A NAIH egy frissen közzétett határozata a munkavállaló használatában lévő e-mail fiók, illetve számítástechnikai eszközök ellenőrzése során, a munkáltató által elkövetett mulasztásokra, jogsértésekre tekintettel 1 millió Ft összegű bírságot állapított meg.
Az eset kapcsán a NAIH nagyon alapos elemzésnek vetette alá a munkahelyi ellenőrzéshez kapcsolódó adatkezelés több kulcsfontosságú alapkérdését is. Az alábbiakban a NAIH határozata alapján a legfontosabb tanulságokat foglalom össze.
Tényállás
Az ügy előzménye, hogy az érintett (az eljárásban: Kérelmező) - betegség miatti keresőképtelenségének időtartama alatt - 2018. május 25. napján (a dátumot akár szimbolikusnak is tekinthetjük....) telefonon felhívta a helyettesítését ellátó munkatársát és kifejezetten megkérte arra, hogy keressen meg egy, az asztalán található dokumentumot és az annak elintézéséhez szükséges intézkedéseket tegye meg. A munkáltató (adatkezelő; az eljárásban: Kötelezett) – miután a helyettesítést végző munkatárs a kérdéses dokumentum és az íróasztal állapota alapján számos elintézetlen iratot talált – az érintett távollétében az íróasztalát és az irodájában fellelhető, a munkáltató tulajdonát képező számítástechnikai eszközeit átvizsgálta. Az érintett az ezen eszközökön keresztül hozzáférhető egyes, a munkavégzéssel összefüggő szoftvereket, alkalmazásokat, rendszereket, köztük különösen az érintett e-mail-fiókját ellenőrizte (az email-fiók a Google által nyújtott szolgáltatás keretében létrehozott vállalati email-fiók volt, amelynek adminisztrátori jogosultságával a munkáltató rendelkezett). Az ellenőrzésről fényképek készültek, amely a vizsgálati jegyzőkönyvhöz került csatolásra, és e dokumentumokban foglaltakra is alapítottan felmondással megszüntetésre került az érintett munkaviszonya.
Az ellenőrzéssel kapcsolatban a munkáltató (adatkezelő) az alábbiakat nyilatkozta:
- a fokozatosság elve alapján járt (először az email feladóját és tárgyát vizsgálták és ezt követően a stratégiailag fontosnak tartott e-maileket nyitották meg),
- az ellenőrzés során megváltoztatásra került az email fiók jelszót és a munkahelyei szerveren lévő dokumentumokhoz sem férhetett a továbbiakban hozzá az érintett,
- a visszatérését követően az érintettnek le kellett adni az általa használt telefont és laptopot is (az érintett állítása szerint ezen magáncélból kezelt személyes adatai is voltak, amelyeket nem tudott saját eszközre másolni és nem került törlésre sem).
Az érintett az alábbiakat adta elő az ellenőrzés kapcsán:
- a számítástechnikai eszközöket és az e-mail fiókot magáncélra is használta (így ezen keresztül elérhetők voltak a LinkedIn-fiókjához való hozzáféréshez szükséges adatok, telefonszámok, üzenetek, híváslisták, böngészési előzmények, webhasználati és helyadatok; illetve a laptopon elérhetővő a személyi okmányainak másolata, egyes oldalakhoz elmentett felhasználónevek és jelszavak, valamint olyan egyéb adatok, mint a teljes háztartásának rezsiadatai, stb.),
- nem kapott tájékoztatást a számítástechnikai eszközök átvizsgálásáról.
A vizsgálat során megállapításra került továbbá, hogy
- a munkavállalók rendelkezésére bocsátott e-mail fiók, laptop és telefon használatára vonatkozóan nem volt írásos szabályzat a munkáltatónál, továbbá tájékoztató sem,
- magánhasználat nem volt tiltott,
- bár a munkáltató az adatkezelés kapcsán a jogos érdekére hivatkozott, de nem mutatott be formális, előzetesen elvégzett érdekmérlegelési tesztet,
- ellenőrzésre vonatkozóan sem rendelkezett részletes belső szabályzattal.
Érdemes kiemelni, hogy az eljárásra okot adó adatkezelés idejében még nem volt hatályban a Munka törvénykönyve módosított 11/A. §-a (amely 2019. április 26-tól hatályos). Ez több, a munkavállaló munkaviszonnyal összefüggő magatartása körében történő ellenőrzésére és a munkáltató által a munkavégzéshez biztosított információtechnológiai vagy számítástechnikai eszközök, rendszerek (számítástechnikai eszköz) használatára vonatkozó szabályt is tartalmaz.
