Az álláskeresők Facebookjainak ellenőrzése adatkezelést valósít meg
Tévedés, hogy a munkáltatók egy jelentkező személyes adatait pusztán azért kezelhetik, mert azok egy közösségi oldalon nyilvánosan hozzáférhetőek – állapítja meg véleményében az európai uniós tagállamok adatvédelmi biztosaiból és a tagállami adatvédelmi hatóságok képviselőiből álló 29-es Adatvédelmi Munkacsoport. A legújabb vélemény számos olyan tipikus munkahelyi adatkezelési esetet tárgyal, ahol a technológiai fejlődés fokozott adatvédelmi kockázatokat jelenthet. Ezeket tekintik át Bertók Gábor és Vári Csaba, a Horváth és Társai DLA Piper Ügyvédi Iroda ügyvédei.
Előző cikkünkben a változatlanul irányadó szabályok mellett az Általános Adatvédelmi Rendelet (Az Európai Parlament és a Tanács EU 2016/679 Rendelete, az ún. GDPR, azaz “General Data Protection Regulation”) újdonságaira is kitértünk, a folytatásban pedig a vélemény által tárgyalt olyan tipikus munkahelyi adatkezelési eseteket mutatunk be, ahol a technológiai fejlődés fokozott adatvédelmi kockázatokat jelenthet.
Minden ilyen adatkezelés esetén a munkáltatóknak azt kell mérlegelniük, hogy:
- Szükséges-e az adatkezelés, és ha igen, van-e megfelelő jogalapja az adatkezelésnek?
- A tervezett adatkezelés tisztességes-e a munkavállalókra nézve?
- Az adatkezelés arányos-e a vele felmerülő kockázatokkal összemérve?
- Az adatkezelési tevékenység átlátható-e?
1. Felvételi eljáráshoz köthető adatkezelés
A közösségi oldalak elterjedésével egyre nagyobb a csábítás, hogy a munkáltatók ezeken a platformokon előzetesen információt gyűjtsenek az állásra jelentkezőkről. Ez a magatartás azonban adatkezelésnek minősül, amihez megfelelő jogalap szükséges, így tévedés, hogy a munkáltatók egy jelentkező személyes adatait pusztán azért kezelhetik, mert azok egy közösségi oldalon nyilvánosan hozzáférhetőek. A 29-es Munkacsoport szerint ilyenkor megfelelő jogalap lehet a jogos érdek, de csak abban az esetben, ha az álláshoz valamilyen okból szükséges a jelentkezőről elérhető információk előzetes átvizsgálása, és ha a jelentkezőket erről megfelelő módon – például az álláshirdetés szövegében – tájékoztatják.
A felvételi eljárás során gyűjtött személyes adatokat törölni kell, amint nyilvánvalóvá válik, hogy az érintett személy nem kerül kiválasztásra, vagy az állásajánlatot visszautasítja.
2. Munkaviszony fennállása alatti adatkezelés
A 29-es Munkacsoport a munkaviszony fennállása alatti megfigyelés kapcsán kiemeli, hogy tilos a munkavállalókat általános jelleggel a közösségi oldalakon monitorozni. A munkáltató továbbá nem kérheti a munkavállalóitól, hogy adjanak hozzáférést olyan információkhoz, amelyeket a munkavállalók osztanak meg másokkal a közösségi oldalakon.
3. Az információtechnológiai és kommunikációs eszközök munkahelyi használatának megfigyeléséből adódó adatkezelési tevékenység
Hagyományosan az elektronikus kommunikáció munkahelyi megfigyelése jelentette a legnagyobb fenyegetést a munkavállalók adatvédelmi jogaira, ami a technológiai fejlődésnek köszönhetően csak fokozódott. Manapság már számos olyan szoftver létezik, amelyekkel észrevétlenül nyomon lehet követni a munkavállalók számítógépes (e-mail, internet) és egyéb eszközhasználatát. A 29-es Munkacsoport javaslata szerint függetlenül az alkalmazandó technológiától a jogos érdekre mint jogalapra csak abban az esetben lehet az ilyen típusú adatkezeléseknél hivatkozni, ha az adatkezelő mérlegeli az alkalmazandó technológia arányosságát, azaz felméri, hogy az alkalmazandó technológia nem jelent-e aránytalan beavatkozást az érintettek magánszférájába, valamint, hogy van-e lehetőség olyan további intézkedésekre, amelyek az adatkezelés volumenét és munkavállalókra gyakorolt hatását minimalizálja. Ennek felmérésére sor kerülhet például egy előzetes adatvédelmi hatásvizsgálat keretében.
