Felvétel előtt
A közösségi oldalak terjedésével egyre nagyobb a csábítás, hogy a munkáltatók ezeken a platformokon előzetesen információt gyűjtsenek az állásra jelentkezőkről. Ez azonban adatkezelésnek minősül, amihez megfelelő jogalap szükséges, tévedés, hogy a munkáltatók a jelentkező személyes adatait pusztán azért kezelhetik, mert azok egy közösségi oldalon nyilvánosan hozzáférhetőek.
A 29-es Munkacsoport szerint ilyenkor megfelelő jogalap lehet a jogos érdek, de csak abban az esetben, ha az álláshoz valamilyen okból szükséges a jelentkezőről elérhető információk előzetes átvizsgálása, és ha a jelentkezőket erről megfelelő módon – például az álláshirdetés szövegében – tájékoztatják.
A felvételi eljárás során gyűjtött személyes adatokat törölni kell, amint nyilvánvalóvá válik, hogy az érintett személy nem választották ki, vagy az állásajánlatot visszautasítja.
Munkaviszony fennállása alatti adatkezelés
A Munkacsoport a munkaviszony fennállása alatti megfigyelés kapcsán kiemeli, hogy tilos a munkavállalókat általános jelleggel a közösségi oldalakon monitorozni.
A munkáltató továbbá nem kérheti a munkavállalóitól, hogy adjanak hozzáférést olyan információkhoz, amelyeket a munkavállalók osztanak meg másokkal a közösségi oldalakon.
Az eszközök munkahelyi használatának megfigyelése
Hagyományosan az elektronikus kommunikáció munkahelyi megfigyelése jelentette a legnagyobb fenyegetést a munkavállalók adatvédelmi jogaira, ami a technológiai fejlődés nyomán csak fokozódott.
Manapság már számos olyan szoftver létezik, amelyekkel észrevétlenül nyomon lehet követni a munkavállalók számítógépes (e-mail, internet) és egyéb eszközhasználatát.
A 29-es Munkacsoport javaslata szerint – függetlenül az alkalmazandó technológiától – a jogos érdekre mint jogalapra csak abban az esetben lehet az ilyen típusú adatkezeléseknél hivatkozni, ha az adatkezelő mérlegeli az alkalmazandó technológia arányosságát, azaz felméri, hogy az alkalmazandó technológia nem jelent-e aránytalan beavatkozást az érintettek magánszférájába, valamint, hogy van-e lehetőség olyan további intézkedésekre, amelyek az adatkezelés volumenét és munkavállalókra gyakorolt hatását minimalizálja.
A munkáltatók kötelesek belső szabályzatokat elfogadni az információtechnológiai és kommunikációs eszközök munkahelyi használatáról, világosan részletezve az alkalmazott adatkezeléseket.
A vélemény hangsúlyozza a szubszidiaritás elvének betartását, és a felderítés helyett a megelőzésre helyezi a hangsúlyt (például egyes tiltott weboldalak letöltésének megakadályozását az internethasználat megfigyelése helyett).
Munkahelyen kívüli használat megfigyeléséből adódó adatkezelés
Az otthoni és távmunka elterjedésével, továbbá a saját eszközök munkahelyen való használatából (Bring Your Own Device) eredően a hagyományos munkahelyi adatkezelési kockázatok könnyedén kiterjedhetnek a munkavállalók privát szférájára is.
A távoli hozzáféréssel való otthoni munkavégzés a munkáltató részére is informatikai kockázatokat jelenthet, azonban a 29-es Munkacsoport véleménye szerint erre nem lehet megfelelő munkáltatói intézkedés a munkavállalók számítógépes tevékenységének nyomon követése (például egérmozdulatok, képernyő állapotok rögzítése), mivel az aránytalan beavatkozást jelent a munkavállalók magánszférájába.
A munkavállalók saját eszközeit érintő adatkezelések kapcsán alapvető elv, hogy a munkáltató nem férhet hozzá az ilyen eszközök magán célú használatra fenntartott részeihez.
Míg normál esetben a munkáltatónak jogos érdeke fűződhet ahhoz, hogy információbiztonsági okokból a saját eszközeinek lokációját és forgalmát monitorozza, a munkavállalói eszközök esetében ez nem megengedhető.
A munkavállalói eszközökről való adatgyűjtést lehetővé tevő úgynevezett MDM (Mobile Device Management, vagyis mobil eszközmenedzsment) technológiák alkalmazása során ajánlott adatvédelmi hatásvizsgálatot lefolytatni. A munkavállalókat teljes körűen tájékoztatni kell az MDM technológiával megvalósuló adatkezelésről.
