Korlátozott megfigyelés – V.
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A célhoz kötött adatkezelés elvéből fakadóan munkahelyen elektronikus megfigyelőrendszert alkalmazni elsődlegesen a személy- és vagyonvédelmi törvényben elismert célokból lehet, illetve a rögzített felvételek is e célokból használhatóak fel. Ha a munkáltatók más célból szeretnék alkalmazni a kamerás megfigyelést, akkor igazolniuk kell azt a jogos érdeket, amely szükségessé teszi a kamera alkalmazását.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) tájékoztatót adott ki a munkahelyi adatkezelések alapvető követelményeiről. Ez alapján az alábbiakban a kamerák, a céges e-mailek, céges laptopok és telefonok ellenőrzését mutatjuk be.
A munkavállalók munkaviszonnyal összefüggő magatartásának ellenőrzése
Munkahelyi kamerás megfigyelés
A Hatóság 2013 januárjában egy ajánlást bocsátott ki a munkahelyen alkalmazott elektronikus megfigyelőrendszerekkel összefüggésben. Az ajánlásban foglaltak továbbra is iránymutatást jelentenek a munkáltatók számára a kamerák alkalmazásával kapcsolatban.
Az alábbi adatvédelmi követelményeket érdemes kiemelni a munkahelyi kamerás megfigyeléssel összefüggésben:
– Külön jogszabály nem rendelkezik a munkahelyen alkalmazott elektronikus megfigyelőrendszerek alkalmazásáról.
– Az
Mt. rendelkezései önmagukban nem adnak felhatalmazást a munkáltatónak elektronikus megfigyelőrendszerek alkalmazására, ahhoz a munkáltatónak minden esetben el kell végeznie a jelen tájékoztató jogalapjainál részletesen ismertetett érdekmérlegelési tesztet.
– Kamerákat a munkavállalók és az általuk végzett tevékenység elsődleges, kifejezett megfigyelése céljából működtetni nem lehet. Jogellenesnek tekinthető az olyan elektronikus megfigyelőrendszer alkalmazása, amelynek – akár nem deklaratív – célja a munkavállalók munkahelyi viselkedésének a befolyásolása.
– Az Mt. mellett az
Szvtv. (személy- és vagyonvédelmi törvény) mint mögöttes jogszabály rendelkezéseit is figyelembe kell venni.
Az Szvtv. négy esetben teszi lehetővé az elektronikus megfigyelőrendszer alkalmazását:
• az emberi élet, testi épség, személyi szabadság védelme,
• a veszélyes anyagok őrzése,
• az üzleti, fizetési, bank- és értékpapírtitok védelme,
• vagyonvédelem.
A célhoz kötött adatkezelés elvéből fakadóan tehát munkahelyen elektronikus megfigyelőrendszert alkalmazni elsődlegesen az Szvtv.-ben elismert ezen célokból lehet, illetve a rögzített felvételek is ezen célokból használhatóak fel. Amennyiben a munkáltatók más célból szeretnék alkalmazni a kamerás megfigyelést, akkor ott igazolniuk kell azt a jogos érdeket, amely – a tájékoztató I. pontjában kifejtettekkel összhangban – szükségessé teszi a kamera alkalmazását.
– Az elektronikus megfigyelőrendszerek alkalmazhatóságának fontos feltétele, hogy semmiképp sem lehet kamerát elhelyezni olyan helyiségben, amelyben a megfigyelés az emberi méltóságot sértheti, így különösen az öltözőkben, zuhanyzókban, az illemhelyiségekben vagy például orvosi szobában, váróban. Emellett alapvetően szintén nem lehet elektronikus megfigyelőrendszert alkalmazni az olyan helyiségben sem, amely a munkavállalók munkaközi szünetének eltöltése céljából lett kijelölve, mint például a munkavállalók számára biztosított ebédlő. Ez alól kivételt jelenthet az az esetkör, ha ebben a helyiségben valamilyen védendő vagyontárgy található (így például étel-ital automata), amellyel összefüggésben igazolható valamilyen munkáltatói érdek (például a munkavállalók többször megrongálták a berendezést és a károkat a munkáltatónak kellett állnia). Ebben az esetben e konkrét cél érdekében kamera helyezhető el a helyiségben, azonban ekkor a munkáltatónak különös figyelemmel kell lennie arra, hogy a kamera látószöge kizárólag a védendő vagyontárgyra irányulhat.
