Az információs technológiák fejlődésének eredményeként napjainkra a számítógép, az elektronikus levelező rendszer, az Internet használata egyre inkább hozzátartozik a munkavégzéshez, az ezeket az eszközöket használó munkavállalók aránya pedig a jövőben csak növekedni fog. Az elektronikus kommunikáció által nyújtott előny az olcsó, nagyobb terjedelmű adatállományok nagy távolságokra, rövid időn belül történő továbbításának a lehetősége, melynek eredményeképpen a korábbi kommunikációs eszközök használatához képest jelentősen leegyszerűsödött, felgyorsult a globalizálódó világ egyik éltető elemének, az információnak az áramlása.
Az elektronikus kommunikációt biztosító eszközöknek a munkavállaló rendelkezésére bocsátása azonban - azok pozitív hatásai mellett, mintegy az érme másik oldalaként - kedvezőtlen következményeket is maga után vonhat. Ilyen lehet többek között az, hogy a munkavállaló azokat nem kizárólag a munkavégzéshez, hanem saját céljára is felhasználja, ezzel esetenként jelentősen leterhelve az erőforrásokat és növelve a munkavégzéssel járó költségeket. A nem megfelelő felhasználás esetében - például a dolgozót foglalkoztató cég rövidítését is tartalmazó e-mail cím használatával - a cég jó hírnevében eshet csorba, az Internetes hozzáférés, valamint az e-mail postafiók pedig alkalmas lehet üzleti titoknak minősülő adatok kiszivárogtatására, meg nem engedett adatoknak a fogadására, letöltésére is. Gyakori, hogy a munkavállaló az Internetes hozzáférést felhasználva az Interneten található szerzői jogvédelem alatt álló képeket, filmeket, adatokat tölt le, a keletkező szerzői jogok megsértéséért pedig a munkáltatót is felelősség terhelheti.
A gyakorlat azt mutatja, hogy a fenti okok miatt a munkáltatók minél teljesebb ellenőrzés alá kívánják vonni a munkavállalók rendelkezésére bocsátott eszközök használatát. Így az erre feljogosított személy betekintést kíván nyerni a munkavállaló Internet-felhasználásába (mely honlapokat, milyen gyakorisággal látogat a felhasználó), az általa folytatott elektronikus levelezés tartalmába, a gyorsan terjedő kémprogramok[1] alkalmazásával pedig a számítógépen történő bármilyen jellegű alkalmazás futtatásával kapcsolatban részletes információ szerezhető be.
Bár általánosságban igaz az az állítás, hogy a munkahelyi történések felett megvalósuló teljes körű, totális ellenőrzések kialakításával csökkenthető a munkavállaló rendelkezésére bocsátott eszközök meg nem engedett vagy nem kívánatos használata, más megítélés alá esnek azonban az ilyen törekvések akkor, ha a munkavállaló jogainak a védelme oldaláról vizsgáljuk azokat. Ezek az ellenőrzések ugyanis korlátozhatják, vagy épp sérthetik az abban érintett személyek személyiségi jogait, különösen a személyes adataik védelméhez való jogát. A magánszféra védelméhez való jog, és annak részét képező személyes adatok védelméhez való jog tartalma - a munka világa relációjában - az, hogy a dolgozót megillesse a munkahelyén is bizonyos mértékű autonómia, mely csak abban az esetben korlátozható, ha egyúttal igazolódik az is, hogy a korlátozás szükségessége valós, az igény jogos, és az elérendő célt más, az alapjogok védelme szempontjából kevésbé korlátozó módon nem lehet megvalósítani[2].
A munkahelyen történő ellenőrzések kapcsán tehát két igen fontos, sokszor azonban egymással szembenálló érdek kapcsolatát, konfliktusát kell megfelelő módon szabályozni, a munkáltató ellenőrzési jogosultságnak a terjedelmét, illetőleg a munkavállalónak a munkahelyén is megjelenő magánszférája védelmének az érvényesülését.
Ezt a törekvést jelentősen megnehezíti az, hogy a munkáltató és a munkavállaló között az esetek túlnyomó többségében alá-fölérendeltségi, függőségi viszony áll fenn. Az egzisztenciális kiszolgáltatottságot a munkáltató felhasználhatja arra, hogy a munkavállalói jogokat aránytalanul korlátozza, és ezzel személyes adatok olyan formában és módon megvalósuló kezeléséhez - például az elektronikus kommunikációs csatornák korlátlan, totális ellenőrzéséhez -, melyhez egyébként törvényi felhatalmazással nem rendelkezik, a dolgozó hozzájárulását kényszerítse ki, vagy hatalmi szóval nyilvánítsa ki az adatkezelés tényét.
A munkajogi jogviszonynak e sajátos jellege, a munkavállaló "akarathajlítása" eredményeképpen a munka világa az adatvédelem igen sajátos - ugyanakkor az adatkezelésekben érintett személyek nagy száma miatt az egyik legfontosabb - területének tekinthető, melyben az adatvédelem általános szabályai, így többek között az önkéntes hozzájárulás, a tisztességes adatfelvétel követelménye, vagy a célhoz kötött adatkezelés elve sajátos, összetett vizsgálódásokat, és azok eredményeként specifikus, e szektorra érvényes szabályokat kíván(na) meg. A nemzetközi és a hazai jogalkotás színterén egyaránt megállapítható, hogy az IT fejlődésének az ütemével a jogalkotó nem
- 185/186 -
képes lépést tartani. Emiatt a munkahelyi elektronikus kommunikáció, továbbá a munkahelyi történések megfigyelésének céljából kialakított egyéb eljárások - hogy csak a legaktuálisabbakat említsük a kamera, a személyiségteszt, illetőleg a grafológiai teszt, a különböző drogtesztek, az egyre gyakrabban alkalmazott számítógépes kémprogramok, vagy a biometrikus, genetikai adatok kezelése - jogi szabályozása ma a magyar jogrendszerben még igencsak bővelkedik fehér foltokban.
