPS, phone call tracking systems, or simply checking employee internet use. Employees’ private lives may not be subject to any control. These principles remain intact under the new regulations.

Handling employees’ personal data – data transfers

Another important aspect of employee personal data protection pertains to the handling of personal data or information that the employer already lawfully possessed. In this regard, one of the most problematic areas is the transfer of data to third countries. The increasing number of companies operating globally which outsource their internal functional areas to shared service centers has made it increasingly important to find a solution to this problem.

Introduction of binding corporate rules

A recent amendment to the Hungarian Act on Data Protection (“Amendment“) introduced the concept of binding corporate rules (“BCRs“) into Hungarian law. BCRs are basically a group-wide internal policy on intra-group data transfers, and as such it will likely be a practical tool to regulate and allow data transfers within a company group. Companies using BCRs will not need to obtain separate approval for each personal data transfer within their group. The use of BCRs will therefore help to reduce administrative costs and strengthen as well as harmonise internal data processing practices. The use of BCRs is a progressive tool for intra-group data transfers, as they can be adapted to the day-to day operation of company groups. Finally BCRs are binding and enforceable for all members and employees of the company group, regardless of their place of residence.

Since 1 October 2015 and as a result of the Amendment, the Hungarian Data Protection Act officially accepts BCRs as adequate protection in cases of data transfers outside the EU/EEA. This important milestone will obviously affect the data handling practices of many multinational corporations. With the proper implementation of BCRs, storing employee data and keeping employee records in servers located outside Hungary will no longer create concerns.

The use of BCRs is a progressive tool for intra-group data transfers, as they can be adapted to the day-to day operation of company groups.

Magyarország: A munkavállalók személyes adatainak védelme az újonnan bevezetett kötelező szervezeti szabályozás fényében

Vajon továbbíthatóak-e a munkavállalók személyes adatai a vállalatcsoporton belül? A munkavállalók személyes adatainak védelmét továbbra is kiemelt figyelem övezi. Jóllehet Magyarországon a személyes adatok védelmét 1992 óta törvényi szabályozás biztosítja, a technológiai fejlődés – amely számítógépes illetve internet alapú rendszerek, zártláncú televízió rendszerek, GPS nyomkövetők, illetve okostelefonok és más modern technológiai eszközök alkalmazásának elterjedésében ölt testet – szükségessé teszi a vonatkozó szabályok folyamatos vizsgálatát és újraértelmezését.

Háttér

Mind a korábbi Munka Törvénykönyve, mind pedig az adatvédelmi törvény a ’90-es évek elején került elfogadásra. Míg az Adatvédelmi törvény a jogterületet a kor követelményeihez mérten progresszíven szabályozta, addig a Munka Törvénykönyve pusztán egy általános szabályt tartalmazott a munkavállalók adatainak védelmével kapcsolatosan.

Azóta mindkét jogterületen új jogszabályok léptek hatályba – az adatvédelmi törvényt felváltó, ún. Infotörvény 2011-ben, az új Munka Törvénykönyve pedig 2012-ben.

Az adatvédelem és a munkajog főbb találkozási pontjai

A munkavállalók személyes adatainak kezelésére vonatkozó szabályozás két fő területet kell, hogy lefedjen: (i) meg kell határoznia a munkáltató által jogszerűen kezelhető adatok körét (más szavakkal a munkavállalók munkahelyi privát szférájának határait), illetve (ii) meg kell határoznia a jogszerűen kezelt adatok kezelésére vonatkozó szabályokat.

A kezelhető személyes adatok köre – privátszféra

Az általános szabály szerint személyes adat kizárólag az érintett hozzájárulásával vagy jogszabály felhatalmazása alapján kezelhető. Ezen általános szabályon kívül az új Munka Törvénykönyve előírja, hogy a munkavállalótól csak olyan nyilatkozat megtétele vagy adat közlése kérhető, amely személyiségi jogát nem sérti, és a munkaviszony létesítése, teljesítése vagy megszűnése szempontjából lényeges. Ez azt jelenti, hogy például a munkavállalók adó- illetve TAJ-számának megadását a munkáltató jogszerűen kérheti, és ezen adatokat a későbbiekben jogszerűen kezelheti, de a munkavállaló közösségi médián szereplő kapcsolatait, vagy más a munkaviszonyhoz nem kapcsolódó adatok megadását egyáltalán nem kérheti. Amennyiben ilyen adat mégis a munkáltató birtokába jut, azt csak a munkavállaló hozzájárulásával kezelheti.

