A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) egy volt munkavállaló (a továbbiakban: munkavállaló) kérelmére annak volt munkáltatójával (a továbbiakban: munkáltató) szemben indult hatósági eljárásában elutasította a munkavállaló egykori munkáltatója jogszerűtlen adatkezelésének megállapítására vonatkozó kérelmét.
Tényállás
A munkavállaló munkaviszonya felmondással megszűnt, majd a felmondás napján a munkakör átadás-átvételi jegyzőkönyvben kérte, hogy a munkáltató a kizárólagos használatra adott számítógépen lévő (különleges, egészségügyi és biometrikus) személyes adatait tartalmazó dokumentumokat adja ki a részére. A munkavállaló nyilatkozata szerint a kérelme benyújtásáig nem teljesítette a munkáltató az érintetti jogai gyakorlásával kapcsolatos kérelmét.
A munkavállaló kifogásolta továbbá, hogy tudomása szerint a részére kizárólagos használatra átadott számítógépen lévő adatait a hozzájárulása nélkül többen megtekintették, arról több másolatot készítettek és jogellenesen felhasználták, valamint a számítógép által mentett jelszó segítségével magánlevelezése elérhetővé vált jogosulatlan személyek számára.
A munkavállaló hatósági eljárás lefolytatására irányult kérelme a hozzáférési joga és a törléshez való joga alapján benyújtott érintetti kérelme teljesítésének megtagadása, személyes adatai kezelésének jogellenességének megállapítására irányult, továbbá a munkáltató hatósági utasításával a hozzáférési és törléshez való joga alapján benyújtott kérelme teljesítésére.
A munkavállaló a munkakör átadás-átvételi jegyzőkönyv szerint kérelmezte a számítógépén lévő adatai és jogosultságainak a személyes jelenlétében történő törlését és személyes adatainak kiadását, amely kérelem előterjesztését követően a munkáltató lehetőséget biztosított, hogy a munkavállaló személyes jelenlétében teljesítse kérelmét, azzal, hogy a munkavállaló kérelmét, tekintettel a munkáltató jogos érdekére a munkáltató informatikai munkatársa végezné el, a munkavállaló adatvédelmi hozzájáruló nyilatkozatával. A hozzájáruló nyilatkozat a munkáltató informatikai munkatársának adatmegismeréséhez szükséges, mivel a munkáltató szerint ehhez jogos érdeke nem fűződhet. A munkavállaló a kérelem munkáltató által meghatározott feltételek szerinti teljesítése során történő együttműködést első alkalommal és az ismételt kérelem benyújtását követően is megtagadta.
Az alapvető nézetkülönbség a munkavállalóval abban volt, hogy a munkavállaló nem értett egyet azzal, hogy informatikus jelenlétében történjen az adatkimentés, továbbá ez a munkavállaló együttműködésének a hiányára utalt, mivel a munkavállaló tudatában volt annak, hogy csak így teljesíthető a kérelme.
Kérelem teljesítése
A munkavállaló hozzáférési és törlési kérelmének teljesítését a munkáltató által készített jegyzőkönyv dokumentálta. A jegyzőkönyv szerint a munkavállaló első alkalommal a jegyzőkönyv aláírását megtagadta, így a munkáltatónak nem volt felhatalmazása az adatok törlésére, valamint az adatok kimentési és törlési kérelmet felmondottnak tekintette.
A fent említett, ismételt megtagadást követően, a kérelem teljesítésekor a munkáltató a munkavállaló számítógépét lezárt csomagolásban a munkáltató tárgyalótermébe vitték. A munkavállaló és az informatikusok megtekintették a gépen található logfájlokat, amiről az informatikusok kimentik a szükséges adatokat, majd a munkavállaló és a munkáltató megállapították, hogy a munkavállaló által kért valamennyi személyes adata az érintett eszközről részére kimentésre került, illetve a munkáltató is kimentette saját részére a tevékenységével kapcsolatos adatokat, majd miután az adatoknak az eszközre történő kimentésének folyamata befejeződött, a munkavállaló által törölni kért személyes adatok visszaállíthatatlanul törlésre kerültek.
