Két bírságot kiszabó határozatot tett közzé a NAIH, amelyek munkaviszonyhoz kapcsolódó adatkezelésekre összefüggő adatvédelmi jogsértéseket és ezekre tekintettel kiszabott bírságokat állapítanak meg. A bírság összege az egyik esetben (NAIH/2020/643/6.) 500.000 Ft, míg a másik esetben (NAIH/2020/193/8.) 600.000 Ft volt.
I. Elektronikus megfigyelőrendszer alkalmazása (NAIH/2020/643/6.)
1. Tényállás
A Kérelmezett (munkáltató) elektronikus megfigyelőrendszert helyezett el a gyárépületének munkavállalók által használt ebédlőjében, amely közösségi étkezésre, illetve a munkaközi szünet eltöltésére kijelölt helyiség. Továbbá ezen kameráktól elkülönülten, egy elsődlegesen két munkavállaló által használt munkavégzési helyiségben (teqball terem) is kamerát szereltek fel, melyet – beállítási szöge alapján – kizárólag a munkavállalók megfigyelésére alkalmaztak. A kamerák telepítése kapcsán az érintettek nem kaptak megfelelő tájékoztatást.
A Kérelmezett nyilatkozata szerint mindkét helyiségben elsődlegesen vagyonvédelmi célból szerelték fel a kamerákat, a korábban előforduló lopásokra tekintettel (a Kérelmezett egy nyilatkozatot is becsatolt, amelyet több munkavállaló is aláírt, miszerint az ebédlőben ők kérték a kamerák felszerelését a lopások miatt). Az ún. teqball teremben kettő összeszerelő asztal található, és ezen asztalok felett helyezték el a kamerákat (összesen kettőt), melyek az elsődleges vagyonvédelmi cél mellett a gyártási technológia betartását, illetve a munkafolyamatot rögzítették és igazolták. A Kérelmezett nyilatkozata szerint, a munkaasztalt figyelő kamerákra azért volt szükség, mert a gyártási folyamat betartása, esetleges kifogások, hiányosságok, reklamációk csak így ellenőrizhetők utólag, továbbá ugyanezek a kamerák védték volna a munkavállalókat is abban a körben, hogy szabályosan járnak el.
A Kérelmezett nyilatkozatai szerint "…. az adatkezelés jogalapjaként lényegében az általános adatvédelmi rendelet 6. cikk (1) bekezdése szerinti valamennyi jogalap fennállt az e) pont szerinti jogalap kivételével." (Határozat, 3. o.)
Nem volt egyértelmű, hogy a kamerák készítenek-e rögzített felvételeket, mert a Kérelmezett nyilatkozatai és a rendelkezésre álló dokumentumok ellentmondásosak voltak e tekintetben.
A kamerák az eljárás hatására leszerelésre kerültek.
2. A Hatóság megállapításai
Adatkezelés-e ha rögzítés nélkül történik a kamerás megfigyelés?
A Hatóság mindenekelőtt kitért a rögzítést nem végző berendezések adatvédelmi vonatkozásaira, megállapítva, hogy
[...] a személyes jelenlétet helyettesítő technikai megfigyelés, azaz a képek megismerése az általános adatvédelmi rendelet rendelkezései szerint csak abban az esetben nem minősül adatkezelésnek, ha a megfigyelés során az alkalmazott technika nem kínál lehetőséget arra, hogy a megfigyelést végző személy többletinformáció birtokába jusson az érintett természetes személlyel kapcsolatban. (Határozat, 8. o.)
További feltétel, hogy
[…] a kamerák valóban ne titkos megfigyelési eszközként, hanem az ellenőrzésre jogosult jelenlétének helyettesítőjeként szolgáljanak, így minden esetben jól látható módon kell elhelyezni azokat, és egyéb úton is fel kell hívni az érintettek figyelmét jelenlétükre. (Határozat, 8.o.)
A fentiek alapján tehát amennyiben a kamerák által nem jut többletinformációhoz a megfigyelést végző ahhoz képest, amelyet a személyes jelenléttel történő megfigyelés során nyerhetne, akkor a kamerák elhelyezése nem valósít meg elkülönült adatkezelést. Ahogy a Hatóság írja "[...] az élőképek közvetítése, illetve megfigyelése is általában valamilyen céllal történik, így egy egységes adatkezelési folyamat részelemének tekinthető, melynek következménye, hogy az adatkezelő az élőkép megtekintése alapján valamilyen döntést hoz." (Határozat, 8. o.) Ebben az esetben a kamerás megfigyelés nem külön adatkezelésként, hanem annak az adatkezelésnek a részeként jelenik meg, amelyben az élőszemély általi megfigyelést kiváltja vagy helyettesíti.
