Munkalap Rendszer Szakértő
Kipróbálom ingyen

Adatvédelem és GDPR a munkalap rendszerekben: teljes útmutató

Munkalap Rendszer Szakértő · 2026. március 19. · 10 perc olvasás

Miért fontos a GDPR a munkalap rendszerben?

A munkalap rendszer — legyen szó CMMS-ről, szervizmenedzsment szoftverről vagy egyszerű digitális munkalap-alkalmazásról — természeténél fogva személyes adatokat kezel. Minden munkalap tartalmazza a feladatot végző karbantartó nevét, a munka időpontját, a helyszínt, és gyakran a hibabejelentő személyét is. Ezek az adatok a GDPR (General Data Protection Regulation, az Európai Parlament és a Tanács 2016/679/EU rendelete) hatálya alá tartoznak — és a rendszert üzemeltető cégnek az adatkezelés minden aspektusát a GDPR előírásai szerint kell kezelnie.

A magyar KKV-k jelentős része nincs tisztában azzal, hogy a karbantartási szoftver adatkezelőnek minősül, és az abban tárolt személyes adatokra — a munkavállalók és az ügyfelek adataira egyaránt — specifikus adatvédelmi kötelezettségek vonatkoznak. Ez a cikk gyakorlati útmutatást ad a GDPR-kompatibilis munkalap rendszer kialakításához.

Milyen személyes adatokat kezel egy munkalap rendszer?

A munkalap rendszer az alábbi személyes adatkategóriákat kezeli:

Munkavállalói adatok

  • Azonosító adatok: név, felhasználónév, e-mail cím, telefonszám
  • Munkavégzési adatok: munkalapok (mit csinált, mikor, hol), munkaidő-nyilvántartás, teljesítmény-mutatók
  • Hozzáférési adatok: bejelentkezési időpontok, IP-cím, eszközazonosító
  • Helyadatok: ha a mobil alkalmazás GPS-t használ a helyszín rögzítésére

Ügyfél/partner adatok (szervizszolgáltatásnál)

  • Kapcsolattartó neve, e-mail címe, telefonszáma
  • Telephelyadatok: cím, belépési kódok, speciális utasítások
  • Hibabejelentő személy adatai

Harmadik fél adatok

  • Beszállítók: kapcsolattartó nevek, e-mailek (alkatrészrendelés kapcsán)
  • Alvállalkozók: személyes adatok, ha a rendszerben kezelik őket

A GDPR alapelvei és a munkalap rendszer

A GDPR 5. cikke hat alapelvet határoz meg, amelyek mindegyike releváns a munkalap rendszer üzemeltetésénél:

1. Jogszerűség, tisztességesség, átláthatóság

Az adatkezelésnek jogalappal kell rendelkeznie, és az érintetteket (munkavállalókat, ügyfeleket) tájékoztatni kell az adatkezelés céljáról és módjáról. A munkalap rendszer esetében a leggyakoribb jogalapok:

  • Jogos érdek (GDPR 6. cikk (1) f)): a munkáltató jogos érdeke a munkaszervezés, a feladatkiosztás és a teljesítmény-nyomon követés — ez a munkalap rendszer fő jogalapja a munkavállalói adatokra
  • Szerződés teljesítése (GDPR 6. cikk (1) b)): a szervizszerződés teljesítéséhez szükséges az ügyfél adatainak kezelése
  • Jogi kötelezettség (GDPR 6. cikk (1) c)): a munkavédelmi dokumentáció, a HACCP napló és az EU gépészeti rendelet dokumentációs kötelezettségei — a jogszabály írja elő az adatrögzítést

Fontos: a munkavállalói hozzájárulás (GDPR 6. cikk (1) a)) a munkalap rendszer esetében nem megfelelő jogalap, mert a munkaviszonyban a hozzájárulás „önkéntessége" kérdéses — a munkavállaló nem tagadhatja meg a munkacélú szoftver használatát. A jogos érdek vagy a jogi kötelezettség a helyes jogalap.

2. Célhoz kötöttség

A munkalap rendszerben gyűjtött személyes adatokat kizárólag az adatgyűjtés céljára lehet felhasználni. A karbantartási munkalapok adatait nem lehet például marketing célokra, viselkedéselemzésre vagy a munkavállalók szankcionálására felhasználni — hacsak erről az érintetteket előzetesen nem tájékoztatták.