– A kamerák látószögével kapcsolatban fontos megjegyezni, hogy a munkáltató elektronikus
megfigyelőrendszert kizárólag a saját tulajdonában (vagy a használatában) álló épületrészek, helyiségek és területek, illetőleg az ott történt események megfigyelésére
alkalmazhat, közterület megfigyelésére azonban nem.
– Az elektronikus megfigyelőrendszer által rögzített felvételek tárolásának időtartamára –
más törvényi rendelkezés hiányában – alkalmazni kell az Szvtv. 31. § (2)-(4) bekezdésében
szereplő szabályokat. Ennek megfelelően a munkáltató a rögzített felvételeket főszabályként 3 munkanapig tárolhatja, kivéve, ha a megfigyelt helyiséggel kapcsolatban fennállnak az Szvtv. 31. § (3)-(4) bekezdésének feltételei. Ezen túlmenően – a célhoz kötött adatkezelés elvével és az érdekmérlegelés tesztjével összhangban – a munkáltatónak kell igazolni azt, hogyha valamely kamera által rögzített felvételeket három munkanapnál hosszabb időtartamig szükséges megőrizni.
– A munkáltatónak az elektronikus megfigyelőrendszer alkalmazására vonatkozó tájékoztatójában ki kell térnie többek között
• az adatkezelés jogalapjára, illetve annak sajátosságára (munkáltatói jogos érdeken alapuló adatkezelés),
• a felvétel tárolásának helyére és időtartamára,
• a felvételek tárolásával kapcsolatos adatbiztonsági intézkedésekre,
• az adatok megismerésére jogosult személyek körére, illetőleg arra, hogy a felvételeket mely személyek, szervek részére, milyen esetben továbbíthatja,
• a felvételek visszanézésére vonatkozó szabályokra, illetőleg arra, hogy a felvételeket milyen célból használhatja fel a munkáltató,
• arra, hogy a munkavállalókat milyen jogok illetik meg az elektronikus megfigyelőrendszerrel összefüggésben és milyen módon tudják gyakorolni a jogaikat, illetve jogaik megsértése esetén a munkavállalók milyen jogérvényesítési eszközöket vehetnek igénybe.
– A tájékoztatási kötelezettséggel kapcsolatban szükséges kiemelni, hogy a munkáltatónak minden egyes kamera vonatkozásában pontosan meg kell jelölnie, hogy az adott kamerát milyen célból helyezte el az adott területen és milyen területre, berendezésre irányul a kamera látószöge. A munkáltató ezzel igazolni tudja a munkavállalók számára azt, hogy miért tekinthető szükségesnek az adott terület megfigyelése. Nem fogadható el az a gyakorlat, amikor a munkáltató általánosságban tájékoztatja a munkavállalókat arról, hogy elektronikus megfigyelőrendszert alkalmaz a munkahely területén. Tilos továbbá a rejtett kamera használata.
A munkáltató által a munkavállaló rendelkezésére bocsátott e-mail fiók használatának
ellenőrzése
Előzetes intézkedések
Napjainkban a legtöbb munkahelyen a munkáltató „céges e-mail fiókot” bocsát a munkavállalók rendelkezésére (leggyakrabban név@cégnév.hu felépítésű e-mail címeket) annak érdekében, hogy a munkavállalók ezen keresztül tartsák egymással a kapcsolatot, vagy a munkáltató képviseletében levelezzenek az ügyfelekkel, más személyekkel, szervezetekkel.
A „céges e-mail fiók” használatával kapcsolatban gyakori probléma, hogy a levelezőrendszert a munkavállalók saját, személyes céljaikra is használják. Ez visszás helyzetet teremthet abban az esetben, ha a munkáltató – az Mt. 11. §-ában foglalt jogával élve – ellenőrizni kívánja a „céges e-mail fiók” tartalmát és a munkavállalók által folytatott levelezést.
