2019 novemberében, illetve decemberében több NAIH határozat is született, ami a munkavállalók munkáltatók általi ellenőrzésének adatvédelmi aspektusait, illetve annak kereteit, adatvédelmi megfelelősége követelményeit rögzíti.
Az említett határozatok a következők:
NAIH/2019/2466/12. számú határozat, amely a munkavállalók kamerák útján történő ellenőrzése/megfigyelése adatvédelmi követelményeit fejti ki;
NAIH/2019/51/11. számú határozat, amely a volt munkavállaló archivált e-mail fiókja tartalmának ellenőrzésével összefüggő elvárásokat rögzíti;
NAIH/2019/769/ számú határozat, amely a munkavállaló által használt számítástechnikai eszközök, és e-mail fiók ellenőrzésének követelményeit fejti ki.
Mindhárom határozat elérhető a https://naih.hu/hatosagi-hatarozatok—vegzesek.html weboldalon, ezek közül most a munkavállalók kamerák alkalmazásával történő ellenőrzésének adatvédelmi követelményeit tekintsük át részleteiben.
I. Kamerák felvételeinek felhasználása munkáltatói ellenőrzés céljaira
A munkavállalók kamerás megfigyelésének, illetve a munkaáltató által alkalmazott kamerák képeinek ellenőrzésre történő felhasználásának szabályai gyakorlatilag más a munkáltató által alkalmazott technikai rendszerek – pl. beléptető rendszer, gépjárművek GPS helymeghatározó eszközei – adatainak ellenőrzési célú felhasználása esetén is irányadóak, ezért a kamerák mellett ezen eszközöket is érteni kell a következőkben.
Mik az ellenőrzésre történő adatfelhasználás feltételei?
- Az üzemeltetett belső kamera által készített felvételek kapcsán legyen konkrétan megjelölve ezen adatkezelési cél (vagyis a munkavállaló ellenőrzése), vagyis az elkészített adatkezelési dokumentumok előzetesen ezt rögzítsék.
- A megjelölt adatkezelési cél legyen legitim, azaz a jog által elismert kell, hogy legyen (ez az Mt. 11/A § (1) bek[1]. alapján megállapítható). Mindez azt is jelenti, hogy csak a munkavállaló munkaviszonyával összefüggő körben – pl. valamely abból fakadó kötelezettsége teljesítése – ellenőrizhető. Ebből a szempontból fontos, hogy a munkaszerződés (kollektív szerződés), illetve egyébként a létező belső előírások miként, mennyire egzakt módon rögzítik e kötelezettségeket.
- A GDPR 5. cikk (1) bekezdés c) pontja szerinti adattakarékosság elve megvalósuljon. Vizsgálni kell, hogy a jogszerű adatkezelési célt egyéb eszközzel ésszerű, illetve arányos módon el lehet-e érni, tehát, hogy van-e olyan más lehetőség, ami kisebb mértékű személyes adat kezeléssel is a cél elérését biztosítja, illetve, hogy ha nincs akkor a kamerák adatai is csak a ténylegesen szükséges mértékben nyernek-e felhasználást az ellenőrzés céljaira (szükségesség/arányosság tesztje).
- A munkahelyi kamerás megfigyeléssel/ellenőrzéssel összefüggő adatkezelés esetében lényeges követelmény, hogy az érintett (munkavállaló) az adatkezelésről megfelelő, átlátható és könnyen értelmezhető tájékoztatást kapjon. Ez egyrészt a GDPR 12-14. cikkei alapján fennálló kötelezettség, de az Mt. 11/A § alapján is előírt.
- Mivel az adatkezelés jogalapja ilyen esetekben tipikusan a GDPR 6. cikk (1) f) pontja szerinti jogos érdek érvényesítése, ezért el kell végezni, és írásban rögzíteni kell az un. érdekmérlegelési tesztet, amelyben bemutatja a munkáltató, mint adatkezelő, hogy az ő ellenőrzéssel összefüggő jogos érdeke milyen okok miatt előzi meg a munkavállaló mint adatalany, személyes adatai védelmével összefüggő jogait.
