A munkahelyi adatkezelés a személyes adatok kezelésének egyik leggyakrabban előforduló módja. A munkaviszony személyes jellegénél fogva ugyanis nap mint nap számtalan összefüggésben kerülhetnek és kerülnek is kezelésre a munkavállalók legkülönfélébb adatai. A magyar munkajogi szabályok ugyanakkor csak szűkszavúan rendelkeznek a munkahelyi adatkezelésről.
Annak ellenére, hogy az adatvédelmi biztos, majd pedig a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: „adatvédelmi hatóság") elnöke is több állásfoglalást és ajánlást tett már közzé a munkahelyi adatkezelés egyes kérdéseiről, a gyakorlatban azért még mindig van némi bizonytalanság ezen a téren.
Az adatvédelmi hatóság tájékoztatója
Az adatvédelmi hatóság elnöke ezért az elmúlt év végén egy összefoglaló tájékoztatót tett közzé a munkahelyi adatkezelés alapvető követelményeiről – ismertette a Dentons szakértője.
A tájékoztató az általános adatvédelmi követelmények mellett az egyes speciális munkahelyi adatkezelésekkel – mint például a kamerás megfigyelés; a munkahelyi telefon, számítógép, internet és e-mail fiók ellenőrzése; a GPS és biometrikus rendszerek alkalmazása; és a visszaélés-bejelentési (ún. whistleblowing) rendszer működtetése – szemben támasztott követelményeket is összefoglalja.
A tájékoztató jelentőségét annak átfogó jellegén túl az adja, hogy az adatvédelmi hatóság az abban foglaltakat várhatóan az általános adatvédelmi rendelet 2018. május 28-án történő hatályba lépését követően is irányadónak fogja tekinteni. Mivel a gyakorlat azt mutatja, hogy sok esetben még a mai napig is bizonytalanságot okoz, hogy egyáltalán milyen alapon kezelhet a munkáltató munkavállalói adatokat, az alábbiakban a tájékoztató ezen alapvető kérdéssel kapcsolatos állásfoglalását foglaljuk össze.
Az adatkezelés jogalapjáról szólva a tájékoztató kiemeli, hogy mind a magyar, mind pedig az uniós szabályok szerint az adatkezelésnek több jogalapja is lehet, amelyek közül a munkahelyi adatkezelés esetén az érintett hozzájárulása, a törvényi felhatalmazás és a munkáltató jogos érdeke jöhetnek szóba.
Az érintett hozzájárulásán alapuló adatkezelés
Az érintett hozzájárulásával kapcsolatban a tájékoztató kiemeli, hogy az csak akkor szolgálhat az adatkezelés jogalapjául, ha a hozzájárulás valóban önkéntes, azaz nem áll fenn valamilyen negatív következmény veszélye a hozzájárulás megtagadása esetén. Mivel a munkáltató és a munkavállaló közötti alá-fölérendeltségi viszony mind az uniós, mind pedig a magyar gyakorlat szerint általában kizárja az önkéntességet, a munkavállaló hozzájárulása csak a legritkább esetben szolgálhat az adatkezelés jogalapjául.
M. Tóth Gábor szerint ennek azért is van különös jelentősége, mivel a gyakorlatban tévesen sokszor még mindig az érintett hozzájárulását tekintik az adatkezelés lehető legbiztosabb jogalapjának.
Törvényi felhatalmazáson alapuló adatkezelés
A törvényi felhatalmazáson alapuló adatkezelésen belül a tájékoztató különbséget tesz a törvény által kötelezővé tett adatkezelés és a törvény által lehetővé tett adatkezelés között. A törvény által kötelezővé tett adatkezelés körébe tartoznak a munkáltatói adatkezelést előíró adó- és társadalombiztosítási előírások. A törvény által lehetővé tett adatkezelés körébe tartozhatnak a munkáltatói visszaélés-bejelentési rendszerrel vagy a munkavállalók ellenőrzésével kapcsolatos adatkezelések.
A tájékoztató ugyanakkor hozzáteszi, hogy mivel az ilyen jellegű ellenőrzéssel kapcsolatos adatkezelések körülményeinek kialakításában a munkáltató nagyobb mozgástérrel rendelkezik, ezen adatkezelések közelebb állnak a munkáltató jogos érdekén alapuló adatkezelésekhez.
Az érdekmérlegelésen alapuló adatkezelés
A jogos érdeken alapuló adatkezeléstől ma még viszonylag sokan ódzkodnak, és helyette sokszor tévesen biztonságosabbnak ítélik az érintett hozzájárulásának beszerzését. Ehhez képest azonban mind az uniós, mind pedig az azt követő magyar gyakorlat éppen, hogy a jogos érdeken alapuló adatkezelésnek tulajdonít kiemelt szerepet.
Az adatvédelmi irányelv és az azt átültető 2011. évi CXII. törvény („Infotörvény") kimondja ugyanis, hogy személyes adat kezelhető akkor is, ha az a munkáltató jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll. A jogos érdeken alapuló adatkezelés lényege és egyben nehézsége is az érdekmérlegelési tesztben rejlik.
A munkáltatónak ugyanis az érdekmérlegelési teszttel kell bemutatnia a munkavállalók – és adott esetben az adatvédelmi hatóság és a bíróság – részére azt, hogy az általa megvalósított adatkezelés arányban áll a munkavállalók jogainak korlátozásával. Mivel a munkáltatónak számos szempontot kell figyelembe vennie az érdekmérlegelés során, az adatvédelmi hatóság a tájékoztatóban javaslatot is tesz a teszt egyes lehetséges lépéseire vonatkozóan.
Eszerint első lépésként azt kell megvizsgálni, hogy a kitűzött cél nem érhető-e el személyes adatok kezelése nélkül. Ha nem, második lépésként a munkáltatónak – a munkaviszony létesítésével, teljesítésével vagy megszüntetésével kapcsolatos – jogos érdekét kell minél pontosabban meghatároznia.
Ezt követően a harmadik lépés annak meghatározása, hogy mi az adatkezelés célja, és milyen személyes adatok meddig tartó kezelését igényli a jogos érdek. A negyedik lépésként azt kell vizsgálni, hogy a munkavállalók milyen érdekeket és elvárásokat fogalmazhatnának meg a munkáltatói adatkezeléssel szemben. Végül ötödik lépésként mérlegelni kell, hogy a munkáltatói jogos érdek alapján végzett adatkezelés miért korlátozza arányosan a munkavállalói érdekeket és elvárásokat.
A tájékoztató hangsúlyozza, hogy a munkáltatónak a jogos érdeken alapuló munkahelyi adatkezelés jogszerűségét megfelelő garanciákkal is biztosítania kell, különösen, ha a munkavállaló ellenőrzéséről van szó. Ilyen lehetséges garanciaként szolgálhat a fokozatosság elve, amely szerint a munkáltató mindig a magánszférát legkevésbé korlátozó módszert köteles alkalmazni.
Ehhez hasonlóan fontos garanciaként említi a tájékoztató annak biztosítását, hogy a munkavállaló jelen lehessen az ellenőrzés során, ha az ellenőrzés körülményei nem zárják ki ennek a lehetőségét – hangsúlyozta végezetül M. Tóth Gábor, a Réczicza Dentons Europe LLP adatvédelmi szakértője.