A 29-es Munkacsoport azt is kiemeli, hogy a munkáltatók kötelesek belső szabályzatokat elfogadni az információtechnológiai és kommunikációs eszközök munkahelyi használatáról, világosan részletezve az alkalmazott adatkezeléseket.
Ezen eszközök vonatkozásában a vélemény hangsúlyozza a szubszidiaritás elvének betartását, és a felderítés helyett a megelőzésre helyezi a hangsúlyt (pl. egyes tiltott weboldalak letöltésének megakadályozása az internethasználat megfigyelése helyett).
4. Az információtechnológiai és kommunikációs eszközök munkahelyen kívüli használatának megfigyeléséből adódó adatkezelési tevekénység
Az otthoni és távmunka elterjedésével, továbbá a saját eszközök munkahelyen való használatából (Bring Your Own Device) eredően a hagyományos munkahelyi adatkezelési kockázatok könnyedén kiterjedhetnek a munkavállalók privát szférájára is. A távoli hozzáféréssel való otthoni munkavégzés a munkáltató részére is informatikai kockázatokat jelenthet, azonban a 29-es Munkacsoport véleménye szerint erre nem lehet megfelelő munkáltatói intézkedés a munkavállalók számítógépes tevékenységének nyomon követése (pl. egér mozdulatok, képernyő állapotok rögzítése), mivel az aránytalan beavatkozást jelent a munkavállalók magánszférájába.
A munkavállalók saját eszközeit érintő adatkezelések kapcsán alapvető elv, hogy a munkáltató nem férhet hozzá az ilyen eszközök magán célú használatra fenntartott részeihez. Míg normál esetben a munkáltatónak jogos érdeke fűződhet ahhoz, hogy információbiztonsági okokból a saját eszközeinek lokációját és forgalmát monitorozza, a munkavállalói eszközök esetében ez nem megengedhető.
A munkavállalói eszközökről való adatgyűjtést lehetővé tevő úgynevezett MDM (Mobile Device Management, vagyis mobil eszközmenedzsment) technológiák alkalmazása során ajánlott adatvédelmi hatásvizsgálatot lefolytatni. Abban az esetben is, ha ennek az az eredménye, hogy az MDM technológia használata szükséges, vizsgálni kell, hogy az ezzel megvalósuló adatkezelés megfelel-e az arányosság és szubszidiaritás elvének. A munkavállalókat teljes körűen tájékoztatni kell az MDM technológiával megvalósuló adatkezelésről.
Ami a munkavállalóknak adott, testen viselhető okos eszközököket illeti, az ezek által gyűjtött szenzitív egészségügyi adatok kezelése még munkavállalói hozzájárulás mellett is kifejezetten tilos.
5. Idő és jelenléti adatok kezelése
E körben is hangsúlyozza a vélemény, hogy bár jogos érdeke fűződhet a munkáltatónak ahhoz, hogy nyomon kövesse, hogy kik és mennyi ideig tartózkodnak egy adott helyen, azonban az ezzel kapcsolatos adatkezelésnek is mindig célhoz kötöttnek kell lennie.
6. Munkahelyi kamerás megfigyelés
A munkahelyi kamerás megfigyeléssel járó adatvédelmi kockázatok továbbra is aktuálisak és a technológiai fejlődéssel csak tovább fokozódtak: manapság mindennaposak a kisebb, távolról elérhető kamerák, arcfelismerő és elemző szoftverek, valamint az automatikus videoanalitika. A 29-es Munkacsoport egyértelműen kiemeli, hogy az arcfelismerő technológiák alkalmazását csak nagyon szűk körben tartja elfogadhatónak, mivel ez általában aránytalan beavatkozást jelent a munkavállalók magánszférájába.
