A munkahelyi belső vizsgálatok olyan eljárások, amelyek a jogszabályt vagy a munkáltató magatartási szabályait sértő cselekmények feltárására és kivizsgálására irányulnak. Akár maga a munkáltató, vagy ezzel megbízott külső szervezet (pl. ügyvédi iroda) folytatja le az eljárást, az szükségszerűen személyes adatok kezelésével jár. Ezért annak érdekében, hogy a vizsgálatot lefolytató munkáltató jogszerűen járjon el, a vizsgálat során be kell tartania az adatvédelmi szabályokat és hatósági iránymutatásokat, továbbá a munkavállalók ellenőrzésére vonatkozó munkajogi rendelkezéséket.
A gyakorlatban ez a következők megfontolását igényli:
1. Megfelelő jogalap kiválasztása
A munkáltatónak a GDPR szerinti megfelelő jogalappal kell rendelkeznie a vizsgálattal összefüggő adatkezeléshez. Mostanra már adatvédelmi közhely, hogy munkahelyi kontextusban a hozzájárulás az önkéntesség hiánya miatt az esetek túlnyomó többségében nem megfelelő jogalap, ami belső vizsgálatok esetén nem is szorul további magyarázatra. A munkáltató ezért leginkább a jogsértés kivizsgálásához és orvoslásához fűződő saját jogos érdekére, vagy ha az ügyben más munkavállalót, vagy harmadik személyt sérelem ért, úgy e személyek jogos érdekére hivatkozhat. Ebben az esetben előzetesen egy érdekmérlegelési tesztet is kötelező készíteni. A jogos érdekre alapozott adatkezelés ugyanis csak akkor lehetséges, ha az érdekmérlegelési teszt eredménye azt mutatja, hogy az adatkezelő, és/vagy az említett harmadik személyek érdekei az adatkezelés tekintetében elsőbbséget élveznek a vizsgálat alá vont érintettek érdekeivel, jogaival és szabadságaival szemben. Az érdekmérlegelés során mindig az adott eset konkrét tényei alapján – és nem elvont formában –, az érintettek észszerű elvárásait is figyelembe véve kell eljárni. Ez praktikusan azt jelenti, hogy az érdekmérlegelési teszt eredményességéhez a belső vizsgálat szükségességét alátámasztó alapos gyanú fennállása és a jogsértést valószínűsítőt tények szükségesek.
2. Célhoz kötöttség, adattakarékosság, korlátozott tárolhatóság
A belső vizsgálat lefolytatásához a munkáltatónak a tényállás felderítéséhez szükséges minden releváns adatra szüksége van. Ennek megfelelően egy belső vizsgálat tipikusan egy sor személyes adatot is tartalmazó információ és anyaggyűjtéssel kezdődik. Az adattakarékosság és célhoz kötöttség elveiből adódóan azonban csak olyan személyes adat gyűjthető és használható fel, amelyre az eredményes eljárás céljából ténylegesen szükség van. Természetesen előfordulhat, hogy a vizsgálódás kezdetén még nem látható tisztán, hogy mely információk lehetnek relevánsak, ezért, ha az eljárás előrehaladtával ez tisztázódik, a belső vizsgálat céljához már nem szükséges személyes adatok kezelését a korlátozott tárolhatóság elvének megfelelően haladéktalanul meg kell szüntetni.
3. Átláthatóság és tájékoztatás
A személyes adatok kezelését az érintettek számára átlátható módon kell végezni. Ennek megfelelően a belső vizsgálat céljából végzett adatkezelésről is tájékoztatni kell az érintetteket. Abban az esetben, ha fennáll a veszélye, hogy az ilyen tájékoztatás meghiúsíthatja a belső vizsgálat sikerességét, a tájékoztatási kötelezettség kapcsán könnyen ellentétbe kerülhet a munkáltatónak az eredményes vizsgálat lefolytatásához fűződő érdeke, és az érintett személyes adatok védelméhez fűződő joga. Amennyiben az adatokat magától az érintettől gyűjtik, a GDPR 13. cikk szerinti tájékoztatást a személyes adatok megszerzésének időpontjában rendelkezésre kell bocsájtani. A NAIH gyakorlata szerint a munkáltatónak előzetes általános tájékoztatást kell adnia az ellenőrzés lehetőségéről, továbbá egyedi tájékoztatást kell nyújtania a konkrét ellenőrzés előtt is.
Ha az adatokat nem az érintettől szerzik meg, a munkáltatónak ésszerű határidőn belül, de legkésőbb 1 hónapon belül kell megadnia a tájékoztatást. Ha ezen határidőt megelőzi az adatok harmadik személy (pl. hatóság) részére történő továbbítása, a tájékoztatást a személyes adatok közlésekor kell megtenni. Fontos különbség a közvetlenül az érintettől történő adatgyűjtéshez képest, hogy a GDPR 14. cikk (5) b) pontja tartalmaz egy kivétel szabályt, amely szerint nem kell az érintettet tájékoztatni az adatkezelésről, ha a tájékoztatási kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében.