Ilyen fehér folt többek között az, hogy a munkáltató a munkavállaló rendelkezésére bocsátott elektronikus levelezőrendszer használatát hogyan és milyen feltételek mellett jogosult ellenőrizni. Az e-mail postafiók használatának az ellenőrzését elsősorban azért szükséges a munka világában megjelenő további adatkezelésektől, illetőleg az azok mögött álló ellenőrzésektől különválasztva vizsgálnunk - hasonlóan a munkahelyi telefonhasználat és a munkahelyre érkező hagyományos postai úton érkező levelek kérdésével - mert az ezzel járó adatkezelés túlnyúlik a munkajog világán, olyan személyek alkotmányos alapjogainak a korlátozása is megvalósulhat ezzel, akik egyébként semmilyen kapcsolatban nem állnak a munkáltatóval. Egy levél legalább két személy - a levelezésben aktívan résztvevő felek, a feladó és a címzett - személy adatának számítanak, nem csak a munkavállalónak, hanem a harmadik személy(ek) jogainak a védelmét is figyelembe kell tehát venni az ellenőrzés szabályainak a kialakítása során.
A továbbiakban a munkavállaló munkahelyi elektronikus levelezésének a munkáltató általi ellenőrzésével kapcsolatban kialakult különböző nemzetközi gyakorlatokat, a munkavállaló önszabályozásához keretet adó ILO gyakorlati kódexének, az Európai Unió adatvédelmi jogszabályainak valamint a tagállami szinten kialakult gyakorlatnak az áttekintésére vállalkozunk.
A munkavállalók személyes adatainak kezelésével kapcsolatos szektorális szabályozás egyik legfontosabb kérdése, hogy lehet-e azt az egyes kezelhető - vagy épp nem kezelhető - adatokat tételesen felsoroló, konkrét jogokat és kötelezettségeket tartalmazó jogszabály keretei között rendezni, vagy érdemesebb-e az un. "puha jog" (soft law) körébe tartozó normák, előírások megalkotásával arra ösztönözni az adatkezelőket, hogy az előre meghatározott kereten belül - ugyanakkor nagyobb mozgástérrel - alkossák meg a saját belső adatvédelmi szabályzataikat.
Elsődlegesen az önszabályozás elősegítése céljából alkotta meg az ILO (International Labour Office) a munkavállalók személyes adatainak védelméről szóló gyakorlati kódexét[3], mely nem tartalmaz az egyes konkrét adatkezelésekre irányadó kötelező rendelkezéseket[4], hanem e helyett a lehetséges belső adatvédelmi szabályzat megalkotásához szükséges alapelveket és általános követelményrendszert adja meg.
A kódex megalkotásának az önszabályozás elősegítése mellett a további célja az volt, hogy iránymutatást adjon az egyes nemzeti jogalkotások számára, így elősegítve a nemzetközi jogegységesítés folyamatát, mely különösen a határokon átnyúló adatáramlás vagy a multinacionális vállalatok dolgozóinak esetében jogaik érvényesítése oldaláról az egyik legbiztosabb garanciát nyújthatja.
A kódex alkalmazása esetén, annak rendelkezései az egyes nemzeti jogszabályozáshoz képest minimum követelményszintként érvényesülnek, abban az esetben tehát, ha a nemzeti jogszabályok a munka világában érvényesülő adatkezelésekre előírásokat nem, vagy annál enyhébbeket tartalmaznak, akkor a kódex rendelkezéseit kell alkalmazni. Ha viszont léteznek ilyen rendelkezések, és azok szigorúbb szabályozást írnak elő a kódexénél, akkor azokra való tekintettel kell a belső szabályzatot megalkotni.
Bár a kódex konkrét rendelkezéseket nem tartalmaz a munkavállalók elektronikus levelezésének ellenőrzésével kapcsolatban, az általános rendelkezések több ponton irányadóak e kérdésben is. Így a kódex szerint személyes adat csak jogszerűen és tisztességesen kezelhető, továbbá csak olyan célból, mely közvetlenül kapcsolódik a munkavállaló alkalmazásához, munkavégzéséhez. Személyes adat csak abból a célból kezelhető, amely miatt azt gyűjtötték.
A munkavállalók megfigyelése esetén a munkavállalókat előzetesen tájékoztatni kell a megfigyelés céljáról, a használt módszerekről, technikákról és az összegyűjtendő adatokról. A munkáltatónak ezen túl kötelessége, hogy minimálisra csökkentse a munkavállalók magánéletét korlátozó, azt feltáró ellenőrzéseket.
Titkos megfigyelés csak abban az esetben alkalmazható, ha az összhangban áll a nemzeti jogszabályokkal - vagyis törvény azt elrendelte - és megalapozottan feltételezhető, hogy bűncselekmény, vagy más súlyos jogsértés történt.
Folyamatos ellenőrzés[5] csak különösen indokolt esetben, egészségügyi, biztonsági, vagy tulajdonvédelmi okokból engedélyezhető. Minden személyes adatot elsődlegesen a munkavállalótól kell megkérni. Ha a személyes adatokat harmadik személytől kell beszerezni, arra a munkavállaló előzetes tájékoztatását és kifejezett beleegyezését követően van lehetőség. A munkáltatónak meg kell jelölnie az adatgyűjtés célját, a forrást, a felhasználási módot valamint az adatkezelés célját csakúgy, mint az adat jellegét és a beleegyezés megtagadásának következményeit.
