A NAIH több döntésében tisztázta a munkáltatói ellenőrzés kereteit, legutóbb a digitális távoktatás keretében munkát végző pedagógusok esetében vizsgálta a kérdést. Így utóbbi állásfoglalás tükrében vizsgáljuk a munkáltató ellenőrzési lehetőségének kereteit:

Ellenőrzés szempontjából mindegy, hogy saját számítógépen dolgozunk-e

A munka törvénykönyvéről szóló 2012. évi I.tv. (Mt.) 11/A§-a alapján a munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető. Ennek keretében a munkáltató technikai eszközt is alkalmazhat, erről a munkavállalót előzetesen írásban adatkezelési tájékoztatás segítségével tájékoztatja. Alapvető szabály, hogy a munkavállaló a munkáltató által a munkavégzéshez biztosított számítástechnikai eszközt – eltérő megállapodás hiányában – kizárólag a munkaviszony teljesítése érdekében használhatja. Amennyiben ellenőrzésre kerül sor, a munkáltató az ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be. Ilyennek minősül a korlátozás betartásának ellenőrzéséhez szükséges adat. Fontos továbbá, hogy az ellenőrzési jogosultság abban az esetben is fennáll, amennyiben a munkavállaló a munkaviszony teljesítése érdekében saját számítástechnikai eszközt használ. Saját számítógép használata esetében a munkáltatónak ugyanakkor fokozottan kell ügyelnie arra az alapkövetelményre, hogy a munkavállaló magánélete nem ellenőrizhető.

Az adatkezelő majdnem minden esetben a munkáltató

A digitális távoktatás tárgykörében kiadott állásfoglalás azt is kiemeli, hogy a munkavállaló eszközhasználatával megvalósuló adatkezelések nem esnek bele az un. háztartási kivétel körébe. Ez pedig azt is jelenti, hogy a felek nem mentesülnek a GDPR szabályai alól. Amennyiben a magáncélú eszközhasználat tilos, abban az esetben az adatkezelő egyértelműen a munkáltató, oktatási intézmény esetében az intézmény vagy a tankerület. Amennyiben ugyanakkor a munkáltató az általa biztosított eszköz vonatkozásában a magáncélú eszközhasználatot megengedi, abban az esetben közös adatkezelés jön létre. Ilyenkor a felek kötelesek a személyes adatok védelmét szabályozó 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) 26. cikke alapján közös adatkezelői megállapodás kötésére. Az adatkezeléshez kapcsolódó további, jogi kötelezettség az adatkezelési tájékoztatás nyújtása (ellenőrzés eljárásrendje, módja, résztvevői, adatkezelés körülményei, érintetti jogok), mely a munkáltató alapkötelezettsége.

Saját eszköz használata esetén speciális követelmények is érvényesülnek

Pusztán azért, mert a munkavállaló saját eszközét használja munkavégzésre, a munkáltató mint adatkezelő nem mentesül az adatkezelésre vonatkozó kötelezettségei alól. Ilyen kötelezettsége az, hogy biztosítsa a személyes adatok kockázatarányos védelmét, az ehhez szükséges szervezési és technikai intézkedéseket megtegye. Ennek keretében jelszókövetelményt határozhat meg, előírhatja jogtiszta szoftverek, vírusirtók használatát, az eszköz tárolásának, illetve az ahhoz való hozzáférésnek a követelményeit, illetve ezen előírások betartását ellenőrizheti is. Az ellenőrzés szabályait ugyanakkor előzetesen kell lefektetnie. Amennyiben a munkáltató előírja, hogy a magáncélú, illetve a munkavégzéssel összefüggő mappákat el kell különíteni, abban az esetben a munkáltató ellenőrzési köre kizárólag a könyvtárstruktúra megismerésére terjed ki. A magáncélú tartalmak elkülönítésére szolgáló mappa megismerésére nem jogosult. Külön utal arra is az állásfoglalás, hogy a privátmappában elhelyezett file-ok elnevezése is utalhat azok privát tartalmára, így már az elnevezések puszta megtekintése is jogsértő lenne.

Az ellenőrzés szabályainak megalkotásánál az adatvédelmi tisztviselővel konzultálni kell

A GDPR alapján nem köteles minden adatkezelő adatvédelmi tisztviselőt kijelölni. Amennyiben ugyanakkor erre köteles (lsd. pl.: oktatási intézmények), abban az esetben a kijelölt tisztviselővel az ellenőrzés szabályainak kidolgozása, érvényesítése során konzultálni szükséges.

Dr. Kéri Ádám

ügyvéd