A munkahelyi adatkezelés, tekintettel arra, hogy mindenkit érint, aki foglalkoztatásra irányuló jogviszonyban áll (esetleg ilyenre pályázik, vagy ilyet hagyott maga mögött), jelentősége óriási. Szerencsére a téma jelentőségét az adatvédelmi hatóságok is érzik és időről-időre adnak ki útmutatókat, iránymutatásokat, amelyek az adatkezelőknek segíthetnek a jogszerű adatkezelési keretek kialakításában, figyelemmel a technológiai fejlődésre és a munkahelyi adatkezeléseket érintően végbe menő változásokra is. Most, az ír adatvédelmi hatóság (Data Protection Commission, DPC) jelentkezett egy útmutatóval, amely a munkahelyi adatkezelés egyes aspektusait érinti. Az útmutató erénye, hogy esettanulmányokat, a DPC-hez érkezett panaszokból átemelt gyakorlati tapasztalatra épülő információt tartalmaz, így nem csupán elvont, elméleti, hanem gyakorlati útmutatást is ad az adatkezelőknek.
Az alábbiakban röviden bemutatom a DPC friss (2023. áprilisi) útmutatójában foglaltakat.
1. Mi minősül személyes adatnak a munkahelyi adatkezelés kapcsán?
Az útmutató néhány egészen praktikus példán keresztül vizsgálja a kérdést, nem általánosságban, hanem egyes a gyakorlatban a munkáltatóknak nehézséget okozó elhatárolás kapcsán:
- munkavállalók által munkahelyi címről küldött emailek tekintetében,
- munkahelyi email címek vonatkozásában,
- naptárbejegyzések, munkaköri leírások esetében.
A működés kapcsán - pl. hozzáférési igények teljesítésekor - különösen jelentős lehet az elhatárolás, hogy a munkavállaló álktal használt email címről küldött vagy oda érkező emailek tartalma adott esetben személyes adatnak minősül-e (vagy a munkáltató üzleti adata). Ezt nyilván esetről-esetre lehet megállapítani, de az útmutató szempontokat ad ehhez, illetve a DPC lehetőséget lát arra, hogy a munkáltató (pl. ha hosszú ideje fennálló munkaviszonyról van szó és a hozzáférési igény teljesítése akár több ezer email áttekintését is szükségessé tehetné) a hozzáférési igény pontosítását kérje a munkavállalótól.
A munkahelyi naptárbejegyzések (Outlook naptár) és a - munkavállaló azonosító adatait nem tartalmazó - munkaköri leírás kapcsán egy konkrét esetben az ír hatóság elfogadta, hogy azok nem minősülnek a hozzáférési igényt előterjesztő munkavállaló személyes adatainak (lásd útmutató 4.o.).
A hozzáférési igények teljesítése kapcsán az Európai Bíróság friss (2023. május 4-én közzétett, C-487/21. sz. ügyben hozott) ítélete is segítséget jelenthet, amely a másolatkiadással (GDPR 15. cikk (3) bekezdés) összefüggésben rögzíti, hogy "[...] e rendelkezés arra jogosítja fel az érintettet, hogy változatlan reprodukcióhoz jusson hozzá a tág értelemben vett azon személyes adatairól, amelyek az adatkezelő általi adatkezelésnek minősítendő műveletek tárgyát képezik", ugyanakkor "[...] a „másolat” kifejezés nem önmagában valamilyen dokumentumra utal, hanem azokra a személyes adatokra, amelyeket e dokumentum tartalmaz, és amelyeknek teljes körűeknek kell lenniük. A másolatnak tehát tartalmaznia kell az adatkezelés tárgyát képező összes személyes adatot." (Az ítélet teljes szövege elérhető itt.) Ebből is látható, hogy annak meghatározása, hogy mi minősül személyes adatnak komoly jelentőséggel bír.
2. Munkáltatói kötelezettségek
Az útmutató áttekinti a munkáltatói kötelezettségeket, kiemelten foglalkozik az egyes alapelveket (GDPR 5. cikk) és a munkáltató által az adatkezelés jogszerűségének alátámasztására alkalmazható jogalapokat (GDPR 6. cikk, és különleges adatok kezelése esetén 9. cikk) érintő kérdésekkel. A munkáltatói kötelezettségeket áttekintő részben is találkozhatunk esettanulmányokkal, amelyek könnyebben érhetővé teszik a GDPR-ból fakadó követelményeket.
A célhoz kötöttség kapcsán például egy olyan esetet ismertet az útmutató, amely során a munkáltató az eredetileg biztonsági célból telepített beléptető rendszer adatait használta a munkavállalói jelenlét ellenőrzésére. A hatóság megállapította, hogy a munkáltató jogszerűtlenül járt el, hiszen megsértette a célhoz kötöttség elvét és a további felhasználás az eredeti céllal nem volt összeegyeztethető.
