Adatvédelmi teendők az év elején
A munkahelyen az ellenőrzés módja gyakran a bírság forrása
A Nemzeti Adatvédelmi és Információszabadság Hatóság munkahelyi adatkezelésekkel összefüggésben a vállalkozásokat szinte kivétel nélkül elbocsátott munkavállaló panasza alapján bírságolja. Az adatvédelmi bírság oka legtöbb esetben a munkavállaló munkavégzésének, teljesítményének szabálytalan ellenőrzése. Először is ügyeljünk arra, hogy az ellenőrzéseket (email, telefon, számítógép, gépjármű) rövid eljárásrendben mutassuk be. Az eljárásrendnek az ellenőrzés célját, módját, az abban résztvevő személyeket, illetve a munkavállaló jogait tartalmaznia szükséges.
Az ellenőrzéssel kapcsolatos elvárás, hogy annak arányosnak kell lennie. Mindig azt kell tehát vizsgálnunk, hogy az ellenőrzés feltétlenül szükséges-e, illetve annak van-e kevésbé korlátozó alternatívája. A hatóság például úgy véli, hogy a munkavállalók személyes ellenőrzését azok informatikai ellenőrzése (ott ül-e a gép előtt, mekkora intenzitással dolgozik) ritkán pótolhatja jogszerűen.
Célszerű továbbá az eszközök magánhasználatát kizárni. Ennek az az egyszerű oka, hogy a munkáltató a munkavállaló nem munkavégzéssel összefüggő adatait jogszerűen nem kezelheti. Ellenőrzés esetén ugyanakkor ez a kötelezettség sérülhet, ha a munkavégzéssel összefüggő és a privátadatok keverednek. Fontos azt is szem előtt tartani, hogy az ellenőrzésnek jellemzően a munkavállaló jelenlétében kell történnie. Alapvetően ez a követelmény is a magánszféra védelmét szolgálja, így ugyanis a munkavállaló jelezheti, amennyiben az ellenőrzés magánszféra érintettségével járhat. Szólhat például azért, hogy az adott fájl vagy telefonszám nem a munkavégzéssel függ össze, így azt a munkáltató ne vizsgálja. Az okostelefonok világában a munkavállaló emailjeihez, közösségi profiljaihoz saját telefonján keresztül is hozzáfér.
Az ügyfelek a kamerák és az adattovábbítások miatt tesznek panaszt
Arányaiban a legtöbb adatvédelmi bírság elektronikus megfigyelőrendszer nem megfelelő üzemeltetése miatt kerül kiszabásra. Ezzel összefüggésben tudni kell, hogy a kamerarendszer működtetésére a vállalkozásnak nincsen alanyi joga. Minden esetben alá kell tehát támasztani annak adatvédelmi szükségességét és arányosságát. Az Európai Adatvédelmi Testület 3/2019. iránymutatása alapján azt is előzetesen dokumentálni, illetve időközönként felülvizsgálni kell, hogy a megfigyelésnek egyéb alternatívája van-e (őr, kerítés, megvilágítás stb.). A megfigyelés csak nemleges válasz esetén folytatható.
Amennyiben a kamerarendszer használata indokolt, abban az esetben is figyelni kell a kivitelezés módjára. A magyar gyakorlat szerint a hang nem rögzíthető. Nem lehet továbbá olyan helyeket megfigyelni, mely az érintettek emberi méltóságát sértené. Nem lehetséges így öltözőben, mosdóban kamerát elhelyezni.
A kamerarendszer működésére fel kell hívni a figyelmet. A megfigyelt területre történő belépést megelőzően piktogram kihelyezése kötelező. Rövid tájékoztatást kell továbbá adni az adatkezelő személyéről, elérhetőségéről, illetve az adatkezelési tájékoztató elérhetőségéről. Az adatkezelési tájékoztatónak pedig a megfigyelés helyén is elérhetőnek kell lennie.
Végezetül fontos tudni, hogy a felvételt zárt rendszerben kell kezelni és csak célhoz kötötten lehet visszanézni. Ezen kötelezettséget a felügyeleti hatóság a hozzáférések visszanézésével ellenőrzi.
Az adattovábbítások vonatkozásában jellemzően az a panasz, hogy a szolgáltató az ügyfél adatokat úgy továbbította harmadik személynek, hogy arról előzetesen az ügyfél számára nem nyújtott adatkezelési tájékoztatást. Habár a tájékoztatás mindig kötelező, az adattovábbításhoz az ügyfél hozzájárulása jellemzően nem szükséges (lsd. pl: könyvelő részére történő adattovábbítás).
Dr. Kéri Ádám
ügyvéd