Számos jogos érdeke lehet a munkáltatónak

A GDPR a jogos érdek alapú adatkezelésekhez magyarázatot is fűz. A 47. preambulumbekezdés kiemeli, hogy „ilyen jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az adatkezelő ügyfele vagy annak alkalmazásában áll. A jogos érdek fennállásának megállapításához ugyanakkor mindenképpen körültekintően meg kell vizsgálni többek között azt, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat-e észszerűen arra, hogy adatkezelésre az adott célból kerülhet sor. Az érintett érdekei és alapvető jogai elsőbbséget élvezhetnek az adatkezelő érdekével szemben, ha a személyes adatokat olyan körülmények között kezelik, amelyek közepette az érintettek nem számítanak további adatkezelésre.” Önmagában tehát az a tény, hogy a munkaviszonnyal összefüggésben a jogos érdekre, mint jogalapra támaszkodhatunk nem mond el semmit arról, hogy azt mely esetekben alkalmazhatjuk.

Nem csupán a GDPR nyújt ugyanakkor számunkra eligazítást, hanem az annak értelmezése szempontjából kiemelt jelentőségű un. 29. Munkacsoport vélemények is. A 2/2017. számú vélemény lefekteti, hogy a munkahelyi adatkezeléssel összefüggésben a fizikai és szellemi tulajdon védelme, a személyvédelem, munkahatékonyság ellenőrzése olyan érdekek, melyek jogossága nem kérdőjelezhető meg. Beazonosítottunk tehát fontos érdekeket, adatkezelésre ugyanakkor csak akkor teremtenek jogalapot, amennyiben az adott érdek a munkavállaló alapvető jogaihoz, érdekeihez képest elsőbbséget is élvez. Ezt a mérlegelést a munkáltatónak az adatkezelés megkezdése előtt, minden esetben el kell végeznie. Ezt hívjuk érdekmérlegelési tesztnek, melyet az érintett munkavállalókkal is ismertetni szükséges. Az érdekmérlegelés azt hivatott biztosítani, hogy a munkáltató csupán olyan esetekben támaszkodjon erre a munkavállaló hozzájárulásától független, illetve a munkaszerződés teljesítéséhez csupán érintőlegesen kapcsolódó jogalapra, amikor az feltétlenül indokolt.

Az adatkezelésnek szükségesnek és arányosnak is kell lennie

A jogos érdek kereteinek alkalmazását a felügyeleti szerv (NAIH) döntései tükrében érdemes értelmezni. Ezen döntésekből egyértelműen kitűnik, hogy alapvető elvként szükséges figyelembe venni azon követelményt, hogy a munkáltató a működése során nem a hatékonyságot (lsd. pl: egyszerű, biometrikus azonosítás), hanem a legkevésbé korlátozó adatkezelési módot kell, hogy keresse.  Hiába kérik így a munkavállalók, hogy belépőkártya helyett hadd lépjenek be ujjlenyomatos belépési azonosítóval, erre éppen ezen elv sérelme okán nem lesz a gyakorlatban lehetőség. A hatóság (és a 29. Munkacsoport) szerint ugyanis a biometrikus személyes adatok által nyújtott természetes személyre jellemző egyedi és megváltoztathatatlan információk kezelése csupán kifejezetten indokolt és feltétlenül szükséges esetben lehetséges.

A gazdasági, kényelmi szempont nem kellően súlyos érdek

További szűkítést jelent a gyakorlatban a felügyeleti hatóság azon álláspontja, mely szerint a jogos érdek nem lehet sem kényelmi, sem gazdasági szempont, mivel ezen szempontokra támaszkodva alkotmányos jog (személyes adat védelme) érvényesen nem korlátozható. Erre hivatkozva szabott ki bírságot a hatóság abban az esetben, amikor az adatkezelő az érintett kapcsolati adatát nem törölte arra hivatkozva, hogy az később, követelés behajtásához, kapcsolattartáshoz szükséges lehet. A szolgáltató kiemelte, hogy „egyéb kapcsolattartási formák, csatornák az ügyfél és az adatkezelő számára is költségesebb megoldást jelentenek, ezért mindkét fél érdeke, hogy a kevésbé költséges, kisebb teherrel járó megkeresési forma kerüljön alkalmazásra (személyes megkeresés, jogi eljárások).” Ezzel összefüggésben a hatóság rámutatott arra, hogy az adott személyes adat álláspontja szerint a hivatkozott célhoz nem szükséges, csupán azt segíti, illetve kényelmi szempontnak minősül. Utóbbi szempont miatt ugyanakkor az érintett jogával szemben elsőbbséget nem képezhet. Azonos érvrendszer alapján nem fogadta el azon hivatkozást sem, hogy a telefonbeszélgetés lehetőséget ad arra az adatkezelőnek, hogy felmérje a drágább behajtási folyamatok (pl. jogi eljárások, bírósági végrehajtás) megtérülési esélyeit.