Adatkezelési cél, célra való alkalmasság
Bár a vagyonvédelmi cél legitim adatkezelési cél lehet, ugyanakkor vizsgálandó, hogy van-e olyan védendő érték, amely a cél szerinti adatkezelést szükségessé teszi. (Jelen ügyben ilyen védendő tárgy az ún. teqball teremben nem volt a kamerák látószögében.)
A - vagyonvédelmi céllal ellentétben - "a gyártási technológia betartása, illetve a munkafolyamatok rögzítése és igazolása mint további adatkezelési cél kapcsán a Hatóság álláspontja az, hogy ezek nem értelmezhetőek, mivel nem egyértelmű az, hogy miért kell rögzíteni a munkafolyamatokat és az sem, hogy mit és kinek kell igazolni. Tekintettel arra, hogy a Kérelmezett által meghatározott ezen adatkezelés cél nem egyértelmű, a Hatóság álláspontja szerint az adatkezelés nem felel meg a célhoz kötött adatkezelés elvének." (Határozat, 9.o.)
A fentiek szerint tehát a cél meghatározása túl általános, így a célhoz kötöttség elvének sérülését jelenti. Ugyanakkor a Hatóság nem zárja ki teljesen a fentiekhez hasonló célok alkalmazását, ha azok jobban körülhatároltak: "[…] például a gyártási technológia hatékonyabbá tétele miatt lenne szükség, azaz ennek érdekében időszakosan szükség van a munkafolyamatok kamerákkal történő rögzítésére, majd a felvételek elemzésére, mely elemzési folyamat eredményeként például új gyártási technológia kerül bevezetésre." (Határozat, 9.o.)
Miután a cél meghatározása kellően pontosan megtörténik, a célhoz kötöttség elvének megfelelően, már vizsgálható, hogy az adott megfelelően meghatározott cél elérése érdekében az adott adatkezelés mennyire arányos és alkalma vagy más eszközzel, esetleg kevesebb adat kezelésével (adattakarékosság) is elérhető-e.
A Hatóság a határozatban megerősít több, a munkavállalókat érintő kamerás megfigyelésre vonatkozó korábbi gyakorlatból is ismert követelményt (Határozat, 10. o.):
-
kamerákat a munkavállalók és az általuk végzett tevékenység állandó jellegű, kifejezett cél nélküli megfigyelésére működtetni nem lehet;
-
jogellenes az olyan elektronikus megfigyelőrendszer alkalmazása, amelynek célja a munkavállalók munkahelyi viselkedésének befolyásolása;
-
nem lehet olyan kamerákat üzemeltetni, amelyek cél nélkül, illetve nem egyértelműen meghatározott célból, kizárólag a munkavállalókat és az általuk végzett tevékenységet figyelik meg;
-
kivételt képeznek az olyan munkahelyiségek, ahol a munkavállalók élete és testi épsége közvetlen veszélyben lehet, így kivételesen működtethető kamera például szerelőcsarnokban, kohóban, ipari üzemekben vagy más, veszélyforrást tartalmazó létesítményekben (a veszélynek azonban ténylegesen fennállónak és közvetlennek kell lennie, vagyis az eshetőleges veszély nem elegendő);
-
vagyonvédelmi célú megfigyelés esetén a munkáltatónak azt is alá kell támasztania, hogy ténylegesen fennállnak olyan körülmények, amelyek indokolják az egyes kamerák elhelyezését és más módon nem biztosítható az elérendő cél, illetve fontos, hogy az adott kamera látószöge alapvetően a védendő vagyontárgyra irányuljon, és ne váljon a munkavállalók munkavégzésének megfigyelésére alkalmas eszközzé;
-
nem lehet kamerát elhelyezni olyan helyiségekben, ahol a kamera üzemelése sértené az emberi méltóságot, ebből következően a tisztességes adatkezelés elvét, így öltözőkben, zuhanyzókban, az illemhelyiségekben. Nem lehet elektronikus megfigyelőrendszert alkalmazni olyan helyiségben sem, amely a munkavállalók munkaközi szünetének eltöltése céljából lett kijelölve, mint például a munkavállalók számára kialakított ebédlő helyiség (kivétel lehet, ha a helyiségben valamilyen védendő vagyontárgy található, pl. étel-ital automata, de a kamera látószöge kizárólag a védendő vagyontárgyra irányulhat.
