A munkahelyi adatkezeléssel kapcsolatos szabályozás nagy érdeklődésre tart számot a GDPR hatálybalépése óta. A tavalyi év végén a NAIH két fontos határozatot is közzétett, amelyek alapján a GDPR munkahelyi adatkezelésre vonatkozó alkalmazásának magyar hatósági gyakorlata körvonalazódni látszik.
A NAIH 2019 októberében meghozott határozatának tényállása szerint az adatkezelő munkáltató az érintett munkavállaló betegség miatti keresőképtelensége ideje alatt, távollétében íróasztalát és számítástechnikai hozzáféréseit, eszközeit, valamint e-mail-fiókját ellenőrizte. A munkavállaló keresőképtelenségének megszűnése után munkaeszközeit – munkahelyi telefonját és számítógépét – át kellett adnia a munkáltatónak, személyes adatinak átmásolására, illetve törlésére azonban nem került sor. A munkavállaló számítógépét magáncélra is használta. A munkáltató állítása szerint a magáncélú használat tiltott volt, ezt azonban az eljárás során igazolni nem tudta.
A hatóság kötelezte a munkáltatót, hogy a munkavállaló bevonásával vizsgálja meg azt, hogy a munkavállaló által visszaszolgáltatott laptop és telefon a munkavállaló mely személyes adatait tartalmazza, és törölje azokat, amelyek kezelésére jogalappal már nem rendelkezik, valamint arra, hogy gondoskodjon a munkavállalók számára biztosított e-mail-fiókok és számítástechnikai eszközök használatával összefüggésben a személyes adatok védelméről. Ezen kívül a munkáltatót 1 000 000 Ft adatvédelmi bírság megfizetésére kötelezte.
Bár az eljárás során vita tárgyát képezte, hogy a céges eszközök magáncélú használata tiltott volt-e, a NAIH kifejtette, hogy a munkáltató adatkezelői minősége még akkor sem kérdőjelezhető meg, ha a munkáltató kifejezetten kizárja az eszközei magáncélú használatát, mivel az adatkezelés mibenléte és az adatkezelői minőség alapvetően ténykérdés. A magáncélú használat vonatkozásában a munkáltató csak abban az esetben nem minősül adatkezelőnek, ha a magáncélú, és munkavégzési célú adatok kezelését a munkáltató teljes mértékben el tudja különíteni, oly módon, hogy az előbbi fölött semmilyen módon nem rendelkezik.
A NAIH kiemeli, hogy a munkáltató és a munkavállaló közötti jogviszonyból adódóan a munkáltatóé az adatkezelés jogszerűségéért való elsődleges felelősség, hiszen az ő számára állnak elsődlegesen rendelkezésre azok az eszközök (belső szabályozási és technikai operatív intézkedések), amelyekkel ez biztosítható.
A határozat rámutat, hogy az ügy alapjául szolgáló adatkezelési tevékenység jogalapja nem lehet a munkaszerződés, a munkavállaló ellenőrzése céljából végzett adatkezelés ugyanis csak jogos érdekből történhet. Ennél a jogalapnál azonban követelmény, hogy a munkáltató érdekmérlegelési tesztet készítsen, ami a konkrét ügyben nem történt meg. A hatóság az érvényesített munkáltatói érdekeket azonban ennek hiányában is megfelelőnek tartotta, ugyanakkor kifejtette, hogy önmagában a teszt hiánya az érintettek jogaira nézve súlyos sérelemmel járhat.
A NAIH kiemelte, hogy a munkavállalók ellenőrzését lépcsőzetes ellenőrzési rendszer szerint szükséges megvalósítani, hogy az ellenőrzés minél kisebb mértékben érintse a munkavállalók magánszféráját. Így például az ellenőrzés első lépéseként a címzett e-mail címe és a levél tárgyának az ellenőrzése is elegendő lehet.
A hatóság a munkahelyi ellenőrzéssel kapcsolatos adatkezelési tevékenységgel kapcsolatban 2019. decemberében hozott döntésében is figyelemre méltó megállapításokat tett.
