29-es Adatvédelmi Munkacsoport: az álláskeresők Facebookjainak ellenőrzése adatkezelést valósít meg

Tévedés, hogy a munkáltatók egy jelentkező személyes adatait pusztán azért kezelhetik, mert azok egy közösségi oldalon nyilvánosan hozzáférhetőek – állapítja meg véleményében az európai uniós tagállamok adatvédelmi biztosaiból és a tagállami adatvédelmi hatóságok képviselőiből álló 29-es Adatvédelmi Munkacsoport. A legújabb vélemény számos olyan tipikus munkahelyi adatkezelési esetet tárgyal, ahol a technológiai fejlődés fokozott adatvédelmi kockázatokat jelenthet. Ezeket tekintik át a Horváth és Társai DLA Piper Ügyvédi Iroda ügyvédei.

Előző cikkünkben a változatlanul irányadó szabályok mellett az Általános Adatvédelmi Rendelet (Az Európai Parlament és a Tanács EU 2016/679 Rendelete, az ún. GDPR, azaz “General Data Protection Regulation”) újdonságaira is kitértünk, a folytatásban pedig a vélemény által tárgyalt olyan tipikus munkahelyi adatkezelési eseteket mutatunk be, ahol a technológiai fejlődés fokozott adatvédelmi kockázatokat jelenthet.

Minden ilyen adatkezelés esetén a munkáltatóknak azt kell mérlegelniük, hogy:

  • Szükséges-e az adatkezelés, és ha igen, van-e megfelelő jogalapja az adatkezelésnek?
  • A tervezett adatkezelés tisztességes-e a munkavállalókra nézve?
  • Az adatkezelés arányos-e a vele felmerülő kockázatokkal összemérve?
  • Az adatkezelési tevékenység átlátható-e?

1. Felvételi eljáráshoz köthető adatkezelés

A közösségi oldalak elterjedésével egyre nagyobb a csábítás, hogy a munkáltatók ezeken a platformokon előzetesen információt gyűjtsenek az állásra jelentkezőkről. Ez a magatartás azonban adatkezelésnek minősül, amihez megfelelő jogalap szükséges, így tévedés, hogy a munkáltatók egy jelentkező személyes adatait pusztán azért kezelhetik, mert azok egy közösségi oldalon nyilvánosan hozzáférhetőek. A 29-es Munkacsoport szerint ilyenkor megfelelő jogalap lehet a jogos érdek, de csak abban az esetben, ha az álláshoz valamilyen okból szükséges a jelentkezőről elérhető információk előzetes átvizsgálása, és ha a jelentkezőket erről megfelelő módon – például az álláshirdetés szövegében – tájékoztatják.

A felvételi eljárás során gyűjtött személyes adatokat törölni kell, amint nyilvánvalóvá válik, hogy az érintett személy nem kerül kiválasztásra, vagy az állásajánlatot visszautasítja.

2. Munkaviszony fennállása alatti adatkezelés

A 29-es Munkacsoport a munkaviszony fennállása alatti megfigyelés kapcsán kiemeli, hogy tilos a munkavállalókat általános jelleggel a közösségi oldalakon monitorozni. A munkáltató továbbá nem kérheti a munkavállalóitól, hogy adjanak hozzáférést olyan információkhoz, amelyeket a munkavállalók osztanak meg másokkal a közösségi oldalakon.

3. Az információtechnológiai és kommunikációs eszközök munkahelyi használatának megfigyeléséből adódó adatkezelési tevékenység

Hagyományosan az elektronikus kommunikáció munkahelyi megfigyelése jelentette a legnagyobb fenyegetést a munkavállalók adatvédelmi jogaira, ami a technológiai fejlődésnek köszönhetően csak fokozódott. Manapság már számos olyan szoftver létezik, amelyekkel észrevétlenül nyomon lehet követni a munkavállalók számítógépes (e-mail, internet) és egyéb eszközhasználatát. A 29-es Munkacsoport javaslata szerint függetlenül az alkalmazandó technológiától a jogos érdekre mint jogalapra csak abban az esetben lehet az ilyen típusú adatkezeléseknél hivatkozni, ha az adatkezelő mérlegeli az alkalmazandó technológia arányosságát, azaz felméri, hogy az alkalmazandó technológia nem jelent-e aránytalan beavatkozást az érintettek magánszférájába, valamint, hogy van-e lehetőség olyan további intézkedésekre, amelyek az adatkezelés volumenét és munkavállalókra gyakorolt hatását minimalizálja. Ennek felmérésére sor kerülhet például egy előzetes adatvédelmi hatásvizsgálat keretében.

