Az európai uniós tagállamok adatvédelmi szakemberei nemrégiben újabb véleményt fogadtak el a munkahelyi adatkezelés szabályairól. Ebben az Általános Adatvédelmi Rendelet (GDPR) munkáltatókat érintő új adatvédelmi kötelezettségeire, többek között az előzetes adatvédelmi hatásvizsgálatra, valamint a technológiai fejlődéssel járó adatvédelmi kockázatokra is kitérnek – hívja fel a figyelmet az Advocatus blog.

Kép: Bartos Gyula/PPArchív

Az új vélemény elfogadását a munkahelyeken alkalmazott olyan új információtechnológiai eszközök megjelenése indokolta, mint például a céges autóba telepített GPS-es fedélzeti kamera, a „nyomkövető” céges okos eszközök, vagy az olyan felhő alapú alkalmazások, amelyekkel a munkavállalók számítógépes tevékenysége részleteiben is nyomon követhető. Az ilyen új technológiák alkalmazása adott esetben jogos munkáltatói érdekeket védhet, azonban egyben új adatvédelmi kihívásokat is jelent a munkáltatók számára.

Az Európai Unió munkacsoportja kiemeli, hogy ma olyan munkahelyi adatkezelési technológiák léteznek, amelyek a korábbiakhoz képest jelentősen olcsóbban képesek óriási mennyiségű személyes adat kezelésére. Ráadásul az adatkezelés új formái gyakran rejtve maradnak, így egyre kevésbé nyilvánvalóak a munkavállalók számára. Ez különösen kiszolgáltatottá teheti a munkavállalókat az ilyen technológiákkal visszaélő munkáltatókkal szemben. Ezen felül az otthoni munkavégzés, valamint a Bring Your Own Device (munkahelyen való saját eszközhasználat) elterjedésével megnőtt a veszélye a munkavállalók privát környezetben való megfigyelésének is.

Az új technológiai körülmények fényében ezért indokolt ismételten összemérni a munkáltató jogos érdekeit a munkavállalók személyes adatok védelméhez fűződő jogával.

• A munkáltatók az alkalmazott technológiától függetlenül mindig kötelesek figyelembe venni az alapvető adatvédelmi elveket.
• A munkáltató helyiségeiből küldött elektronikus kommunikáció ugyanolyan alapjogi védelmet élvez, mint az analóg kommunikáció.
• A munkavállalókat hatékonyan tájékoztatni kell a munkahelyi megfigyelésről.
• A munkavállalói adatokat érintő minden nemzetközi adattovábbítás csak oda kivitelezhető, ahol a megfelelő szintű adatvédelem biztosított.

Az adatkezeléshez megfelelő jogalap:

• ha az adatkezelés egy szerződés teljesítése miatt, vagy
• valamilyen munkajogi (vagy más jogi) kötelezettség teljesítése miatt szükséges.

Amennyiben a munkáltató a jogos érdekre mint jogalapra támaszkodik, az adatkezelés céljának jogszerűnek kell lennie, az adatkezelés módjának illetve eszközének szükségesnek és arányosnak, a munkavállalóra nézve legkisebb beavatkozással járónak kell lennie, azzal, hogy a munkáltató megfelelő intézkedéseket kell, hogy tegyen, hogy az adatkezelés a munkavállaló alapvető jogaival egyensúlyban legyen. Ebben az esetben továbbá figyelembe kell venni, hogy a munkavállaló bármikor jogosult tiltakozni az adatkezelés ellen.

Az adatkezelésnek meg kell felelnie az átláthatóság követelményének, a munkavállalóknak teljes mértékben tisztában kell lenniük az őket érintő adatkezeléssel.

A munkáltatónak megfelelő technikai és szervezési intézkedéseket kell tennie az adatkezelés biztonsága érdekében.

Újdonságok

Az adatkezelők kötelesek olyan megfelelő technikai és szervezési intézkedéseket végrehajtani, amelyek célja egyrészt az adatvédelmi elvek

megvalósítása, másrészt az Általános Adatvédelmi Rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába. Hangsúlyos elv, hogy csak olyan személyes adatok kezelésére kerülhet sor, amelyek az adott adatkezelési cél szempontjából szükségesek.

Például, ha egy munkáltató nyomon követést lehetővé tevő eszközöket bocsát a munkavállalói rendelkezésére, az adatvédelmi szempontból legjobb (azaz munkavállalói magánszférába való legkisebb beavatkozással járó) megoldást kell választania.