Minden munkahely esetén fennakadást jelenthet a munkaerő kiesése betegség miatt, ami a koronavírus járvány idején még inkább mindennapossá vált. A munkáltatónak ilyenkor is szüksége lehet a munkavállaló által kezelt munkahelyi információk elérésére. Joggal gondolhatja a munkáltató, hogy ellenőrizheti a tulajdonában álló és a munkavállaló rendelkezésére bocsátott eszközöket, e-mail fiókokat. A munkáltató működésének folytonossága is szükségessé teszi, hogy a helyettesítés idejére a munkavállaló munkavégzési eszközein tárolt adatok a munkáltató számára hozzáférhetők legyenek. Mindezek mellett nem szabad azonban figyelmen kívül hagyni, hogy a munkáltatói jogok gyakorlása során is tekintettel kell lenni az adatvédelmi szabályokra. Azaz, ha munkajogilag helyesen is jár el a cég, az adatvédelmi szempontból még nem feltétlenül lesz jogszerű.

Egy adatvédelmi hatósági eset

Egy kapcsolódó adatvédelmi hatósági határozat főszereplője egy középvezető, aki betegség miatt nem tudta ellátni feladatait. A munkának viszont haladnia kellett, ezért a munkáltató az irodai számítógépét és munkahelyi postafiókját is átnézte. A keresés során több „elintézetlen ügyre” bukkantak, ezért úgy döntöttek, hogy alaposabb ellenőrzést végeznek a távollévő kolléga eszközein és íróasztalán. Az átvizsgálásról jegyzőkönyvet vett fel a munkáltató és fényképeket is készített.

Az érintett munkavállalót az ellenőrzésről nem értesítették, csak a céges telefonjára érkezett egy üzenet a belépési jelszó megváltoztatásáról akkor, amikor a munkahelyi e-mail fiókjához történő hozzáférését megszüntették. A munkavállaló így a nála lévő laptopon a korábbi leveleit még tudta olvasni, de az új beérkező leveleket már nem látta, és e-mailt sem tudott írni. A betegség utáni első munkanapján le kellett adnia a nála lévő céges telefont és laptopot, melyeken személyes adatokat (például telefonszámok, üzenetek, híváslisták, internet böngészési előzmények, személyi okmányai másolatai, internetes oldalakhoz tartozó felhasználó nevek és jelszavak) is tárolt, amiket viszont már nem volt lehetősége saját eszközre átmásolni vagy törölni.

A hatóság álláspontja

Az ügy kapcsán a hatóság általános jelleggel kimondta: függetlenül attól, hogy a munkáltató megtiltja vagy engedélyezi a munkavégzéshez biztosított számítástechnikai eszközök magáncélú használatát, az azokon tárolt személyes adatok tekintetében is adatkezelőnek számít a munkáltató, és a munkáltatóé az adatkezelés jogszerűségéért való elsődleges felelősség is. Méghozzá azért, mert a munkáltató számára állnak rendelkezésre azok az eszközök (belső szabályozási és technikai, operatív intézkedések), amelyekkel a jogszerűség biztosítható.

A beteg munkavállaló az ellenőrzésről előzetesen nem kapott tájékoztatást, és az még a betegsége alatt, távollétében le is zajlott. Emiatt nem volt módja arra sem, hogy a nem munkavégzési célú személyes adatait saját eszközre másolhassa vagy törölhesse. A munkavállaló számára visszatérését követően sem vált ismertté, hogy a munkáltató az ellenőrzést milyen körben és milyen módon végezte, az milyen adatok megismerésével és esetleges további tárolásával járt együtt, milyen szabályok és módszer alapján ellenőrizték a rendelkezésére bocsátott e-mail fiók tartalmát, mi történt a visszakért laptopján és a telefonján tárolt adatokkal. Jogairól és jogorvoslati lehetőségeiről sem kapott előzetesen tájékoztatást.

A hatósági eljárás során a munkáltató jogos gazdasági érdekeire hivatkozással igyekezett megalapozni eljárását, azonban a hatóság álláspontja szerint a munkáltató nem tudta alátámasztani, hogy jogos érdeke elsőbbséget élvezett volna a munkavállaló személyes adatainak védelméhez fűződő érdekeivel és jogaival szemben. A jogos érdekre alapozott adatkezelés előfeltétele ugyanis az adatkezelés megkezdése előtt elvégzett érdekmérlegelési teszt. Érdekmérlegelési teszt hiányéban jogos érdeken alapuló adatkezelés nem lehet jogszerű.

Az ismertetett ügyben a hatóság végül megállapította, hogy a munkavállaló személyes adatait a munkáltató jogellenesen kezelte a munkavállaló levelezéseinek áttekintése és ellenőrzése során. A hatóság a munkáltatót korrekciós intézkedésekre utasította (például e-mail-fiók és számítástechnikai eszköz használati belső szabályzat megalkotása), és 1.000.000.- Ft adatvédelmi bírság megfizetésére is kötelezte.

A kulcs a körültekintő eljárás – munkáltatóként és munkavállalóként is

A hatóság határozatából az látszik, hogy a munkáltatónak igen körültekintően kell eljárnia, ha a munkavégzéshez számítástechnikai eszközt vagy telefont biztosít a munkavállaló részére. A munkáltatónak nem nyújt elegendő védelmet önmagában az általános törvényi tilalom, mely szerint az eszközt a munkavállaló csak a munkáltató engedélyével használhatja magáncélra. A munkáltatónak fel kell készülnie azokra a helyzetekre is, ha a munkavállaló ezt a korlátozást nem tartja be. Illetve körültekintően kidolgozott eljárásrendre van szükség ahhoz, hogy a munkáltató jogszerűen ellenőrizhesse az eszközök használatának szabályszerűségét.

A személyes adatok kezelésére vonatkozó megfelelő belső szabályzat védelmet jelent a munkáltatónak, kiszámíthatóságot a munkavállalónak, és átláthatóságot az ügyfeleknek, melyek mindegyike érték a munkáltató szemszögéből.

A fenti tartalom tájékoztató jellegű, s így nem minősül jogi tanácsadásnak. Bármely probléma részletes ismeretének hiányában nem lehetséges az adott kérdésre vonatkozó válaszként értelmezni. A leírtak teljeskörűsége és időbeli helytállósága tekintetében felelősséget nem tudunk vállalni. Ennek megfelelően az itt felvázolt vélemények és következtetések módosulhatnak, különösen egy konkrét tényállás ismeretében. A fentiek elolvasása nem teremti meg az alapját ügyvéd-ügyfél jogviszonynak, így ezen tájékoztató jellegű információk felhasználásából származó bármilyen kárért, elmaradt haszonért felelősséget sem tudunk vállalni. Javasoljuk, hogy minden esetben vegye fel a kapcsolatot irodánkkal!