A jogalapok vizsgálata kapcsán a hatóság felhívja a figyelmet a szükségesség követelményére, amelyet minden esetben vizsgálni szükséges. Eszerint előkérdésként vizsgálandó, hogy a cél elérése érdekében az adatkezelés valóban szükséges-e, hiszen a szükségesség nélkül a jogszerű adatkezelés nem állhat meg. A szükségesség vizsgálata során az ésszerűség és arányosság elveinek figyelembevételével kell eljárni.
3. Munkavállalókat érintő megfigyelés
A kamerás megfigyelések kapcsán a hatóság utal a korábbi (2019-ben kiadott) részletes útmutatójára. Ezen túlmenően röviden kitér a számítógépes hálózatok, az internethasználat és az emailezés munkáltató általi monitorozhatóságának egyes szempontjaira. A DPC elismeri, hogy a munkáltató oldalán fennálhat jogos érdek az adatkezelésre a gazdasági érdekei, a reputációja és a biztonsága védelmében, de az adatvédelmi megfeleléshez számos szempontra kell a munkáltatóknak figyelemmel lenniük és megfelelő egyensúlyt kell teremteniük a jogos érdekük védelme és a munkavállalókat érintő jogkolrátozás között (e körben a hatóság utal a Barbulescu vs. Románia ügyben az Európai Emberi Jogi Bíróság által hozott ítéletben foglaltakra).
Az útmutató kitér olyan kényesebb megoldások alkalmazhatóságára is, mint a szoftveres megfigyelés, illetve a rejtett megfigyelés esetei. A szofveres megfigyelés nagyon komoly beavatkozás a magánszférába, így alapvetően kerülendő (és kevésbé intruzív megoldásokkal helyettesítendő). A munkavállalók online (tipikusan pl. az otthoni munkavégzés során végzett) tevékenységét nyomon követő szoftverek ("tattleware") egészen a billentyűleütések logolásáig ("keystroke logging") terjedhetnek és sokszor rejtve maradhatnak a munkavállalók előtt. A rejtett megfigyelés főszabály szerint természetesen jogszerűtlen és kerülendő. Lényeges, hogy a munkavállalók munkavégzéssel összefüggő online tevékenységét (pl. munkahelyi internethasználat, emailezés, stb.) világosan szabályozza a munkáltató, kitérve az ellenőrzés lehetőségeire és az ezzel összefüggő adatkezelésekre és erről a munkavállalókat tájékoztassa.
4. Érintetti jogok
Az útmutató nagyon rövid áttekintést ad csak az érintetti jogok kapcsán, mivel e tárgykörben a hatóság már külön útmutatókat adott ki. (A hozzáférési igények adatkezelő általi kezelsére vonatkozó útmutató elérhető itt, míg az érintettek számára segítséget biztosító útmutatás itt olvasható.)
Összességében az ír hatóság útmutatója hasznos segítség lehet a munkáltatók számára, hogy a munkahelyi adatkezelések kapcsán az adatvédelmi szabályoknak megfelelően járjanak el. Természetesen nem ad minden kérdésre választ, de gyakorlatias megközelítésének köszönhetően adatkezelők szélesebb rétege számára használható segítséget jelenthet. Fontos azonban arra is felhívni a figyelmet, hogy a munkahelyi adatkezelések kapcsán a GDPR mellett az adott ország egyéb jogszabályai is fontos szerepet játszanak, így az útmutató minden esetben csak fenntartásokkal alkalmazható és az adatkezelőknek - ha Írországon kívül működnek - a rájuk alkalmazandó további jogszabályi rendelkezésekre figyelemmel kell eljárniuk, amelyek adott esetben eltérhetnek az ír szabályozástól.
A munkahelyi adatkezelések kapcsán hasznos segítséget jelenthetnek még az alábbi iránymutatások:
- NAIH tájékoztatója a munkahelyi adatkezelések alapvető követelményeiről (2016) - igaz, még GDPR előtti, de számos tekintetben továbbra is alkalmazható,
- A 29-es Cikk szerinti Munkacsoport újabb iránymutatása a munkahelyi adatkezelések kapcsán (2/2017) (A 29-es cikk szerinti Munkacsoport munkahelyi adatkezelésekre vonatkozó "régi" véleménye (8/2001).)
- A CNIL iránymutatása a munkahelyi adatkezelésekről (2020, farncia nyelven, rövid angol nyelvű összefoglaló elérhető itt)
- A CNIL iránymutatása a munkaerő toborzással összefüggésben (2023, francia nyelven) - erről itt írtam korábban
- Gibraltári Adatvédelmi Hatóság (GRA) útmutatója a munkaviszonyban történő adatkezelésről (2021) - erről itt írtam korábban