Korunkban az információtechnológia fejlődésének üteme szinte robbanásszerű. A gyártók újabb és újabb "kütyükkel" árasztják el a piacot, amelyek figyelik alvás közben a légzésünket, ebéd közben a bevitt, futás közben pedig az elégetett kalóriákat. Rádiójeles technológiával (Paypass) fizetünk a boltban és mobiltelefonos applikációval csekkolunk be repülőjáratunkra. Nyomon követhető, hogy kik a valódi és a kik a virtuális "barátaink", milyen érdeklődési körünk van vagy éppen milyen anyagi javakkal bírunk. Mindezt megoszthatjuk ismerőssel és ismeretlennel, "lájkolhatjuk" - mit sem sejtve közben arról, hogy pontosan kik, hol és milyen eszközökkel élnek (vissza) az általunk "önként és dalolva" megadott személyes adatainkkal.
1. Néhány dogmatikai felvetés
2. Kihívások a munkáltatói szervezetek számára a GDPR integrálásával kapcsolatban
3. Megnövekedett adminisztrációs kötelezettségek
4. A munkavállalói személyes adatok megőrzésének határideje
5. Az érintetti jogok gyakorlása a munkaviszonyban
6. Bizonyítás a munkaügyi perben
7. Jogalkotási kilátások: az Mt. és a Tny. módosítása
Az információtechnológia új és újabb eszközei a munka világában is megjelentek az utóbbi évtizedben. Sok munkáltatónál ma már bevett gyakorlat a munkáltató tulajdonát képező eszközök (cégautó, internet, e-mail, telefon, számítógép, nyomtató) ellenőrzésére szolgáló hardverek és szoftverek használata, az elektronikus beléptetőrendszerek alkalmazása, de létezik a digitális aláírással ellátott elektronikus szabadságkiadás, a titkosítással védett belső elektronikus utasításadási folyamat vagy az emberi beavatkozást nem (vagy csak alig) igénylő, prediktív analitikai módszereken alapuló, úgynevezett "Big Data" alapú munkaerő-kiválasztás is.
Általánosságban kijelenthető, hogy megszámlálhatatlanul sok cég kezel természetes személyre vonatkozó adatokat és ez alól a munkáltatók sem képeznek kivételt. Ugyanakkor mindenképpen más egy munkáltató helyzete egy - például internetes szolgáltatást nyújtó - céghez képest az adatkezelés szempontjából, és ez több tényezőben nyilvánul meg. Egyrészt a munkaviszony alapvetően a "függő" munkát szabályozó, hierarchikus jegyeket hordozó jogviszony, azaz a munkavállalónak jellemzően nincsen választási lehetősége abban a körben, hogy a munkáltató kezelje-e az adatait vagy sem, különös figyelemmel arra, hogy a személyes adatok kezelését a munkáltatóra vonatkozó jogszabályi rendelkezések sokasága írja elő. Másrészt a munkáltató számos olyan adatot kezel, amely érzékeny jellegű (részben ideértve a "különleges kategóriájú adat"[1] fogalmi vonatkozásait is, de attól szélesebb körben értelmezve): például a munkavállaló várandóssága (például munkaidőkorlátok, felmondási tilalom), a gyermek egyedül történő nevelése (például felmondási korlátozás, munkaidő-korlátozások) vagy éppen a sztrájkban való részvétel ténye. Végül egyedülálló a munkáltatók helyzete abban a vonatkozásban is, hogy a munkáltató nemcsak a munkavállaló adatait kezeli, hanem például az annak gyermekére vonatkozó, akár egészségügyi adatot is (például pótszabadság fogyatékos gyermek után) vagy éppen a házastársra vonatkozó adatokat (például friss házasokat megillető adókedvezmény, baleset esetén értesítendő hozzátartozó).
Az Európai Parlament és a Tanács (EU) 2016. április 27-i 2016/679. rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (a továbbiakban: általános adatvédelmi rendelet vagy GDPR) 2018. május 25. napjától kötelezően alkalmazandó az Európai Unió tagállamaiban, így Magyarországon is, ideértve a munkahelyi adatkezelés területét is. A jelen cikkben - néhány dogmatikai jellegű meglátást követően - a GDPR-nak a hétköznapok munkajogába való integrálási nehézségeit tekintem át, kitérve a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) jelenleg előterjesztés alatt álló tervezett módosítására is.
