A munkáltatók részéről a munkahelyi adatkezelésre fordított figyelem jelentősége a digitális környezetben egyre fokozódik. A járványhelyzet miatt különösen igaz, hogy az otthoni munkavégzés, illetve ezzel összefüggésben is az egyre modernebb technológiai eszközök alkalmazása egyre inkább előtérbe kerülnek. A tudomány és a technikai egyre gyorsuló fejlődésével elmondható, hogy a munkavállalók technikai eszközökkel történő ellenőrzés egyre gyakoribbá válik. Ahogyan azt a Nemzeti Adatvédelmi és Információszabadság Hatóság megállapította, az adatvédelmi hatósági ügyek jelentős számban a munkavállalók technikai ellenőrzésével megvalósuló adatkezelésekre vonatkoznak. A különböző modern technikai eszközök a mindennapi életünk részévé váltak, így bátorsággal kijelenthető, hogy ez a trend nem fog megállni, hanem a folyamatos fejlődéssel csak fokozódni fog.
Munkaviszony esetében az alá-fölérendeltségre tekintettel függőségi viszonyról van szó a munkáltató irányában: a munkáltatói jog gyakorlásának „peremfeltételeit” adatvédelmi szempontból meghatározzák azok körülmények, melyek alapján a munkavállalók magánszférájának védelme biztosítható. Ennek másik vetülete, hogy ideális esetben a munkavállalók saját jogvédelmük lehetőségeivel teljes mértékben tisztában vannak. A munkavállalóknak szembesülniük kell azzal is, hogy munkavégzésük során ők maguk is kötelesek betartani adatvédelmi rendelkezéseket.
A munkahelyi adatkezelés megköveteli mindkét fél tudatos hozzáállását, a felek konstruktív együttműködését, melyhez szükséges mindkét fél számára az irányadó szabályok ismerete, a gyakorlatban egymás kölcsönös, megfelelő tájékoztatása. A magasabb fokú „adattudatosság” nem elméleti, távlati cél véleményem szerint, hanem a gyakorlati tapasztalatok alapján, a gyakorlati hasznosíthatóság reményében is megfogalmazhatók egyszerű, jól követhető ajánlások. Az alábbiakban kiemelek néhány példát és esetet a jó és a rossz munkáltatói gyakorlatok szemléltetésére.
A munkatársak kötelesek megfelelő módon együttműködni a munkáltatóval, ugyanis együttműködés nélkül nem valósulhat meg a munkáltató legjobb szándéka szerint sem a folyamatok minden tekintetben „szabályos mederben való tartása”. Nem elég csak a munkáltatót „ostorozni”, számonkérni a szabályok betartását. A szabályok követése, a jóhiszemű joggyakorlás a munkavállaló kötelezettsége is, az Mt. általános magatartási követelményei érvényesek az adatkezelési tevékenységekre nézve is. A jó gyakorlatok követése megköveteli ehhez kapcsolódóan azt is, hogy a munkavállalók teljeskörűen megkapják a szükséges információkat, a tájékoztatás lényeges a jogok gyakorlása szempontjából is, melyhez a gyakorlatban konkrét eszköz lehet egy megfelelő szabályzat, eljárásrend, ehhez is érdemes a Hatóság, illetve az Adatvédelmi Munkacsoport ajánlásaira tekintettel lenni (29. cikk szerinti Adatvédelmi Munkacsoport, WP 249, 2/2017. számú véleménye a munkahelyi adatkezelésről, pl. 6. oldal., 8-9. oldal, 11. oldal, 13. oldal).
A belső szabályzatoknak, – összhangban a Hatóság ajánlásával (a Nemzeti Adatvédelmi és Információszabadság Hatóság tájékoztatója a munkahelyi adatkezelések alapvető követelményeiről, Budapest, 2016. október 28., pl. 25-26., 28-29., 30., 31. oldalalak), – le kell írnia az ellenőrzés lefolytatására vonatkozó részletes szabályokat, a magáncélú használatra is engedélyezett céges eszközök esetében a magáncélú használat engedélyezésének szabályait is. A szabályozásnak az adott technikai eszköz típusától, használatának jellegétől függően tartalmaznia kell a legfontosabb releváns előírásokat (például céges laptop esetében a mentési szabályokat, internethasználat esetében a blokkolt oldalakat). Ezek megjelennek a Hatóság döntéseiben is (például email-fiók ellenőrzésével kapcsolatosan a NAIH/2019/51/11. számú határozatában).
