Adatvédelem és adatkezelés a cégek mindennapi életében

Nem kétséges, hogy az adatvédelem területe, a személyes adatok védelme az utóbbi években kiemelt jelentőséggel van jelen a munkáltatók életében.

Rengeteg gyakorlati kérdés merül fel azzal kapcsolatosan, hogy milyen módon tudnak a munkáltatók az Alaptörvény, az Információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény, a Munka Törvénykönyvéről szóló 2012. évi I. törvény rendelkezéseinek, valamint a Nemzeti Adatvédelmi Hatóság ajánlásainak, döntéseinek megfelelően eljárni a munkavállalók és üzleti partnereik személyes adatainak kezelésekor.

A munkáltatónak – aki szeretne megfelelni a mai kor adatvédelmi előírásainak és elvárásainak – első körben meg kell határoznia a kezelt személyes adatok körét. Ez azonban nem egyszerű feladat. A munkáltatók gyakran nincsenek tisztában azzal, hogy milyen személyes adatokat kezelnek, mert sokszor nem ismert előttük pontosan a személyes adat fogalma, illetve ezen belül az Info. tv. által szabályozott, személyes adatok körébe tartozó különleges adat fogalma sem.

Személyes adatnak minősül az érintettel kapcsolatba hozható bármely adat, vagy következtetés. Tehát nem csak azon adatok körét kell személyes adatnak tekinteni, amelyből közvetlenül lehet következtetni az adott személyre, hanem azon adatokat is, amelyek egyenként, vagy egymással összekapcsolva eredményezhetik az érintett személy kilétének egyértelmű megállapítását.

Különleges adat a faji eredetre, nemzetiségi hovatartozásra, politikai beállítódásra, vallásos meggyőződésre, szexuális beállítódásra, egészségi állapotra, vagy káros szenvedélyre vonatkozó adat.

Ha a két fogalmat értelmezzük, és átgondoljuk, máris világossá válik, hogy a munkáltatónál kezelt, munkavállalót (üzleti partnert) érintő adatok túlnyomó többsége megfelel a két fogalomnak. Adatkezelésnek minősül minden adaton végzett művelet vagy műveletek összessége, mint például az adatok felvétele, rögzítése, gyűjtése, rendszerezése, felhasználása, összekapcsolása, továbbítása, zárolása, törlése. Gyakorlatilag tehát minden művelet, amit egy munkáltató az adat „beszerzésétől” annak megsemmisítéséig tesz az érintett adattal.

Ha a munkáltató meghatározta azon adatok körét, amelyek személyes (vagy különleges) adatnak minősülnek, a munkahelyi adatkezelés során érvényesülő alapelvekből fakadó gyakorlati követelményeknek megfelelően kell kezelnie az adatokat.

A célhoz kötött adatkezelés alapelvéből következik, hogy a munkáltatónak az adatkezelés célját az adatkezelés megkezdését megelőzően, világosan és egyértelműen meg kell határoznia. A tág, általános fogalmakkal körülírt célmeghatározás tehát nem felel meg a követelményeknek.

A munkáltatónak az adatkezelés során az egymástól eltérő célokat külön-külön meg kell meghatároznia, és meg kell jelölnie azt a jogot, amelynek gyakorlásához szükséges valamely adat kezelése, tekintettel arra, hogy személyes adat az alapelvből következően csak jog gyakorlása és kötelezettség teljesítése érdekében lehetséges.

Csak olyan személyes adat kezelhető, amely a cél eléréséhez elengedhetetlen és arra alkalmas.

Az Mt. rendelkezései további korlátokat jelölnek meg a munkavállalók személyes adatainak kezelésével kapcsolatosan. A törvény alapján a munkavállalótól csak olyan adat közlése kérhető, amely a munkaviszony létesítése, teljesítése, vagy megszűnése szempontjából lényeges. Ebből következik, hogy már a munkaviszony létesítését megelőző eljárások során (pályáztatás, alkalmassági vizsgálat) sem kérhet a munkáltató a pályázótól a munkaviszony szempontjából irreleváns információkat.

Az önéletrajzon nem kérheti meg a pályázót, hogy szabadidős tevékenységeiről, családi állapotáról, vallásáról stb. nyilatkozzon. Ezen kötelezettség a munkáltatót az alkalmassági vizsgálat során is terheli.

Az adatkezelésnek törvényesnek, tisztességesnek kell lennie annak teljes tartama alatt. A munkáltatónak a munkavállalóval szemben általános tájékoztatási kötelezettsége van a kezelt adatok köréről, annak céljáról, időtartamáról, az adatkezelő és az adatokhoz hozzáféréssel rendelkező személyek köréről, adatkezelés megszűnésének feltételeiről, és a jogszabályban megjelölt jogérvényesítési lehetőségéről.

A gyakorlatban elmondható – és ez a Nemzeti Adatvédelmi Hatóság döntéseiből is látható -, hogy az adatvédelem sarkalatos pontja a megfelelő tájékoztatás.

