A német hatóság vizsgálata szerint a cég 2014 óta olyan, csupán körülbelül ötven vezető számára hozzáférhető feljegyzéseket készített a munkavállalókról, amelyek jelentős mennyiségű, a magánéletre is kiterjedő személyes adatokat tartalmaztak. Vajon a bírság ismeretében van-e félnivalójuk a hazai vállalatoknak?
Az adatokat a német H&M több eltérő forrásból gyűjtötte: például a nyaralások és a betegszabadságok után úgynevezett Welcome Back Talks beszélgetések során rákérdeztek egyebek között a munkavállalók magánéleti élményeire, betegség esetén a tünetekre és a diagnózisra.
A beszélgetéseken elhangzó információkat a munkavállalók felettesei feljegyezték, csakúgy, mint a teljesen hétköznapi, a munkaviszony szempontjából irreleváns beszélgetések tartalmát. Az adatokat a cég a munkavállalók teljesítményének értékelésére és a munkavállalókat érintő döntések meghozatalakor használta fel. Az érintett munkavállalók számára a feljegyzések csak egy 2019-es informatikai meghibásodás során váltak hozzáférhetővé, egészen addig nem tudták, hogy a munkáltatójuk ilyen széles körű, szisztematikus adatgyűjtést végez.
A magánélet nem ellenőrizhető
A munkavállalók jogellenes megfigyelésével kapcsolatban most kirótt eddigi legnagyobb bírság számos hazai vállalat számára is figyelmeztetés lehet: előfordulhat ugyanis, hogy hazai cégek is széleskörűen gyűjtenek adatokat a munkavállalóikról a munkahelyi döntések meghozatalának céljából. Márpedig a magyar munkáltatókra nézve éppúgy kötelező a GDPR, amely alapján a német hatóság a döntést meghozta, és amely alapján a bírság összegét megállapította.
Nemcsak a jogszabály, de a hatósági gyakorlat is hasonló: a munkavállalók magánéletéről szóló feljegyzések kapcsán érdemes kiemelni, hogy a Nemzeti Adatvédelmi és Információszabadság Hivatal (NAIH) egy a munkahelyi adatkezelések alapvető követelményeiről szóló tájékoztatójában kategorikusan kijelenti, hogy "Ellenőrzés csak a munkával összefüggésben történhet, a munkavállalók magánélete nem ellenőrizhető." [A Nemzeti Adatvédelmi és Információszabadság Hatóság tájékoztatója a munkahelyi adatkezelések alapvető követelményeiről, 2016. október 28.]
Mindemellett a munkavállalókról szóló feljegyzések készítésének titkos jellege kirívóan aggályos az Alkotmánybíróság állandó gyakorlata szerint is, amely alapján „mindenki számára követhetővé és ellenőrizhetővé kell tenni az adatfeldolgozás egész útját, vagyis mindenkinek joga van tudni, ki, hol, mikor, milyen célra használja fel az ő személyes adatát” [15/1991. (IV. 13.) AB határozat]. Ugyancsak az Alkotmánybíróság mondja ki, hogy „személyes adat minden esetben az ember magán- és családi életéről szóló információ […].” [11/2014. (IV. 4.) AB határozat].
A NAIH korábban már sok esetben szabott ki bírságot a munkavállalók magánélethez való jogát sértő adatkezelésekkel összefüggésben. Gyakori például, hogy a munkahelyi kamerás megfigyeléssel vagy egyéb munkahelyi ellenőrzéssel kapcsolatban merül fel adatvédelmi jogsértés, az ezekkel összefüggő határozataiban a hatóság jellemzően magas összegű bírságokat szab ki.
A GDPR hatálya alatt hasonló jogsértésért már 20 millió euróig, vagy – amennyiben magasabb – a vállalat teljes világpiaci forgalmának 4 százalékáig terjedő pénzbírság szabható ki. Súlyosbító tényezőként értékelik, ha egy munkáltató a magán- és családi életről szóló információkat, valamint egészségügyi adatokat széles körben és titokban rögzíti, a munkavállalókat is érintő munkahelyi döntések (például előléptetés, fizetésemelés vagy -csökkentés, áthelyezés, teljesítményértékelés) meghozatalának céljából, és erről a munkavállalókat semmilyen szinten nem tájékoztatja.
Mikor jogszerűtlen az adatok felhasználása?