Gyakorlati példa: a munkalap rendszer rögzíti, hogy Kovács János szerelő napi 6 munkalapot zár le. Ez az adat a munkaszervezés és a kapacitástervezés céljára használható — de nem használható fel automatikusan teljesítményértékelésre vagy fegyelmi eljárásra, hacsak az adatkezelési tájékoztató ezt kifejezetten nem tartalmazza.

3. Adattakarékosság (adatminimalizálás)

Csak a célhoz feltétlenül szükséges adatokat szabad gyűjteni. A munkalap rendszerben ez azt jelenti:

  • A munkalaphoz a feladat elvégzéséhez szükséges adatokat kell rögzíteni — nem a munkavállaló teljes személyes profilját
  • A GPS helyadatot csak akkor szabad rögzíteni, ha a helyszín-igazolás üzletileg indokolt (pl. szervizszolgáltatásnál a kiszállás igazolása)
  • A munkalap fotóin nem szükséges, hogy a karbantartó arca látszódjon — a gép állapota a lényeg

4. Pontosság

A személyes adatoknak pontosnak és naprakésznek kell lenniük. A munkalap rendszerben ez a felhasználók adatainak (név, e-mail, beosztás) rendszeres frissítését jelenti — különösen a szervezeti változásoknál (áthelyezés, kilépés).

5. Korlátozott tárolhatóság

Az adatokat csak addig szabad megőrizni, amíg az adatkezelési cél fennáll. A munkalap rendszerben ez az egyik legkomplexebb kérdés, mert a karbantartási dokumentáció megőrzését több, eltérő időtartamú jogszabály írhatja elő (lásd lentebb).

6. Integritás és bizalmasság

A személyes adatokat megfelelő technikai és szervezési intézkedésekkel kell védeni. A ServiceLeaf CMMS felhő alapú rendszere titkosított adatátvitelt (TLS), szerepkör-alapú hozzáférés-szabályozást és rendszeres biztonsági mentést biztosít — ezek a GDPR 32. cikke szerinti alapvető biztonsági intézkedések.

Hozzáférés-szabályozás: ki mit láthat a munkalap rendszerben?

A GDPR egyik legfontosabb gyakorlati követelménye a hozzáférés-szabályozás — a személyes adatokhoz csak az arra jogosultak férhetnek hozzá. A munkalap rendszerben ez az alábbi szerepkör-modellel valósítható meg:

Tipikus szerepkörök

  • Karbantartó/szerelő: látja a saját munkalapjait, az általa kezelt eszközök adatait — nem látja más karbantartók munkalapjait és teljesítményadatait
  • Műszakvezető: látja a csapata összes munkalapját, kioszthat feladatokat — de csak a saját területe eszközeit és munkatársait kezeli
  • Karbantartási vezető: teljes rálátás a karbantartási adatokra — KPI-ok, költségek, eszközök
  • Adminisztrátor: rendszerbeállítások, felhasználókezelés — a személyes adatok kezelésének technikai felelőse
  • Hibabejelentő (korlátozott hozzáférés): csak hibabejelentést tehet — a munkalapok belső tartalmához nem fér hozzá

A „szükséges minimum" elve

Minden felhasználó csak azokat az adatokat láthassa, amelyekre a munkájához szüksége van. A karbantartónak nem kell látnia a pénzügyi adatokat (alkatrészárak, költséghelyek), a könyvelőnek nem kell látnia a karbantartási részleteket (milyen csavart húzott meg). A munkalap rendszer szerepkör-alapú hozzáférés-szabályozása ezt biztosítja.

Adatmegőrzés és törlés: mennyi ideig tárolhatók a munkalap adatok?

Az adatmegőrzési időtartam a munkalap rendszerben nem egyszerű kérdés — több, egymásnak részben ellentmondó követelményt kell összehangolni:

Jogszabályi megőrzési kötelezettségek

  • Munkavédelmi dokumentáció: a veszélyes munkaeszközök felülvizsgálatának dokumentációját az eszköz teljes élettartama alatt meg kell őrizni — ez akár 20-30 év is lehet
  • HACCP dokumentáció: általánosan 2-5 éves megőrzési időt várnak el a hatóságok
  • Számviteli bizonylatok: ha a munkalap költségelszámolás alapja, a számviteli törvény 8 éves megőrzést ír elő
  • EU 2023/1230: a gépek teljes élettartama alatt megőrzendő — potenciálisan évtizedekig
  • Munkaügyi nyilvántartások: a Munka Törvénykönyve szerint a munkaviszonnyal összefüggő iratok 3 évig megőrzendők az elévülési idő alapján

GDPR törlési kötelezettség

A GDPR szerint az adatokat törölni kell, ha az adatkezelés célja megszűnt. Hogyan egyeztethető össze a 30 éves munkavédelmi megőrzési kötelezettség a GDPR törlési elvével?