A Hatóság által közreadott útmutatások, ajánlások, állásfoglalások, tájékoztatók konkrét, gyakorlati, minden munkáltató számára könnyen elérhető segítséget nyújtanak az adatkezelők számára, a Hatóság kiemelten foglalkozott, foglalkozik a munkahelyi adatkezelés kérdéseivel, illetve a különböző technikai eszközök használatával is. A munkáltatók számára ezek a dokumentumok gazdag információs bázist jelentenek, a jó gyakorlatok meghonosítása, kialakítása szempontjából kiemelten ajánlott ezek áttanulmányozása, valamint a megfelelő, az adott adatkezelés(ek) szempontjából releváns információk hasznosítása.
Továbbá a hatósági jogesetek rámutatnak arra, hogy a munkáltató, de a munkavállaló részéről is pontos szabályok, ismeretek szükségesek ahhoz, hogy a magánszféra és a munkahelyi lét egymástól elkülönüljön, csúnya kifejezéssel írva „ne folyjanak össze egymásba”.
A munkahelyi tájékoztatók, szabályzatok esetében mindenképpen hangsúlyos, hogy ne csak annak hatására készüljenek ilyen dokumentumok, hogy a Hatóság „éppen” vizsgálatot folytat, ebben az esetben is elvárás, hogy azok tartalmukban megfelelő megoldásokat adjanak a napi működés során.
Jó gyakorlat természetesen az adatvédelem ügyeiben jártas szakember segítségét, útmutatását kérni, a szakember adott esetben az adatvédelmi tisztviselő („DPO”), kinek kinevezése, alkalmazása a GDPR-ban meghatározott esetekben egyúttal kötelező is. Rossz gyakorlat, ha kikérik szakember, – adott esetben DPO – tanácsát, véleményét, de nem kerül megfogadásra a kapott információ és jogsértés, szabálytalanság történik, pedig a rendelkezésre álló információk alapján az bizonyosan elkerülhető lett volna. Nem mellőzhető, hogy a munkáltató, illetve az erre általa felhatalmazott megfelelő kolléga, szakember (adott esetben a korábban írtak szerint az adatvédelmi tisztviselő) utánajárjon a szabályoknak, jogi lehetőségeknek. Igaz ez pl. egy kamerarendszer telepítésekor, egy új számítástechnikai eszközpark vásárlásakor és azok munkavállalói használatra történő átadásakor.
A belső folyamatok szabályozásába szükséges beépíteni az adatkezelési elveket. Nem elég csak „kipipálni” ezeket a szabályokat, elkészíteni (adott esetben különböző szakzsargonnal teletűzdelt, de a munkavállalók számára adott esetben nem közérthető) tájékoztatókat, hanem következetesen érvényesíteni kell azokat a mindennapok gyakorlatában.
A jó gyakorlatokhoz kapcsolódóan szólni kell az érintett munkavállaló jogairól (érintetti jogok). Az adatkezelés szabályosságában tudatos munkáltató kellő körültekintéssel jár el a jogalapok kiválasztása, alátámasztása terén, de arra is figyel – s minden tőle telhetőt meg is tesz annak érdekében –, hogy az érintettek, a munkatársai megfelelően, tisztában legyenek az adatvédelmi előírásokkal, jogaikkal, kötelezettségeikkel. A munkáltatónak, mint adatkezelőnek szükséges biztosítania, hogy az érintett (munkavállaló) gyakorolhassa a GDPR szerinti jogait, így lehetővé kell tenni, hogy a munkavállaló gyakorolhassa az adatokhoz való hozzáféréshez, az adatok helyesbítéséhez, törléséhez való jogát. Ha például a munkáltató jogos érdek jogalapra kíván hivatkozni, a munkavállalónak jogában áll tiltakozni az adatkezelés ellen.
