Május 25. után az adatkezelőknek már az Európai Unió új adatvédelmi rendelete (General Data Protection Regulation, GDPR) szabályainak kell megfelelnie. A megfelelő értelmezéshez mindenképp célszerű ezt szektorspecifikusan vizsgálni, ugyanis „ahány ház, annyi szokás”. A megfelelés különösen jelentős kihívás azon cégek számára, amelyek országhatárokat átlépő tevékenységet végeznek. A szállítmányozó- és fuvarozócégek jelentős mennyiségben kezelnek személyes adatokat, beleértve a munkavállalók, szerződéses partnerek, megrendelők személyes adatait is. A szabályok értelmezésében az act legal | Bán és Karika Ügyvédi Társulás szakértője, dr. Urbán Liliána volt a segítségünkre.
A fuvarozási tevékenység sajátosságai
A GDPR meghatározza a kereteket, a cégeknek pedig saját működésük szerint kell kialakítaniuk a belső szabályzatukat, rendszereiket, amelyekben az adatok biztonságosan kezelhetők, tárolhatók. Nem egyszerű ez egyetlen adatkezelőnek sem, azonban még nehezebb ezt olyan ágazatokban kivitelezni, ahol egy-egy tevékenység lebonyolításkor a szereplők előre nem egyeztetett, azonnali döntés alapján változhatnak. Egy szállítmányozócégnek ahhoz, hogy hatékonyan és gazdaságosan tudjon fuvarokat bonyolítani, számos szereplőt, eszközt kell igénybe vennie a kamionosoktól, sofőröktől kezdve különböző alvállalkozókig, a nyomkövető rendszereken át a biztonsági szolgálatig. Mindezen alrendszerek között pedig nemcsak a szállítmány, hanem a megrendelők, a munkavállalók és harmadik személyek személyes adatai is „vándorolnak” – mondta el dr. Urbán Liliána. Tekintettel arra, hogy ez az az ágazat, ahol a munkatársak többsége az utakon van, így már maga a munkafolyamat is igen speciális, és számos adatvédelmi kérdést vet fel. Vegyük példaként a kamionsofőröket, akik egyrészt szigorú ellenőrzés alá esnek, és velük kapcsolatban folyamatosan adatszolgáltatás történik a munkáltatóik részére, másrészt maguk is számtalan adathoz, információhoz jutnak. Munkavégzés közben az utazási idejüket és sebességüket rögzíti a tachográf, a megtett útvonalat és az aktuális helyzetüket a GPS mutatja, közben pedig a fedélzeti kamerával folyamatos felvételt készítenek a körülöttük lévő járművekről, illetve egy esetleges baleset során akár az abban érintett személyekről is. Az utóbbi eszközök alkalmasak arra, hogy azokat profilalkotáshoz használják fel, amelynek kritériuma viszont az, hogy kizárólag automatizált adatkezelésre kerüljön sor, és a döntés az érintettre nézve joghatással járjon vagy hasonlóan jelentős mértékben érintse.
Az adatkezeléssel érintettek köre – mire kell odafigyelni?