Az adatkezelés jogalapja
A Kérelmezett a jogalappal kapcsolatban kifejtette, hogy "…. az adatkezelés jogalapjaként lényegében az általános adatvédelmi rendelet 6. cikk (1) bekezdése szerinti valamennyi jogalap fennállt az e) pont szerinti jogalap kivételével." (Határozat, 3. o.)
A Hatóság természetesen nem tartotta elfogadhatónak a fenti érvelést, mivel "[...] nem jogszerű, ha mindegyik jogalapra hivatkozik, bízva abban, hogy valamelyik jogszerű jogalapnak minősül." (Határozat, 11. o.)
A Hatóság egyesével elemzi az egyes jogalapok alkalmazhatóságát, majd arra jut, hogy "[...] jelen adatkezelések jogalapjaként az általános adatvédelmi rendelet 6. cikk (1) bekezdés f) pontja szerinti jogos érdek jogalapjára lehetett volna alappal hivatkozni – és megfelelően elvégzett érdekmérlegelést követően –, ám a jelen ügyben ezen jogalap alkalmazása esetében – még a jogszerűen meghatározott adatkezelési cél ellenére – sem igazolt az, hogy az adott adatkezelés szükséges, illetve arányos lett volna."
Tisztességes adatkezelés
A Hatóság kitért a tisztességes adatkezelés elvének vizsgálatára is, kiemelve, hogy
[a]z adatkezelés tisztességes volta az emberi méltóság védelmével áll szoros kapcsolatban, a tisztességtelen adatkezelési magatartás az érintetteket nemcsak a személyes adatok védelméhez, de az emberi méltósághoz fűződő jogában is súlyosan sértheti. Ebből kifolyólag a kamerás megfigyelés abszolút korlátját jelenti az emberi méltóság tiszteletben tartása, ezért kamerákat nem lehet működtetni a munkavállalók és az általuk végzett tevékenység állandó jellegű megfigyelésére. Jogellenesnek és tisztességtelennek is tekinthető az olyan elektronikus megfigyelőrendszer alkalmazása, amelynek nincs kifejezett, egyértelműen meghatározott célja, hanem csupán általánosságban figyeli a munkavégzést. (Határozat, 14. o.)
Jelen ügyben a tisztességes adatkezelés feltételei nem álltak fenn, mivel a teqball teremben elhelyezett kamerák megfelelő cél nélkül tették lehetővé a munkavégzés folyamatos megfigyelését, ezzel megsértve a tisztességes adatkezelés alapelvét is.
Megfelelő tájékoztatás követelménye
A Kérelmezettnél alkalmazott általános adatkezelési tájékoztató nem kifejezetten a Kérelmezők által kifogásolt kamerás megfigyeléssel összefüggő adatkezelésekről szólt, ez az adatkezelés csak megemlítésre került, de az adatkezelésre vonatkozó sajátosságok részletezése nélkül, így például "[...] nem nyújtott tájékoztatást az egyes kamerák elhelyezéséről és a vonatkozásukban fennálló célról, az általuk megfigyelt területről, tárgyról, illetőleg arról, hogy az adott kamerával közvetlen vagy rögzített megfigyelést végez-e a munkáltató. Nem rendelkezik továbbá a tájékoztató a felvétel tárolásának konkrét időtartamáról, a felvételek visszanézésére vonatkozó szabályokról, illetőleg arról, hogy a felvételeket milyen célból használhatja fel a munkáltató." (Határozat, 15. o.) Az adatkezelő nem rendelkezett külön szabályzattal sem a kamerás megfigyelésre vonatkozóan.
A Hatóság álláspontja szerint a megfelelő tájékoztatás nem valósult meg a fentiekre tekintettel.
3. Bírság kiszabása
A Hatóság az alábbi súlyosító és enyhítő körülményeket vette figyelembe a bírság összegének meghatározásakor:
Súlyosító körülmények:
- a Kérelmezett szándékosan, egy hierarchikus viszonyban, munkáltatói helyzetével visszaélve követte el a jogsértést [GDPR 83. cikk (2) bekezdés b) pont];
- a Kérelmezett anélkül szerelte fel a kamerákat, hogy az általános adatvédelmi rendelet 25. és 32. cikk alapján meghozta volna a szükséges technikai és szervezési intézkedéseket és a további adatvédelmi követelményeket figyelembe vette volna [GDPR 83. cikk (2) bekezdés d) pont].