A megoldás: az adatkezelési cél határozza meg a megőrzési időt. Ha a jogszabály írja elő a megőrzést (pl. munkavédelmi dokumentáció), az a GDPR 6. cikk (1) c) szerinti jogalap — és az adatot addig kell megőrizni, amíg a jogszabályi kötelezettség fennáll. De a cél megszűnése után — például a gép selejtezése és a megőrzési idő lejárta után — az adatot törölni kell.

Gyakorlati megoldás: adatmegőrzési szabályzat

Készítsen adatmegőrzési szabályzatot, amely adatkategóriánként meghatározza a megőrzési időt:

AdatkategóriaMegőrzési időJogalap
Munkavédelmi felülvizsgálat dokumentációAz eszköz élettartama + 5 évJogi kötelezettség
HACCP karbantartási napló5 évJogi kötelezettség
Számviteli bizonylat jellegű munkalapok8 évJogi kötelezettség
Általános karbantartási munkalapok3 évJogos érdek
Felhasználói fiókok (kilépett munkatárs)Kilépés + 90 nap (anonimizálás)Jogos érdek
Hibabejelentő adatai (külső személy)A hiba elhárítása + 1 évJogos érdek

Érintetti jogok a munkalap rendszerben

A GDPR az érintetteknek (munkavállalóknak, ügyfeleknek) számos jogot biztosít, amelyeket a munkalap rendszer üzemeltetőjének biztosítania kell:

Hozzáférési jog (15. cikk)

A munkavállaló jogosult megismerni, milyen személyes adatait kezeli a rendszer. A munkalap rendszerben ez azt jelenti: a karbantartó kérheti a saját munkalapjainak, bejelentkezési adatainak és teljesítményadatainak másolatát. A rendszernek képesnek kell lennie ezen adatok exportálására (pl. PDF vagy CSV formátumban).

Helyesbítési jog (16. cikk)

A munkavállaló kérheti személyes adatainak helyesbítését — például névváltozás esetén. A munkalap rendszerben a felhasználói profil adatai módosíthatók, de a lezárt munkalapok tartalma nem — ez utóbbi az adatintegritás követelménye. A helyes megoldás: a felhasználói profilt frissíteni, a lezárt munkalapok az eredeti névvel maradnak (és az audit trail rögzíti a névváltozást).

Törlési jog — „elfeledtetéshez való jog" (17. cikk)

Az érintett kérheti személyes adatainak törlését — de ez a jog nem korlátlan. A munkalap rendszerben a törlési jog korlátozottan érvényesül:

  • Ha a munkalap megőrzését jogszabály írja elő (munkavédelem, HACCP), a törlés nem teljesíthető
  • Ha a munkavállaló kilépett és a megőrzési idő lejárt, az adatokat törölni vagy anonimizálni kell
  • Az anonimizálás praktikus megoldás: a munkalap tartalma megmarad (a karbantartási előzmények értéke miatt), de a személyes adatokat (név, felhasználó) anonimizálják

Adathordozhatóság joga (20. cikk)

A munkavállaló kérheti személyes adatainak géppel olvasható formátumban történő kiadását. A ServiceLeaf riportok modulja lehetővé teszi az adatok CSV és PDF exportálását — ami az adathordozhatósági jog teljesítését biztosítja.

Adatfeldolgozói szerződés: a felhő alapú munkalap rendszer sajátossága

Ha a cég felhő alapú munkalap rendszert használ (SaaS modell), a szoftverszolgáltató adatfeldolgozónak minősül a GDPR szerint. A GDPR 28. cikke előírja, hogy az adatkezelő (a cég) és az adatfeldolgozó (a szoftverszolgáltató) között adatfeldolgozói szerződést (DPA — Data Processing Agreement) kell kötni.