A munkavállalót érintő döntést nem lehet kizárólag a róla automatizált ellenőrzési módszerekkel gyűjtött adatokra alapozni. Az elektronikus ellenőrzés útján összegyűjtött adatok nem szolgálhatnak kizárólagos alapként a munkavállaló munkahelyi tevékenységének az értékeléséhez.
Végezetül az ILO gyakorlati kódexe értelmében a munkavállalók érdekképviseleti szerveit a nemzeti joggal és gyakorlattal összhangban tájékoztatni, valamint az nemzeti normák lapján konzultálni kell a munkavállalók személyes adatait kezelő automata rendszer üzembe helyezéséről és módosításáról, a munkavállalók munkahelyi magatartásának ellenőrzésére szolgáló elektronikus rendszerről, a munkavállalók személyes adatait érintő kérdőívek és tesztek feldolgozásának és értelmezésének céljáról, tartalmáról és módjáról.
Az Európai Unió két irányelvi szintű jogszabályban bontotta ki a személyes adatok védelméhez való jogtartalmát, a személyes
- 186/187 -
adatok feldolgozásáról és azok szabad mozgásának védelméről (továbbiakban: adatvédelmi irányelv) szóló 95/46/EK számú, valamint a személyes adatok feldolgozásáról és a telekommunikációs ágazatban a magánszféra védelméről szóló, 2002/58/EK irányelvekben. Az irányelvek megalkotásának célja elsősorban az unión belüli szabad adatáramlás biztosítása, ezen keresztül pedig a Római Szerződés 7.a cikkében biztosított négy alapérték - az árúk, a személyek, a szolgáltatások és a tőke szabad áramlásának - a biztosítása volt.
Az adatvédelmi irányelv az adatkezelésekre nézve általános rendelkezéseket tartalmaz, a munka világában érvényesülő adatkezelések sajátos jellege miatt azonban az unió szintjén is megfogalmazódott az az igény, hogy a munkavállalók magánszférájának, személyes adatainak védelmét önálló, specifikusan e szektorra érvényes rendelkezéseket tartalmazó normában szabályozzák. Már az ezredfordulón az Európai Bizottság vezetése alatt, a szociális partnerek bevonásával megindult a szektorális szabályozással kapcsolatos kérdések vizsgálata - melynek eredményeképpen a létrehozni szándékozott norma legfontosabb elemeire számos koncepció született -, jogi normát azonban napjainkig még nem sikerült megalkotni.
Az Európai Unió adatvédelemmel kapcsolatos szabályozásába a két irányelveken túl, azok a jogszabályok is beletartoznak, melyek az adatvédelem egyes szektoraira vonatkozó specifikus normákat tartalmaznak. Ilyen például az Európai Közösség munkavállalóinak tájékoztatása és a velük folytatott konzultáció általános keretének létrehozásáról szóló 2002/14/EK számú irányelve, mely a munkavállalókkal történő konzultációt és információáramlást teszi kötelezővé olyan esetekben, - hasonlóan a korábban ismertetett ILO gyakorlati kódex rendelkezéseihez - amikor a döntés alapvető változást eredményezhet a munkaszervezetben vagy a felek szerződéses viszonyában.
Az adatvédelmi irányelv 29. cikke alapján létrejött úgynevezett 29-es Munkacsoport - mely a tagállamok adatvédelmi biztosainak, hatóságainak a vezetőiből áll -, működésének kezdete óta kiemelt figyelmet szentel a magánszféra és a személyes adatok védelmének a munka világában történő érvényesülésére. Ennek eredményeként a Munkacsoport 2001-ben bocsátotta ki, a foglalkozással kapcsolatos személyes adatok védelméről szóló 8/2001. számú véleményét[6], mely általános áttekintést ad a tagállamoknak a munka világát érintő nemzeti joggyakorlatáról, valamint az adatvédelem addigi nemzetközi és uniós szinten megalkotott normáit alapul véve megfogalmazta az e szektorra érvényes alapelveket, specifikus követelményeit is. A megkezdett munka folytatásaként, 2002-ben bocsátotta ki a Munkacsoport a munkahelyi elektronikus kommunikáció ellenőrzéséről szóló munkadokumentumot[7], mely a munkahelyi Internet felhasználásával, illetőleg a munkavállalók rendelkezésére bocsátott elektronikus postafiók ellenőrzésével kapcsolatos kérdésekkel foglalkozik. A 8/2001. számú vélemény, illetőleg a munkadokumentum alapján a munka világában érvényesülő adatvédelem alapelvei: a szükségesség (necessity), a célhoz kötöttség (finality), az áttekinthetőség, a nyíltság (transparency), a jogszerű adatkezelés (legitimacy), az arányosság (proportionality), a pontosság és az adatok megőrzésének (accuracy and retencion of data), valamint a biztonság elve (security).
A szükségesség, vagy az adatgyűjtés korlátozásának elve alapján az adatkezeléseket korlátozni kell, az elektronikus levelezőrendszer ellenőrzése kapcsán azt kell megállapítani, hogy a kialakítani szándékozott gyakorlatnál más módszerrel - mely kevésbé korlátozza, sérti az érintett információs önrendelkezési jogát - elérhető-e a kívánt cél.