7. Munkavállalók által használt járművekkel kapcsolatos adatkezelések
Különösen a szállítással foglalkozó, valamint a jelentős céges autó flottával rendelkező cégeknél egyre elterjedtebbek a céges autók megfigyelését lehetővé tevő technológiák. Abban az esetben, ha a céges autót a munkavállaló magáncélra is használhatja, fontos, hogy legyen lehetősége a magáncélú használat során (pl. egy orvosi látogatáskor), illetve munkaidőn kívül az autó lokációját nyomon követő technológiákat kikapcsolni. Ebben az esetben is elvárás, hogy a munkáltató tájékoztassa a munkavállalókat az autóban működő nyomkövetőről és az ezzel járó adatkezelésről. A 29-es Munkacsoport ajánlása szerint e tájékoztatót lehetőség szerint az autóban is jól látható helyen fel kell tüntetni.
A 29-es Munkacsoport az autó „fekete dobozaként” működő adatrögzítőkkel (angolul: event data recorder) kapcsolatban felhívja a figyelmet, hogy ezek csak az arányosság és szubszidiaritás elvének betartása mellett alkalmazhatók, ha ez jogos munkáltatói érdek fennállása miatt szükséges. A fedélzeti kamerákkal kapcsolatban pedig kiemeli, hogy a vezető személyes adatok védelméhez való joga erősebb, mint a munkáltató azon jogos érdeke, hogy a vezetőt megfigyelje, ezért a munkavállalók állandó kamerás megfigyelése a gépkocsiban súlyos adatvédelmi jogsértést valósít meg.
8. Harmadik személy számára történő munkavállalói adattovábbítás
A megbízható szolgáltatásnyújtás érdekében sok cég küld munkatársairól személyes adatot üzleti partnereinek (pl. kézbesítő cég a kézbesítő nevét, telefonszámát és fényképét). Ha azonban túlzott körre terjed ki a személyes adatok átadása (pl. fotó), érvényes hozzájárulás és arányosság hiányában jogellenes az adatkezelés.
9. Munkavállalói adat külföldre továbbítása
A felhő alapú alkalmazások elterjedésével egyre több munkavállalói személyes adat kerül külföldre, amellyel kapcsolatban a vélemény hivatkozik a 29-es Munkacsoport korábbi megállapításaira, és a megfelelő védelem szükségességét és a kezelt adatok minimalizálását hangsúlyozza.
Konklúziók és ajánlások:
Végül a vélemény konklúziói közül az alábbiakat emeljük ki:
- A munkavállalók tartózkodási helyének megfigyelése a céges vagy privát eszközökön keresztül kizárólag azokra az esetekre korlátozandó, ahol ez valamilyen jogos munkáltatói érdek miatt feltétlenül szükséges, azzal, hogy a saját eszközöknél a magáncélú kommunikációval összefüggésben semmilyen adatkezelés nem végezhető.
- A hozzájárulás továbbra sem megfelelő jogalap az adatkezeléshez, kivéve, ha a munkavállaló következmények nélkül utasíthatja vissza a hozzájárulás adását.
- Az arányosság elvének alkalmazása a gyakorlatban azt is jelenti, hogy a munkáltatóknak nagyobb hangsúlyt kell fektetniük a szabályzataik megszegésének megelőzésre, mint az általában adatkezeléssel járó utólagos ellenőrzésre.
- A munkáltatóknak az új technológiák alkalmazása során törekedniük kell az adattakarékosság elvére, azaz a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk, ideértve a minimális adattárolási időtartamot.
- A felhő alapú alkalmazások többsége határokon átnyúló adattovábbítást valósíthat meg. Az Európai Unión kívüli országba történő adattovábbítás csak akkor történhet jogszerűen, ha ebben az országban a személyes adatok védelmének megfelelő szintje biztosított.