- 33/34 -
1. Az általános adatvédelmi rendelet értelmében személyes adatnak minősül az azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ.[2] Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható. Itt érdemes utalni a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) gyakorlatára, amely szerint "az azonosíthatóság az azonosítás lehetőségét jelenti […] az azonosíthatóság fogalmát kiterjesztően értelmezi, azaz az információ személyes adat jellege nem függ az azt megismerő szubjektív adattartalmától, így irreleváns az, hogy az adatkezelő megfelelő egyéb ismeretek birtokában saját maga képes-e az érintett azonosítására."[3]
A fenti fogalomból levezethető, hogy a munkahelyen kezelt bármely, a munkavégzéssel összefüggő adat nem más, mint jogi védelemre érdemes személyes adat. Ilyen lehet például a munkahelyi jelenlétre, a kötelezettségszegésre, a munkateljesítményre, az egészségügyi jellegű munkavégzési korlátozásra, a szabadság igénybevételére vonatkozó adat, ennek megfelelően például a munkaközi szünet igénybevételének ténye mint személyes adat, pontosan ugyanúgy minősül, mint - például - az érintett neve vagy születési dátuma. Ha a munkáltató ezek kezelése során nem tartja be a GDPR szabályait, úgy tevékenysége jogszabályba ütközik.
A munkahelyi adatkezeléssel kapcsolatos alapvető - jelenleg már csak elméleti - dilemma, hogy védendő-e egyáltalán az olyan adat, amely a munkaviszony teljesítésével összefüggésben keletkezik. Érdemes itt utalni a korábbi adatvédelmi biztos, Majtényi László egy 2006-ban megfogalmazott óvatos véleményére, amely szerint "a munkahelyen is megilleti az alkalmazottat a privacy[4] védelme, ennek azonban ésszerű feltétele (noha ezt a szabályokból elég nehéz kiolvasni), hogy a védendő tevékenység magánéleti legyen, ne pedig a céghez, annak tevékenységéhez köthető. A munkáltató nevében, illetve számára folytatott tevékenység felett, ha az adatvédelmet a józan ész fényében értelmezzük, a munkáltató rendelkezik […] a munkahelyi privacyvédelem a munkavállaló magánéleti megnyilvánulásaira vonatkozik, nem pedig a közvetlen és nyilvánvaló munkavégzésre. (Abszurdan széles jogértelmezéssel azt is mondhatjuk, hogy a munkás által jól-rosszul elkészített munkadarab is az ő személyes adata.)"[5]
Némi sajnálatra ad okot, hogy sem az uniós, sem a hazai jogfejlődés nem tette magáévá a fenti gondolatokat, amely jelenleg azt eredményezi, hogy - szélsőséges példával élve - a munkaközi szünet munkavállaló által történő jogosulatlan meghosszabbítása, mint személyes adat is csak akkor kezelhető, ha arról a munkavállalót részletesen és előzetesen, írásban tájékoztatta a munkáltató. A 29. Adatvédelmi Munkacsoport[6] egyenesen azt fogalmazta meg, hogy a munkahelyi beléptetőrendszer használata során "a munkavállalók pontos belépési és kilépési idejének, illetve a belépések gyakoriságának folyamatos megfigyelése nem lehet indokolt, amennyiben azt más célra, például a munkavállalók teljesítményének értékelésére is használják."[7] Azaz: a beléptetőkártya használata vagyonvédelmi, biztonsági okokból elfogadható, de arra már nem használhatók fel a gyűjtött adatok, hogy a munkáltató az ekképpen szerzett adatokat a munkahelyi teljesítmény értékelési körébe vonja. Ez a megközelítés ugyanakkor a hagyományos munkajogi szemlélettel teljességgel ellentétes. Indokolt lett volna a munkahelyen, a munkaviszony teljesítésével összefüggésben keletkező adatok kezelése szabályozásának különválasztása azon adatoktól, amelyek valóban és szorosan az egyén, az érintett magánszférájához kötődnek.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