Ki milyen adatnak az adatkezelője a munkahelyi számítástechnikai eszközökön?
A NAIH a döntése megalapozása kapcsán részletes okfejtést foglalja össze, hogy a munkahelyi eszközökön végzett adatkezelések kapcsán, ki milyen adatok esetében kerülhet adatkezelői szerepbe.
Egyrészt a munkavégzéssel összefüggő céllal kapcsolatban történő adatkezelés kapcsán a munkáltató nyilvánvalóan adatkezelő lesz, míg a munkavállaló tevékenysége e körben a munkáltatónak tudható be.
Másrészt a munkavégzéssel nem összefüggő (magáncélú) adatkezelés tekintetében a munkavállaló adatkezelő lesz, hiszen az adatkezelés célját ő maga határozza meg. Ugyanakkor a NAIH érvelése szerint - mivel a rendszer működtetése továbbra is a munkáltató hatásköre és az eszközök feletti rendelkezési jogot sem veszíti el - a munkáltató ezen adatok tekintetében is adatkezelő marad. Ez a helyzet még abban az esetben is fennáll a NAIH álláspontja szerint, ha a magáncélú használatot a munkáltató kifejezetten kizárta! A munkáltató csak akkor kerülhet ki az adatkezelő szerepéből, ha "biztosítani tudja az ilyen adatkezelések teljes mértékű elkülönülését a saját adatkezelésétől, ideértve azt is, hogy az azzal érintett személyes adatok fölött semmilyen módon nem rendelkezik (például azok tárolásáról, megismeréséről csak a munkavállaló dönthet)." A NAIH röviden kitér arra is, hogy amennyiben a munkavállaló és a munkáltató is az adatkezelő szerepében van, akár közös adatkezelésnek minősíthető helyzet kialakulására is sor kerülhet, amely kereteinek kialakításában a munkáltatót szélesebb körű felelősség és feladatok terhelhetik. (A közös adatkezelésre vonatkozó alakuló gyakorlat fényében is elgondolkodtató egy ilyen helyzet, hiszen kérdéses lehet, hogy a "kényszer szülte" kapcsolaton kívül, mi az a közös cél, amely ehhez az adatkezeléshez társul. A munkáltató oldalán ugyanis inkább csak egy adottságról, tényről van szó, azaz, hogy az eszközein vannak olyan adatok, amelyeket a munkavállaló valamely személyes céljából kezel, amely ráadásul - háztartási adatkezelésként - akár a GDPR hatályán kívül is eshet. A NAIH érvelése szerint akár az is előfordulhat, hogy a munkavállaló - annak ellenére, hogy az ő magáncéljából kerülnek az adatok az eszközökre - nem minősül a GDPR értelmében adatkezelőnek, hiszen a háztartási célú kivétel alkalmazandó rá, míg a munkáltató ilyenkor is adatkezelő lesz ezen adatok tekintetében...)
Milyen feltételeket kell a munkáltatónak megteremtenie a jogszerű adatkezeléshez?
- Nagyon fontos előfeltétel - a GDPR 24. és 25. cikkeire is figyelemmel - a megfelelő belső szabályozás megalkotása az e-mail-fiókok, számítástechnikai eszközök használatának, ellenőrzésének szabályairól, amelyben érdemes kitérni az alábbiakra:
- használható-e magáncélokra az e-mai fiók, illetve számítástechnikai eszköz,
- biztonsági másolat készítésének és megőrzésének a szabályozására,arra, hogy mikor kerül sor az adatok végleges törlésére,
- az e-mail-fiók és számítástechnikai eszközök használata ellenőrzésének részletes szabályaira.
- Az adatkezelés jogalapjának megfelelő előzetes rendezése. Az eljárás során vizsgált ügyben két adatkezelési célt vizsgált a hatóság: egyrészt a munkafolyamatok folyamatosságának biztosítása, helyettesítéshez kapcsolódó adatkezelés; másrészt az ellenőrzéssel kapcsolatos adatkezelést. Utóbbi esetben a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek szolgálhat megfelelő jogalapként. Az ügyben érintett munkáltató is ezzel érvelt, amelyet a Hatóság el is fogadott, ugyanakkor az adatkezelő nem készítette el előzetesen az érdekmérlegelési tesztet, így az elszámoltathatóság elvét (GDPR 5. cikk (2) bekezdés) mindenképpen megsértette. A konkrét adatkezelésre nézve elvégzett érdekmérlegelés azért is kiemelten fontos, mert
[e]zen érdekmérlegelés során mindig az adott eset konkrét tényei alapján – és nem elvont formában –, az érintettek észszerű elvárásait is figyelembe véve kell eljárni. (Határozat, 17. o.)
