Az álláskeresők Facebookjainak ellenőrzése adatkezelést valósít meg

forrás: Prím Online, 2017. október 3. 12:36

Tévedés, hogy a munkáltatók egy jelentkező személyes adatait pusztán azért kezelhetik, mert azok egy közösségi oldalon nyilvánosan hozzáférhetőek – állapítja meg véleményében az európai uniós tagállamok adatvédelmi biztosaiból és a tagállami adatvédelmi hatóságok képviselőiből álló 29-es Adatvédelmi Munkacsoport. A legújabb vélemény számos olyan tipikus munkahelyi adatkezelési esetet tárgyal, ahol a technológiai fejlődés fokozott adatvédelmi kockázatokat jelenthet. Ezeket tekintik át Bertók Gábor és Vári Csaba, a Horváth és Társai DLA Piper Ügyvédi Iroda ügyvédei.

Előző cikkünkben a változatlanul irányadó szabályok mellett az Általános Adatvédelmi Rendelet (Az Európai Parlament és a Tanács EU 2016/679 Rendelete, az ún. GDPR, azaz “General Data Protection Regulation”) újdonságaira is kitértünk, a folytatásban pedig a vélemény által tárgyalt olyan tipikus munkahelyi adatkezelési eseteket mutatunk be, ahol a technológiai fejlődés fokozott adatvédelmi kockázatokat jelenthet.

 

Minden ilyen adatkezelés esetén a munkáltatóknak azt kell mérlegelniük, hogy:

  • Szükséges-e az adatkezelés, és ha igen, van-e megfelelő jogalapja az adatkezelésnek?
  • A tervezett adatkezelés tisztességes-e a munkavállalókra nézve?
  • Az adatkezelés arányos-e a vele felmerülő kockázatokkal összemérve?
  • Az adatkezelési tevékenység átlátható-e?

 

1. Felvételi eljáráshoz köthető adatkezelés

A közösségi oldalak elterjedésével egyre nagyobb a csábítás, hogy a munkáltatók ezeken a platformokon előzetesen információt gyűjtsenek az állásra jelentkezőkről. Ez a magatartás azonban adatkezelésnek minősül, amihez megfelelő jogalap szükséges, így tévedés, hogy a munkáltatók egy jelentkező személyes adatait pusztán azért kezelhetik, mert azok egy közösségi oldalon nyilvánosan hozzáférhetőek. A 29-es Munkacsoport szerint ilyenkor megfelelő jogalap lehet a jogos érdek, de csak abban az esetben, ha az álláshoz valamilyen okból szükséges a jelentkezőről elérhető információk előzetes átvizsgálása, és ha a jelentkezőket erről megfelelő módon – például az álláshirdetés szövegében – tájékoztatják.

 

A felvételi eljárás során gyűjtött személyes adatokat törölni kell, amint nyilvánvalóvá válik, hogy az érintett személy nem kerül kiválasztásra, vagy az állásajánlatot visszautasítja.

 

 

2. Munkaviszony fennállása alatti adatkezelés

A 29-es Munkacsoport a munkaviszony fennállása alatti megfigyelés kapcsán kiemeli, hogy tilos a munkavállalókat általános jelleggel a közösségi oldalakon monitorozni. A munkáltató továbbá nem kérheti a munkavállalóitól, hogy adjanak hozzáférést olyan információkhoz, amelyeket a munkavállalók osztanak meg másokkal a közösségi oldalakon.

 

3. Az információtechnológiai és kommunikációs eszközök munkahelyi használatának megfigyeléséből adódó adatkezelési tevékenység

Hagyományosan az elektronikus kommunikáció munkahelyi megfigyelése jelentette a legnagyobb fenyegetést a munkavállalók adatvédelmi jogaira, ami a technológiai fejlődésnek köszönhetően csak fokozódott. Manapság már számos olyan szoftver létezik, amelyekkel észrevétlenül nyomon lehet követni a munkavállalók számítógépes (e-mail, internet) és egyéb eszközhasználatát. A 29-es Munkacsoport javaslata szerint függetlenül az alkalmazandó technológiától a jogos érdekre mint jogalapra csak abban az esetben lehet az ilyen típusú adatkezeléseknél hivatkozni, ha az adatkezelő mérlegeli az alkalmazandó technológia arányosságát, azaz felméri, hogy az alkalmazandó technológia nem jelent-e aránytalan beavatkozást az érintettek magánszférájába, valamint, hogy van-e lehetőség olyan további intézkedésekre, amelyek az adatkezelés volumenét és munkavállalókra gyakorolt hatását minimalizálja. Ennek felmérésére sor kerülhet például egy előzetes adatvédelmi hatásvizsgálat keretében.

 

A 29-es Munkacsoport azt is kiemeli, hogy a munkáltatók kötelesek belső szabályzatokat elfogadni az információtechnológiai és kommunikációs eszközök munkahelyi használatáról, világosan részletezve az alkalmazott adatkezeléseket.

