Munkahelyi adatkezelések keretében számos, a munkáltatók mindennapi működésének különféle területét érintő adatkezelések valósulhatnak meg, melyek során a munkáltatóknak figyelemmel kell lenniük a különböző adatvédelmi előírásokra, így a munka törvénykönyvéről szóló 2012. évi I. törvény (Mt.), a számvitelről szóló 2000. évi C. törvény (Szvtv.), a társadalombiztosítási nyugellátásról szóló 1997. évi LXXXI. törvény (Tbny.), valamint az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (GDPR) és egyéb vonatkozó jogszabályokra, valamint a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) iránymutatásaira, előírásaira. Látható, hogy a jogszerű adatkezelés kialakítása a munkáltató számára – annak működésétől és munkavállalói létszámától függően – összetett feladat.
Nem lehet elégszer hangsúlyozni, hogy a munkáltatónak a munkahelyi adatkezelések kialakítása során figyelemmel kell lennie a személyes adatok kezelésére vonatkozó, GDPR 5., illetve 25. cikkében foglalt alapelvekre, melyek mindennapi működésébe történő beépítése és megtartása a jogszerű adatkezelés elengedhetetlen feltétele. Megjegyezzük, hogy az adatkezelő felelős az adatkezelés jogszerűségéért, vagyis a GDPR szerinti elveknek való megfelelésért, ennek fontosságára hívják fel a figyelmet az utóbbi időben keletkezett egyes tagállami adatvédelmi hatóságok határozatai, melyeket ismertetünk az alábbiakban:
I. 2021. június 9. napján a Holland Adatvédelmi Hatóság 5,3 millió forintnak megfelelő (15.000 euro) bírságot szabott ki a holland CP&A-services (CP&A) vállalatra a munkavállalók betegszabadságával kapcsolatos adatkezelésért, ahol jogsértésként merült fel a betegszabadságok nyilvántartása tekintetében:
a) az adatok túlzott mértékű kezelése (GDPR 5. cikk (1) bekezdés b) pont);
b) az adatok biztonságának nem megfelelő szintű garantálása (GDPR 5. cikk (1) bekezdés f) pont).
a) A CP&A betegszabadság nyilvántartása a dolgozók egészségi és mentális állapotáról, így a betegségek típusáról, panaszokról, tünetekről tartalmazott adatokat, ezen egészségügyi adatok, mint a GDPR 9. cikke szerinti különleges személyes adatok különleges védelemben részesülnek, ilyen adatok megismerése egyrészről a munkáltató számára a dolgozók betegségét követő munkába állásához nem szükséges, másrészről ilyen adatok ismeretében a munkáltató akár a munkavállalót jelentősen érintő döntéseket befolyásoló véleményt alakíthat ki, végezetül a munkavállalók adatmegadásának önkéntessége is megkérdőjeleződik, ugyanis érezhetik úgy, hogy kötelesek megadni ilyen adatokat.
A Hatóság megállapítása szerint az adatvédelmi előírások nem jogosítják fel a munkáltatót sem a távollétet okozó betegség jellegének, okainak nyilvántartására, sem ennek megismerésére irányuló kérdések intézésére, ugyanis ez az üzemorvos (eü. szolgáltató) feladata. A Hatóság szerint ilyen adat kezelése elképzelhető egyes egészen különleges esetekben, így például amennyiben a dolgozó epilepsziás, ennek ténye rögzíthető, ugyanis esetleges roham esetén felkészülten kezelhető a helyzet.
Kiegészítésként megjegyezzük itt, hogy a hazánkban irányadó szabályozás, az Mt. 10. § (1) bekezdés rendelkezése szerint a munkáltató a munkavállalótól olyan nyilatkozat megtételét vagy személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy az Mt.-ből származó igény érvényesítése szempontjából lényeges.
b) Az adatbiztonság kapcsán a Hatóság kifogásolta, hogy a CP&Aa betegszabadság nyilvántartása online került tárolásra (autentikáció nélküli hozzáféréssel), azonban tekintettel arra, hogy a rendszerben munkavállalók egészségügyi adatai kerültek tárolásra, elvárás a több faktoros hitelesítés, vagyis a nyilvántartáshoz való hozzáféréshez az általános bejelentkezési eljáráson (felhasználónév és jelszó megadásán) felül más formában történő azonosítás, például ún. token használata is megkövetelt. A CP&A a bírságot követően megszüntette adatkezelését.
