Átfogó NAIH tájékoztató a munkahelyi adatkezelésről

A Nemzeti Adatvédelmi és Információszabadság Hatóság (“NAIH“) a közelmúltban közzétette a munkahelyi adatkezelések alapvető követelményeiről szóló tájékoztatóját (“Tájékoztató“). A Tájékoztató célja, hogy iránymutatást adjon a munkahelyi adatkezelés szabályairól mind a munkáltatók, mind a munkavállalók számára. A Tájékoztató alapvetően a NAIH munkahelyi adatkezeléssel kapcsolatos eddigi gyakorlatának összefoglalása. A lentiekben – a teljesség igénye nélkül – a Tájékoztatóban említett néhány érdekesebb kérdéskört kívánunk megvilágítani.

Az álláspályázatra jelentkező közösségi oldalon létrehozott profiljának megtekintése

A közösségi média egyre nagyobb ütemű elterjedése miatt manapság már nem meglepő, hogy a munkáltató az ilyen oldalakon, de különösen a Facebook-on (vagy akár Twitter-en, Instagram-on vagy a LinkedIn-en) “utánanéz” az állásra jelentkezőknek. A NAIH véleménye szerint életszerűtlen elvárni a munkáltatótól azt, hogy ne tekinthesse meg a közösségi oldalon a jelentkező által közölt, bárki számára hozzáférhető nyilvános adatokat. A munkáltatónak ugyanis jogos érdeke fűződik ahhoz, hogy a legmegfelelőbbnek vélt jelentkezőt vegye fel. Fontos megjegyezni, hogy a Facebook és más közösségi oldalak felhasználói maguk határozhatják meg azt, hogy a profiljukon közölt egyes információkhoz kik férhetnek hozzá: csak a felhasználó, a felhasználó barátai, követői vagy esetlegesen bárki.

A NAIH kiemeli, hogy a közösségi oldalak megtekintése során azonban a munkáltatónak egyes adatvédelmi követelményekre figyelemmel kell lennie. Fontos, hogy a munkáltató előzetesen tájékoztassa a jelentkezőket annak tényéről, hogy a pályáztatás során a jelentkezők különböző közösségi oldalakon létrehozott profilját megtekintheti. Az előzetes tájékoztatás következtében a jelentkezőnek lehetősége nyílik arra, hogy az olyan adatokat, amelyeket nem kíván a munkáltató tudomására hozni, “elrejthesse” a profilján. A munkáltató továbbá kizárólag a nyilvános és bárki számára hozzáférhető adatokat ismerheti meg, nem jogosult azonban a korlátozottan nyilvános adatok megismerésére. Ilyenek például a zárt Facebook csoportokban vagy a nem nyilvános profilokon közölt adatok. Az előzetes tájékoztatást követően a nyilvános és bárki számára hozzáférhető adatok közül is kizárólag az álláspályázat vagy a betöltendő munkakör szempontjából lényeges információk ismerhetőek meg (nem tartozik ezek közé például a magánéletre, párkapcsolatra, vallásra vonatkozó adat). Megjegyzi végül a NAIH, hogy a jelentkező közösségi oldalon létrehozott profiljának, magatartásának megtekintése után az érintettre vonatkozó következtetés levonható, azonban további adatkezelési műveletek végzése már jogellenesnek minősül (pl. profiloldal lementése, tárolása).

A pályázatok, önéletrajzok megőrzése

A NAIH kiemeli, hogy az önéletrajzokkal összefüggésben az adatkezelés célja az, hogy a meghirdetett munkakör betöltésre kerüljön. Amint ez megtörténik, úgy az adatkezelés célja megszűnik és a fel nem vett jelentkezők adatait törölni kell. A fel nem vett jelentkezők pályázatai kizárólag kifejezett, egyértelmű és önkéntes hozzájárulás alapján őrizhetőek meg, amennyiben ez az adatkezelési cél elérése érdekében szükséges. Nem megfelelő gyakorlat a munkáltató részéről, ha a jelentkezést elutasító válaszlevélben a jelentkezőt tájékoztatja a pályázat kedvezőtlen elbírálásáról, valamint ezzel egyidejűleg arról, hogy az önéletrajzot a jövőben megnyíló pozíciókról történő értesítés céljából megőrzi. Ilyen esetben ugyanis hiányzik a kifejezett, egyértelmű és önkéntes hozzájárulás a pályázó részről, hiszen a NAIH véleménye szerint az önéletrajz elküldése nem jelenti azt, hogy a pályázó hozzá is járul az önéletrajzának megőrzéséhez. A Tájékoztató szerint ilyen esetben a pályáztatás lezárását követően kell a munkáltatónak hozzájárulást kérnie a jelentkezőktől, melynek során meg kell jelölnie egy konkrét, az adatkezelés céljához és az adatkezelés pontosságának elvéhez igazodó adatkezelési időtartamot is.