Az új Munka Törvénykönyve meghatározza, hogy a munkáltatónak tájékoztatnia kell a munkavállalót személyes adatainak kezeléséről és szabályozza az adatok harmadik fél felé történő továbbításának feltételeit is. Tekintettel arra, hogy egyre több munkáltató vesz igénybe alvállalkozót bizonyos munkaviszonnyal összefüggő és a munkavállalói adatok kezelését igénylő feladatai teljesítéséhez (így például tipikusan bérszámfejtéshez, adóbevallások készítéséhez), az új Munka Törvénykönyve bevezetett egy olyan szabályt, amely lehetővé teszi a munkavállalók személyes adatainak harmadik személy adatfeldolgozó részére történő átadását a munkavállaló előzetes tájékoztatása mellett.

Az adatvédelmi biztos majd a helyébe lépő adatvédelmi hatóság (a Nemzeti Adatvédelmi és Információszabadság Hatóság) megállapította azon legfontosabb elveket, amelyek a munkavállalók privát szférájához fűződő jogokat érintik. Általában a munkavállalók előzetes tájékoztatása és a hozzájárulásuk lehetőségének biztosítása szükséges minden munkáltató általi ellenőrzéshez, ide értve a GPS nyomkövető ilyen célú használatát, a telefonhívások ellenőrzését vagy a munkavállalók munkahelyi internet használatának ellenőrzését. A munkavállalók magánélete nem képezheti a munkáltatói ellenőrzés tárgyát. Ezen elvek az új szabályok hatálybalépését követően is alkalmazandóak.

A munkavállalók adatainak kezelése – adattovábbítás

A munkavállalói személyes adatok kezelésének egy másik érdekes aspektusa a munkáltató által jogszerűen kezelt adatok, információk kezelésének szabályozása. E tekintetben az egyik leginkább problematikus, sok kérdést felvető terület az adatok külföldre, harmadik országba történő továbbítása. A globális, határokon átívelően működő, egyes funkcionális tevékenységeiket gyakorta egy-egy szolgáltató központba kiszervező vállalatok növekvő száma szükségessé tette ennek a problémakörnek a rendezését.

A kötelező szervezeti szabályozás (binding corporate rules) bevezetése

Az Infotörvény közelmúltban történt módosítása bevezette a magyar jogba a kötelező szervezeti szabályozás (BCR) koncepcióját. A BCR-ek, tulajdonképpen vállalat-csoport szintű adattovábbítási szabályzatoknak tekinthetők, és e minőségükben praktikus eszközei lehetnek a vállalatcsoporton belüli adattovábbításoknak, megteremtve azok jogalapját és szabályozási környezetét. A BCR-t alkalmazó vállalatoknak nem lesz szükséges minden egyes vállalatcsoporton belüli adattovábbításhoz hozzájárulást kérni az adatgazdáktól. Ezért a BCR várhatóan nemcsak az adminisztratív költségek csökkentését eredményezi majd, hanem elő fogja segíteni a belső adatvédelmi gyakorlat egységesítését és erősítését is. A BCR egy előremutató eszköz lehet a belső adattovábbítások szabályozására, mivel rugalmas, és a vállalatok napi működéséhez igazítható. Végül pedig a BCR-ek hatálya a vállalatcsoport minden tagjára és munkavállalójára kiterjed, székhelyüktől vagy lakóhelyüktől függetlenül.

2015. október 1-je, a módosítás hatálybalépése óta, az Infotörvény alapján a BCR vagy más néven kötelező szervezeti szabályozás alkalmazása az EU-n/EGT-n kívüli adattovábbítások esetében elfogadható és megfelelő védelmet biztosító megoldásnak tekinthető. Ez a fontos mérföldkő bizonyára sok multinacionális vállalat adatkezelését fogja érinteni. A BCR megfelelő alkalmazása mellett a munkavállalói adatok és nyilvántartások Magyarországon kívüli (határon kívül eső szervereken történő) tárolása várhatóan nem lesz a továbbiakban aggályos.

A BCR egy előremutató eszköz lehet a belső adattovábbítások szabályozására, mivel a rugalmas, és a vállalatok napi működéséhez igazítható.