E probléma megelőzéseként a munkáltatónak mindenekelőtt egy belső szabályzatot kell megalkotnia a „céges e-mail fiók” használatának, ellenőrzésének szabályairól. Ezzel ugyanis hatékonyan meg lehet előzni azt, hogy a munkavállalók (és adott esetben más, a magánjellegű levelezésben szereplő érintettek) személyes adatait is kezelje a munkáltató. A belső szabályzatban többek között az alábbiakra szükséges kitérni:
– használható-e magáncélokra a „céges e-mai fiók”,
– az e-mail fiókról biztonsági másolat készítésének és megőrzésének a szabályozására, illetve arra, hogy mikor kerül sor az e-mailek végleges törlésére,
– az e-mail fiók használata ellenőrzésének részletes szabályaira.
Jó gyakorlat lehet a munkáltató részéről továbbá az is, ha bizonyos időközönként emlékezteti a munkavállalókat arra, hogy milyen előírások vonatkoznak a „céges e-mail fiók” használatára (például félévente a levelezőrendszerben megjelenik egy olyan tájékoztatás, hogy a munkavállaló az e-mail fiók használata során magáncélból ne küldjön levelet). Ezzel ugyanis biztosítható az, hogy a munkavállalók kiemelt figyelmet fordítsanak arra, hogy a „céges e-mail fiókot” a munkáltató rendelkezései szerint használják.
A munkáltató megelőző intézkedései ellenére is (például a munkáltató a szabályzatban megtiltja a „céges levelezőrendszer” személyes célú használatát) a munkavállalók sokszor magáncélra is használják az e-mail fiókot. Ebben az esetben – függetlenül attól, hogy a munkáltató egyébként belső szabályzatában megtiltotta az e-mail fiók magáncélú használatát –, a munkáltató a levelezőrendszerben személyes adatokat is kezel, és a munkáltatónak a további intézkedései (például a „céges e-mail fiók” használatának ellenőrzése) során be kell tartania az adatvédelmi követelményeket.
Adatvédelmi követelmények
A „céges e-mail fiók” ellenőrzése esetében a munkáltatói jogos érdek lesz az adatkezelés jogalapja, ezért a munkáltatónak az adatkezelés megkezdése előtt el kell végeznie az érdekmérlegelés tesztjét. Ezen ellenőrzés esetében kiemelt figyelmet kell fordítani az célhoz kötött adatkezelés elvén és a szükségesség-arányosság követelményén túl az érintettek magánszférájára is, hiszen adott esetben különféle, a munkaviszonyhoz nem kapcsolódó személyes adat is a munkáltató tudomására juthat, illetve vele munkaviszonyban nem álló személyek (az e-mailek küldői vagy címzettjei) adatait is megismerheti.
Ennek megfelelően a munkáltatónak már előzetesen, a szabályzat megalkotása során meg kell
határoznia azt, hogy milyen céljai, érdekei miatt kerülhet sor az e-mail fiók ellenőrzésére. Ezen érdekeknek ténylegesnek és valósnak, a munkáltató tevékenységéhez, piaci helyzetéhez és a munkavállalók munkaköréhez igazodóaknak kell lenniük. Ezen túlmenően a munkáltatónak az e-mail fiók használatának ellenőrzése előtt közölnie kell a munkavállalókkal, hogy milyen érdeke miatt kerül sor a munkáltatói intézkedésre.
Másrészt a munkáltatónak a fokozatosság elvére figyelemmel lépcsőzetes ellenőrzési rendszert kell kidolgoznia, amelyben megfelelően érvényesülhet a személyes adatok védelme, illetve hogy az ellenőrzés minél kisebb mértékben érintse a munkavállalók magánszféráját.