A jogos érdek jogalap alátámasztása esetében az érdekmérlegelési teszt nem nélkülözhető, de ez nem tévesztendő össze a hatásvizsgálattal. Mindkét eszköz esetében egyaránt elmondható az, hogy – véleményem szerint – a tudatos adatkezelést végző munkáltató egyiket sem nélkülözheti a szükséges esetekben, valamint jogában áll lefolytatni vizsgálatot, tesztet, mérlegelést olyan esetekben is, amikor az egyébként nem lenne kötelező. Jó gyakorlatnak az számít, ha az adatkezelő ezeket az előzetes elemzéseket, vizsgálatokat, teszteket megfelelően elvégzi, valamint azok eredményét érvényre is juttatja.
A Hatóság oldalán (NAIH) ehhez egyrészt megtalálható a kötelező hatásvizsgálati lista, másrészt egy hatásvizsgálati mintaszoftver is rendelkezésre áll. („Az adatvédelmi hatásvizsgálat és előzetes konzultációja”: https://www.naih.hu/hatasvizsgalat)
Ki kell emelni a NAIH hatásvizsgálati listáját: „Az adatkezelőnek, amennyiben az adatkezelése valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, szükséges az adatkezelést megelőzően elvégeznie adatvédelmi hatásvizsgálatot. A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (a továbbiakban: GDPR) 35. cikkének (4) bekezdése szerinti adatkezelési műveletek típusainak a jegyzékét, amelyekre nézve az adatkezelőnek kötelező hatásvizsgálatot lefolytatnia, az alábbi pontokban részletezve teszi közzé.” (Lásd: https://www.naih.hu/hatasvizsgalati-lista) A munkavállalók munkájának megfigyelése a kötelező hatásvizsgálati listán szerepel (16. pont: „Munkavállalók munkájának megfigyelése. Az adatkezelés célja a munkavállaló munkájának megfigyelése során a munkavállaló személyes adatainak nagy számú és módszeres feldolgozása, illetve értékelése. Például GPS megfigyelő autóban történő elhelyezése, kamerás megfigyelés lopás vagy csalás elleni fellépés céljából.”) Az adatkezelő pedig általában is dönthet úgy, hogy bár az adott konkrét esetben nem kötelező, mégis elvégez hatásvizsgálatot.
A munkavállalóra vonatkozó adatokból sok esetben, – nemcsak vagy nem elsősorban a közösségi oldalakon elérhető adatokra gondolok – a munkáltató profilt is alkothat (fogalom ld. GDPR 4. Cikk 4. pont). A profilalkotáshoz technikai eszköz lehet például olyan számítógépes szoftver, mely kifejezetten arra szolgál, hogy ahhoz adatokat „gyűjtsön” és elemezzen. A profilalkotás esetében ugyanakkor a GDPR alapján adatvédelmi hatásvizsgálatot is kell végezni (ld. GDPR 35. cikk), ahogyan az a kötelező hatásvizsgálati listán is szerepel (10. pont: „Az adatkezelés célja személyes adatok nagy számú, illetve módszeres értékelése révén végzett profilozás, különösen ha az az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körére, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők alapján történik.”) A munkavállalók közösségi profiljainak munkáltató általi megtekintésével kapcsolatosan kiemelendő az 29. cikk szerinti Adatvédelmi Munkacsoport (https://edpb.europa.eu/about-edpb/more-about-edpb/article-29-working-party_hu) azon megállapítása, mely szerint, azt a munkáltató azt általános jelleggel, ellenőrzési céllal nem figyelheti: „A munkavállalók közösségi médiabeli profiljainak a munkaviszony során történő, általános célú figyelése nem megengedhető.” (Lásd WP 249, 2/2017. számú véleménye a munkahelyi adatkezelésről, 10. oldal, illetve 14. oldal.)
Az adatkezelésre vonatkozó megfelelő, aktuális ismeretek megszerzése önmagában nem elegendő, azokat folyamatosan meg is kell újítani, hiszen naprakésznek kell lenni a jogszabályi változásokkal kapcsolatosan, fontos ismerni a hatósági ajánlásokat, tanulságként a bírságoló döntéseket is. Ehhez szintén rendelkezésre állnak többek között a Hatóság ajánlásai, tájékoztatói, melyek segítenek eligazodni a munkáltatóknak a megfelelő adatkezelési belső írások kialakításában, megfelelő gyakorlat bevezetésében, fenntartásában.