E követelmény érvényesítése során ugyanakkor figyelembe kell venni azt, hogy bizonyos esetekben a munkáltató azon érdeke, hogy a munkavállaló elektronikus levelezését megtekintse, szükséges és indokolt lehet. Ilyen eset például az, amikor a munkavállaló tartósan távol van a munkahelyéről - betegség vagy szabadság okán -, az általa használt e-mail címre pedig fontos hivatali küldemények érkeztek, vagy érkezhetnek.
Ehhez az elvhez köthető továbbá az a követelmény is, hogy a munkahelyi adatgyűjtés során lehetőség szerint tartózkodni kell minden olyan jellegű adat gyűjtésétől, amely nem köthető a dolgozó munkavégzéséhez. Ilyen jellegű adatnak tekinthető a munkavállaló személyiségjegyeivel kapcsolatos, vagy a magánéletére - káros szenvedélyeire, szokásaira, szexuális életére - utaló adatok.
A célhoz kötött adatkezelés elve szerint személyes adatot kezelni csak pontosan meghatározott és jogszerű célból lehet. Mindennemű, az eredeti céltól eltérő adatkezelés csak akkor megengedett, ha ahhoz az érintett személy ismételten és kifejezetten hozzájárult, vagy jogszabály az adatkezelést elrendelte. Abban az esetben tehát, ha az elektronikus postafiókba érkező levelet abból a célból ellenőrzik, hogy ez által a védett rendszerbe ne kerülhessen be vírust tartalmazó küldemény, az így megismert személyes adatokat más célra nem használhatják fel, továbbá harmadik személy számára nem továbbíthatják.
A nyílt, vagy áttekinthető adatkezelés elve szerint a személyes adatok kezelésének gyakorlatát az érintettek előtt nyíltan kell lefolytatni, az adatkezelőnek ebből következően kötelessége, hogy világos és pontos tájékoztatást adjon az adatkezelés szabályairól. A munkáltató, vagy megbízásából más személy az érintett előtt nem ismert, titkos módszerrel nem ellenőrizheti a munkavállaló levelezését. Ez alól kivételt csak az adatvédelmi irányelv 13. cikkében adott felhatalmazás alapján megalkotott tagállami szabályozás adhat.
Tájékoztatni kell továbbá a munkavállalót arról, hogy a rendelkezésére bocsátott e-mail postafiókot használhatja-e magáncélra. Ha igen, de csak bizonyos megszorításokkal (ilyen lehet az idő-, méretbeli-, vagy fájlformátum szerinti korlátozás), akkor azok pontosan milyen jellegűek. A munkavállalót tájékoztatni kell továbbá az adatkezeléssel járó ellenőrzés pontos céljáról, arról, hogy azt ki, milyen módon, mikor és hogyan fogja végrehajtani. Amennyiben elkerülhetetlen az elektronikus levél tartalmának megtekintése, akkor azt lehetőség szerint az érintett jelenlétében kell megtenni, ha ez nem lehetséges, akkor a belső szabályzatban szükséges rögzíteni azt, hogy mikor kell az ellenőrzésről és az annak során megállapítottakról tájékozatni az érintettet, továbbá lehetőséget kell számára biztosítani ahhoz, hogy az ellenőrzés során megállapítottakkal kapcsolatban az álláspontját kifejthesse.
A nyílt adatkezelés elvéhez köthető az az elvárás is, hogy a munkáltató az ellenőrzéssel járó adatkezelés részletei mellett tájékoztassa arról is az érintetteket, hogy milyen lehetséges következményekkel járhat az, ha a rendelkezésére bocsátott eszközt nem az előírtaknak megfelelően használja fel.
Az áttekinthető adatkezeléssel kapcsolatos az a követelmény is, hogy az adatkezelő az általa bevezetni kívánt adatkezelést a tagállami felügyeleti szerv felé bejelentse, így az érintett a felügyeleti szerv által kezelt nyilvántartásból is megismerheti az adatkezelés részleteit.
A munkadokumentum a nyílt adatkezelés részének tekinti a hozzáférhetőség vagy a személyes részvétel elvét (right of access), mely alapján az érintettnek joga van ahhoz, hogy a róla gyűjtött adatokat megismerje. Ha az érintett azt észleli, hogy a kezelt
- 187/188 -
adatok nem a valóságnak megfelelőek, akkor azok kijavítását vagy törlését kérheti az adatkezelőtől.[8]
Jogszerűség elve szerint személyes adatok gyűjtése és feldolgozása csak törvényileg megengedett célból történhet, melynek a megítélésénél az adatvédelmi irányelv 7 cikkének f) pontja az irányadó. E rendelkezés értelmében a tagállamok rendelkeznek arról, hogy személyes adat csak abban az esetben kezelhető, ha az adatkezelés az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintett magánszférájához, személyes adatok védelméhez fűződő jogai. Ezt a "kiegyenlítési technikát" a különleges személyes adatok kezelése esetében nem lehet alkalmazni, ezért az ilyen adatok kezelésére az Adatvédelmi irányelv 8. cikkelyének (2) bekezdése az irányadó.
Arányosság elve a személyes adatok védelmének az egyik legfontosabb követelménye, mely szerint személyes adatot csak abban az esetben lehet kezelni, ha az által érvényesíteni szándékozott érték, érdek azt ténylegesen indokolttá teszi. Az egyik oldalon tehát a munkáltatói ellenőrzéssel kapcsolatos adatkezelés, a másik oldalon pedig az érintett érdekei, a szükségesnél nem szélesebb körű adatgyűjtés követelménye áll.