A munkáltató álláspontja szerint a logfájlok törlésére kötelezettsége állt fenn, hiszen azok a munkavállaló személyes adatait tartalmazták és ezek a logfájlok csak arra szolgálnak bizonyítékul, hogy az adatkimentés a kérelem szerint megtörtént, valamint azt a célt szolgálták, ha a munkavállaló ismételten megtagadja a szükséges nyilatkozatok kitöltését, akkor a logfájlokból látható lett volna, hogy munkavállaló belépett a számítógépbe. A munkavállaló együttműködésére tekintettel a munkáltató úgy ítélte meg, hogy már sem érdeke, sem jogalapja nem volt a logfájlok megőrzésére.
A munkáltató tájékoztatása szerint a munkavállaló számítógépe el volt különítve, illetéktelenek nem férhettek hozzá és csak a munkavállaló jelenlétében léptek be a számítógépbe. A munkáltató a számítógép használatára vonatkozó logfájlokat a hozzáférési és törlési kérelem teljesítését követően törölte, mely törlés azonban megakadályozta a tényállás teljes körű feltárását.
Döntés
A Hatóság megállapításai szerint a munkáltató a logfájlokra vonatkozó törlést annak ellenére hajtotta végre, hogy azok megőrzésére jogos érdek jogalappal rendelkezhetett, valamint a Hatóság eljárásában ez szükséges lett volna. Mindezekre tekintettel a Hatóság bizonyítékok hiányában nem állapíthatta meg azt, hogy megtörtént a jogosulatlan hozzáférés a munkavállaló adataihoz, ezért a Hatóság elutasította a munkavállaló ezen kérelmét.
A munkavállaló hozzáféréshez és törléshez való jog iránti kérelmeire a munkáltató a GDPR 12. cikk (3) bekezdésének megfelelően válaszleveleket küldött. A munkáltató a hozzáférési kérelmet úgy kívánta végrehajtani, hogy az informatikusa a munkavállaló jelenlétében megtekinti a számítógépet és a munkáltató kérelmének megfelelő műveleteket hajt végre, ebbe azonban a munkavállaló nem egyezett bele. Mivel azonban az érintetti kérelem teljesítésekor a munkavállaló már nem állt munkaviszonyban a munkáltatóval és erre tekintettel kellett a számítógépét visszaszolgáltatnia, ezért a Hatóság nem tartotta kifogásolhatónak, hogy munkáltató tulajdonában lévő számítógépről csak a munkáltató által feljogosított személy által férhet a munkavállaló a személyes adataihoz.
Az informatikus általi adatbetekintéshez a munkavállaló hozzájáruló nyilatkozatával került sor, mely nyilatkozat a Hatóság álláspontja szerint az önkéntesség hiánya miatt nem alapozta volna meg a jogszerű megismerést, jelen helyzetben a munkáltató jogos érdeke alapján ismerhette meg a munkáltató informatikusa a munkáltató számítógépén található személyes adatokat, csak a feltétlenül szükséges mértékben. A Hatóság kiemelte, hogy a munkáltató jogos érdeke kifejezetten a tevékenységéhez fűződő titkot birtokban tartása, nem pedig a volt munkavállaló adatainak megismerése, azzal, hogy a számítástechnikai eszközön tárolt, munkavégzéssel kapcsolatos adatok és a munkavállaló személyes adatainak elkülönítése érdekében sokszor nélkülözhetetlen az eszköz teljes átvizsgálása, melynek eredménye lehet az azon tárolt személyes adatok megismerése. A Hatóság szerint a munkáltató a számítógép átvizsgálása során megfelelő garanciákat nyújtott, mivel azt csak informatikus végezhette el és csak a munkavállaló jelenlétében tehette meg.
Fentiekre tekintettel a Hatóság megállapította, hogy a munkáltató nem sértette meg a GDPR 12. cikk (2) bekezdésében írtakat, mivel elősegítette a munkavállaló hozzáférési és törlési jogának gyakorlását, az általa támasztott feltételek indokoltak voltak az adott körülmények között, az elszámoltathatóság elvének megfelelés érdekében, ezért a kérelem erre vonatkozó részét a Hatóság elutasította.
A jegyzőkönyvből megállapítást nyert, hogy a munkáltató teljesítette a munkavállaló hozzáféréshez és a törléshez való joga alapján benyújtott érintetti kérelmeit, tekintettel arra, hogy a munkavállaló személyes jelenlétében a munkáltató informatikusa belépett a korábban visszavett számítástechnikai eszközbe, és másolatot készített a munkavállaló személyes adatairól, melyet átadott a munkavállalónak, majd törölte azokat az informatikai eszközről.
További információk: https://www.naih.hu/files/NAIH-2020-2074-hatarozat.pdf
