A közelmúltban elfogadott, számos jogszabályt az Általános Adatvédelmi Rendelettel („GDPR”) összhangba hozó törvény – amelyet „GDPR salátatörvényként” emlegetnek – többek között a Munka Törvénykönyve („Mt.”) egyes rendelkezéseit is módosítja.
A munkaviszonnyal kapcsolatos adatkezelés körében mindig is kiemelt figyelem övezte azt, hogy a munkáltató milyen esetekben és hogyan ellenőrízheti a munkavállalók rendelkezésére bocsátott céges eszközök használatát. A gyakorlatban ez általában a céges laptopok és mobiltelefonok ellenőrzését, valamint a céges levelezési rendszerek használatának kontrollját jelenti.
A munkavállalók ellenőrzésének elvei
Jó hír, hogy a munkavállalók ellenőrzésének elvi alapjai nem változnak.
Az eddigiekkel azonos módon a munkáltatónak továbbra is két alapvető szempontot kell szem előtt tartania az ellenőrzés kapcsán:
- Egyrészt annak mérlegelése, hogy az adott ellenőrzési módszer feltétlenül szükséges és arányos-e, azaz nem jelent-e indokolatlan beavatkozást a munkavállaló magánszférájába.
- Másrészt, hogy az ellenőrzés módjáról és az ezzel kapcsolatos főbb szempontokról megfelelő előzetes tájékoztatást nyújtott-e a munkavállaló részére.
A kiindulási pont minden esetben az, hogy bármilyen, a munkáltató által foganatosított ellenőrzés szükségszerűen bizonyos mértékű korlátozással jár a munkavállaló magánszférájára és személyiségi jogaira nézve. Ezért az ellenőrzés csak megfelelő garanciális korlátok betartása mellett megengedett.
Szigorúbb szabályok a céges eszközök ellenőrzése kapcsán
A salátatörvény a munkavállalók részére adandó tájékoztatásra nézve az eddigieknél szigorúbb szabályokat állapít meg. A tájékoztatásnak ugyanis a jövőben ki kell terjednie a korlátozás (és e körben az ellenőrzés) szükségességét és arányosságát alátámasztó körülményekre is, továbbá írásbelinek kell lennie. A munkáltatónak tehát nem csak be kell mutatnia, hogy pontosan mi indokolja az ellenőrzést, ez miért feltétlenül szükséges és miért nem aránytalan, hanem mindezt dokumentált formában kell megtennie.
Az írásbeliség követelménye miatt a munkáltatók részéről szükséges annak újragondolása, hogy a tájékoztatási kötelezettségüknek milyen módon tesznek eleget. A GDPR-ban foglalt elszámoltathatóság elvéből következően arra is tekintettel kell lenni, hogy a tájékoztatás megadását a munkáltatónak utólag igazolnia kell tudni.
A céges eszközök magáncélú használata
Az ellenőrzés egy különösen szenzitív esete, amikor a munkavállaló a rendelkezésére bocsátott eszközt, vagy céges email címet magáncélra is használhatja és a munkáltató ezen eszközöket ellenőrzi. A felügyeleti hatóság megközelítése konzisztens abban a kérdésben, hogy ilyen esetekben a munkáltatónak különösen körültekintően kell mérlegelnie a tényleges intézkedés szükségességét és arányosságát az ellenőrzés során és érvényesülnek bizonyos objektív korlátok is az ellenőrzés terjedelmét illetően. A munkáltató például akkor sem jogosult megismerni a munkavállaló magáncélú levelezését, ha egyébként a munkáltató engedélyezte a céges email fiók magáncélú használatát. Ilyen kényes esetekben a munkáltató józan belátására van szükség, hiszen a legtöbb esetben már az email tárgysorából is megállapítható, hogy az ellenőrzött levél nagy valószínűséggel nem kapcsolódik a munkaviszonyhoz (pl. „Vérvizsgálat eredmény”, vagy „Koncertjegyek”), következésképpen annak tartalma a munkáltató számára nem megismerhető.
A fentiekkel összefüggésben kifejezetten bekerült az Mt-be, hogy a munkáltató ellenőrzése során kizárólag a munkaviszonnyal összefüggő adatokba tekinthet be. Ez annak az – egyébként az Alaptörvényből is levezethető – elvnek a megerősítésére szolgál, hogy a munkavállaló magánélete nem ellenőrizhető.
Ezt a logikát követve került be az Mt-be az a rendelkezés is, hogy főszabályként a munkavállaló a rendelkezésére bocsátott számítástechnikai eszközöket kizárólag a munkaviszony teljesítése érdekében (tehát magáncélra nem) használhatja.
A legtöbb szervezet működése során ugyanakkor életidegen helyzetet eredményezne, ha a munkavállalónak nem lenne lehetősége ésszerű keretek között pl. magáncélú hívásokat is kezdeményezni a céges mobilról, vagy adott esetben a munkaközi szünete közben híreket olvasni az interneten. Ezért az előző bekezdésben említett szabálytól a munkáltató és a munkavállaló közös megegyezéssel eltérhetnek, azaz a munkáltató engedélyezheti a céges eszközök magáncélú használatát. Ez esetben azonban egyrészt érdemes lehet belső szabályzatban rögzíteni ennek feltételeit, másrészt ismét hangsúlyozni kell, hogy a munkavállaló magánélete továbbra sem lesz ellenőrizhető, tehát pl. privát hívásainak, vagy levelezésének ellenőrzésére a munkáltatónak nem lesz módja.
dr. Csenterics András LL.M, ügyvéd, adatbiztonsági és adatvédelmi szakjogász
TechRelated
a Réti, Várszegi és Társai Ügyvédi Iroda PwC Legal technológiai jogi blogja