Az arányosság elvéből következik az, hogy az elektronikus postafiók használatának az ellenőrzését főszabály szerint úgy kell elvégezni, hogy az csak az e-mail postafiók forgalmára - vagyis azokra az adatokra terjedjen ki, amelyek a harmadik, nem munkavállalói személlyel nem hozható kapcsolatba - és csak kivételes okokból lehessen a levelek tartalmát átvizsgálni. Amennyiben az e-mail tartalmának megismerése elkerülhetetlen, figyelemmel kell lenni a harmadik, nem munkavállaló személy érdekeire is. Így a munkáltatónak minden tőle telhetőt meg kell tennie arra vonatkozóan, hogy a levelezésben érintett másik személyt értesítse az ellenőrzés tényéről[9]. A tájékoztatásnak olyan formában kell megvalósulnia, hogy az érintett személy az adatkezeléssel kapcsolatos jogait megfelelő módon gyakorolhassa.
A pontosság és az adatok megőrzésének az elve szerint a munkavállalóról csak a jogszerűen gyűjtött és pontos - vagyis a valóságnak megfelelő - adatokat és csak a szükséges ideig lehet feldolgozni és megőrizni.
A biztonság elve alapján a munkáltató köteles olyan technikai rendszert kialakítani, mely biztosítja azt, hogy a munkavállalókról tárolt - illetőleg ha a dolgozónak az e-mail postafiók magáncélra történő használatát engedélyezték, akkor a postafiókban tárolt - adatokhoz más, harmadik személy ne férhessen hozzá.[10] A munkadokumentum külön kiemeli, hogy mindazon személyek - így különösen az informatikai rendszert üzemeltető rendszergazda - akik munkájuk során személyes adatokat ismernek meg, azokat bizalmasan kell kezelniük, más személyeknek nem adhatják át. A munkadokumentumnak az e-mail ellenőrzésével kapcsolatos rendelkezései szerint az elektronikus úton továbbított levelezést ugyanolyan védelemben kell részesíteni, mint a hagyományos, papír alapú levelezést.
A munkáltatónak az ellenőrzéssel kapcsolatban tájékoztatnia kell a munkavállalókat arról, hogy használhatja-e a munkahelyén az e-mail postafiókot magán célra, használhat-e web-emailt[11], azt, hogy mely esetben ellenőrizhetik az e-mail forgalmát és a tartalmát, mikor készíthetnek az üzenetről másolatot, azt meddig kezelhetik, mikor, milyen körülmények között törölhetik az üzeneteket, továbbá a tájékoztatásnak ki kell terjednie az adatbiztonsággal kapcsolatos rendelkezésekre is.
Ajánlatos a munkavállalónak és a munkáltatónak az ellenőrzés részleteiről megállapodást kötniük, mely pontosan és félreérthetetlenül rendezi azt, hogy mely esetben lehet a munkavállaló által használt elektronikus levelezőrendszereket - akár a munkáltató által rendelkezésre bocsátott, akár web-mailról van szó - magán célra használni.
Végezetül a munkadokumentum rendelkezései közül szükséges kiemelnünk azt, mely szerint önmagában az a tény, hogy a munkáltató a web-mail, illetőleg más e-mail cím magán célra történő használatát engedélyezte, nem alapozhatja meg azt, hogy más - így például a munkáltató által a rendelkezésére bocsátott postafiók - forgalmát, tartalmát az érintett személyek hozzájárulása nélkül ellenőrizze.
Az unió tagállamaiban a munkavállalók személyes adatainak védelmével kapcsolatban kialakult gyakorlatokat összevetve megállapíthatjuk, hogy azok a szabályozási megoldásokban (vagyis hogy milyen formában szabályozzák az adatkezeléseket), illetőleg az elektronikus postafiók ellenőrzésének lehetséges megoldási formáiban is jelentős eltéréseket mutatnak.
A tagállamok többségében a munka világára vonatkozó speciális szabályokat a nemzeti adatvédelmi törvény, illetőleg a telekommunikációs törvény rendelkezéseiből, elveiből a joggyakorlat során értelmezések útján igyekeznek a munkavégzésre vonatkozóan alkalmazni, mely munkát elsősorban a tagállamok adatvédelmi hatóságai, illetőleg a nemzeti bíróságok által kialakított joggyakorlaton keresztül valósítják meg.
A tapasztalatok azonban azt mutatják, hogy a joggyakorlat útján kialakított szabályozás előre pontosan meg nem határozható, kedvezőtlen következményekkel is járhat. Ilyen lehet például annak képlékenysége, bizonytalansága, az egyes fórumok által kialakított ellentmondásos joggyakorlat. Ugyanakkor a gyakorlat által kialakított szabályozásnak ez a rugalmassága egyben pozitív vonásként is megjelenhet, hisz azt a problémát, hogy a jogalkotás az IT változásokra csak késve képes választ adni, ez a szabályozási megoldás képes kiküszöbölni, és viszonylag rövid idő alatt, az IT fejlődésével egy időben a felmerülő problémákra a választ megadni.
Probléma lehet továbbá e szabályozással kapcsolatban az, hogy ebben az esetben az adatkezelésben érintett személyek - vagyis elsősorban a munkáltató és a munkavállaló - jogai, jogosultságai sincsenek kellőképpen tisztázva, ebből következően pedig megnehezül(het) az esetleges jogvita során a bizonyítás kérdése. A munkáltató által a munkavállaló rendelkezésére bocsátott e-mail postafiók jogellenes használata esetében a lehetséges szankciók kiszabásának egyik fontos előfeltétele az, hogy az elkövetett normasértés és az okozati összefüggés megfelelő bizonyítást nyerjen. A bizonyítás terhe a munkáltatón van, ugyanakkor az érintett munkavállaló személyiségi jogainak a védelme ezt a bizonyítást megnehezítheti, mivel a szükséges bizonyítékok beszerzésére csak rendkívül limitált lehetőségek állnak a rendelkezésre. Több uniós tagállamban kialakult gyakorlat szerint a nem megfelelő módon, az érintett személyiségi jogainak lényeges megsértésével beszerzett bizonyítékokat a bíróság nem veszi figyelembe (ilyen gyakorlat alakult ki többek között Németországban vagy Franciaországban is[12]).