Enyhítő körülmények:
- a Kérelmezett elmarasztalására az általános adatvédelmi rendelet megsértése miatt még nem került sor [GDPR 83. cikk (2) bekezdés e) pont];
- a Kérelmezett az adatvédelmi hatósági eljárás megindulásáról való tudomásszerzését követően leszerelte a Kérelmezők által kifogásolt kamerákat [GDPR 83. cikk (2) bekezdés c) és f) pont];
- a Hatóság túllépte az ügyintézési határidőt [GDPR 83. cikk (2) bekezdés k) pont].
A Kérelmezett 2019. évi árbevétele több, mint 1.000 millió forint volt, így a kiszabott adatvédelmi bírság nem lépi túl a kiszabható bírság maximumát.
II. Érintetti jogok megsértése, adatok jogalap nélküli továbbítása (NAIH/2020/193/8.)
1. Tényállás
A Kérelmező (volt munkavállaló) azt kifogásolta, hogy volt munkáltatója ideiglenes lakáscímét annak ellenére tarja nyilván, hogy több alkalommal is jelezte a Kérelmezettnek, miszerint az ideiglenes lakáscíme megszűnt. A Kérelmező kifogásolta az adatának továbbítását is.
A Kérelmezett (volt munkáltató) nyilatkozata szerint, munkaügyi nyilvántartásai alapján a Kérelmező nem jelentette be az ideiglenes lakáscíme megszűnését a munkáltató felé, ezért e változás nem került átvezetésre, ideiglenes lakáscíme nem került törlésre. A Hatóság megkeresését követően a Kérelmezett intézkedett a Kérelmező ideiglenes lakáscíme munkaügyi nyilvántartásaiból történő törléséről. A Kérelmező által korábban emailben tett bejelentések kapcsán előadta, hogy a levelezőrendszerének naplófájlja 90 nap után automatikusan törlődnek, ezért ezek alapján nem tudja a Kérelmező által hivatkozott e-maileket visszakeresni. A kérdéses e-mailekre akkor tudna a Kérelmezett rákeresni, ha a Kérelmező a címzetteket megadja, azonban, amennyiben ezen címzettek már kiléptek a Kérelmezettől, akkor a postafiókjuk is törlésre került. Az adattovábbításra pedig SZÉP kártya igénylés miatt volt szükség.
2. A Hatóság megállapításai
Az ideiglenes lakcím kezelése
Az ideiglenes lakcím kezelésével kapcsolatban a Hatóság kizárólag a GDPR alkalmazandóvá válása utáni helyzetet vizsgálta. Ennek kapcsán megállapította, hogy a Kérelmezett vezérigazgatójának küldött elektronikus levelében - más, nem adatvédelmi tárgyú témák mellett - bejelentette ideiglenes lakáscímének a megszűnését, ez alapján a Kérelmezettnek törölnie vagy helyesbítenie kellett volna a Kérelmező ezen személyes adatát, tekintettel arra, hogy nem állt fenn olyan körülmény, amely alapján korlátozható lett volna a Kérelmező személyes adata törléséhez, helyesbítéséhez való joga. A Kérelmezett a levél kézhezvételét követően nem nyújtott az adatkezelés kapcsán határidőben semmilyen tájékoztatást a Kérelmezőnek.
A Hatóság megállapította - a helyesbítés, illetve törlés elmulasztása miatta - a GDPR 16. cikk, 17. cikk (1) bekezdés a) pont, valamint - a pontatlan személyes adat kezelésével - a GDPR 5. cikk (1) bekezdés d) pontja szerinti adatpontosság elvének megsértését. A határidőben történő tájékoztatás elmulasztása miatt a GDPR 12. cikk (1)-(4) bekezdésének megsértése is megállapításra került.
A Hatóság kiemelte, hogy a kérelmezettnek
[...] megfelelő belső folyamatokat kell kialakítania az érintetti jogok gyakorlásának biztosítása érdekében, és a Kérelmezett mint adatkezelő vezetőjének is tudnia kell, hogy milyen adatkezelői tennivalók, kötelezettségek terhelik az érintetti kérelmek, jelzések esetén a szervezetet, tekintettel arra, hogy a Kérelmezett minősül adatkezelőnek és nem az egyes szervezeti egységei. (Határozat, 11. o.)
A fenti megállapítás felhívja a figyelmet arra, hogy az adatkezelőknek megfelelő belső folyamatokat kell kialakítaniuk az érintetti jogok érvényesülése érdekében és ezen joggyakorlásra vonatkozó igényeket akkor is fel kell ismerniük, ha azok nem a dedikált csatornákon vagy nem kifejezetten az érintetti jogok gyakorlására hivatkozva jelennek meg, ugyanakkor tartalmilag megfelelnek a GDPR szerinti jogok gyakorlására vonatkozó igénynek.