Kapcsolódó cikkek
- A Kärcher a DXC felhő szolgáltatásával váltott valós idejű, intelligens IT-környezetre
- Álhírek és kiberpropaganda: így használják (ki) a közösségi médiát
- Munkahelyi adatkezelés az EU új adatvédelmi rendelete és az új technológiák fényében
- Akár ön is felelhet cége bezárásáért, ha jön a GDPR
- A felhő jogi környezete
- Új szolgáltatással bővül a Facebook
- Megállj a Wi-Fi hekkereknek!
- ESET tippek: 5 dolog, amit a titkosításról tudni kell
- Így szurkoltunk a vizes vb alatt
- #Varosipezsges: Kampány indul a Z generáció digitális edukációjáért
E-világ ROVAT TOVÁBBI HÍREI
A Sony bejelenti második generációs zászlóshajóját, az Alpha 1 II fényképezőgépet
A Sony bemutatja a második generációs Alpha 1 II zászlóshajóját, egy új full frame, tükör nélküli, cserélhető objektíves fényképezőgépet, amelyet a Sony legmodernebb AI feldolgozóegységével működik. A fényképezőgép körülbelül 50.1 megapixel (MP) effektív felbontású érzékelővel rendelkezik, akár 30 fps sebességgel, AF/AE-követéssel képes elsötétedésmentes sorozatfelvételt készíteni, torzításmentes zárral van ellátva, és továbbfejlesztette a képtisztaságot a közép- és magastónusok érzékenységénél.
Az új Sony objektív nagy felbontást, gyönyörű bokeh-t és fejlett autofókuszt kínál
A Sony bejelentésével új utat tör: az FE 28-70mm F2 GM prémium E-bajonettes objektív a teljes zoomtartományban nagy, F2-es rekesznyílással büszkélkedhet, így gyönyörű bokeh-t, nagy felbontást és egyedülálló autofókuszt biztosít állóképekhez és videófelvételekhez, nem beszélve a prímobjektívek minőségével vetekedő élességről és kontrasztról.
A digitális bankolás jövője: személyre szabott ügyfélélmény és új generációs technológiák
A Deloitte legfrissebb, Digital Banking Maturity 2024 kutatásának eredményeiből kiderül, hogy a COVID-19 járvány idején elindult digitalizációs folyamatok nemhogy nem lassultak, hanem új lendületet kaptak a bankszektorban az elmúlt évek során, alkalmazkodva az ügyfelek folyamatosan bővülő igényeihez. A fejlesztések fókuszában a funkciók mennyisége helyett, egyre inkább a személyre szabottság, az ügyfélélmény fokozása és a költséghatékonyság kapott hangsúlyt. Emellett a korábban elhanyagolt területek, például a digitális jelzálog is előtérbe kerültek.
OMV: 2025 végéig országszerte elérhető lesz az ultragyors töltőhálózat
Országszerte 15 helyszínen már igénybe vehetőek az OMV új gyorstöltői. A társaság még idén megduplázza ultragyors töltéssel üzemelő töltőállomásai számát, 2025 végéig pedig közel 50 helyszínen összesen 80 villámtöltő pont működik majd az országban. A töltők legalább 100 kW teljesítmény leadására képesek, ami később több helyszínen akár a 200 kW-ot is elérheti, a hálózati kapacitás függvényében. Az OMV saját applikációt is fejlesztett a töltőkhöz, amiben most különleges akciókkal várja az autósokat.
Nemzetközi szintre lép a karbonlábnyom-csökkentő magyar startup
Balogh Petya és az általa fémjelzett STRT Holding Nyrt., valamint két másik befektető látott fantáziát a digitális marketing tevékenységek, így a weboldalak és e-mail kampányok karbonlábnyomának csökkentésére specializálódott Carbon.Crane-ben. A világszinten naponta küldött 350 milliárd e-mail* és a 200 millió aktívan üzemelő weboldal** – a háttérben dolgozó szerverparkok miatt – egyre nagyobb, ráadásul egyre növekvő részét teszi ki a globális karbonkibocsátásnak, erre dolgozott ki egyedi megoldásokat a 100%-ban magyar tulajdonú és hazai alapítású startup. Az egyedi és innovatív szolgáltatásokat nemzetközi szinten is értékeli a szakma, amit legutóbb a MediaSpace Global Changemakers' Awards 2024 díjával ismert el.