– Így például az ellenőrzés első lépéseként az e-mail cím és a levél tárgyának az ellenőrzése is elegendő lehet, hiszen bizonyos esetekben már pusztán az e-mail cím felépítéséből és az e-mail tárgyából is lehet látni azt, hogy az magáncélú e-mail cím lesz, és ezért nem szükséges megismerni az e-mail tartalmát. Különösen fontos ez abban az esetben, ha a munkáltató a belső szabályzatban engedélyezi, hogy a munkavállalók a „céges e-mail fiókot” személyes célból is használják, hiszen ekkor a munkavállalók a szabályzattal összhangban magánjellegű leveleket küldhetnek mások számára, vagy fogadhatnak másoktól. Emellett, ha például a munkáltató nem engedélyezi az e-mail fiók magáncélú használatát, és az ellenőrzés pusztán arra terjed ki, hogy megállapítsa azt, hogy a munkavállalók betartották-e ezt a munkáltatói rendelkezést, akkor szintén elegendő az e-mail címének és tárgyának megtekintése, és nem szükséges a levél tartalmának megismerése, hiszen munkajogi jogkövetkezményeket már ezen tény megállapítása alapján is alkalmazhat a munkavállalókkal szemben.
A magánjellegű levelekkel kapcsolatban szükséges kiemelni azt is, hogy az ilyen e-mailek tartalmát a munkáltató nem jogosult megismerni. A kialakult adatvédelmi gyakorlat szerint a munkáltató nem jogosult az e-mail fiókban tárolt magánjellegű e-mailek tartalmát ellenőrizni még akkor sem, ha az ellenőrzés tényéről előzetesen a munkavállalókat tájékoztatta. Az ellenőrzést ekkor a munkavállalók személyes adataik védelméhez való joga, illetve azoknak a nem munkavállaló harmadik személyeknek a személyes adataik védelméhez való joga – továbbá más személyiségi joga, így elsősorban a magántitokhoz és a levéltitokhoz való joga – korlátozza, akik az e-mailt a munkavállalóknak küldték vagy tőlük azt kapták.
– Ezt követően kerülhet sor az e-mail fiók használatának magasabb szintű, részletekbe menő ellenőrzésére, azonban itt is ügyelni kell a fokozatosságra, illetve arra, hogy milyen információk állnak a munkáltató rendelkezésére a konkrét jogsértéssel kapcsolatban. Ugyanis ezek az információk befolyásolhatják az ellenőrzés fókuszát, menetét. Így például a munkáltató rendelkezésére állhat az az információ, hogy az e-mailhez csatolt nagy méretű mellékletben továbbítottak egy, az üzleti érdeke szempontjából fontos dokumentumot, és ekkor a forgalmi adatok elemezése útján megállapítható, hogy a levelezőrendszeren keresztül történt-e nagy méretű mellékletet tartalmazó e-mail kiküldése. Ha pedig meghatározott időintervallumban történt jogsértő e-mail kiküldése, akkor nyilvánvalóan elegendő ezen e-mailek áttekintése is. Az e-mailek tartalmának ellenőrzésére is ebben az esetben van lehetősége a munkáltatónak, hiszen ezekkel kapcsolatban már nagy valószínűség szerint kizárható, hogy munkavállaló magánszféráját érintő e-mail tartalmát ismerhetné meg.
Az e-mail fiók használatánál főszabályként biztosítani kell a munkavállaló jelenlétét. A munkáltatói ellenőrzés e formájánál ugyanis a munkavállaló és harmadik személyek különböző személyes adatai lehetnek benne a levelezőrendszerben, amelyek megismerésére a munkáltató nem jogosult. Ha ez ellenőrzésnél a munkavállaló jelen van, és jelezheti valamely email tartalmának megtekintése előtt, hogy azok személyes adatokat tartalmaznak, akkor ezzel biztosítható, hogy a munkáltató ne sértse meg ezt a tilalmat.
Ahhoz, hogy az e-mail fiók ellenőrzése jogszerű legyen, a munkáltatónak előzetesen részletes tájékoztatást kell biztosítania a munkavállalók számára. A tájékoztatóban a munkáltatónak ki kell térnie többek között arra, hogy:
– milyen célból, milyen munkáltatói érdekek miatt kerülhet sor az e-mail fiók ellenőrzésére (illetve természetesen a konkrét ellenőrzés előtt tájékoztatni kell a munkavállalót arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre),
– a munkáltató részéről ki végezheti az ellenőrzést,
– milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete,
– milyen jogai és jogorvoslati lehetőségei vannak a munkavállalóknak az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban.