A GDPR értelmében személyes adatnak minősül minden olyan információ, ami egy azonosított vagy azonosítható természetes személyre vonatkozik. A jogszabály rögzíti, hogy adatkezelés kizárólag a GDPR-ban felsorolt valamely jogalap szerint történhet, amelynek meghatározása elengedhetetlen bármely tevékenység végzése során, mert e nélkül nem lehet jogszerű adatkezelésről beszélni. A jogalap határozza meg ugyanis az adatkezelés korlátait, lehetőségeit, amely az eltérő jogalapok szerint másképp is alakul. A fuvarozási tevékenység során beszélhetünk egyrészt belső adatkezelésről, amely a szállítmányozók vagy fuvarozók munkavállalóit érinti cégen belül, másrészt külső, partnereket és harmadik személyeket érintő adatkezelésről is. A belső adatkezelés szempontjából elengedhetetlen a munkavállalók pontos tájékoztatása arról, hogy a cégek velük kapcsolatban milyen adatokat kezelnek, és a munkavégzésük során milyen információkat gyűjtenek róluk. A kamionsofőrök példájánál maradva – akik a fuvarozás és szállítmányozási tevékenység elsődleges szereplői között vannak – fontos, hogy munkaszerződésükben vagy a munkaszerződésük mellett egy külön tájékoztatóban részletes információt kapjanak arra vonatkozóan, hogy – a fentiekben részletezett, illetve egyéb – adataikat milyen célból ki és meddig kezeli. A szakértő hozzátette: további megoldás lehet az is, ha a szállítmányozó-, fuvarozócégek adatvédelmi szabályzatot készítenek, annak tartalmáról a munkavállalóikat tájékoztatják, illetve külön nyilatkoztatják őket az adatkezeléshez történő hozzájárulásukról. Amennyiben az előző megoldások bármelyike során adott tájékoztatás nem teljeskörű, minden részletre kiterjedő, úgy az adatkezelés nem a jogszabályoknak megfelelően történik. A munkavállalók esetében meg kell jegyezni, hogy – például járulékaik és az adók tekintetében – kötelező adatkezelésről is van szó, amely esetben az adatkezelés jogalapja önmagában a jogszabály. A partnerek és megrendelők relációjában a jogalap jellemzően a szerződéses viszony vagy ezeknek a szereplőnek a hozzájárulása; ezeknek írásos formában kell megjelennie, emellett az érintettek tájékoztatása kötelező. Az adatkezelés során látható tehát, hogy minden esetben elengedhetetlen az, hogy a jogalappal tisztában legyen az adatkezelő és annak megfelelően járjon el, adjon tájékoztatást az érintett részére. A fuvarozók és szállítmányozók tevékenysége során az adatkezelés köre a fedélzeti kamerák használatával is bővül, amely már harmadik személyekhez kapcsolódó adatkezelést érint. Kérdéses, hogy ezek milyen feltételekkel lesznek használhatók továbbra is a GDPR rendelkezéseivel összhangban; itt mi a jogalap? A felvételek készítése abban az esetben számít jogszerűnek, ha az a személyes biztonság és a testi egészség védelmében szükséges, illetve a Nemzeti Adatvédelmi és Információszabadság Hivatal állásfoglalása alapján üzleti érdek is lehet megfelelő jogalap a videófelvétel készítéséhez. Amennyiben az adatfelhasználás során egyetlen jogalap sem meghatározható, úgy felmerülhet a jogszabályellenes adatkezelés lehetősége, erre fontos a cégeknek figyelemmel lenni, hangsúlyozza dr. Urbán Liliána. A felvételek felhasználásának lehetősége egy esetleges baleset bekövetkeztekor változó megítélés alá esik, a bírói gyakorlat ezek bizonyítási eszközként való elfogadása tekintetében eltérő. Megjegyezzük, hogy az ezen kérdésekre adott válaszokat a különböző országok joggyakorlata is befolyásolja, jelen cikkben azonban a vizsgálódási körünket kizárólag a magyar szabályozás képezi.
Gyorsaság, gazdaságosság vs. adatvédelem
A fedélzeti kamerák használata mellett kevésbé szembeötlő, de szintén jelentős adatvédelmi kockázatokat rejt magában a szállítmányozó- és fuvarozócégek egymás közötti viszonylata, illetve a szállítmányaik nyomon követése nemcsak a munkavállalóik, hanem harmadik személyek tekintetében is. A fuvarozó- és szállítmányozócégeknek lényeges szempont a gyorsaság és költséghatékonyság, amelynek érdekében bevált gyakorlat más – akár konkurens – cégeket is igénybe venni az ügyleteik lebonyolításához, amelyről megrendelőiknek tudomásuk sincs. Ennek az az oka, hogy minden üres járművet igyekeznek áruval feltölteni, hogy az a másik áruért ne üresen menjen egyik pontból a másikba. Az árut ilyenkor gyakran úgy adják át