A munkavállaló ellenőrzése

A munkahelyi adatkezeléssel összefüggő legtöbb adatvédelmi kérdést a munkavállalók ellenőrzése veti fel. Az ellenőrzés egyes fajtáira vonatkozóan – mint például a munkavállalók kamerás megfigyelése, a munkahelyi számítógép, internet vagy a “céges” mobiltelefon ellenőrzése – a NAIH már részletes gyakorlatot alakított ki, amit a Tájékoztatóban foglal össze. Az alábbiakban a céges laptop ellenőrzésére, valamint a GPS navigációs, illetve a biometrikus rendszerek alkalmazhatóságára térünk ki.

A “céges” laptop ellenőrzése

A munkáltatónak előzetes intézkedésként egy belső szabályzatot kell létrehoznia, melyben tájékoztatja a munkavállalókat az ellenőrzés legfontosabb körülményeiről. A szabályzatnak különösen ki kell térnie arra, hogy a céges laptop magáncélú használata engedélyezett-e, hogy milyen feltételekkel készíthet a munkáltató a laptopról biztonsági mentést, és hogy melyek az ellenőrzési eljárás részletes szabályai. Amennyiben a magáncélú használat engedélyezett, úgy az előzetes intézkedések keretében a munkáltatónak gondoskodnia kell arról is, hogy a céges laptop merevlemezén több partíciót hozzon létre, amelyek közül az egyiken a munkavégzéssel, a másikon pedig a magáncélú használattal kapcsolatos adatok tárolhatóak. Ennek azért van jelentősége, mert a munkáltató az ellenőrzés során kizárólag a munkavégzéssel kapcsolatos adatokat ismerheti meg és ellenőrizheti.

Továbbá a céges laptop ellenőrzése során a munkáltatónak további általános adatvédelmi követelményeket is figyelembe kell vennie. Így például az ellenőrzés előtt a munkáltatónak el kell végeznie az érdekmérlegelési tesztet tekintettel arra, hogy ilyenkor az adatkezelés jogalapja a munkáltató jogos érdeke. A NAIH szerint a legfontosabb figyelembeveendő adatvédelmi alapelvek közé tartozik a célhoz kötött adatkezelés elve, a szükségesség-arányosság követelménye és az érintett munkavállalók magánszférájának tiszteletben tartása. A NAIH felhívja továbbá az adatkezelők figyelmét a fokozatosság elve alapján kialakítandó lépcsőzetes ellenőrzési rendszerre is. A fokozatosság elve megköveteli egy olyan ellenőrzési rendszer létrehozását, amelyben érvényesül mind a személyes adatok, mind pedig a munkavállalói magánszféra védelme. Erre tekintettel főszabály szerint biztosítani kell, hogy a munkavállaló maga is jelen lehessen a céges laptop ellenőrzése során és jelezhesse valamely e-mail vagy fájl megnyitása előtt, amennyiben azok nem munkaviszonnyal összefüggő személyes adatokat tartalmaznak.

A Tájékoztató további, speciális követelményeket határoz meg arra az esetre, ha a munkáltató a szabályzatban kifejezetten megtiltja a magáncélú laptop használat lehetőségét. A NAIH szerint, amennyiben a munkavállaló kifejezett tiltás ellenére magáncélra is használja a céges laptopot, úgy a munkáltató ebben az esetben is pusztán a személyes használat tényét rögzítheti, erről vehet fel jegyzőkönyvet. Nincs tehát a munkáltatónak lehetősége arra, hogy a céges laptopon tárolt, nem munkaviszonnyal összefüggő személyes adatokat tárolja vagy, hogy rögzítse azok típusát (például, hogy a munkavállaló milyen fényképeket, videókat vagy más dokumentumokat tárolt a laptopon).

A NAIH ezen álláspontja összhangban áll és megerősíti a NAIH-421/2013/H és a NAIH/2015/1402/H ügyekben hozott NAIH döntések tartalmát. A tényállás szerint a munkáltató az ellenőrzés során a céges laptopon tárolt személyes adatokat az ellenőrzést követően egy CD lemezen megőrizte, abból a célból, hogy az esetleges bírósági eljárásban az őt terhelő bizonyítási kötelezettségének eleget tudjon tenni. A NAIH mindkét határozatban arra a megállapításra jutott, hogy a munkáltató magatartása a hatályos adatvédelmi jogszabályi rendelkezésekbe ütközött, mert a munkaviszonnyal össze nem függő személyes adatokat kezelt. Itt megjegyezzük, hogy ez a megszorító megközelítés kihívások elé állíthatja a munkáltatókat egy munkaügyi perben. Kérdéses lehet, hogy például egy munkaügyi perben elegendő bizonyítéknak minősül-e a magáncélú használat tényének jegyzőkönyvben való rögzítése egy azonnali hatályú felmondás indokának bizonyításával kapcsolatban.