A munkahelyi e-mailfiók használatának ellenőrzésével kapcsolatban az Emberi Jogok Európai Bírósága (a továbbiakban: EJEB) a Barbulescu contra Románia-ügyben 2016. január 12. napján hozott ítéletében megállapította, hogy nem jogsértő, ha a munkáltató megfigyeli egy alkalmazott munkahelyi levelezését. A Hatóság az EJEB döntésének áttekintését követően a fent kifejtett álláspontot tartja irányadónak a munkahelyi e-mail fiók használatával kapcsolatban.
A munkáltató által a munkavállaló rendelkezésére bocsátott laptop ellenőrzése
Előzetes intézkedések
A munkáltató bizonyos munkakörben dolgozó munkavállalók számára „céges laptopot” biztosíthat a munkájuk elvégzéséhez. Ezzel összefüggésben is felmerülhet az a probléma, hogy a laptopot a munkavállalók saját, személyes céljaira is használhatják, amely visszás helyzetet teremthet abban az esetben, ha a munkáltató a laptop tartalmáról biztonsági mentést kíván készíteni vagy – az Mt. 11. §-ában foglalt jogával élve – ellenőrizni kívánja a laptopon tárolt adatokat.
A munkáltatónak ezért mindenekelőtt egy belső szabályzatot kell megalkotnia a „céges laptop” használatának, ellenőrzésének szabályairól. Ezzel ugyanis hatékonyan meg lehet előzni azt, hogy a munkavállalók (és adott esetben más érintettek) személyes adatait is kezelje a munkáltató. A belső szabályzatban többek között az alábbiakra szükséges kitérni:
– használható-e magáncélokra a „céges laptop”,
– a laptopról biztonsági mentés készítésének és megőrzésének a szabályozására, illetve arra, hogy mikor kerül sor az e-mailek végleges törlésére,
– a laptopon tárolt adatok ellenőrzésének részletes szabályaira.
Amennyiben a munkáltató engedélyezi a laptop magáncélú használatát, akkor erre vonatkozóan plusz intézkedéseket szükséges meghoznia, így például a laptop merevlemezén több partíciót létrehozni, amellyel biztosítható, hogy a merevlemez egyik részén találhatók a munkavégzéssel összefüggő adatok, míg a másik részén pedig a munkavállaló személyes adatai. Ugyanis mind a laptopról készített biztonsági mentés során, mind a laptop ellenőrzése során a munkáltatónak kiemelt figyelmet kell fordítania arra, hogy a munkavállalók magánélettel kapcsolatos személyes adatait nem kezelheti. Ennek megfelelően úgy kell kialakítani a biztonsági mentés szabályait, hogy az ne terjedjen ki a laptopon tárolt személyes adatokra. Ezen túlmenően a munkáltatói ellenőrzést is úgy kell a munkáltatónak végrehajtania, hogy az ellenőrzés ne érintse a laptopon található személyes adatokat, azokat az ellenőrzéssel összefüggésben nem tárolhatja.
Adatvédelmi követelmények
A „céges laptop” tartalmának ellenőrzése esetében a munkáltatói jogos érdek lesz az adatkezelés jogalapja, ezért a munkáltatónak az adatkezelés megkezdése előtt el kell végeznie az érdekmérlegelés tesztjét. Ezen ellenőrzés esetében kiemelt figyelmet kell fordítani az célhoz kötött adatkezelés elvén és a szükségesség-arányosság követelményén túl az érintettek magánszférájára is, hiszen adott esetben különféle, a munkaviszonyhoz nem kapcsolódó személyes adat is a munkáltató tudomására juthat, illetve vele munkaviszonyban nem álló személyek adatait is megismerheti.
Ennek megfelelően a munkáltatónak már előzetesen, a szabályzat megalkotása során meg kell határoznia azt, hogy milyen céljai, érdekei miatt kerülhet sor a „céges laptop” tartalmának ellenőrzésére. Ezen érdekeknek ténylegesnek és valósnak, a munkáltató tevékenységéhez, piaci helyzetéhez és a munkavállaló munkaköréhez igazodóaknak kell lenniük. Ezen túlmenően a munkáltatónak a laptop tartalmának ellenőrzése előtt közölnie kell a munkavállalóval, hogy pontosan milyen érdeke miatt kerül sor a munkáltatói intézkedésre.