Az ügyben egy egészségügyi intézmény igazgatója jogviszonyának megszűnését követően – engedélye nélkül – tudomása szerint törölt, valójában csak inaktivált fiókjai visszaállítását rendelte el a munkáltató, mert kerestek egy dokumentumot. Tekintettel arra, hogy az érintett – a munkáltató engedélyével – magánlevelezéseit is a munkahelyi e-mail-címéről bonyolította, így a fiók olyan információkat is tartalmazott, mint az érintett bankszámláira vagy egészségi állapotára vonatkozó adatok.
A NAIH a munkáltatót 500 000 Ft adatvédelmi bírság megfizetésére kötelezte, valamint eltiltotta attól, hogy tárolja az érintett magánlevelezéseinek archívumát, és utasította, hogy tegye lehetővé számára a másolat készítését.
A hatóság felhívta a figyelmet arra, hogy amikor a munkavállaló a munkáltató által biztosított e-mail fiókban magáncélú tevékenységet is folytat és ennek kapcsán a saját és a legtöbb esetben más harmadik személyek személyes adatait kezeli, az adatkezelés célját nem a munkáltató határozza meg, hanem a munkavállaló, aki ezáltal adott esetben maga is adatkezelővé válik a harmadik személyek személyes adatai tekintetében a munkavégzésével semmilyen módon össze nem függő adatkezelés vonatkozásában.
Ugyanakkor a rendszer működtetése továbbra is a munkáltató feladata, és az e-mail-fiók feletti rendelkezési jogát sem veszíti el a munkáltató, aki a magáncélú adatok tekintetében ezért adatkezelő marad. Ezt támasztja alá, hogy az e-mail-fiók teljes tartalmát egységes adatbázisként archiválja és tárolja a munkáltató. Mivel a munkáltató számára állnak elsődlegesen rendelkezésre azok az eszközök, amelyekkel az adatkezelés jogszerűsége biztosítható, így azért ő tartozik elsődlegesen felelősséggel.
A NAIH az adatkezelési tevékenység jogalapja tekintetében kifejtette, hogy az ügyben a munkaszerződésre, mint jogalapra azért nem lehet hivatkozni, mivel a GDPR szerinti, úgynevezett szerződéses jogalap akkor alkalmazható, ha az adatkezelés a szerződés teljesítéséhez szükséges. A jogalap nem alkalmazható olyan helyzetekre, ahol az adatkezelés valójában nem a szerződés teljesítéséhez szükséges, hanem azt az adatkezelő egyoldalúan az érintettre erőlteti.
A munkáltató arra hivatkozott, hogy az adatkezelés közérdekű feladat végrehajtásához volt szükséges, ami lehetővé tette mind a munkavégzési, mind a magáncélú levelezések biztonsági mentését. Ugyanakkor ez a tárolás nem jelent korlátlan ideig történő adatmegőrzést. A kérelmező magánlevelezései konkrét határidő nélküli megőrzésével a kötelezett megsértette a korlátozott tárolhatóság elvét. Ráadásul a munkavállaló e-mail fiókjának távollétében történő áttekintése alapvetően ellentétes a tisztességes adatkezelés elvével, mivel a munkavállaló magánszférájába való behatolásnak minősül.
A NAIH javaslata szerint a munkáltatóknak belső szabályzatot célszerű megalkotnia a munkavállalók rendelkezésére bocsátott e-mail-fiókok használatának szabályairól, melyben legalább az alábbiakra szükséges kitérni:
- használhatók-e magáncélra ezek az e-mail-fiókok,
- ezen e-mail-fiókokról biztonsági másolat készítésének és megőrzésének, inaktiválásuk szabályozására, illetve arra, hogy mikor kerül sor az e-mailek végleges törlésére
- az e-mail-fiókok használata ellenőrzésének, áttekintésének részletes szabályaira; arra, hogy azt ki és milyen módon hajthatja végre a szervezeten belül és milyen jogai vannak az érintett munkavállalónak az eljárás során.
A NAIH mindezek mellett javasolja azt is, hogy amennyiben magáncélra is használhatók az e-mail-fiókok, azokban különálló mappát hozzanak létre a magáncélú levelezésekre, kizárva azokat a biztonsági mentések alól, és egyúttal lehetővé téve adott esetben a munkaviszony megszűnése után azok érintett számára hozzáférhetővé tételét, illetve tényleges törlését.