Ami a munkavállalóknak adott, testen viselhető okos eszközököket illeti, az ezek által gyűjtött szenzitív egészségügyi adatok kezelése még munkavállalói hozzájárulás mellett is kifejezetten tilos.
Idő és jelenléti adatok kezelése
E körben is hangsúlyozza a vélemény, hogy bár jogos érdeke fűződhet a munkáltatónak ahhoz, hogy nyomon kövesse, hogy kik és mennyi ideig tartózkodnak egy adott helyen, azonban az ezzel kapcsolatos adatkezelésnek is mindig célhoz kötöttnek kell lennie.
Munkahelyi kamerás megfigyelés
A munkahelyi kamerás megfigyeléssel járó adatvédelmi kockázatok továbbra is aktuálisak és a technológiai fejlődéssel csak tovább fokozódtak: manapság mindennaposak a kisebb, távolról elérhető kamerák, arcfelismerő és elemző szoftverek, valamint az automatikus videoanalitika.
A 29-es Munkacsoport egyértelműen kiemeli, hogy az arcfelismerő technológiák alkalmazását csak nagyon szűk körben tartja elfogadhatónak, mivel ez általában aránytalan beavatkozást jelent a munkavállalók magánszférájába.
Munkavállalók által használt járművek
Különösen a szállítással foglalkozó, valamint a jelentős céges autó flottával rendelkező cégeknél egyre elterjedtebbek a céges autók megfigyelését lehetővé tevő technológiák.
Ha a céges autót a munkavállaló magáncélra is használhatja, fontos, hogy legyen lehetősége a magáncélú használat során (például egy orvosi látogatáskor), illetve munkaidőn kívül az autó lokációját nyomon követő technológiákat kikapcsolni.
Ebben az esetben is elvárás, hogy a munkáltató tájékoztassa a munkavállalókat az autóban működő nyomkövetőről és az ezzel járó adatkezelésről. A Munkacsoport ajánlása szerint e tájékoztatót lehetőség szerint az autóban is jól látható helyen fel kell tüntetni.
A 29-es Munkacsoport az autó „fekete dobozaként” működő adatrögzítőkkel (angolul: event data recorder) kapcsolatban felhívja a figyelmet, hogy ezek csak az arányosság és szubszidiaritás elvének betartása mellett alkalmazhatók, ha ez jogos munkáltatói érdek fennállása miatt szükséges.
A fedélzeti kamerákkal kapcsolatban pedig kiemeli, hogy a vezető személyes adatok védelméhez való joga erősebb, mint a munkáltató azon jogos érdeke, hogy a vezetőt megfigyelje, ezért a munkavállalók állandó kamerás megfigyelése a gépkocsiban súlyos adatvédelmi jogsértés.
Harmadik személy számára való adattovábbítás
A megbízható szolgáltatásnyújtás érdekében sok cég küld munkatársairól személyes adatot üzleti partnereinek (pl. kézbesítő cég a kézbesítő nevét, telefonszámát és fényképét).
Ha azonban túlzott körre terjed ki a személyes adatok átadása (például fotó), érvényes hozzájárulás és arányosság hiányában jogellenes az adatkezelés.
Munkavállalói adat külföldre továbbítása
A felhő alapú alkalmazások elterjedésével egyre több munkavállalói személyes adat kerül külföldre, amellyel kapcsolatban a vélemény hivatkozik a 29-es Munkacsoport korábbi megállapításaira, és a megfelelő védelem szükségességét és a kezelt adatok minimalizálását hangsúlyozza.
Összegzés:
-
A munkavállalók tartózkodási helyének megfigyelése a céges vagy privát eszközökön keresztül kizárólag azokra az esetekre korlátozandó, ahol ez valamilyen jogos munkáltatói érdek miatt feltétlenül szükséges, azzal, hogy a saját eszközöknél a magáncélú kommunikációval összefüggésben semmilyen adatkezelés nem végezhető.
-
A hozzájárulás továbbra sem megfelelő jogalap az adatkezeléshez, kivéve, ha a munkavállaló következmények nélkül utasíthatja vissza a hozzájárulás adását.
-
Az arányosság elvének alkalmazása a gyakorlatban azt is jelenti, hogy a munkáltatóknak nagyobb hangsúlyt kell fektetniük a szabályzataik megszegésének megelőzésére, mint az általában adatkezeléssel járó utólagos ellenőrzésre.
-
A munkáltatóknak az új technológiák alkalmazása során törekedniük kell az adattakarékosság elvére, azaz a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk, ideértve a minimális adattárolási időtartamot.
-
A felhő alapú alkalmazások többsége határokon átnyúló adattovábbítást valósíthat meg. Az Európai Unión kívüli országba történő adattovábbítás csak akkor történhet jogszerűen, ha ebben az országban a személyes adatok védelmének megfelelő szintje biztosított.