Másrészt a munkáltatónak a fokozatosság elvére figyelemmel lépcsőzetes ellenőrzési rendszert kell kidolgoznia, amelyben megfelelően érvényesülhet a személyes adatok védelme, illetve hogy az ellenőrzés minél kisebb mértékben érintse a munkavállalók magánszféráját. A laptop tartalmának az ellenőrzése során ezért főszabályként biztosítani kell a munkavállalók jelenlétét. A munkáltatói ellenőrzés e formájánál ugyanis a munkavállalók és harmadik személyek különböző személyes adatai lehetnek a laptopon, amelyek megismerésére a munkáltató nem jogosult. Ha az ellenőrzésnél a munkavállaló jelen van, és jelezheti valamely email tartalmának megtekintése előtt, hogy azok személyes adatokat tartalmaznak, akkor ezzel biztosítható, hogy a munkáltató ne sértse meg ezt a tilalmat.
Speciális követelmények, ha a laptop magáncélú használatát nem engedélyezi a munkáltató
Amennyiben a szabályzatban a munkáltató nem engedélyezi a „céges laptop” magáncélú használatát, akkor ebben a munkáltató kifejezetten hívja fel a munkavállalók figyelmét arra, hogy a laptop csak munkavégzéssel összefüggő célokra használható, és a munkáltató valamennyi, a laptopon tárolt adatait ellenőrizheti.
Ebben az esetben a munkavállalók tisztában vannak azzal, hogy személyes adatokat nem tárolhatnak a laptopon, vagy ha ezt mégis megteszik, a munkáltató velük szemben munkajogi jogkövetkezményeket alkalmazhat.
Mint már korábban szó volt róla, a munkáltató ebben az esetben is pusztán azt a tényt rögzítheti, hogy a munkavállalók a laptopon – a belső szabályzat előírásai ellenére – személyes adatokat tároltak, azonban ezen túlmenően a munkáltató nem kezelhet személyes adatokat, tehát azt már nem rögzítheti, hogy a munkavállalók pontosan milyen adatokat is tároltak a gépen (például milyen fényképeket, videókat, dokumentumokat).
Egyéb adatvédelmi követelmények
Ahhoz, hogy a laptop tartalmának az ellenőrzése jogszerű legyen, a munkáltatónak előzetesen részletes tájékoztatást kell biztosítania a munkavállalók számára. A tájékoztatóban a munkáltatónak ki kell térnie többek között arra, hogy:
– hogy milyen célból, milyen munkáltatói érdekek miatt kerülhet sor az laptop ellenőrzésére (illetve természetesen a konkrét ellenőrzés előtt tájékoztatni kell a munkavállalót arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre),
– a munkáltató részéről ki végezheti az ellenőrzést,
– milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete,
– milyen jogai és jogorvoslati lehetőségei vannak a munkavállalóknak a „céges laptop” ellenőrzésével együtt járó adatkezeléssel kapcsolatban.
Az internethasználat ellenőrizhetősége
Az ellenőrzés e formájával összefüggésben előzetesen érdemes kiemelni, hogy a munkavállaló által meglátogatott weboldal vagy az internethasználatával kapcsolatban a számítógépen rögzített, lementett információk (például az elmentett felhasználónév, jelszó) a munkavállaló személyes adatainak tekinthetők. Ebből fakadóan a munkáltatónak a munkavállalók internethasználatával összefüggésben is tekintettel kell lenniük az adatvédelmi követelményekre.
Az ellenőrzést megelőzően a munkáltatónak célszerű egy belső szabályzatot készítenie, amelyben ki kell térnie többek között:
– arra, hogy mely honlapok megtekintését tiltja (blokkolja) a munkahelyi számítógépeken,
– az ellenőrzés lefolytatására vonatkozó részletes szabályokra.
