A szükségtelen adatkezelés tízmilliós bírsággal járhat

2019. augusztus 22. 08:58
A vállalkozások a működésükkel összefüggésben személyes adatok sokaságát kezelik. A kezelt személyes adatok körének meghatározásakor azonban érdemes szem előtt tartani azt a követelményt, hogy csupán azon személyes adatok gyűjtéséhez (kezeléséhez) ragaszkodjunk, melyek abszolút szükségesek a jogszerű adatkezelési cél eléréséhez. Sem praktikus szempontból, sem pedig biztonsági megfontolásból nem kezelhetünk ugyanis szükségtelen mértékben személyes adatokat. Ezen követelmény részleteit példákon keresztül mutatjuk be:

A Sziget Zrt. beléptetési gyakorlata: indokolt, de eltúlzott

A Sziget Zrt. beléptetési gyakorlatával a Nemzeti Adatvédelmi és Információszabadság Hatóság több alkalommal foglalkozott. Tényszerűen megállapítható, hogy a rendezvények alkalmával jelentős számú résztvevő fordul meg a Sziget Zrt. által szervezett egyes eseményeken, mely megfelelő személy- és vagyonvédelmi intézkedések meghozatalát indokolhatja. Ezen jogos érdekére támaszkodva a szervező úgy döntött, hogy a beléptetésnek azt a formáját választja, hogy előre megvásárolt jegy esetén a helyszínen az un. becserélő ponton, helyszíni jegyvásárlás esetén a helyszíni pénztárnál személyazonosító okmányból leolvasva – de az okmány lemásolása nélkül – felveszi a látogató vezeték- és keresztnevét, születési dátumát, származási országát, nemzetiségét és nemét, valamint rögzíti az okmányon lévő fényképet, illetve, amennyiben az okmányon lévő fénykép rögzítése technikai okok miatt nem lehetséges, a helyszínen készít fényképet az érintettről. A személyes adatok alapján a szervező chipes karszalagot is készített, melyet a bejáratnál minden alkalommal leolvastak. Leolvasás alkalmával az érintett belépő személy adatai fényképpel együtt egy monitoron jelentek meg, mely lehetővé tette a belépő személy azonosítását. Az adatkezelő szervező az adatkezelés céljaként a visszaélések megelőzését, valamint a személy- és vagyonvédelem általános, illetve megelőző jellegű védelmét emelte ki. A hatóság a beléptetési gyakorlattal összefüggésben a visszaélések megelőzése, illetve a közbiztonság garantálása jogos érdekeket nem vitatta, úgy vélte azonban, hogy ahhoz az adatkezelő szükségtelenül széles körben kezelt személyes adatokat. Álláspontja szerint az adatkezelő céljainak eléréséhez a név és a fénykép személyes adatok kezelése is elegendő lett volna. Ezen túlmenően arra is rámutatott, hogy ésszerűtlen (szükségtelen) is volt a többletadatok rögzítése, hiszen a szervező központi adatbázisokhoz nem fért hozzá, így a belépő személyek közveszélyes voltát ellenőrizni nem tudta. Végezetül azt is kiemelte, hogy a közbiztonság ilyen szintű garantálása az állam és nem a piaci szereplők feladata, így ahhoz eszközzel sem rendelkezhetnek.

 

Amikor egy honlap kért több adatot, mint amennyi szükséges

Egy másik esetben a hatóság egy ügyvédi iroda által működtetett honlap adatkezelése vonatkozásában állapított meg jogsértést. A honlap számos funkciót bizosított: lehetőség volt kérdés feltevésére, kalkulátor alkalmazására, valamint hírlevélre történő feliratkozásra is. A kérdést egy olyan űrlap segítségével lehetett elküldeni, amelynél a név, e-mail, teljes név, lakcím kötelezően kitöltendő elemként szerepelt. Az adatkezelő ezt azzal indokolta, hogy az egyes kérdéseket a megválaszolásban résztvevő partnerei között földrajzi alapon osztja szét, így valamennyi személyes adat valamely jogszerű célt ténylegesen szolgál. A hatóság döntésében rámutatott a célhoz kötöttség és az adattakarékosság elveinek a fontosságára, melynek tükrében nem lehetséges nagy mennyiségű személyes alapot „valamire csak jó lesz” alapon készletezni. Személyes adatok gyűjtésére ugyanis csak meghatározott, egyértelmű és jogszerű célból történhet. A személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk. Ezeknek tükrében jogsértőnek tartotta azt, hogy az adatkezelő több funkció adatkezeléseit összevonta, illetve szükségtelen kényelmi szempontok alapján végezte a személyes adatok kezelését.

