A Cookie technológia segítségével Ön a legtöbbet hozhatja ki weboldalunkból. Kérjük, engedélyezze a Cookie-k használatát. A weboldal bármelyik linkjére kattintva Ön elfogadja a cookie-k használatát. További információért kérjük, olvassa el ADATVÉDELMI NYILATKOZATUNKAT a cookie-k használatáról.
  • A magánélet nem ellenőrizhető
Publikációk:

A magánélet nem ellenőrizhető

13 október 2020

Dr. Simon Emese , BDO Legal Jókay & Társai Ügyvédi Iroda I Partner | Vezető adatvédelmi tanácsadó |

A Hamburgi Adatvédelmi Hatóság (HmbBfDI) az EU Általános Adatvédelmi Rendelete, közismertebb nevén GDPR hatályba lépése óta a második legnagyobb, összesen 35,3 millió eurós bírságot szabott ki a ruházati cikkekkel foglalkozó svéd Hennes & Mauritz (H&M) német leányvállalatára. A német hatóság vizsgálata alapján a cég 2014 óta olyan, csupán körülbelül 50 vezető számára hozzáférhető feljegyzéseket készített a munkavállalókról, amelyek jelentős mennyiségű, a magánéletre is kiterjedő személyes adatokat tartalmaztak. Vajon a bírság ismeretében van-e félnivalójuk a hazai vállalatoknak?

Az adatokat a német H&M több eltérő forrásból gyűjtötte: a nyaralások és a betegszabadságok után például úgynevezett „Welcome Back Talks” beszélgetések keretén belül kérdeztek rá többek között a munkavállalók magánéleti élményeire, betegség esetén a tünetekre és a diagnózisra. A beszélgetéseken elhangzott információkat a munkavállalók felettesei feljegyezték, csakúgy, mint a teljesen hétköznapi, a munkaviszony szempontjából irreleváns beszélgetések tartalmát. Az adatokat a cég a munkavállalók teljesítményének értékelésére és a munkavállalókat érintő döntések meghozatala érdekében használta fel. Az érintett munkavállalók számára a feljegyzések csak egy 2019-es informatikai meghibásodás során váltak hozzáférhetővé, egészen addig nem tudták, hogy a munkáltatójuk ilyen széleskörű, szisztematikus adatgyűjtést végez róluk.

A magánélet nem ellenőrizhető

A munkavállalók jogellenes megfigyelésével kapcsolatban most kirótt eddigi legnagyobb bírság számos hazai vállalat számára is figyelmeztetés lehet: előfordulhat ugyanis, hogy hazai cégek is széleskörűen gyűjtenek adatokat a munkavállalóikról a munkahelyi döntések meghozatalának céljából. Márpedig a magyar munkáltatókra nézve éppúgy kötelező a GDPR, amely alapján a német hatóság a döntést meghozta és amely alapján a bírság összegét a német hatóság megállapította. Nemcsak a jogszabály, de a hatósági gyakorlat is hasonló: a munkavállalók magánéletéről szóló feljegyzések kapcsán érdemes kiemelni, hogy a Nemzeti Adatvédelmi és Információszabadság Hivatal (NAIH) egy, a munkahelyi adatkezelések alapvető követelményeiről szóló tájékoztatójában kategorikusan kijelenti: „ellenőrzés csak a munkával összefüggésben történhet, a munkavállalók magánélete nem ellenőrizhető.”  [A Nemzeti Adatvédelmi és Információszabadság Hatóság tájékoztatója a munkahelyi adatkezelések alapvető követelményeiről, 2016. október 28.]

Mindemellett a munkavállalókról szóló feljegyzések készítésének titkos jellege az Alkotmánybíróság állandó gyakorlata szerint is kirívóan aggályos, amely alapján „mindenki számára követhetővé és ellenőrizhetővé kell tenni az adatfeldolgozás egész útját, vagyis mindenkinek joga van tudni, ki, hol, mikor, milyen célra használja fel az ő személyes adatát” [15/1991. (IV. 13.) AB határozat]. Ugyancsak az Alkotmánybíróság mondja ki, hogy „személyes adat minden esetben az ember magán- és családi életéről szóló információ […].” [11/2014. (IV. 4.) AB határozat].

A NAIH korábban már sok esetben szabott ki bírságot a munkavállalók magánélethez való jogát sértő adatkezelésekkel összefüggésben. Gyakori például, hogy a munkahelyi kamerás megfigyeléssel, vagy egyéb munkahelyi ellenőrzéssel kapcsolatban merül fel adatvédelmi jogsértés, az ezekkel összefüggő határozataiban a hatóság jellemzően magas összegű bírságokat szab ki.