A Hatóság összefoglalóan megjegyezte, hogy ugyan érthető a munkáltatónak az a szándéka, hogy megtudja a dolgozója betegség miatti távollétének előrelátható időtartamát és a visszatérést követő terhelhetőségét, ehhez azonban nem szabad a munkáltatónak az orvos szerepkörében eljárni, egészségügyi adatokat kezelni, ilyen esetekben a munkáltatót például az üzemorvos láthatja el a szükséges információkkal, illetve a munkáltató a dolgozóhoz intézett kérdésekkel derítheti fel a dolgozó jövőbeli terhelhetőségét.
II. 2021. június 29. napján az Izlandi Adatvédelmi Hatóság 12 millió forintnak megfelelő (34.000 euro) bírságot szabott ki egy fagylaltárus kocsikat üzemeltető szervezetre, a munkavállalók jogszerűtlen kamerás megfigyeléséért. A szervezet egy kiskorú alkalmazottja nyújtott be panaszt a Hatóság részére, a panasz szerint a szervezet folyamatos kamerás megfigyelés alatt tartotta a dolgozók öltözőjét (ahol a dolgozók számára kötelezően előírt munkaruha átvétele történt), valamint a dolgozók a kamerás megfigyelésről nem kaptak tájékoztatást, sem figyelemfelhívást. A Hatóság vizsgálata során megállapította, hogy 5 kamera működött biztonsági célból a dolgozók és az ügyfelek megfigyelésével, az adatkezelést jogsértőnek minősítette az alábbiak szerint:
a) a panaszos személyes adatainak kezelése jogszerűtlen, tisztességtelen és nem átlátható módon, az adatkezelés céljai szempontjából nem megfelelő, releváns és a szükségesre korlátozódóan történt (GDPR 5. cikk (1) bekezdés a) és c) pont követelménye);
b) a szervezet nem nyújtott tájékoztatást az érintettek részére a kamerás megfigyelést érintő adatkezelés körülményeiről (GDPR 13. cikkének követelménye);
c) nem voltak elegendőek a megfigyelt területeken (ügyfélterületen és a dolgozók területén) elhelyezett elektronikus megfigyelőrendszer alkalmazásáról szóló figyelemfelhívó jelzések;
d) a dolgozók számára nem volt biztosítva megfigyelés alatt nem tartott, alkalmas öltöző terület;
e) a szervezet teljes mértékben nem működött együtt a felügyeleti hatósággal (GDPR 31. cikk követelménye).
A Hatóság a bírság kiszabásakor figyelembe vette annak tényét, hogy a jogsértő adatkezeléssel érintettek sok esetben (a panaszos maga is) kiskorú munkavállalók voltak, illetve hogy a szervezet számos előírást – mind a GDPR, mind a nemzeti jogszabályok előírásait – megszegte adatkezelése során. A Hatóság egyúttal kötelezte a szervezetet a dolgozói területen alkalmazott kamerás megfigyelés megszüntetésére és a készített felvételek megsemmisítésére, valamint utasította a dolgozók megfelelő tájékoztatását megvalósító eljárások kialakítására.
Megjegyezzük, hogy a hazai adatkezelők számára hasonló esetekben, a jogszerű adatkezelés kialakításában segítséget nyújt NAIH a munkahelyi kamerás megfigyelés tárgyában számos esetben nyújtott iránymutatása (ajánlásai itt és itt) (határozatai itt és itt), mind a fent említett tájékoztatási kötelezettségnek, mind a megfigyelés körülményeire vonatkozó egyéb előírásoknak történő megfelelés érdekében.
Jelen ügy esetén kiemeljük a jelenleg hatályos személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (Szvtv.) 30. § (3) bekezdésében foglaltakat, mely szerint „Nem alkalmazható elektronikus megfigyelőrendszer olyan helyen, ahol a megfigyelés az emberi méltóságot sértheti, így különösen öltözőben, próbafülkében, mosdóban, illemhelyen, kórházi szobában és szociális intézmény lakóhelyiségében”, valamint az Mt. 9. § (2) bekezdésében és 11/A. § (1) bekezdésében foglaltakat, melyek a munkavállalók előzetes tájékoztatási kötelezettségét és jogszerű megfigyelésének körülményeit részletezik.