 

 

 

 

A munkahelyi belépésnél alkalmazott ellenőrzések: nehéz megfelelően kivitelezni

Számos vállalkozás alkalmaz véletlenszerű csomagátvizsgálást belépő és/vagy távozó munkavállalók, ügyfelek vonatkozásában. Ezzel összefüggésben a Hatóság azonban megállapította, hogy a vállalkozás azon gyakorlata, mely szerint a megbízott vagyonőrök általános vagyonvédelmi célból – véletlenszerűen – átvizsgálják a munkavállalók munkahelyre bevitt csomagjait, táskáit, nem felel meg a célhoz kötött adatkezelés elvének, és indokolatlanul sérti a munkavállalók (más személyek) magánszféráját. A célhoz kötöttség elvének figyelembe vételén túlmenően arra is felhívta a hatóság a munkáltató figyelmét, hogy a személy- és vagyonvédelemről szóló 2005. évi CXXXIII.tv.(Szvtv.) nem teszi lehetővé a vagyonvédelmi cégek számára az alapos gyanú nélküli vizsgálatokat. Utalt arra is, hogy az érintett csomagja az érintett magánszférája, melynek átvizsgálása emberi méltóságot is sérthet. Végezetül arra is felhívta a figyelmet, hogy amennyiben a munkáltató ellenőrzése ilyen eszközt foglal magában az érdekmérlegelés keretében vizsgálni szükséges a szükségesség és arányosság követelményét, egyéb, alternatív megoldások létezését (beléptetőkapu, fémdetektor), illetve eljárási garanciák beemelését (szakszervezeti jelenlét, jegyzőkönyv stb.). Az érdekmérlegelési teszt elvégzése során a vállalkozásnak azt kell igazolnia a csomagátvizsgálás bevezetése előtt, hogy más módszerek nem voltak hatékonyak a munkavállalói jogsértő cselekmények megelőzésére. Csak a tényleges, ismétlődő, rendszeresen visszatérő, és más módszerrel meg nem szüntethető jogsértések alapozhatják meg azt, hogy a vállalkozás csomagátvizsgálást vezessen be. Amennyiben ez  megtörténik, a vagyonvédelmi cégeket és a vállalkozás ellenőrzést végző munkavállalóit eltérő jogok illetik meg. A vagyonvédelmi cégek jogkörét ugyanis az Szvtv. jelentősen beszűkíti.

 

Dr. Kéri Ádám

ügyvéd

Kapcsolódó cikkek

5 tanács a munkáltatóknak 2020 januárjára

2020. január 09. 08:04
Az új év közeledtével érdemes áttekinteni, hogy a munkáltatók számára milyen kötelezettségek érvényesülnek, illetve lehetőségek nyílnak meg a következő év első napjától. Az ajánlásokat a legfontosabb munkáltatói kihívás: a munkaerő-hiány szempontjából tettük meg. Az alábbiakban csokorba szedtük a legfontosabb lépéseket:

Táppénzről visszatérőnek felmondanának. Mennyi lesz a végkielégítés?

2019. szeptember 17. 11:44
„Van egy munkavállalónk, aki 2016.01.01-jétől dolgozik cégünknél. Ez a munkavállaló 2018.09.15-étől táppénzen van folyamatosan, és ennek 1 éves időtartam letelte után szeretne visszajönni cégünkhöz dolgozni. Átszervezések, valamint egészségi állapota miatt nem tudunk neki munkát biztosítani. Ezért felmondanánk neki. Kérdésem, hogy ha az üzemorvos nem engedi dolgozni, felmondás esetén jár-e neki végkielégítés? A táppénzes időszak miatt mennyi végkielégítés jár neki, és a kiszámítás módja is érdekelne.” Olvasói kérdésre dr. Hajdu-Dudás Mária munkajogász ügyvéd válaszolt.