A munkahelyi elektronikus levelezés ellenőrzésével kapcsolatos, az unió tagállamaiban kialakult joggyakorlatokat összegezve elmondható, hogy általánosan elfogadott az a
- 188/189 -
felfogás, hogy csak abban az esetben lehet a munkavállalók elektronikus postafiókjának a felhasználását ellenőrizni, ha a munkáltató az ellenőrzés megkezdése előtt megtiltja annak magáncélra történő használatát. A munkáltatónak joga van tehát eldönteni azt, hogy a munkavállaló rendelkezésére bocsátott eszköz felhasználható-e magáncélra vagy csak hivatali célra kívánja azt a dolgozók rendelkezésére bocsátani.
Korántsem egységesek azonban a tagállami joggyakorlatok abban a kérdésben, hogy az ellenőrzés során megismerhető-e, és ha igen milyen garanciális feltételek mellett a munkavállaló által folytatott levelezés tartalma. Különbséget kell ugyanis tennünk az elektronikuslevél tartalmának a megismerése, és az elektronikus postafiók forgalmának, felhasználásának az ellenőrzése között. Ez utóbbi ellenőrzés elsősorban azt jelenti, hogy az ellenőrzés során a levél tartalmát az ellenőrzést végző személy nem ismerheti meg, a postafiók használata kapcsán csak azt ellenőrizheti, hogy azt milyen gyakorisággal és az előírt korlátozásokat ( ilyen lehet az idő-, méretbeli-, vagy fájlformátum szerinti korlátozás) betartva használta-e fel azt a munkáltató.
A munkavállalói ellenőrzésnek szélesebb teret adó álláspont szerint a munkáltatónak a munkavállaló munkahelyi tevékenysége felett megvalósuló ellenőrzési joga kiterjed arra, hogy a dolgozó rendelkezésére bocsátott e-mail postafiók tartalmát megismerje[13]. A személyes adatok védelméhez való jog korlátozását elsősorban a tulajdon védelméhez való jog, illetőleg a munkaszerződésből származó jogosultságok és kötelezettségek érvényesülése támasztja alá[14].
A levelezés tartalmának a megismerése ellen fellépők álláspontja szerint a magánszféra részének is tekintett levéltitok olyan alapvető jog, mely a dolgozót a munkahelyén is megilleti, ebből következően a munkavállaló bizalmas kommunikációját nem lehet megfigyelni, érdemben ellenőrizni és rögzíteni.[15] Ezen álláspont egyes képviselői szerint az e-mail magáncélra történő felhasználásának a tiltása egyben a szólásszabadság korlátozását is eredményezi.
További problémaként jelentkezik az, hogy az ellenőrzéshez szükséges munkavállalói hozzájárulást milyen esetekben, körülmények között lehet önkéntesnek tekinteni. A munkavállaló "akarathajlítása" ugyanis lehetővé teszi a munkáltató számára azt, hogy olyan adatkezelésekhez is kikényszeríthesse a hozzájárulást, melyhez egyébként a dolgozó önszántából nem adná beleegyezését. A megoldást a munkáltatók által megalkotott belső adatvédelmi szabályzat nyújthatja. Az adatkezelésnek ez az írásos formában rögzített kerete nagyobb biztonságot nyújthat az érintetteknek tekintettel arra, hogy ezt a nemzeti adatvédelmi hatóságokhoz véleményezés céljából be lehet nyújtani, a tagállamok többségében pedig a munkavállalói érdekképviseletek annak megalkotása során véleményezési, egyetértési jogosultsággal bírnak.
A szabályozási megoldások szempontjából a második csoportba azok a tagállamok tartoznak, akik már létrehoztak külön a munkaviszonyra is érvényes szektorális szabályozást, de ezek a normák rendszerint nem átfogóan, hanem mindössze a munka világának egyes részeire tartalmaznak csak rendelkezéseket. Ilyen előírások vonatkoznak például a munkaerő felvétellel, a munkaközvetítéssel, az egészségügyi adatok kezelésével, vagy a szociális partnereknek a munkavállalókat érintő adatkezelésekkel kapcsolatos együtt döntési, véleményezési jogosultságaikról.
A harmadik csoportját a tagállamoknak azok az országok képezik, akik felismerték, hogy a munka világában a személyes adatok védelme érdekében a meglévő általános szabályokon, illetőleg az az alapján létrejövő joggyakorlaton túl tételes szabályozás szükséges. Mint korábban már említettük, az ilyen szabályozásnak alapvetően kétféle formája alakult ki, egyrészt a puha jog kategóriájába tartozó viselkedési kódexek[16], illetőleg a speciális szektorális jogszabályi szabályozás, melynek az úttörője a 2001-ben elfogadott, a munkavállaló személyiségi jogait és magánszféráját védő finn törvény volt[17]. A törvény megalkotásának a célja az volt, hogy túllépjen az európai unió adatvédelmi irányelvének, továbbá a nemzeti szinten megalkotott személyes adatok védelméről[18] szóló törvény általános rendelkezésein. A törvény az ILO gyakorlati kódexének a szabályozását követte, vagyis az elsődleges célja az volt, hogy a belső adatvédelmi szabályzatok létrejöttét segítse elő.