A GDPR hatálya alatt hasonló jogsértésért már 20 millió euróig, vagy – amennyiben magasabb – a vállalat teljes világpiaci forgalmának 4 százalékáig terjedő pénzbírság szabható ki. Súlyosbító tényezőként kerül értékelésre, ha egy munkáltató a magán- és családi életről szóló információkat, valamint egészségügyi adatokat széles körben és titokban rögzíti, a munkavállalókat is érintő munkahelyi döntések (például előléptetés, fizetésemelés vagy csökkentés, áthelyezés, teljesítményértékelés) meghozatalának céljából, és erről a munkavállalókat semmilyen szinten nem tájékoztatja.

Mikor jogszerűtlen a gyűjtött adatok felhasználása?

A legnagyobb probléma, hogy a munkáltatók gyakran a munkavállalóról gyűjtött valamennyi adatot felhasználják a munkavállaló teljesítményének értékeléséhez, kombinálva a különböző célból kezelt személyes adatokat. Fontos azonban mindenkor szem előtt tartani a célhoz kötött adatkezelés és az átláthatóság alapelvét. Egy betegség, gyógyszeres kezelés, vagy magánéleti probléma nyilvánvalóan befolyással lehet a munkavállaló teljesítményére, de ezek a körülmények mind olyan személyes adatnak minősülnek, amelyeket nem lehet jogszerűen kezelni a munkahelyi teljesítmény kiértékelése végett.

Gyakori, hogy a munkáltató beléptetőkártyát alkalmaz vagyonvédelmi, vagy abból a célból, hogy megelőzze illetéktelen személyek belépését a területére. A beléptetőrendszer adatai (például ki, mikor lépett be) azonban csak a fenti célokra (belépés szűrése, vagyonvédelem) használhatók fel, a munkavállaló teljesítményének értékelésére, vagy a gyakori késés miatti munkajogi következmények alkalmazására azonban nem, hacsak nem tájékoztatták erről előzetesen (még az adatgyűjtést megelőzően) az érintett munkavállalókat. Ugyanez vonatkozik a rögzített vonalat üzemeltető telefonos ügyfélszolgálatokra is.

A teljesítményértékelési cél kapcsán ki kell hangsúlyozni, hogy GDPR követelményei szerint csak a cél eléréséhez feltétlenül szükséges adatok kezelhetők jogszerűen. Emiatt a munkáltató az adatkezelés megkezdése előtt köteles úgynevezett érdekmérlegelési tesztet elvégezni, amelynek – többek között – éppen az a célja, hogy a munkáltató megállapítsa, egy konkrét adatgyűjtés ténylegesen is szükséges-e a teljesítményértékelés lefolytatásához, illetve, az adatkezelés nem minősül-e túlzó jellegűnek az érintett munkavállaló magánélete szempontjából. Ha hatósági ellenőrzésre kerül sor, az érdekmérlegelés dokumentációját a NAIH minden esetben – legalábbis a jogos érdeken alapuló adatkezelések, például a teljesítményértékelések céljából végzett adatkezelés esetén – be fogja kérni és a leírtakat részletesen fogja elemezni, erre érdemes tehát alaposan felkészülni.

Home office és a megfigyelés

A koronavírus következtében egyre több munkáltató próbálta meg tevékenységét áthelyezni a digitális térbe.

A digitális átállással összefüggésben a munkáltatók jellemzően komoly informatikai beszerzéseket is végeztek. Ezek a beszerzések nem csak új laptopokra terjedtek ki, hanem hatékonyságnövelő (például különböző konferencia és felhőalkalmazások) és biztonságnövelő (egyebek mellett VPN – titkosított távoli asztal hozzáférés, MDM – távoli lemezkezelés, tiltás a telefon elvesztése esetén) szoftverekre is, tekintettel arra, hogy a home office egészen más típusú informatikai védelmet igényel.

Sajnos sokan elkövetik azt a hibát, hogy az informatikai védelem biztosítása során nem veszik figyelembe a munkavállalókat érintő adatvédelmi követelményeket. Gyakori eset például, hogy a munkáltató által biztosított céges laptop/telefon olyan tevékenységfigyelővel van ellátva, amely képes valamennyi számítógépes művelet naplózására, kezdve a meglátogatott oldalakon keresztül egészen a leütött billentyűkig. A legtöbb esetben a munkáltatók ezeket a szoftvereket jóhiszeműen telepítik a gépekre, de ez nem zárja ki a jogellenes felhasználás lehetőségét, amely már komoly adatvédelmi kockázatot jelent, szintén jelentős bírság kiszabására adhat okot. A home office esetén is fontos, hogy a munkavállalók előzetesen tájékoztatást kapjanak az újfajta digitális megoldások által róluk kezelt személyes adatokkal kapcsolatban, ideértve az adatkezelés célját, időtartamát és a rögzített adatok körét. Amennyiben pedig egy informatikai megoldásnak a - munkavállalókkal előzetesen közölt - célja az, hogy az adatbiztonságot növelje, az e rendszerben rögzített adatok sem lesznek felhasználhatók a munkavállalók teljesítményének értékelésére (például annak elemzése céljából, hogy a munkavállaló mennyi időt töltött a számítógépe előtt, ledolgozta-e az előírt munkaidőt).