Érdekmérlegelni érdekenként és előzetesen kell

Hasonlóképpen fontos szempont, hogy az érdekmérlegelést jogos érdekenként egyenként kell elvégezni. Hivatkozhatunk korlátlan számú jogos érdekre is feltéve, hogy azokat külön-külön megfelelően dokumentáltuk. Azt is bizonyítani szükséges, hogy az érdekmérlegelés az adatkezelés megkezdését időben megelőzi. A felügyeleti szerv elmarasztaló döntését vonta maga után az adatkezelő azon lépése is, hogy az érdekmérlegelési teszten nem került dátum feltüntetésre.

Ugyanaz az adatkezelés körülményektől függően lehet jogszerű vagy jogellenes

Az érdekmérlegelés jellegénél fogva tényállásfüggő. A munkavállaló bűnügyi személyes adatát a munkáltató például köteles kezelni a közszférában, hiszen ott a büntetlen előélet alkalmazási feltétel. Számos egyéb esetben (munkakörben) azonban jogszabály nem támaszt büntetlen előéletre vonatkozó követelményt. A munkáltatónak ugyanakkor a jogszabályban meghatározott esetkörön túlmenően is jogos érdeke fűződhet ahhoz, hogy a munkavállalója munkaképességén túl annak erkölcsi alkalmasságát, megbízhatóságát (előéletét) is leellenőrizze. S habár a munkavállaló emberi minősége minden esetben releváns körülménynek tekinthető, a munkáltató „kíváncsisága” önmagában nem alapozza meg az adatkezelés jogszerűségét. Ennek jogszerűsége tehát bizonyos esetekben fennáll, míg más esetekben nem.

A munkáltató a munkavállaló vagy a munkáltatóval munkaviszonyt létesíteni szándékozó személy bűnügyi személyes adatát az Mt.11.§ (3)-(4) bekezdései alapján annak vizsgálata céljából kezelheti, hogy törvény vagy a munkáltató a betölteni kívánt vagy a betöltött munkakörben nem korlátozza vagy nem zárja-e ki a foglalkoztatást. Ilyen korlátozó vagy kizáró feltételt a munkáltató akkor határozhat meg, ha az adott munkakörben az érintett személy foglalkoztatása a munkáltató jelentős vagyoni érdeke, törvény által védett titok (üzleti titok, banktitok, értékpapír titok stb.), vagy a törvény által védett érdek sérelmének veszélyével járna. A munkáltató az Mt.11.§ (5) bekezdése alapján a bűnügyi személyes adat kezelését megalapozó korlátozó vagy kizáró feltételt, és a bűnügyi személyes adat kezelésének feltételeit előzetesen írásban kell, hogy meghatározza.

Tekintettel arra, hogy már önmagában az üzleti titok is megalapozhatja a bűnügyi személyes adatok kezelését szükséges azonnal rámutatni arra, hogy a bűnügyi személyes adat kezelése nyomatékos munkáltatói érdeket feltételez. Ilyen nyomatékos érdek származhat a munkáltató pozíciójából (különleges vagy fokozottan érzékeny személyes adatokat kezelő ügyvédi iroda) vagy az adott munkakörhöz kapcsolódó fokozott elszámoltathatóságból (közbeszerzésben közreműködő alkalmazott, titkárságvezető). Az érdekmérlegelés azonban nem jelentheti az elérni kívánt cél automatikus igazolását, hiszen annak tartalmi elemeit jogvitában is meg kell tudnunk védeni. Amennyiben pedig az érdekmérlegelés eredménye alapján lehetőség nyílik bűnügyi személyes adat kezelésére, ez csupán annak megtekintésével valósítható meg. Az ezt igazoló dokumentum ugyanis a felügyeleti szerv álláspontja szerint sem eredetiben, sem másolatban nem kezelhető.

Ezek az érdekmérlegelés lépései

Az érdekmérlegelés a jogos érdekű adatkezelések alapja, melynek lépéseit ismerni szükséges. első lépésben az adatkezelőnek be kell azonosítania azt a jogos érdeket, melyre az adatkezelést alapozza. Ez az érdek lehet saját vagy harmadik személy érdeke. Utóbbira példa az üzem területén megforduló harmadik személyek személy- vagy vagyonbiztonsága. Ezt követően a munkavállaló érdekeit kell beazonosítani, melyeket az adatkezelés szükségképpen korlátoz. Ilyen lehet a munkavállaló megfigyeléstől mentes mozgásszabadsága, magánélete vagy akár a levéltitok. Ezt követően a munkáltató ezen érdekeket összeveti, és megállapítja, hogy a munkáltató érdeke elsőbbséget élvez-e. Amennyiben igen, ezt dokumentálja, és erről a munkavállalót adatkezelési tájékoztatóban vagy szabályzatban tájékoztatja.

Dr. Kéri Ádám

ügyvéd