egy átkapcsolható pótkocsiban, hogy átakasztják a másik társaság vontatója mögé. A fuvar lebonyolítása ilyenkor nincs előre egyeztetve, hanem gyakran a szállítmányozási folyamat során alakul úgy a helyzet, hogy gazdaságosabb megoldás a rendelkezésre álló, akár konkurens szállítócégek járművének igénybevétele. A fenti esetekben több oldalról is történhet adatsérelem: az áru megrendelőjének, tulajdonosának – akár céges, egy kisebb megrendelőnél akár személyes – adatai jogszabályellenesen kerülnek átadásra a szerződés létrejöttének hiánya, az előzetes tájékoztatás és hozzájárulás elmaradása okán. Fontos felhívni a figyelmet, hogy a fenti esetben megeshet az, hogy az igénybe vett másik társaság sofőrjét nem a saját munkáltatója által megbízott cég követi nyomon GPS-szel, hanem az árut eredetileg szállító társaságé, ami – megfelelő tájékoztatás és jogalap hiányában – jogszabályellenes lehet. Végül pedig a szállítmányozást követően minden adat tárolásra kerül, amely adattárolást sem az arra jogosultak végzik – például az eredeti fuvartársaság által felbérelt, GPS alapján nyomkövetést végző biztonsági szolgálat tárolja a másik fuvarozótársaság sofőrjének útvonalát. Ezek közül kiemelendő a GPS nyomon követés problematikája, amely kapcsán a 95/46/EK Irányelv 29-es cikk szerint létrehozott Adatvédelmi Munkacsoport 2/2017. számú véleményében egyértelmű álláspontra helyezkedik, miszerint: „A járművekhez kapcsolódó telematikai eszközöket alkalmazó munkáltatók minden esetben a járműről és az adott járművet használó munkavállalóról egyaránt gyűjtenek adatot. Ezek az adatok nemcsak az alapvető GPS-nyomkövető rendszerek által gyűjtött, a jármű (és így a munkavállaló) tartózkodási helyét megadó adatokat tartalmazhatják, hanem a technológia függvényében számos más, például a járművezetési szokásokra vonatkozó információkat is. Bizonyos technológiák (például az eseményrögzítők) a jármű és a járművezető folyamatos meg figyelését is lehetővé teszik.” A fenti gazdaságossági és gyorsasági szempontokat előtérbe helyező megoldások alkalmazásával könnyen megeshet az, hogy az adatbiztonság követelményei sérülnek. A cikkben eddig írtak alapján, illetve a munkacsoport véleményét is megvizsgálva lényeges tehát, hogy amennyiben a sofőrt egy másik társaság alvállalkozója követi GPS alapján, úgy erről a munkavállaló kapjon tájékoztatást. Illetve az is lényeges, hogy a munkáltató és a másik cég között szerződéses viszony álljon fenn, és a másik cég szintén vállaljon kötelezettséget az adatvédelmi szabályok betartására. A fuvarozó-, illetve szállítmányozótársaság gazdasági érdeke is lehet megfelelő jogalap az ilyen megoldásokra, azonban a munkavállaló részére adott adatkezelési tájékoztató ez esetben is elengedhetetlen a megfelelő adatkezeléshez.
Kiemelten fontos a pontos folyamatelemzés
Minden szektornak, szakmának vannak olyan megoldásai, amelyek esetleg eddig sem feleltek meg például egy szerződéses rendelkezésnek, ugyanakkor eredményes megoldást biztosítottak egy ügylet teljesítéséhez. A szállítmányozó és fuvarozócégek által alkalmazott sajátos megoldások rendkívül jól példázzák azt, hogy miért is fontos a GDPR-t egy adott ágazatban is értelmezni. Ezekre adatvédelmi szempontból különös figyelmet kell fordítani, és minimalizálni szükséges a kockázatokat a jogszabálysértés elkerülése érdekében – mutatott rá dr. Urbán Liliána. Jól látható, hogy a GDPR széleskörű szabályozása számos, még megválaszolatlan kérdést vet fel, ráadásul sokszor a nagy igyekezet ellenére is előfordulhat jogszabálysértés. Fontos tehát, hogy a jogszabálynak történő megfelelés során minden adatkezelő pontosan gondolja végig a saját tevékenységéhez kapcsolódó folyamatokat, hogy azokban ki lehet az adatkezeléssel érintett személy, milyen adatot milyen célból kezelnek, kinek továbbítják, és hol fordulhat elő a legkönnyebben egy esetleges adatvédelmi jogsértés. Az adatkezelés során mindezeket mérlegelve, végiggondolva kell meghatározni az adatkezelés szabályait a társaságon belül, kidolgozva a megelőzéshez szükséges megoldásokat. A korábbi szabályozáshoz képest a szankció mértéke jelentősen szigorodott: adatvédelmi jogsértés esetén akár 20 millió eurós vagy a társaság világpiaci forgalmának 4 százalékát kitevő összegű bírsággal kell számolnia a figyelmetlen cégeknek.