A 29-es Munkacsoport azt is kiemeli, hogy a munkáltatók kötelesek belső szabályzatokat elfogadni az információtechnológiai és kommunikációs eszközök munkahelyi használatáról, világosan részletezve az alkalmazott adatkezeléseket.

Ezen eszközök vonatkozásában a vélemény hangsúlyozza a szubszidiaritás elvének betartását, és a felderítés helyett a megelőzésre helyezi a hangsúlyt (pl. egyes tiltott weboldalak letöltésének megakadályozása az internethasználat megfigyelése helyett).

4. Az információtechnológiai és kommunikációs eszközök munkahelyen kívüli használatának megfigyeléséből adódó adatkezelési tevekénység

Az otthoni és távmunka elterjedésével, továbbá a saját eszközök munkahelyen való használatából (Bring Your Own Device) eredően a hagyományos munkahelyi adatkezelési kockázatok könnyedén kiterjedhetnek a munkavállalók privát szférájára is. A távoli hozzáféréssel való otthoni munkavégzés a munkáltató részére is informatikai kockázatokat jelenthet, azonban a 29-es Munkacsoport véleménye szerint erre nem lehet megfelelő munkáltatói intézkedés a munkavállalók számítógépes tevékenységének nyomon követése (pl. egér mozdulatok, képernyő állapotok rögzítése), mivel az aránytalan beavatkozást jelent a munkavállalók magánszférájába.

A munkavállalók saját eszközeit érintő adatkezelések kapcsán alapvető elv, hogy a munkáltató nem férhet hozzá az ilyen eszközök magán célú használatra fenntartott részeihez. Míg normál esetben a munkáltatónak jogos érdeke fűződhet ahhoz, hogy információbiztonsági okokból a saját eszközeinek lokációját és forgalmát monitorozza, a munkavállalói eszközök esetében ez nem megengedhető.

A munkavállalói eszközökről való adatgyűjtést lehetővé tevő úgynevezett MDM (Mobile Device Management, vagyis mobil eszközmenedzsment) technológiák alkalmazása során ajánlott adatvédelmi hatásvizsgálatot lefolytatni. Abban az esetben is, ha ennek az az eredménye, hogy az MDM technológia használata szükséges, vizsgálni kell, hogy az ezzel megvalósuló adatkezelés megfelel-e az arányosság és szubszidiaritás elvének. A munkavállalókat teljes körűen tájékoztatni kell az MDM technológiával megvalósuló adatkezelésről.

Ami a munkavállalóknak adott, testen viselhető okos eszközöket illeti, az ezek által gyűjtött szenzitív egészségügyi adatok kezelése még munkavállalói hozzájárulás mellett is kifejezetten tilos.

5. Idő és jelenléti adatok kezelése

E körben is hangsúlyozza a vélemény, hogy bár jogos érdeke fűződhet a munkáltatónak ahhoz, hogy nyomon kövesse, hogy kik és mennyi ideig tartózkodnak egy adott helyen, azonban az ezzel kapcsolatos adatkezelésnek is mindig célhoz kötöttnek kell lennie.

6. Munkahelyi kamerás megfigyelés

A munkahelyi kamerás megfigyeléssel járó adatvédelmi kockázatok továbbra is aktuálisak és a technológiai fejlődéssel csak tovább fokozódtak: manapság mindennaposak a kisebb, távolról elérhető kamerák, arcfelismerő és elemző szoftverek, valamint az automatikus videoanalitika. A 29-es Munkacsoport egyértelműen kiemeli, hogy az arcfelismerő technológiák alkalmazását csak nagyon szűk körben tartja elfogadhatónak, mivel ez általában aránytalan beavatkozást jelent a munkavállalók magánszférájába.

