A munkavállalók személyes adatai

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Az adatvédelmi jogszabályoknak megfelelően tilos a munkavállalók tevékenységének szisztematikus megfigyelése, a profilalkotás és a magánélethez való jogukat is csak szükséges és arányos intézkedésekkel lehet korlátozni.

A 29-es Munkacsoport szerint az  új információs technológiák gyors terjedése a munkahelyeken, legyen szó az infrastruktúráról, alkalmazásokról vagy okoseszközökről, a szisztematikus, potenciálisan zavaró munkahelyi adatkezelés új módozatait teszi lehetővé.

A Munkacsoport kifejtette, hogy bár az ilyen technológiák használata segíthet felismerni és megakadályozni a vállalat szellemi és fizikai tulajdonát érintő veszteségeket, valamint fokozni a munkavégzés hatékonyságát és azoknak a személyes adatoknak a védelmét, amelyekért az adatkezelő felelősséggel tartozik, egyben jelentős kihívásokat is eredményez a magánélet védelme és az adatvédelem terén.

A Munkacsoport véleményében kiemelte, hogy a munkavállalók a munkáltató és a munkavállalók közötti függőségi viszonyból eredően ritkán vannak abban a helyzetben, hogy szabadon megadják,
megtagadják vagy visszavonják a hozzájárulásukat. Kivételes helyzetektől eltekintve a munkáltatóknak más, a hozzájárulástól eltérő jogalapra kell támaszkodniuk, mint például az
adatok munkáltató jogos érdekei céljából történő kezelése. A jogos érdek megléte azonban
önmagában nem elégséges ahhoz, hogy az elsőbbséget élvezzen a munkavállalók jogaival és
szabadságaival szemben.

A munkáltatóknak a munkahelyi adatkezelés során az alábbiakat kell mérlegelniük:

•  a munkahelyi adatkezelés legtöbb esetében a munkáltató és a munkavállaló közötti
  viszony jellegéből adódóan a jogalap nem lehet és nem is lehetne a munkavállaló
  hozzájárulása
• az adatkezelés szükséges lehet szerződés teljesítéséhez, amennyiben ilyen kötelezettség teljesítéséhez a munkáltatónak a munkavállaló személyes adatait kell kezelnie;
• gyakori, az is hogy a foglalkoztatási jogszabályok olyan jogi kötelezettségeket írnak elő, amelyek személyes adatok kezelését teszik szükségessé; ebben az esetben a munkavállalót egyértelműen és teljes körűen tájékoztatni kell az adatfeldolgozásról (kivéve, ha erre vonatkozó kivétel áll fenn);
•  amennyiben a munkáltató jogos érdekre kíván hivatkozni, az adatkezelés céljának jogszerűnek kell lennie; a választott módszernek/technológiának szükségesnek és arányosnak kell lennie, és azt úgy kell alkalmazni, hogy a lehető legkisebb mértékben hatoljon be a magánszférába; továbbá a munkáltatónak képesnek kell lennie igazolni azt, hogy megfelelő intézkedéseket tett az egyensúly biztosítására a munkavállalók alapvető jogai és szabadságai tekintetében;
• az adatkezelési műveleteknek meg kell felelniük továbbá az átláthatóság
  követelményeinek és a munkavállalókat egyértelműen és teljes
  körűen tájékoztatni kell a személyes adataik kezeléséről, beleértve az esetleges
  megfigyelés alkalmazását is;
• továbbá megfelelő műszaki és szervezeti intézkedéseket kell alkalmazni az adatkezelés
  biztonságának biztosítására.

Az általános adatvédelmi rendelet (GDPR) 25. cikke előírja a beépített és alapértelmezett adatvédelem alkalmazását az adatkezelők számára. Például: a munkáltató által a munkavállalóknak kiadott eszközökhöz kapcsolódó nyomon követési technológiák alkalmazása esetén az adatvédelmet
leginkább támogató megoldásokat kell választani. Szintén figyelemmel kell lennie az adatminimalizálás elvére.

A GDPR azt is előírja, hogy az adatkezelőnek adatvédelmi hatásvizsgálatot kell folytatnia, az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Ilyen például a természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek.

A Munkacsoport úgy foglalt állást, hogy a munkavállalók közösségi média profiljainak a munkaviszony során történő, általános célú figyelése tilos. Emellett a munkáltatóknak tartózkodniuk kell attól, hogy előírják a munkavállalók vagy jelentkezők számára a hozzáférés biztosítását azokhoz az információkhoz, amelyeket közösségi hálózaton keresztül másokkal megosztanak.

A Munkacsoport véleményes szerint sokkal nagyobb súlyt kell helyezni a megelőzésre, mint a
felderítésre: a munkáltató érdekét jobban szolgálja az internet nem megfelelő használatának
műszaki eszközökkel történő megelőzése, mint ha erőforrásait a visszaélés felderítésére kell
fordítania.

Egyre gyakoribb, hogy a munkáltató lehetővé teszi a munkavállalók számára a távoli, például
otthoni és/vagy utazás közbeni munkavégzést, amely nagyobb informatikai kockázatot jelen a munkáltató számára. A munkáltató, ezért indokoltnak tarthatja olyan szoftverek telepítését (pl. leütések figyelése), amelyek mérséklik a kockázatot.

A  29-es Munkacsoport szerint azonban az ilyen eszközök alkalmazása aránytalan adatkezelést valósít meg.

Az elektronikus megfigyelőrendszerek által rögzített felvételek továbbra is komoly problémákat jelentenek a munkavállalók magánszférájára nézve, főleg, hogy az eszközök könnyebben hozzáférhetővé és olcsóbakká váltak.

Manapság már léteznek olyan videofelvételek elemzésére szolgáló eszközök, amelyek lehetővé teszik a munkáltató számára a dolgozó arckifejezésének automatizált megfigyelését, az előre meghatározott mozgásmintázatoktól való eltérés felismerését.

Azonban a GDPR alapján nem lehet a munkavállalókat szisztematikusan megfigyelni és nem irányulhat a megfigyelés olyan helyiségekre sem, ahol a munkavállalók pihenőidejüket töltik.

Forrás:2/2017 számú vélemény a munkahelyi adatkezelésről

---