III. A Norvég Adatvédelmi Hatóság a közelmúltban két esetben (2021. június 15. és július 1. napján) szabott ki bírságot, egyrészről a fővárosi önkormányzatra egy dolgozó adatainak a nyilvánosság számára történő közzétételéért körülbelül 14 millió forintnak megfelelő (40.000 euro) összegben, valamint egy vállalatra a dolgozó munkaviszonyának megszűnését követően nem inaktivált e-mail fiókjához való további hozzáférésért 5,3 millió forintnak megfelelő (15.000 euro) összegben.
III/1. Fent említett közzététel az eInnsyn központi és helyi önkormányzati közzétételi szolgáltatáson keresztül valósult meg, miután az ügyvéd egy idézést kísérőlevél nélkül továbbított a pénzügyi bizottság részére, amely idézésre nem került nyilvánosság elől elzártság megjelölése. A nyilvántartásba vétel és az irattári rendszerbe kerülés során is nyilvános hozzáférésű iratként kezelték, melyet végül jóváhagytak közzétételre. Az érintett személyesen jelezte a közzétételt, melyet követően a dokumentum a rendszerből eltávolításra került így az végül 5 órán keresztül volt elérhető. A Hatóság a bírság mértékét azzal indokolta, hogy az érintett dolgozó személyes adatai és különleges személyes adatainak (egészségügyi adatai) közzététele súlyos jogsértésnek minősül.
III/2. A másik fent említett ügyben a vállalat menedzsere a volt dolgozó e-mail fiókja jelszavának megváltoztatásával fért hozzá a volt dolgozó e-mail fiókjához (és lépett be a fiókba 6 hetes időszakban rendszeresen) a dolgozó munkaviszonyának megszűnését követő 5 hónapos időszakban a vállalat álláspontja szerint a dolgozó kilépését követően az ügyfelekkel kapcsolatos ügyintézés, megkeresések kezelése érdekében. A Hatóság az említett adatkezelést jogsértőnek találta a következőkre tekintettel:
a) a vállalat nem rendelkezik megfelelő jogalappal az adatkezeléshez (GDPR 5. cikk (1) bekezdés a) pontja és 6. cikk (1) bekezdés);
b) a tájékoztatási kötelezettség megsértése, tájékoztatás elmaradása (GDPR 13. cikk);
c) a hozzáférés a munkavállalók elektronikus megfigyelésével határos;
d) az érintett törléshez való jogának („elfeledtetéshez való jogának”) megsértése (GDPR 17. cikk);
e) az érintett személyes adatok kezelése elleni tiltakozáshoz való jogának megsértése (GDPR 21. cikk).
A Hatóság a bírság kiszabásakor figyelembe vette, hogy a vállalat nem alakított ki eljárást az e-mailekhez történő hozzáférésre, melyek segíthették volna a vállalat tudatosságát és az előírásoknak való megfelelést. A Hatóság a bírság kiszabása mellett kötelezte a vállalatot a dolgozók és volt dolgozók e-mail fiókokhoz való hozzáférés belső rendjének (eljárások, kontroll intézkedések) kialakítására.
Fontos az utóbbi volt dolgozó e-mail fiókját érintő ügyben is röviden áttekinteni a hazai szabályozás és hatósági gyakorlatot a hasonló jogsértések elkerülése érdekében. A fent már hivatkozott Mt. 11/A. § (1) bekezdése szerint „A munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető. Ennek keretében a munkáltató technikai eszközt is alkalmazhat, erről a munkavállalót előzetesen írásban tájékoztatja.” A jogszerű adatkezelés kialakításában a NAIH iránymutatásai (itt) nyújtanak megfelelő segítséget, így a jogalap kiválasztásában, a tájékoztatási kötelezettség teljesítésében és a munkavállalók rendelkezésére bocsátott e-mail-fiókok használatának szabályairól belső szabályzat megalkotásában (itt és itt).
Fentiekből is látható, hogy a munkavállalókat érintő adatkezelésekhez kapcsolódó adatkezelői kötelezettségek sokfélék lehetnek és azoknak való meg nem felelés komoly szankciókat vonhatnak maguk után. Ugyan az adatkezelő részéről az adatvédelmi előírásoknak való megfelelés jelentős erőforrásokat vehet igénybe, azonban ez nem képezheti a jogszerű adatkezelés kialakításának akadályát, ezért javasolt szakértő segítségét igénybe venni.