Adatok továbbítása
Az adattovábbítás jogalapjaként az adatkezelő elsődlegesen az érintettek jogos ekére hivatkozott. Ezzel kapcsolatban a Hatóság leszögezte, hogy a jogos érdek akkor lehet az adatkezelés jogalapja, ha az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekének érvényesítése érdekében szükséges. Az érintett nem minősül harmadik félnek, ezért érdekében erre a jogalapra nem lehet hivatkozni.
Másodlagosan a hozzájárulás, mint jogalap jelent meg a Kérelmezett hivatkozásai között. A hozzájárulás joga azonban az érintett helyett nem gyakorolható, a hozzájárulás feltételeinek az érintett vonatkozásában kell megvalósulnia, helyette más, mint jelen esetben a Kérelmezett nem nyilatkozhat, mivel ebben az esetben már nem lehet érintetti hozzájárulásról beszélni.
A hozzájárulás önkéntessége kapcsán kiemelést érdemel, hogy - bár a kialakult adatvédelmi gyakorlat szerint munkaviszonyban főszabályként nem értelmezhető a hozzájárulás önkéntessége a munkáltató és a munkavállaló közötti alá-fölérendeltségi viszonya miatt - "[...] jelen adatkezelés, illetve adattovábbítás jogalapja a Kérelmező hozzájárulása lehetett volna, a Kérelmező mint érintett ugyanis maga dönthetett volna arról, hogy a juttatást igénybe veszi vagy sem. Amennyiben a Kérelmező nem járult volna hozzá személyes adatai ilyen célú kezeléséhez, továbbításához úgy a juttatást ugyan nem kapta volna meg, azonban ezen kívül hátrány nem érte volna a jogviszonyával összefüggésben." (Határozat, 13. o.)
A megfelelő jogalap hiánya miatt a GDPR 6. cikk megsértése megállapításra került.
Bár a munkáltató tájékoztatást adott a munkavállalók számára a SZÉP Kártya igényléséről, illetve annak változásairól, de ezek a tájékoztatók nem tekinthetőek a GDPR 13. cikke szerinti adatkezelési tájékoztatásnak, mivel az ott meghatározott információk egyikéről sem nyújtottak tájékoztatást, így a GDPR 13. cikkének megsértése is megállapítható volt.
3. A bírság
A Hatóság a bírság összegének meghatározása során figyelembe vette, hogy a Kérelmező lényegében két külön kérelemmel fordult a Hatósághoz (ideiglenes lakáscímmel kapcsolatos kérelem, illetve a személyes adatok továbbításával összefüggő kérelem).
Az elkövetett jogsértések a GDPR 83. cikk (5) bekezdés b) pontja szerint a magasabb összegű bírságkategóriába tartozó jogsértésnek minősülnek.
Súlyosító körülmények:
- a Kérelmező több alkalommal is jelezte a Kérelmezettnek, hogy megszűnt ideiglenes lakáscíme [GDPR 83. cikk (2) bekezdés k) pont].
Enyhítő körülmények:
- a Kérelmezőt nem érte kár [GDPR 83. cikk (2) bekezdés a) pont];
- a Kérelmezett elmarasztalására az általános adatvédelmi rendelet megsértése miatt még nem került sor [GDPR 83. cikk (2) bekezdés e) pont];
- Kérelmezett az adatvédelmi hatósági eljárás megindításáról való tudomásszerzését követően törölte nyilvántartásaiból a Kérelmező ideiglenes lakáscímét [GDPR 83. cikk (2) bekezdés f) pont];
- az ideiglenes lakcím kapcsán az adatkezelés a Kérelmező egyetlen személyes adatát érintette [GDPR 83. cikk (2) bekezdés k) pont];
- az adattovábbítás a Kérelmező és a munkavállalók érdekében történt, egy bizonytalan jogszabályi környezetben, így anyagi hátrány nemhogy nem érte őket, hanem a Kérelmezett éppen a munkavállalói érdekérvényesítést kívánta előmozdítani [GDPR 83. cikk (2) bekezdés a) és k) pont].
A Kérelmezett 2019. évi árbevétele nagyságrendileg 20.000 millió forint volt, így a kiszabott adatvédelmi bírság a kiszabható bírság maximumához képest távoli.