Ha a munkáltató részletes, pontos, minden munkavállaló részére elérhető tájékoztatást ad a fentiekben hivatkozott tartalommal a munkavállalóknak személyes adataik kezeléséről, és az abban foglaltaknak megfelelően kezeli az adatokat, akkor egy esetleges ellenőrzés során – ha még apróbb hiányosságok pótlására fel is szólítja a céget az ellenőrző szerv – kizárja annak lehetőségét, hogy nagyobb összegű bírság megfizetésére kötelezze őt a Hatóság.

A munkáltató feladata, hogy belső szabályzatban vagy más írásbeli dokumentumban, a jogalap pontos megjelölésével, mindenki számára elérhető módon rögzítse adatkezelési gyakorlatát.

Az adatkezelés jogalapja

A munkáltató akkor kezelhet személyes adatokat, ha jogszabály elrendeli, ha ahhoz az érintett önkéntesen hozzájárul, valamint ha – az utóbbi években bevett gyakorlat szerint – az adatkezelés munkáltatói jogos érdeken alapul. Ezt az irányt követi a 2018. május 25. napjától alkalmazandó új EU- s adatvédelmi rendelet is.

Az utolsó jogalap „bevezetésére” azért volt szükség, mert tekintettel arra, hogy a munkáltató és munkavállaló között alá-fölérendeltségi viszony áll fenn, nem volt értelmezhető a munkavállalói hozzájárulás önkéntessége.

Az adatkezelés megkezdése előtt – a személyes adat fogalmának tanulmányozását követően – a munkáltatónak javasolt egy ún. érdekmérlegelési tesztet elvégezni az alábbi szempontok alapján:

1. lépés: vizsgálat: a cél elérése érdekében feltétlenül szükséges-e az adatkezelés? (van-e olyan alternatív megoldás, mely alkalmazásával a személyes adatok kezelése nélkül is megvalósítható a tervezett cél?)

2. lépés: a munkáltatói jogos érdek lehető legpontosabb meghatározása

3. lépés: az adatkezelés céljának meghatározása.

4. lépés: a felhasználni kívánt személyes adatok körének pontos meghatározása.

5. lépés: az adatkezelés időtartamának meghatározása (szigorúan csak az indokolt időtartam)

6. lépés: a munkavállalói érdekek pontos összegyűjtése (azon szempontok, amelyeket a munkavállalók az adatkezeléssel szemben felhozhatnak)

7. lépés: annak meghatározása, hogy miért korlátozza arányosan a munkáltatói jogos érdek az 5. pontban meghatározott munkavállalói jogokat

A teszt elvégzés után a munkáltató megállapítja, hogy tervezett adatkezelés során az érintett személyes adat(ok) köre, és a kezelés módja miként teljesíthető jogszerűen.

Speciális munkahelyi adatkezelések

Álláspályázatra történő jelentkezés

A gyakorlatban rendszeresen előfordul, hogy a munkáltató előzetes információszerzés céljából megtekinti a pályázó közösségi oldalon létrehozott profilját. Erre van lehetősége, de a munkáltatót ezzel összefüggésben is terheli pályázó tekintetében az erről történő tájékoztatási kötelezettség.

A pályázatok és önéletrajzok tekintetében az Info. törvény akként rendelkezik, hogy tekintettel arra, hogy a pályáztatás célja az, hogy az állást betöltsék, és ez a cél az állás betöltésekor teljesül, így a ki nem választott jelentkezők személyes adatait törölni kell. Ha a munkáltató ennek ellenére szeretné későbbi kiválasztási céllal megtartani a pályázatokat, akkor azt az adatkezelésre vonatkozó tájékoztatási kötelezettségének teljesítése mellett, az érintett hozzájárulásával megteheti.

A pályázatokra a kiválasztási folyamat során tett személyes megjegyzések is személyes adatnak minősülnek, és a cél elérését követően ezek törlése is kötelező.

A munkáltató köteles a pályázat elutasításáról is értesíteni a jelentkezőt.

Alkalmassági vizsgálatok

A munkáltató köteles a pályázót tájékoztatni arról, hogy az általa alkalmazott alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, és az milyen eszközzel, módszerrel történik. Ha jogszabály írja elő az alkalmassági vizsgálat szükségességét, akkor a jogszabályi hely pontos megjelölésével köteles a munkavállalót a munkáltató tájékoztatni.

Az eredményeket csak és kizárólag a vizsgált munkavállaló és a vizsgálatot végző szakember ismerheti meg. Az munkáltató csak azon információ megismerésére jogosult, amely a pályázó alkalmasságára, vagy annak hiányára vonatkozik.

A munkavállalók munkaviszonnyal összefüggő magatartásának ellenőrzése

Kamerás megfigyelés

Magyarországon külön jogszabály nem rendelkezik a munkahelyen alkalmazott kamerás megfigyelőrendszerek alkalmazásáról. Az Mt. sem ad felhatalmazást a rendszerek alkalmazására, így a munkáltatónak javasolt elvégezni az érdekvédelmi tesztet, és amennyiben annak eredménye indokolttá és jogszerűvé teszi, akkor az adatvédelmi előírások betartása mellett működtethet a munkáltató elektronikus térfigyelő rendszert.