2004-ben a finn jogalkotó elfogadta a magánszféra védelme a munka világáról szóló újabb törvényét[19]. A hatályos szabályozása alapján tételes szabályok vonatkoznak a munkahelyi drog tesztekre, a személyiségi valamint a genetikai tesztekre, a munkahelyi kamera használatáról, valamint a munkavállalók elektronikus postafiókjának az ellenőrzésére.
Az új törvényhez fűzött kommentár szerint a munkahelyi e-mail postafiók ellenőrzése hasonlatos a munkahelyi telefonhasználat ellenőrzésével, tekintettel arra, hogy mindkét esetben a munkáltató az ellenőrzések során olyan harmadik személy adatait is kezelheti, akivel egyébként nem áll jogviszonyban.
A szabályozás egyik célkitűzése az volt, hogy lehetőség szerint a legszükségesebb esetekre korlátozza azt, amikor a munkáltató közvetlenül megismerheti a munkavállalók elektronikus leveleinek a tartalmát. Így például, ha a munkavállaló valamilyen oknál fogva nem tudja a rendelkezésére bocsátott e-mail címre érkező leveleket átnézni, akkor az email címre érkező levelek küldőjét egy automatikus válaszlevélben tájékoztatni lehet arról, hogy az elektronikus postaládát használó személy jelenleg távol van, és amennyiben hivatalos levelet kíván a munkahelyre eljutatni, akkor azt mely címen teheti meg. További lehetséges megoldás lehet az, hogy a munkavállaló kijelöl egy másik munkavállalót, aki távollétében a munkahelyi e-mail postafiókjába érkező leveleket - amennyiben szükséges - áttekinti.
A törvény különbséget tesz az e-mail adatainak, illetőleg az e-mail tartalmának az ellenőrzése között. Az adatok ellenőrzése - mely a gyakorlati szempontból hasonlatos az e-mail postafiók forgalmának ellenőrzésével - közvetlenül a munkáltató részére akkor megengedett, ha a munkavállaló önállóan intéz ügyeket a munkáltató érdekében, vagy ha a munkavállaló nem tudja ellátni a feladatát és a fent ismertetett lehetőségek - így másik munkavállaló általi ellenőrzés - nem valósíthatók meg, továbbá, ha más, az érintett jogait kevésbé korlátozó módon nem tud a szükséges információkhoz hozzájutni. Az ellenőrzés során megismerhető adatok az üzenet küldőjének és a fogadójának a személye, továbbá az üzenet címe. Az ellenőrzés megtörténtéről a lehető legrövidebb időn belül tájékoztatni kell a munkavállalót.
Az e-mail tartalmát megismerni csak kivételes esetekben lehet, melynek előfeltétele, hogy az érintett munkavállaló nem tud tájékoztatást adni az e-mail taralmáról, és a munkáltató méltányolandó érdeke - például a tevékenységének a biztosítása - azt szükségessé teszi. A levél tartalmának a megismerése formai szabályokhoz van kötve, így azt a rendszergazda közreműködésével és további harmadik személy jelenlétében ismerheti meg a munkáltató. Az eljárásról jegyzőkönyvet kell készíteni, melyet az abban résztvevő személyeknek alá
- 189/190 -
kell írniuk. A jegyzőkönyvnek tartalmaznia kell azt, hogy melyik üzenetet, milyen okból, mikor bontották fel, illetőleg ki szerzett tudomást az üzenet tartalmáról. A jegyzőkönyvet késlekedés nélkül a munkavállaló rendelkezésére kell bocsátani. Az e-mail tartalmát csak annyiban lehet felhasználni, amennyiben az az üzenet megismerése céljából eredetileg indokolt volt. Az e-maillel kapcsolatos harmadik személy számára nem lehet továbbítani.
Az ismertetett formalizált és szigorú szabályokhoz kötött eljárással kapcsolatban azonban szükséges azt hangsúlyoznunk, hogy az csak a munkáltató eljárására vonatkozik, arra a harmadik munkavállalóra, akit az érintett az e-mailek megismerésére feljogosított, lényegesen enyhébb szabályok vonatkoznak. A szabályozásnak tehát nem az a célja, hogy a munkavégzés céljából átadott eszköz ellenőrzését ellehetetlenítse, hanem az, hogy a munkáltató indokolatlan, a magánszféra védelmét sértő ellenőrzéseinek gátat szabjon.
A munkahelyi elektronikus levelezés ellenőrzésével kapcsolatos kérdések vizsgálata - az eszköz viszonylag új volta miatt - mindössze a kilencvenes évek közepére nyúlik vissza. E munka megírásának a célja az adatkezeléssel kapcsolatos főbb nézetek ismertetésén túl az volt, hogy bemutassa azokat a szabályozási megoldásokat melyek a munkahelyi adatkezelésekkel kapcsolatban a leginkább elterjedtek, illetőleg alkalmazhatónak bizonyultak.
A szabályozási lehetőségek egyik végpontjában a puha jogi normák, a viselkedési kódexek állnak, míg a másik végpontban a finn példa alapján megalkotott tételes és esetenként igen szigorú szabályozást tartalmazó törvényi szabályozás lehetősége áll. E szabályozási lehetőségek ismertetését - a konkrét adatkezelés bemutatásán keresztül - azért is tartottuk fontosnak, mert a jövőben remélhetőleg hazánkban is megalkotásra kerülő szektorális szabályozásnak a lehetséges kereteit ezek a rendszerek adják. Annak a kérdésnek a megválaszolása azonban, hogy Magyarországon melyik megoldás alkalmazása indokolt további nemzetközi és hazai kutatásokat tesz szükségessé. ■
JEGYZETEK
[1] Olyan titkos megfigyeléseket lehetővé tevő program, melynek létezéséről, működéséről a számítógépet használó munkavállalónak többnyire nincsen tudomása, ha pedig van is, akkor annak működése ellen nem tehet semmit.