Amennyiben a munkáltató szabályzata előre meghatározza, hogy mely honlapok megtekintését blokkolja a munkáltató informatikai rendszere, akkor ezzel jelentősen csökkenteni lehet annak esélyét, hogy az internethasználat esetleges ellenőrzésére egyáltalán sor kerüljön. Ezzel egyidejűleg ugyanakkor a munkáltatói ellenőrzés lehetőségének is meg kell maradnia, hiszen a munkavállalók adott esetben a tiltást „kijátszhatják” vagy más, a tiltásban nem szereplő, de ahhoz hasonló honlapot tekinthetnek meg a munkahelyükön, amely miatt a munkáltató – az Mt. 11. §-ában foglalt jogával élve – ellenőrizheti, hogy munkavállalók megtartották-e a belső szabályzat előírásait, és adott esetben munkajogi jogkövetkezményt alkalmazhat velük szemben.
Az internethasználat ellenőrzése esetén – mint más munkáltatói ellenőrzéseknél is – szintén a munkáltatói jogos érdek lesz az adatkezelés jogalapja, ennek megfelelően a munkáltatónak el kell végeznie az érdekmérlegelés tesztjét a rendszer bevezetése előtt. Az érdekmérlegelési teszt elvégzése során a munkáltatónak többek között az alábbi követelményeket kell betartania:
– A munkáltatónak előzetesen meg kell határoznia azt, hogy milyen céljai, érdekei miatt kerülhet sor az internethasználat ellenőrzésére. Ezen érdekeknek ténylegesnek és valósnak, a munkáltató tevékenységéhez, piaci helyzetéhez, a munkavállaló munkaköréhez igazodóaknak kell lenniük. Ezen túlmenően a munkáltatónak az internethasználat ellenőrzése előtt közölnie kell a munkavállalókkal, hogy pontosan milyen érdekei miatt kerül sor a munkáltatói intézkedésre.
– Az ellenőrzés csak az ahhoz szükséges személyes adatok megismerésére terjedhet ki. Ha például a munkáltató bizonyos honlapok látogatását blokkolja, és az ellenőrzése pusztán arra terjed ki, hogy megállapítsa azt, hogy munkavállaló betartotta-e ezt a munkáltatói rendelkezést, akkor elegendő a honlap címének a megismerése és feljegyzése, és nem szükséges a munkavállaló tevékenységének részletes feltérképezése (mit is csinált a honlapon, milyen felhasználó nevet és jelszavat mentett el, esetleg milyen fájlokat mentett le a honlapról).
Ahhoz, hogy az internethasználat ellenőrzése jogszerű legyen, a munkáltatónak előzetesen részletes tájékoztatást kell biztosítania a munkavállalók számára. A tájékoztatóban a munkáltatónak ki kell térnie többek között arra, hogy:
– hogy milyen célból, milyen munkáltatói érdekek miatt kerülhet sor az internethasználat
ellenőrzésére (illetve természetesen a konkrét ellenőrzés előtt tájékoztatni kell a munkavállalót arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre),
– a munkáltató részéről ki végezheti az ellenőrzést,
– milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete,
– milyen jogai és jogorvoslati lehetőségeik vannak a munkavállalóknak az internet használatának ellenőrzésével együtt járó adatkezeléssel kapcsolatban.
A „céges mobiltelefon” használatának ellenőrizhetősége
Előzetes intézkedések
Egyre több munkáltatónál elterjedt gyakorlat, hogy „céges mobiltelefont” biztosítanak a munkavállalók számára, amelynek magáncélú használata sok esetben nem tisztázott.
Ezért ebben az esetben szükséges, hogy a munkáltató belső szabályzatban rendelkezzen többek között arról, hogy használható-e magáncélokra a „céges mobiltelefon”, és ha igen, akkor a magáncélú hívások költségeit a munkavállalóknak kell-e viselniük, valamint arra is, hogy milyen esetben kerülhet sor a „céges telefon” használatának ellenőrzésére.
A nem engedélyezett magáncélú telefonhasználat ellenőrzése
Amennyiben a munkáltató nem engedélyezi a „céges mobiltelefon” magáncélú használatát, akkor a munkáltató kifejezetten hívja fel a munkavállalók figyelmét arra, hogy a mobiltelefon csak munkavégzéssel összefüggő célokra használható, és a munkáltató valamennyi kimenő hívás hívószámát és adatait ellenőrizheti.