- Megfelelő előzetes (általános) tájékoztatást kell biztosítani a munkavállalók számára a munkahelyi ellenőrzéssel, illetve az email fiók és a számítástechnikai eszközök használatához kapcsolódó adatkezelésre vonatkozóan a GDPR 13. cikkének megfelelően.
- Fontos, hogy "az e-mail-fiókok ellenőrzése vonatkozásában a munkáltatónak már előzetesen az adatkezelést megelőzően pontosan meghatározott adatkezelési céllal kell rendelkeznie az e-mail-fiók ellenőrzésére." A célnak, ténylegesnek és valósnak kell lennie.
- Az általános tájékoztatáson túlmenően a konkrét ellenőrzést megelőzően is tájékoztatni kell az érintett munkavállalót az ellenőrzés kapcsán:
[...] a munkáltatónak az email-fiók használatának konkrét ellenőrzése előtt közölnie kell a munkavállalókkal, hogy az adott esetben milyen érdeke miatt kerül sor a munkáltatói intézkedésre, egyúttal a tiltakozási jogról is tájékoztatást kell adnia. (Határozat 18. o.)
- Az ellenőrzés során - főszabályként - biztosítani kell az érintett munkavállaló jelenlétét. Ez a tisztességes adatkezelés elvéből is következik, hiszen
[...] az érintett nem válhat kiszolgáltatottá az adatkezelővel, sem más személlyel szemben. Az adatalany mindvégig alanya kell, hogy maradjon a személyes adatok kezelésével járó folyamatnak, és nem válhat annak puszta tárgyává. (Határozat, 19. o.)
- Olyan esetekben, amikor az érintett (vagy képviselőjének) személyes jelenléte nem biztosítható, akkor az érintett távollétében is lefolytatható lehet az ellenőrzés (pl. egy független harmadik fél jelenlétében). Ilyenkor viszont még fokozottabb figyelmet kell fordítani a megfelelő dokumentálásra.
- Az adatkezelést - a fenti feltételek teljesülése esetén is - a fokozatosság elvének érvényesülése mellett lehet végezni, azaz lépcsőzetes ellenőrzési rendszer kell megvalósítani. (1. lépés: email feladójának és tárgyának ellenőrzése; 2. lépés: csak azon e-mailek tartalmának megismerésére kerülhet sor, amelyek nem esnek a magáncélú használat körébe és az ellenőrzés tárgya szempontjából relevánsak)
Az ügyben alkalmazott bírság meghatározásának szempontjai
A Hatóság megállapította, hogy az adatkezelő "[...] lényegében minden adatkezelőre háruló kötelezettségét megszegte, és a feltárt tényállás során a munkavégzéssel összefüggő adatkezeléssel kapcsolatban általában is negligálta az általános adatvédelmi rendeletből fakadó kötelezettségeit ezért bírság kiszabása szükséges." A bírság összegének meghatározása kapcsán a NAIH az alábbi enyhítő és súlyosító körülményeket vette figyelembe.
Súlyosító körülmények:
- a jogsértő magatartás az érintetti jogok gyakorlását jelentősen megnehezítette,
- a jogsértés kifejezetten szándékosnak nem tekinthető, de súlyosan gondatlannak minősül,
Enyhítő körülmények:
- az adatkezelő elmarasztalására az általános adatvédelmi rendelet megsértése miatt még nem került sor,
- az ellenőrzés, mint azonnali intézkedés, az adatkezelőt fenyegető károk elkerülése, illetve enyhítése érdekében szükséges volt,
- a Hatóság rendelkezésére álló információk alapján az adatkezelő az ellenőrzés során az érintett magánéletével kapcsolatos érzékeny információkat nem ismert meg,
- az érintett maga is jelentősen közrehatott abban, hogy a munkavégzési céllal rendelkezésére bocsátott eszközökön, e-mail-fiókban az e céllal össze nem egyeztethető célú adatkezelés folyhatott anélkül, hogy az eltérő célból tárolt személyes adatok egymástól egyszerűen különválogathatóak lettek volna.