7. Munkavállalók által használt járművekkel kapcsolatos adatkezelések

Különösen a szállítással foglalkozó, valamint a jelentős céges autó flottával rendelkező cégeknél egyre elterjedtebbek a céges autók megfigyelését lehetővé tevő technológiák. Abban az esetben, ha a céges autót a munkavállaló magáncélra is használhatja, fontos, hogy legyen lehetősége a magáncélú használat során (pl. egy orvosi látogatáskor), illetve munkaidőn kívül az autó lokációját nyomon követő technológiákat kikapcsolni. Ebben az esetben is elvárás, hogy a munkáltató tájékoztassa a munkavállalókat az autóban működő nyomkövetőről és az ezzel járó adatkezelésről. A 29-es Munkacsoport ajánlása szerint e tájékoztatót lehetőség szerint az autóban is jól látható helyen fel kell tüntetni.

A 29-es Munkacsoport az autó „fekete dobozaként” működő adatrögzítőkkel (angolul: event data recorder) kapcsolatban felhívja a figyelmet, hogy ezek csak az arányosság és szubszidiaritás elvének betartása mellett alkalmazhatók, ha ez jogos munkáltatói érdek fennállása miatt szükséges. A fedélzeti kamerákkal kapcsolatban pedig kiemeli, hogy a vezető személyes adatok védelméhez való joga erősebb, mint a munkáltató azon jogos érdeke, hogy a vezetőt megfigyelje, ezért a munkavállalók állandó kamerás megfigyelése a gépkocsiban súlyos adatvédelmi jogsértést valósít meg.

8. Harmadik személy számára történő munkavállalói adattovábbítás

A megbízható szolgáltatásnyújtás érdekében sok cég küld munkatársairól személyes adatot üzleti partnereinek (pl. kézbesítő cég a kézbesítő nevét, telefonszámát és fényképét). Ha azonban túlzott körre terjed ki a személyes adatok átadása (pl. fotó), érvényes hozzájárulás és arányosság hiányában jogellenes az adatkezelés.

9. Munkavállalói adat külföldre továbbítása

A felhő alapú alkalmazások elterjedésével egyre több munkavállalói személyes adat kerül külföldre, amellyel kapcsolatban a vélemény hivatkozik a 29-es Munkacsoport korábbi megállapításaira, és a megfelelő védelem szükségességét és a kezelt adatok minimalizálását hangsúlyozza.

Konklúziók és ajánlások:

Végül a vélemény konklúziói közül az alábbiakat emeljük ki:

  • A munkavállalók tartózkodási helyének megfigyelése a céges vagy privát eszközökön keresztül kizárólag azokra az esetekre korlátozandó, ahol ez valamilyen jogos munkáltatói érdek miatt feltétlenül szükséges, azzal, hogy a saját eszközöknél a magáncélú kommunikációval összefüggésben semmilyen adatkezelés nem végezhető.
  • A hozzájárulás továbbra sem megfelelő jogalap az adatkezeléshez, kivéve, ha a munkavállaló következmények nélkül utasíthatja vissza a hozzájárulás adását.
  • Az arányosság elvének alkalmazása a gyakorlatban azt is jelenti, hogy a munkáltatóknak nagyobb hangsúlyt kell fektetniük a szabályzataik megszegésének megelőzésre, mint az általában adatkezeléssel járó utólagos ellenőrzésre.
  • A munkáltatóknak az új technológiák alkalmazása során törekedniük kell az adattakarékosság elvére, azaz a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk, ideértve a minimális adattárolási időtartamot.
  • A felhő alapú alkalmazások többsége határokon átnyúló adattovábbítást valósíthat meg. Az Európai Unión kívüli országba történő adattovábbítás csak akkor történhet jogszerűen, ha ebben az országban a személyes adatok védelmének megfelelő szintje biztosított
Szerzők: Bertók Gábor és Vári Csaba