 

Ezen eszközök vonatkozásában a vélemény hangsúlyozza a szubszidiaritás elvének betartását, és a felderítés helyett a megelőzésre helyezi a hangsúlyt (pl. egyes tiltott weboldalak letöltésének megakadályozása az internethasználat megfigyelése helyett).

 

4. Az információtechnológiai és kommunikációs eszközök munkahelyen kívüli használatának megfigyeléséből adódó adatkezelési tevekénység

Az otthoni és távmunka elterjedésével, továbbá a saját eszközök munkahelyen való használatából (Bring Your Own Device) eredően a hagyományos munkahelyi adatkezelési kockázatok könnyedén kiterjedhetnek a munkavállalók privát szférájára is. A távoli hozzáféréssel való otthoni munkavégzés a munkáltató részére is informatikai kockázatokat jelenthet, azonban a 29-es Munkacsoport véleménye szerint erre nem lehet megfelelő munkáltatói intézkedés a munkavállalók számítógépes tevékenységének nyomon követése (pl. egér mozdulatok, képernyő állapotok rögzítése), mivel az aránytalan beavatkozást jelent a munkavállalók magánszférájába.

 

A munkavállalók saját eszközeit érintő adatkezelések kapcsán alapvető elv, hogy a munkáltató nem férhet hozzá az ilyen eszközök magán célú használatra fenntartott részeihez. Míg normál esetben a munkáltatónak jogos érdeke fűződhet ahhoz, hogy információbiztonsági okokból a saját eszközeinek lokációját és forgalmát monitorozza, a munkavállalói eszközök esetében ez nem megengedhető.

 

A munkavállalói eszközökről való adatgyűjtést lehetővé tevő úgynevezett MDM (Mobile Device Management, vagyis mobil eszközmenedzsment) technológiák alkalmazása során ajánlott adatvédelmi hatásvizsgálatot lefolytatni. Abban az esetben is, ha ennek az az eredménye, hogy az MDM technológia használata szükséges, vizsgálni kell, hogy az ezzel megvalósuló adatkezelés megfelel-e az arányosság és szubszidiaritás elvének. A munkavállalókat teljes körűen tájékoztatni kell az MDM technológiával megvalósuló adatkezelésről.

 

Ami a munkavállalóknak adott, testen viselhető okos eszközököket illeti, az ezek által gyűjtött szenzitív egészségügyi adatok kezelése még munkavállalói hozzájárulás mellett is kifejezetten tilos.

 

5. Idő és jelenléti adatok kezelése

E körben is hangsúlyozza a vélemény, hogy bár jogos érdeke fűződhet a munkáltatónak ahhoz, hogy nyomon kövesse, hogy kik és mennyi ideig tartózkodnak egy adott helyen, azonban az ezzel kapcsolatos adatkezelésnek is mindig célhoz kötöttnek kell lennie.

 

6. Munkahelyi kamerás megfigyelés

A munkahelyi kamerás megfigyeléssel járó adatvédelmi kockázatok továbbra is aktuálisak és a technológiai fejlődéssel csak tovább fokozódtak: manapság mindennaposak a kisebb, távolról elérhető kamerák, arcfelismerő és elemző szoftverek, valamint az automatikus videoanalitika. A 29-es Munkacsoport egyértelműen kiemeli, hogy az arcfelismerő technológiák alkalmazását csak nagyon szűk körben tartja elfogadhatónak, mivel ez általában aránytalan beavatkozást jelent a munkavállalók magánszférájába.

 

7. Munkavállalók által használt járművekkel kapcsolatos adatkezelések

Különösen a szállítással foglalkozó, valamint a jelentős céges autó flottával rendelkező cégeknél egyre elterjedtebbek a céges autók megfigyelését lehetővé tevő technológiák. Abban az esetben, ha a céges autót a munkavállaló magáncélra is használhatja, fontos, hogy legyen lehetősége a magáncélú használat során (pl. egy orvosi látogatáskor), illetve munkaidőn kívül az autó lokációját nyomon követő technológiákat kikapcsolni. Ebben az esetben is elvárás, hogy a munkáltató tájékoztassa a munkavállalókat az autóban működő nyomkövetőről és az ezzel járó adatkezelésről. A 29-es Munkacsoport ajánlása szerint e tájékoztatót lehetőség szerint az autóban is jól látható helyen fel kell tüntetni.

 

A 29-es Munkacsoport az autó „fekete dobozaként” működő adatrögzítőkkel (angolul: event data recorder) kapcsolatban felhívja a figyelmet, hogy ezek csak az arányosság és szubszidiaritás elvének betartása mellett alkalmazhatók, ha ez jogos munkáltatói érdek fennállása miatt szükséges. A fedélzeti kamerákkal kapcsolatban pedig kiemeli, hogy a vezető személyes adatok védelméhez való joga erősebb, mint a munkáltató azon jogos érdeke, hogy a vezetőt megfigyelje, ezért a munkavállalók állandó kamerás megfigyelése a gépkocsiban súlyos adatvédelmi jogsértést valósít meg.