Az adatfeldolgozói szerződés az alábbi elemeket tartalmazza:

  • Az adatkezelés tárgya, időtartama, jellege és célja
  • A kezelt személyes adatok típusai és az érintettek kategóriái
  • Az adatfeldolgozó kötelezettségei (titoktartás, biztonsági intézkedések, segítségnyújtás az érintetti jogok teljesítésében)
  • Az al-adatfeldolgozók (pl. a felhőszolgáltató infrastruktúra, mint AWS, Azure) igénybevételének feltételei
  • Az adatok visszaadása vagy törlése a szerződés megszűnésekor

Fontos: a DPA nélküli felhő alapú szoftverhasználat GDPR-jogsértésnek minősülhet. A megbízható szoftverszolgáltatók — mint a ServiceLeaf — automatikusan biztosítják a DPA-t a szolgáltatási szerződés részeként.

Adattovábbítás harmadik országba: hol vannak a szerverei?

A GDPR 44-49. cikkei szabályozzák a személyes adatok Európai Gazdasági Térségen (EGT) kívülre történő továbbítását. A munkalap rendszer választásakor ellenőrizze:

  • Az adatokat EU/EGT tagállamban tárolják-e? Az EU-n belüli adattárolás nem igényel külön adattovábbítási jogalapot
  • Ha az USA-ban vagy más harmadik országban tárolják: megfelel-e az adattovábbítás a GDPR követelményeinek (pl. EU-US Data Privacy Framework, standard szerződéses klauzulák)?
  • A szoftverszolgáltató al-adatfeldolgozói (felhőszolgáltató, CDN, e-mail küldő) hol működnek?

A magyar fejlesztésű szoftverek — amelyek EU-ban tárolják az adatokat — ebből a szempontból egyértelműen előnyben vannak.

Technikai biztonsági intézkedések

A GDPR 32. cikke előírja, hogy az adatkezelőnek és az adatfeldolgozónak megfelelő technikai és szervezési intézkedéseket kell alkalmaznia. A munkalap rendszer esetében a következő intézkedések szükségesek:

Titkosítás

  • Átviteli titkosítás (TLS): az adatok a felhasználó böngészője/mobilappja és a szerver között titkosítva közlekednek
  • Tárolt adatok titkosítása (encryption at rest): az adatbázisban tárolt adatok titkosítva vannak — ha a szerver fizikailag kompromittálódik, az adatok nem olvashatók
  • Jelszavak hash-elése: a felhasználói jelszavak nem egyszerű szövegként, hanem egyirányú hash formátumban tárolódnak

Hozzáférés-szabályozás

  • Szerepkör-alapú hozzáférés (RBAC): a fent leírt szerepkör-modell alkalmazása
  • Kétfaktoros hitelesítés (2FA): az adminisztrátori és vezetői fiókokhoz kötelezően
  • Automatikus munkamenet-lejárat: inaktivitás után a rendszer automatikusan kijelentkezteti a felhasználót

Naplózás és monitoring

  • Audit trail: minden művelet (létrehozás, módosítás, törlés, megtekintés) naplózása — ki, mikor, mit tett
  • Bejelentkezési napló: sikeres és sikertelen bejelentkezési kísérletek rögzítése
  • Anomália-detekció: szokatlan aktivitás (pl. tömeges adatletöltés) észlelése és riasztás

Biztonsági mentés és katasztrófa-elhárítás

  • Rendszeres automatikus mentés: napi/óránkénti biztonsági mentés
  • Georedundáns tárolás: a biztonsági mentések fizikailag elkülönített helyen
  • Helyreállítási terv (DRP): dokumentált eljárás a rendszer helyreállítására

Az adatvédelmi hatásvizsgálat (DPIA) szükségessége

A GDPR 35. cikke előírja az adatvédelmi hatásvizsgálat (DPIA) elvégzését, ha az adatkezelés „valószínűsíthetően magas kockázattal jár". A munkalap rendszer esetében DPIA szükséges lehet, ha:

  • A rendszer munkavállalók rendszeres és szisztematikus értékelését végzi (pl. teljesítmény-mutatók automatikus számítása és értékelése)
  • Nagyszámú érintett adatait kezeli (több száz munkavállaló)
  • GPS-alapú helymeghatározást alkalmaz a szerelők nyomon követésére
  • Különleges adatokat kezel (pl. egészségügyi adatok a munkavédelmi dokumentációban)

A legtöbb magyar KKV-nél a standard karbantartási munkalap rendszer nem igényel DPIA-t — de ha GPS nyomon követés vagy automatikus teljesítményértékelés is része a rendszernek, érdemes elvégezni.