- Végezetül el kell készíteni az adatok ellenőrzésre történő felhasználásával összefüggő belső eljárásrendet.
II. A belső eljárásrend tartalmának meghatározása
Az ellenőrzés szabályait rögzítő belső eljárásrendnek előzetesen kell rendelkezésre állnia, vagyis még a kamera felvételek tervezett ellenőrzési célú felhasználása előtt helyben szokásos módon megismerhetővé kell tenni az érintettek számára, annak érdekében, hogy az érintettek tájékozódhassanak arról, hogy mi fog történni az ellenőrzés során személyes adataikkal, és ebben a relációban milyen jogokkal élhetnek.
A belső eljárásrendben ki kell térni:
- az adatkezelés jogalapjára, illetve annak sajátosságára (munkáltatói jogos érdeken alapuló adatkezelés) tekintettel azokat a körülményeket, ami alapján szükségesnek és arányosnak tekinthető a munkavállaló ilyen célú ellenőrzése, és az azzal járó adatkezelés Pl. ha esetleg már múltbeli esetekkel, figyelmeztetéssel, „fegyelmi” intézkedéssel járó eseményekkel lehet alátámasztani a szükségességet az mindenképpen komoly „érv”;
- az adatok tárolásának helyére és időtartamára;
- az adatok tárolásával kapcsolatos adatbiztonsági intézkedésekre;
- az ellenőrzés lefolytatásának szabályai, az adatok megismerésére jogosult személyek körére (ezt célszerű a lehető legszűkebben, és az ellenőrzési cél miatt vezetői szinten megjelölni),
- az ellenőrzésre milyen estekben, milyen információk felmerülésekor kerülhet sor, (ki kezdeményezheti, rendelheti el, milyen formában kell a szükségességet megalapozó okokat rögzíteni, ki jogosult visszanézni a felvételeket, hogyan kell rögzíteni a megállapításokat, azokat kik ismerhetik meg)
- a munkavállaló ellenőrzésről történő értesítésének szabályai, a részvételi (vagy képviselője részvételi) lehetősége biztosításával összefüggő szabályok;
- arra, hogy a munkavállalókat milyen jogok illetik meg az elektronikus rendszer adatainak felhasználásával végzett ellenőrzés során és milyen módon tudják gyakorolni a jogaikat (pl. főszabály szerint előzetes értesítés az ellenőrzésről, jelen lehetnek az adatok visszanézése során, észrevételeiket közvetlenül is megtehetik ennek során, az ellenőrzés megállapításait megismerhetik, másolatban megkaphatják, amennyiben az ellenőrzés megállapításait vitatják, akkor milyen jogokkal élhetnek).
- jogaik megsértése esetén a munkavállalók milyen jogérvényesítési eszközöket vehetnek igénybe.
- az adatok mely személyek, szervek részére, milyen esetben továbbíthatóak.
FONTOS:
az említett NAIH határozatok az ellenőrzés adatvédelmi aspektusával összefüggő
követelményeket rögzítenek, amelyek ugyan adott esetben szoros összefüggést
mutatnak a munkáltatói ellenőrzés munkajogi értelemben vett szabályos
lefolytatásával, de adott esetben el is válhatnak attól. Tehát előfordulhat, hogy egy ellenőrzés munkajogi
értelemben szabályos volt ugyan – azaz annak eredményére munkajogi
jogkövetkezmények alapíthatóak -, de
adatvédelmi szempontból jogsértő módon járt el a munkáltató. Mindezek miatt
egy szabályos belső munkáltatói kontroll rendszer kialakításnál nem elegendő
csupán a munkajogban járatos szakember tanácsát kikérni – a NAIH határozataiban
kiszabott bírságösszegekre tekintettel – megéri
adatvédelmi szakértővel is konzultálni.
[1] Mt. 11/A. §13 (1) A munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető. Ennek keretében a munkáltató technikai eszközt is alkalmazhat, erről a munkavállalót előzetesen írásban tájékoztatja.