 

8. Harmadik személy számára történő munkavállalói adattovábbítás

A megbízható szolgáltatásnyújtás érdekében sok cég küld munkatársairól személyes adatot üzleti partnereinek (pl. kézbesítő cég a kézbesítő nevét, telefonszámát és fényképét). Ha azonban túlzott körre terjed ki a személyes adatok átadása (pl. fotó), érvényes hozzájárulás és arányosság hiányában jogellenes az adatkezelés.

 

9. Munkavállalói adat külföldre továbbítása

A felhő alapú alkalmazások elterjedésével egyre több munkavállalói személyes adat kerül külföldre, amellyel kapcsolatban a vélemény hivatkozik a 29-es Munkacsoport korábbi megállapításaira, és a megfelelő védelem szükségességét és a kezelt adatok minimalizálását hangsúlyozza.

 

Konklúziók és ajánlások:

Végül a vélemény konklúziói közül az alábbiakat emeljük ki:

  • A munkavállalók tartózkodási helyének megfigyelése a céges vagy privát eszközökön keresztül kizárólag azokra az esetekre korlátozandó, ahol ez valamilyen jogos munkáltatói érdek miatt feltétlenül szükséges, azzal, hogy a saját eszközöknél a magáncélú kommunikációval összefüggésben semmilyen adatkezelés nem végezhető.
  • A hozzájárulás továbbra sem megfelelő jogalap az adatkezeléshez, kivéve, ha a munkavállaló következmények nélkül utasíthatja vissza a hozzájárulás adását.
  • Az arányosság elvének alkalmazása a gyakorlatban azt is jelenti, hogy a munkáltatóknak nagyobb hangsúlyt kell fektetniük a szabályzataik megszegésének megelőzésre, mint az általában adatkezeléssel járó utólagos ellenőrzésre.
  • A munkáltatóknak az új technológiák alkalmazása során törekedniük kell az adattakarékosság elvére, azaz a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk, ideértve a minimális adattárolási időtartamot.
  • A felhő alapú alkalmazások többsége határokon átnyúló adattovábbítást valósíthat meg. Az Európai Unión kívüli országba történő adattovábbítás csak akkor történhet jogszerűen, ha ebben az országban a személyes adatok védelmének megfelelő szintje biztosított.

E-világ ROVAT TOVÁBBI HÍREI

A Széchenyi István Egyetem közreműködésével magyar műhold vizsgálja az aszályos területeket

Hiánypótló kutatás zajlik a győri Széchenyi István Egyetem részvételével, amelynek keretében egy műhold ad rendszeresen távérzékelt adatokat Magyarország területéről. A konzorciumban megvalósuló európai uniós projekt során az intézmény Albert Kázmér Mosonmagyaróvári Kara az űrből érkező információkat elemzi és kontrollálja az aszályos időszakok hatásainak enyhítése érdekében. 

2024. november 2. 15:26

Élje át a "Yes" Moment Élményt az electronica-n

Jubileumi évében, november 12-15. között a világ vezető elektronikai szakvásárán minden a „Minden elektromos társadalom” körül forog – ideális helyszín a Conrad Sourcing Platform lehetőségeinek megismerésére! A Conrad Electronic beszerzési platformként személyre szabott digitális megoldásokat kínál üzleti ügyfeleinek, hogy még hatékonyabbá tegye a beszerzést. Különösen, ha rövid időn belül nem tervezett műszaki igények fedezéséről van szó. 

2024. november 2. 13:31

Számos MI-t használó alkalmazással ismerkedhettek meg a résztvevők a Mobile Broadband Forum kiállításon

Már több mint három millió mesterséges intelligenciára képes alkalmazás készült világszerte, túlszárnyalva a hagyományos alkalmazások számát – derült ki a 2024-es Isztambulban megrendezett Global Mobile Broadband Forum (MBBF) során. 

2024. november 2. 11:54

Még két hétig jelentkezhetnek az IT hallgatók a K&H STEM ösztöndíjpályázatára

Meghosszabbítja két héttel STEM pályázatának leadási határidejét a K&H bank, hogy minél több egyetemi hallgató vehessen részt a kezdeményezésben. Az új határidő szerint november 17-én éjfélig fogadja a pénzintézet a pályamunkákat. A pályázatra – amelyben nyolc aktuális, innovatív téma közül választhatnak a jelentkezők – hazai IT képzést nyújtó egyetemek hallgatói jelentkezhetnek két kategóriában: mesterképzés és alapképzés. A nyerteseket szakmai zsűri választja ki, és akár 500.000 forint értékű díjazásban is részesülhetnek.

2024. november 2. 10:12

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59