Gyakorlati checklist: GDPR-kompatibilis munkalap rendszer

  1. Adatkezelési tájékoztató: készítsen írásos tájékoztatót a munkavállalóknak a munkalap rendszer adatkezeléséről — milyen adatokat kezel, milyen célra, milyen jogalapon, meddig
  2. Adatfeldolgozói szerződés: kössön DPA-t a szoftverszolgáltatóval (felhő alapú rendszernél kötelező)
  3. Szerepkör-beállítás: konfigurálja a hozzáférési szinteket a „szükséges minimum" elve alapján
  4. Adatmegőrzési szabályzat: határozza meg az adatkategóriánkénti megőrzési időket
  5. Érintetti jogok kezelése: készítsen eljárásrendet a hozzáférési, helyesbítési és törlési kérelmek kezelésére
  6. Biztonsági intézkedések: ellenőrizze a titkosítást, a 2FA-t, az audit trailt és a biztonsági mentést
  7. Kilépett munkatárs kezelése: definiálja az eljárást — fiók deaktiválása, adatok anonimizálása a megőrzési idő lejárta után
  8. Adatvédelmi incidens-kezelési terv: a GDPR 72 órás bejelentési kötelezettségéhez szükséges eljárás

Gyakori kérdések

A karbantartó neve személyes adat?

Igen. Bármely információ, amely egy azonosított vagy azonosítható természetes személyre vonatkozik, személyes adatnak minősül a GDPR szerint — beleértve a nevet, felhasználónevet és e-mail címet.

Törölhetjük-e egy kilépett munkatárs munkalapjait?

Attól függ. Ha a munkalapok megőrzését jogszabály írja elő (pl. emelőgép felülvizsgálat dokumentációja), nem törölheti — de a személyes adatokat (név, elérhetőség) anonimizálhatja. Ha nincs jogszabályi megőrzési kötelezettség, a megőrzési szabályzat szerinti időtartam lejárta után törölni kell.

Kell-e GDPR tájékoztató a hibabejelentő rendszerhez?

Igen. Ha a hibabejelentő rendszer személyes adatokat kér a bejelentőtől (név, e-mail), tájékoztatni kell az adatkezelésről. Ha a bejelentés anonim is megtehető, ez az adattakarékosság elvét támogatja.

Hol tárolja az adatokat a ServiceLeaf?

A ServiceLeaf az adatokat EU-n belüli szervereken tárolja, titkosított formában, georedundáns biztonsági mentéssel — teljes GDPR megfelelőséggel.

Összefoglalás

A GDPR és az adatvédelem a munkalap rendszerek üzemeltetésének szerves része — nem opcionális kiegészítő. A munkalap rendszer személyes adatokat kezel (munkavállalói nevek, munkaidő, helyadatok), amelyekre a GDPR minden előírása vonatkozik: jogalap, célhoz kötöttség, adatminimalizálás, megőrzési korlátok, biztonsági intézkedések és érintetti jogok biztosítása. A felhő alapú rendszereknél az adatfeldolgozói szerződés és az adattárolás helyszíne további szempont. A jó hír: a modern CMMS rendszerek — mint a ServiceLeaf — a legtöbb GDPR követelményt „beépített adatvédelem" (privacy by design) alapon teljesítik: szerepkör-alapú hozzáférés, audit trail, titkosítás és EU-n belüli adattárolás. A cég feladata az adatkezelési tájékoztató elkészítése, az adatmegőrzési szabályzat kialakítása és az érintetti jogok kezelésének eljárásrendje — mindez egy jól konfigurált munkalap rendszer mellett minimális többletmunkát jelent.

Kapcsolódó cikkek

Munkalap rendszer bevezetés checklist

A teljes ellenőrzőlista a sikeres bevezetéshez.

Tovább olvasom

Munkalap rendszer ERP integráció

Hogyan kapcsolja össze a munkalap rendszert az ERP-vel?

Tovább olvasom

KKV tapasztalatok

Valós esettanulmányok a munkalap rendszer bevezetéséről.

Tovább olvasom

Próbálja ki a ServiceLeaf CMMS-t ingyen

14 napos ingyenes próba, bankkártya nélkül. Percek alatt elindulhat.

Kipróbálom ingyen Bemutatót kérek