GPS navigációs rendszer alkalmazhatósága

A GPS rendszerek alkalmazása esetén az adatkezelés jogalapja szintén a munkáltató jogos érdeke, így a munkáltatónak a rendszer bevezetése előtt ilyen esetben is el kell végeznie az érdekmérlegelési tesztet. Az érdekmérlegelési teszt során jelentős kérdés, hogy a munkáltató milyen cél érdekében kívánja a GPS rendszert alkalmazni. A NAIH álláspontja szerint a GPS navigációs rendszer bevezetése indokolt és jogszerű lehet például:

  • a munkafolyamatok hatékonyabb megszervezése érdekében (például a futárok esetében),
  • ha a jármű szállítmányának, rakományának vagy magának a járműnek a jelentős értéke ezt indokolja,
  • a munkavállaló életének, testi épségének megóvása érdekében (például konfliktus zónán keresztül történő áruszállítás esetén).

A GPS navigációs rendszer alkalmazhatóságának további feltétele, hogy a munkáltató a lényeges körülményekről (például a rendszer alkalmazásának célja, a munkáltatói oldalról a rendszerhez hozzáférő személyek, az adatok megismerésének szabályai) tájékoztatást adjon a munkavállalók részére. Végül megjegyzi a NAIH, hogy ilyen ellenőrzés kizárólag munkaidőben történhet és biztosítani kell a munkavállalónak azt a lehetőséget, hogy munkaidőn kívül a GPS-t kikapcsolhassa.

Biometrikus rendszerek alkalmazhatósága

A biometrikus rendszerek alkalmazására vonatkozóan a NAIH mindezidáig nem bocsátott ki részletesebb útmutatást, a Tájékoztatóban leginkább az európai uniós Adatvédelmi Munkacsoport 3/2012. számú véleményben foglaltakra hivatkozik. A 3/2012. számú vélemény szerint a biometrikus rendszerek alkalmazásának fő célja a személyek automatikus azonosítása, hitelesítése illetve ellenőrzése. A biometrikus adatoknak két kategóriája van:

  • a fizikai illetve fiziológiai alapúak (például az ujj-lenyomat ellenőrzés), és
  • a viselkedés alapúak (például a gépírás elemzése).

A biometrikus rendszereken keresztül végzett adatkezelés három folyamatból áll: a biometrikus felvételből, tárolásból és megfeleltetésből. A biometrikus felvétel során a biometrikus adatok valamilyen biometrikus forrásból való kinyerése és az egyénhez való kapcsolása történik (ujjlenyomat felvétele). Ehhez tipikusan az érintett személyes közreműködése szükséges. A biometrikus tárolás a felvétel során megszerzett adatok tárolását jelenti, például az egyén által hordozott eszközön (például valamilyen intelligens kártyán) vagy egy központosított adatbázisban. A biometrikus megfeleltetés során pedig a felvett adatoknak egy új mintából gyűjtött biometrikus adatokkal való összevetése történik, azonosítás vagy ellenőrzés céljából.

A biometrikus rendszerekkel kapcsolatos legfontosabb adatvédelmi követelmény az arányosság kritériuma. Az arányosságnak való megfelelés vizsgálata során különösen arra kell tekintettel lenni, hogy:

  • a rendszer valóban szükséges és elég hatékony-e az elvárt igény kielégítéséhez,
  • arányos-e az elvárt előnyökkel, amennyiben a rendszer használata miatt sérül az érintett magánéletének védelme,
  • létezik-e más olyan módszer, amely kisebb mértékben avatkozik be az érintettek magánéletébe.

A biometrikus rendszer alkalmazhatóságára példaként a NAIH azt az esetet említi, amikor a munkáltató biometrikus beléptetési rendszert használ azért, hogy a kutatólaboratóriumban a munkavállalók által vizsgált halálos vírusok ne szabadulhassanak ki. Ezzel szemben a NAIH véleménye szerint például az ujjlenyomatos munkaidő-nyilvántartás nem arányos módja a munkavállalók ellenőrzésének.

dr. Tarján Zoltán, ügyvéd és dr. Laribi Karim, ügyvédjelölt
zoltan.tarjan@twobirds.com
Tel.: +36 1 799 2000
Knight Bird & Bird Iroda



Categories: Adatvédelem, Munkajog

Tags: , , , , , ,

Leave a Reply

Your email address will not be published. Required fields are marked *

Cookie consent
We use analytics cookies to help us understand if our website is working well and to learn what content is most useful to visitors. We also use some cookies which are essential to make our website work. You can accept or reject our analytic cookies (including the collection of associated data) and change your mind at any time. Find out more in our Cookie Notice.