A legnagyobb probléma, hogy a munkáltatók gyakran a munkavállalóról gyűjtött valamennyi adatot felhasználják a teljesítményének értékeléséhez, kombinálva a különböző célból kezelt személyes adatokat. Fontos azonban mindenkor szem előtt tartani a célhoz kötött adatkezelés és az átláthatóság alapelvét.
Egy betegség, gyógyszeres kezelés vagy magánéleti probléma nyilvánvalóan befolyásolhatja a munkavállaló teljesítményét, de ezek a körülmények mind olyan személyes adatnak minősülnek, amelyeket nem lehet jogszerűen kezelni a munkahelyi teljesítmény kiértékelése végett.
Gyakori, hogy a munkáltató beléptetőkártyát alkalmaz vagyonvédelmi célból, vagy azért, hogy megelőzze illetéktelen személyek belépését a területére.
A beléptetőrendszer adatai (például ki mikor lépett be) azonban csak a fenti célokra (belépés szűrése, vagyonvédelem) használhatók fel, a munkavállaló teljesítményének értékelésére, vagy a gyakori késés miatti munkajogi következmények alkalmazására nem, hacsak nem tájékoztatták erről előzetesen (még az adatgyűjtést megelőzően) az érintett munkavállalókat.
Ugyanez vonatkozik a rögzített vonalat üzemeltető telefonos ügyfélszolgálatokra is.
A teljesítményértékelési cél kapcsán ki kell hangsúlyozni, hogy a GDPR követelményei szerint csak a cél eléréséhez feltétlenül szükséges adatok kezelhetők jogszerűen. Ezért a munkáltató az adatkezelés megkezdése előtt köteles úgynevezett érdekmérlegelési tesztet elvégezni, amelynek egyebek között éppen az a célja, hogy a munkáltató megállapítsa, egy konkrét adatgyűjtés ténylegesen szükséges-e a teljesítményértékelés lefolytatásához, illetve, hogy az adatkezelés nem minősül-e túlzó jellegűnek az érintett munkavállaló magánélete szempontjából. Ha hatósági ellenőrzésre kerül sor, az érdekmérlegelés dokumentációját a NAIH minden esetben – legalábbis a jogos érdeken alapuló adatkezelések, például a teljesítményértékelések céljából végzett adatkezelés esetén – be fogja kérni, és a leírtakat részletesen elemezni fogja, erre érdemes tehát alaposan felkészülni.
Home office és a megfigyelés
A koronavírus-járvány következtében egyre több munkáltató próbálja meg tevékenységét áthelyezni a digitális térbe.
A digitális átállással összefüggésben a munkáltatók jellemzően jelentős informatikai beszerzéseket is végeztek. Ezek a beszerzések nemcsak új laptopokra terjedtek ki, hanem hatékonyságnövelő (például különböző konferencia- és felhőalkalmazások) és biztonságnövelő (egyebek mellett VPN – titkosított távoli asztal hozzáférés, MDM – távoli lemezkezelés, tiltás a telefon elvesztése esetén) szoftverekre is, tekintettel arra, hogy a home office egészen más típusú informatikai védelmet igényel.
Sajnos sokan elkövetik azt a hibát, hogy az informatikai védelem biztosítása során nem veszik figyelembe a munkavállalókat érintő adatvédelmi követelményeket. Gyakori eset például, hogy a munkáltató által biztosított céges laptop/telefon olyan tevékenységfigyelővel van ellátva, amely képes valamennyi számítógépes művelet naplózására, a meglátogatott oldalaktól egészen a leütött billentyűkig.
A legtöbb esetben a munkáltatók ezeket a szoftvereket jóhiszeműen telepítik a gépekre, de ez nem zárja ki a jogellenes felhasználás lehetőségét, ami már komoly adatvédelmi kockázatot jelent, szintén jelentős bírság kiszabására adhat okot. A home office esetén is fontos, hogy a munkavállalókat előzetesen tájékoztassák az újfajta digitális megoldásokkal róluk kezelt személyes adatokról, ideértve az adatkezelés célját, időtartamát és a rögzített adatok körét.
Ha pedig egy informatikai megoldásnak a – munkavállalókkal előzetesen közölt – célja az, hogy az adatbiztonságot növelje, az e rendszerben rögzített adatok sem lesznek felhasználhatók a munkavállalók teljesítményének értékelésére (például annak elemzése céljából, hogy a munkavállaló mennyi időt töltött a számítógépe előtt, ledolgozta-e az előírt munkaidőt).