Kamerarendszer a munkahelyen az emberi élet, testi épség, személyi szabadság védelme céljából, veszélyes anyagok őrzése során, vagyonvédelmi okból, és üzleti, fizetési, bank- és értékpapír védelme céljából lehetséges.

A munkáltatónál történő megfigyelőrendszer alkalmazása során a legfontosabb és mindent megelőző szempont, hogy a munkavállalók által végzett tevékenység elsődleges, kifejezett megfigyelése céljából azt működtetni nem lehet, ugyanakkor, ha jogsértés gyanúja merül fel, a kamerák által rögzítettek felhasználhatóak annak alátámasztására, illetve megdöntésére.

Jogellenes azonban tehát a kamerák alkalmazása, ha annak célja elsődlegesen a dolgozók munkahelyi viselkedésének megfigyelése, befolyásolása.

A megfigyelőrendszer alkalmazásáról, annak részleteiről minden esetben tájékoztatni kell az érintetteket, és a kamerák látószöge csak és kizárólag magánterületre irányulhat.

A munkáltató köteles ún. kameraszabályzatot készíteni, és azt minden érintett számára (munkavállaló, üzleti partnerek) elérhetővé tenni. Az elhelyezett kamerák mellett, jól látható helyen és méretben figyelemfelhívó tábla elhelyezése szükséges.

E-mail fiók, laptop és céges mobiltelefon ellenőrzése

A fenti, munkavégzés során használt, és a munkáltató által biztosított kommunikációs csatornák és eszközök ellenőrzésének feltételeiről, következményeiről a munkavállalókat tájékoztatni kell. Célszerű szabályzatot létrehozni annak tárgyában, hogy a munkáltató engedélyezi-e magánhasználatra a fentiekben felsoroltakat, vagy sem, illetve ennek függvényében a használathoz kapcsolódó jogosultságokat, kötelezettségeket, és azok megszegésével járó jogkövetkezményeket.

Az ellenőrzés során kiemelt figyelmet kell fordítani szükségesség és arányosság, valamint a fokozatosság elvének betartására. Fokozatosság elvének érvényesítésekor a munkáltatónak törekednie kell arra, hogy a személyes adatokhoz fűződő jog lehető legkisebb mértékű megsértésével állapítsa meg a jogsértés tényét és tartalmát. Ha egy e-mail tárgyából, vagy egy telefonon történt hívás kezdeményezése során a hívott számból már lehet következtetni a jogsértés tényére, akkor a vizsgálatot tovább folytatni nem lehet, illetve biztosítani kell az érintett jelenlétét a további vizsgálat alatt. Erre azért van szükség, mert az ő személyes jelenlétével biztosítható leginkább a személyes adatok védelméhez fűződő jog legkisebb mértékű sérelme.

Lap-top estében célszerű külön tárhelyen tárolni a hivatalos és személyes adatokat, a mobiltelefonok használata során különböző előhívószámok alkalmazása javasolt (magánhívás, hivatalos hívás)

Az új EU-s adatvédelmi rendelet 2018. május 25. napján lép hatályba. Az szabályozás elsősorban a személyek jogait másodszor pedig a társaságok kötelezettségeit növeli. A munkáltatóknál hatályban levő adatvédelmi szabályzatnak részletesnek és szigorúnak kell lennie.

Külön rendelkezni kell például arról, hogy harmadik személynek milyen adatot lehet átadni, de a munkavállaló betekintési és egyéb jogait is tisztázni kell.

A GDPR megengedi, hogy tagállamok jogszabályban vagy kollektív szerződésekben az előírtaknál pontosabb szabályokat állapítsanak meg a munkavállalók adatkezelésével kapcsolatosan, a toborzástól a munkaviszony megszűnéséig. A munkáltatónak ki kell neveznie egy felelőst, aki a szükséges feladatokat ellátja.

Az informatikai rendszert oly módon kell módosítani, hogy könnyen kereshetőek legyenek az egyes munkavállalókra vonatkozó személyes adatok. Az érintettek számára megfelelő adatvédelmi tréninget kell biztosítani.

A GDPR szabályainak megsértése esetén óriási bírság szabható ki, melynek mértéke 20 millió euró vagy a vállalkozás előző pénzügyi évében elért világpiaci forgalmának négy százalékát kitevő összege is lehet. Érdemes tehát az új rendelkezéseknek megfelelően a munkáltatónál bevett adatkezelésre vonatkozó gyakorlatot felülvizsgálni, és a rendeletnek megfelelő szabályzatot elkészíteni, valamint a szabályzatban foglaltak megvalósításához szükséges személyi és tárgyi feltételeket biztosítani.

Dr. Milanovich-Szakács Nikoletta ügyvédjelölt
Havasi Ügyvédi Iroda

Vélemény, hozzászólás?