[2] Lásd.: Az Emberi Jogok Európai Bírósága; Halford v. the United Kingdom (20605/92) [1997] ECHR 32 (25 June 1997) ügy
[3] The International Labour Office Code of Practice on protection of worker's personal data (1997)
[4] A kódex három adatkezelési körrel, az egészségügyi adatok kezelésével, a poligráfos vizsgálat, illetőleg a személyiség teszt kérdéseivel kapcsolatban tételesen foglalkozik.
[5] Az "ellenőrzés" kifejezés magában foglalja különböző eszközök, nevezetesen számítógép, fényképezőgép, kamera-rendszerek, hangeszközök, telefonok és más kommunikációs felszerelés használatát, a személyazonosság és helymeghatározásra alkalmas különböző módszereket vagy a megfigyelés bármely más változatát.
[6] Opinion 8/2001. the processing of personal data in the employment context (5062/01/EN/Final WP48)
[7] Working dokument on the surveillance of electromic communications in the workplace (5401/01/EN/Final WP 55)
[8] Erre vonatkozóan tartalmaz rendelkezéseket továbbá a munkacsoport 1/2000 ajánlása, mely a munkavállalói értékeléssel kapcsolatos adatokra vonatkozó sajátos eljárási kérdésekről szól.
[9] Az információ megadásának a gyakorlatban elterjedt megoldási módja az, hogy a belső szabályzatban kötelezik arra a munkavállalót, hogy kimenő leveleik alján tájékoztassák a lehetséges ellenőrzésről a címzettet. Ez a tájékoztatás azonban a jövőben lezajló, lehetséges adatkezelésről tájékoztatja az érintettet, ez okból pedig indokolható az az igény, hogy e mellett a tényleges ellenőrzéssel egy időben - immár a tényleges adatkezelésről - is tájékoztassák az érintett személy(eket).
[10] A munkavállalói jogok védelme azonban egyúttal azt is megkívánja, hogy az Internet és az e-mail halhasználást biztonsági okokból korlátozásnak, ellenőrzésnek vesse alá a munkáltató, mely pedig újabb adatvédelmi kérdéseket vet fel. Általánosan elfogadott azonban az a nézet, hogy amennyiben az ilyen ellenőrzések során a célhoz kötött adatkezelés elvét a munkáltató betartja, az ellenőrzés nem sérti az érintettek személyiségi jogait.
[11] A web-email a munkadokumentum értelmében olyan elektronikus levelező rendszer, melyet egy Internetes szolgáltató bocsát a felhasználó rendelkezésére.
[12] Egy ítéletében például a francia Versailles-i Fellebbviteli Bíróság kimondta, hogy a munkáltató nem tudja bizonyítani a munkáltató által írt elektronikus levelek bizonyítékként történő benyújtásával azt, hogy a munkavállaló nem teljesítette a munkaviszonyból származó kötelezettségét, nevesen azt, hogy a rendelkezésére bocsátott elektronikus rendszer felhasználásával magán jellegű e-mailt továbbított. A bíróság indokolása szerint a levélnek egy pontosan meghatározható feladója, vagyis a munkavállaló és egy pontosan megnevezett magánszemély címzettje volt, következésképp a levél magánjellegű levélnek minősül, a magánlevelezés titkosságát, pedig védi a jog. Következésképpen a munkáltató jogellenesen szerezte be az eljárásban felhasználni kívánt bizonyítékát, mely ez okból nem használható fel a bíróság előtt. (M. Venet v. S:A France Réseaux Systèmes, June 21, 2001)
[13] Ezt az álláspontot például az osztrák joggyakorlatban érhető tetten (lásd.: www.dsk.gv.at).
[14] Ezzel a nézettel kapcsolatban azonban szükséges arra felhívnunk a figyelmet, hogy habár a tulajdon védelméhez való jog érvényesítése, melyet az egyes tagállami alkotmányok alkotmányos jogként ismernek el, bizonyos esetekben valóban indokolttá teheti más alkotmányos jognak az arányos korlátozását. A munkajogi jogviszonyból származó jogosultságok azonban önmagukban - egyes kutatók nézete szerint - nem konkurálhatnak egy emberi alapjoggal, nem korlátozhatják azokat, tekintettel arra, hogy egy alkotmányban rögzített alapjogot csak egy másik alkotmányos alapjog javára lehet korlátozni.
[15] Ezt az álláspontot többek között a belga (Opinion 10/2000 of the Commission for the Protection of Privacy "Opinion regarding the monitoring by the employer of the use of computer systems at the workplace" (lásd.: www.privacy.fgov.be)), illetve a svéd joggyakorlatban érhetjük tetten (Lásd: www.datainspektionen.se, illetőleg www.privacy.fgov.be).
[16] Ilyen kódexeket fogadtak el többek között: Belgiumban, Franciaországban, Görögországban, Hollandiában, illetőleg Nagy Britanniban.
[17] The Act on Protection of Privacy in Working Life (477/2001) (Lásd.: www.tietosuoja.fi).
[18] The Personal Data Act (523/1999)
[19] The Act on Protection of Privacy in Working Life (759/2004)
Lábjegyzetek:
[1] A szerző a KRE ÁJK PhD-hallgatója.
Visszaugrás