A munkahelyi adatkezelési folyamatokra vonatkozó megfelelő belső előírások, szabályok mellett kiemelten jó gyakorlat továbbá a tudatosságnövelő képzések megtartása, – mely mind a munkáltató, mind a munkavállaló számára lehet egyaránt hasznos, – melyben a DPO szintén komoly szereppel bír, jelentős szerepet kaphat. A GDPR a DPO kifejezett feladatává teszi részvételét az adatkezelési műveletekben vevő személyzet tudatosság-növelésében (ld. GDPR 39. cikk (1) bekezdés b) pont). Az ismeretek tudatosítása, átadása, oktatása segíti a tudatos munkahelyi adatkezelési gyakorlatot, ennek egyik alapja lehet megfelelő szakember(ek), – DPO – alkalmazása, bevonása nemcsak a döntésekbe adatvédelmi kérdések tekintetében, hanem segítségükkel lehetséges megfelelő képzések tartása, azok rendszeresítése, ezeken keresztül pedig az ismeretek folyamatosan naprakészen tarthatók. A munkáltatót nem mentesíti ugyanakkor semmilyen szabályzatalkotás, képzésszervezés az alól, hogy mindenekelőtt elsődlegesen azonosítsa az adatkezelés célját, illetve a munkáltatói érdeket, továbbá, hogy az adatkezelés jogalapja egyértelműen, pontosan, és az adott esethez megfelelő módon kerüljön megválasztásra. Mind a szabályozás, mind a belső tájékoztatás esetében ezekre is tekintettel nem szabad szem elől téveszteni valamennyi adatkezelési elv érvényesítését, beleértve minden tekintetben az elszámoltathatóság biztosítását sem. A témában elérhető hatósági döntések tanulsága az is, hogy – különösen a különböző technikai eszközök esetében – megfelelő szervezési és technikai intézkedések is szükségesek, mellyel a munkáltató a munkahelyi adatkezelés során jó gyakorlatokat honosít meg, s így a jogszerűség talaján marad, elkerüli a rossz gyakorlatokat, ezen keresztül pedig a jogsértéseket (például külön kiemeli a személyes adatok videotechnikai, illetve kamerás eszközökkel történő kezelése esetében lásd: Az Európai Adatvédelmi Testület 3/2019. számú iránymutatása a személyes adatok videoeszközökkel történő kezeléséről 2.0 változat, Elfogadás időpontja: 2020. január 29., 9.3. pont.). Az intézkedések megvalósítása egyúttal az adatkezelő számára minden esetben kötelezően betartandó GDPR elszámoltathatóság elvének való megfelelést is szolgálja. A kapcsolódó jogesetek adatvédelmi bírság kiszabásával végződtek. A Hatóság által kiszabott adatvédelmi bírságnak egyrészt célja, hogy az adott kezelő a jövőben tartózkodjon az adatvédelmi szabályok megsértésétől, a jogsértéstől, illetve általában is figyelemfelhívást jelentenek a többi adatkezelő részére is, mind a speciális, mind a generális represszió egyaránt célja. A Hatóság a döntései során figyelembe veszi természetesen az eset összes körülményét, beleértve az esetleges „enyhítő”, valamint „súlyosító” körülményeket is. Nem szabad megfeledkezni arról sem, hogy túl azon, hogy egy adott ügyben kiszabásra kerül például adatvédelmi bírság, illetve a Hatóság kötelezéseket határoz meg adott adatkezelővel, munkáltatóval szemben, a munkavállalói oldalról a személyiségi jogok sérelme következik/következhet be. A különböző technikai eszközök alkalmazása során alapvető elvárás a munkáltatóval szemben, hogy azok alkalmazása, az azzal kapcsolatosan belső eljárási folyamatok kialakítása során érvényesítése az Mt. munkavállaló személyiségi jogait védő rendelkezéseit, ne csak egy esetleges bírság elkerülése, hanem a munkavállalók személyiségének, a munkavállalók integritásának megóvása érdekében is.
Írta: dr. Pétsy Zsolt Balázs adatbiztonsági és adatvédelmi szakjogász, petsy.zsolt@gmail.com