Ebben az esetben a munkavállalók tisztában vannak azzal, hogy magáncélú hívást nem kezdeményezhetnek, vagy ha ezt mégis megteszik, a munkáltató – élve az Mt. 11. §-ában szereplő ellenőrzési jogával – megismerheti a hívásokat annak érdekében, hogy a magáncélú és a munkavégzési célú telefonhasználatot elkülönítse, illetve a magáncélú hívások tényét deklarálja, bizonyítsa.
Azonban ezen túlmenően a munkáltató nem kezelhet személyes adatokat, tehát azt már nem ismerheti meg, hogy a munkavállalók magáncélból kit és mikor hívtak fel, minthogy ennek megismerése már nem elengedhetetlenül szükséges az ellenőrzés céljához, illetve az Mt. 11. § (1) bekezdése is kimondja azt, hogy a munkavállaló magánélete nem ellenőrizhető.
Az engedélyezett magáncélú telefonhasználat ellenőrzése
Ha a „céges mobiltelefon” magáncélra is használható, akkor a Hatóság jó gyakorlatnak tekinti azt, ha a kimenő hívások két előhívóval vehetőek igénybe: az egyik előhívó a hivatalos, a másik előhívó a magáncélú hívások során használható. A hivatalos hívások adatait a munkáltató megismerheti, a magáncélú hívások adatait nem. A munkáltató ezzel kapcsolatban előírhatja, hogy a magáncélú hívások költségeit a munkavállaló viselje.
A Hatóság emellett a magáncélú telefonhasználat engedélyezése során elfogadhatónak tartja azt is, hogy a munkáltató hívásrészletezőt kér a telefonszolgáltatótól és felhívja a munkavállalót arra, hogy a dokumentumon a magáncélú hívások esetében a hívott számokat tegye felismerhetetlenné. A fennmaradó telefonszámokat a munkáltató megismerheti, hiszen azokat a munkáltató képviseletében hívta fel a munkavállaló. A munkáltató természetesen ekkor is előírhatja, hogy a magáncélú hívások költségeit a munkavállaló viselje.
A fenti ellenőrzések esetén is érvényes, hogy a munkáltató nem kezelhet személyes adatokat, tehát azt már nem ismerheti meg, hogy a munkavállaló magáncélból kit és mikor hívott fel.
További adatvédelmi követelmények
A „céges mobiltelefon” használatának ellenőrzése esetén ugyancsak a munkáltatói jogos érdek lesz az adatkezelés jogalapja, ennek megfelelően a munkáltatónak el kell végeznie az érdekmérlegelés tesztjét a rendszer bevezetése előtt. Az érdekmérlegelési teszt elvégzése során a munkáltatónak a fent már kifejtett követelményeket kell betartania Ennek megfelelően a munkáltatónak meg kell határoznia, hogy milyen módon használhatják a munkavállalók a „céges mobiltelefont”, illetve az ellenőrzés is ehhez az előíráshoz kapcsolódhat. Az ellenőrzés nem terjedhet ki arra, hogy a munkavállalók magáncélból kit és mikor hívtak fel.
Mint már korábban, a többi munkáltatói ellenőrzésnél is szó volt róla, az adatkezelés jogszerűségéhez elengedhetetlen, hogy a munkáltató előzetesen részletes tájékoztatást biztosítson a munkavállalók számára. A tájékoztatóban a munkáltatónak ki kell térnie többek között arra, hogy:
– hogy milyen célból, milyen munkáltatói érdekek miatt kerülhet sor a „céges mobiltelefon” használatának ellenőrzésére,
– a munkáltató részéről ki végezheti az ellenőrzést,
– milyen szabályok szerint kerülhet sor ellenőrzésre és mi az eljárás menete,
– milyen jogai és jogorvoslati lehetőségei vannak a munkavállalóknak „céges mobiltelefon” ellenőrzésével együtt járó adatkezeléssel kapcsolatban.