A fentiekből látható, hogy ha az érintettek nem kapnak a vizsgálatot megelőzően egy megfelelő általános tájékoztatást az ezzel kapcsolatos adatkezelés lehetőségéről, úgy könnyen konfliktusba kerülhet az érintetteknek a tájékoztatáshoz való joga és a munkáltatónak a vizsgálat eredményéhez fűződő érdeke, hiszen, ha a munkáltató közvetlenül a vizsgálat előtt tájékoztatja erről az érintetteket, úgy az könnyen meghiúsíthatja a vizsgálatot. Külön nehézséget okozhat az olyan munkavállalók tájékoztatása, akik már nem állnak alkalmazásban a munkáltatóval. Emiatt nagyon fontos, hogy a tájékoztatás időzítése és terjedelme az adott eset körülményeinek figyelembevételével gondosan kerüljön meghatározásra.
4. Adattovábbítás
Amennyiben a belső vizsgálat olyan multinacionális társaságnál történik, ahol az adatok értékelésében a cégcsoport harmadik országban jelenlévő munkatársai is részt vesznek, figyelemmel kell lenni a GDPR adattovábbításra vonatkozó szabályaira. Ezek alapján az EGT-n kívüli adattovábbításra csak a Bizottság megfelelőségi határozata, vagy más megfelelő garanciák biztosítása esetén kerület sor (pl. a Bizottság által jóváhagyott általános adatvédelmi kikötések, USA Privacy Shield, kötelező erejű vállalati szabályok).
5. Különleges személyes adatok
Ha a belső vizsgálat során a munkáltató különleges személyes adatot is kezel, a megfelelő jogalapon túl a GDPR 9. cikk (2) bekezdés szerinti valamely feltételt is teljesítenie kell a jogszerű adatkezeléshez. Az eset körülményeitől függően ilyen lehet például, ha az adatkezelés a munkáltatónak a foglalkoztatásra vonatkozó jogszabályokból fakadó jogai gyakorlásához szükséges (GDPR 9. cikk (2) b) pont), vagy ha az adatkezelésre jogi igények előterjesztése, érvényesítése, illetve védelme miatt van szükség (GDPR 9. cikk (2) f) pont).
6. Megbízott bevonása esetén adatfeldolgozói szerződés
Ha a munkáltató külső szervezetet bíz meg a belső vizsgálat lefolytatásával, úgy e szervezet a vizsgálat céljából végzett adatkezelés tekintetében önálló adatkezelőnek vagy adatfeldolgozónak minősülhet, utóbbi esetben a GDPR szerinti adatfeldolgozói szerződés megkötése szükséges. A vizsgálattal feltárt információk esetleges érzékenységére tekintettel javasolt külön titoktartási megállapodás megkötése is.
7. Adatvédelmi hatásvizsgálat
Ha a belső vizsgálattal járó adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, az adatkezelést megelőzően hatásvizsgálat elvégzése szükséges. A NAIH vonatkozó listája alapján különösen ez a helyzet, ha a belső vizsgálat a munkavállaló munkájának megfigyelésével vagy új technológiák alkalmazásával jár.
8. A tisztességes adatkezelés követelménye – a személyes jelenlét biztosítása az ellenőrzés során
A NAIH már a 2016-os munkahelyi adatkezelésről szóló tájékoztatójában kiemelte, hogy garanciális jelentőséggel bír a munkavállaló jelenlétének biztosítása az ellenőrzés során. Két 2019-es határozatában (NAIH/2019/51/11 és NAIH/2019/769/) a NAIH az e-mail fiók és a számítástechnikai eszköz ellenőrzése kapcsán megállapítja, hogy a munkahelyi ellenőrzéssel összefüggő adatkezelésnél a tisztességes adatkezelés elvéből az következik, hogy az ellenőrzés során főszabályként biztosítani kell a munkavállaló jelenlétét. Ha a munkavállaló jelenléte nem biztosítható, abban az esetben is egyrészt tájékoztatást kell nyújtani a munkavállaló számára a tervezett munkáltatói intézkedésről, másrészt lehetőséget kell biztosítani számára arra is, hogy ha ő nem is tud jelen lenni, helyette meghatalmazottja vagy képviselője legyen jelen az ellenőrzésnél. Ha az előzetes tájékoztatás ellenére sem az érintett munkavállaló, sem meghatalmazottja nincs jelen, a munkáltatónak mindent meg kell tennie annak érdekében, hogy az ellenőrzés körülményei olyan módon legyenek rögzítve, hogy annak pontos menete, az annak során megismert adatok köre, azaz a ténylegesen elvégzett adatkezelési műveletek, és azok jogszerűsége utólag ellenőrizhető legyen.
9. Munkajogi alapelvek
A belső vizsgálatok során figyelemmel kell lenni a Munka Törvénykönyvének azon alapvető rendelkezéseire is, mely szerint
- A munkavállaló személyiségi joga akkor korlátozható, ha a korlátozás a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos. A személyiségi jog korlátozásának módjáról, feltételeiről és várható tartamáról, továbbá szükségességét és arányosságát alátámasztó körülményekről a munkavállalót előzetesen írásban tájékoztatni kell.
- A munkavállaló kizárólag a munkaviszonnyal összefüggő magatartása körében ellenőrizhető. Ennek keretében a munkáltató technikai eszközt is alkalmazhat, erről a munkavállalót előzetesen írásban tájékoztatja.
- A munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be.
10. Összegző gondolatok
Az itt érintett témakörökből látszik, hogy egy munkahelyi belső vizsgálat számos adatvédelmi kérdést vethet fel. A vizsgálat jogszerűségének biztosítása ezért a munkáltató részéről alapos körültekintést igényel, és legalább a fent kifejtett témakörök átgondolása indokolt. Továbbá amennyiben a munkáltatónál visszaélés-bejelentési (whistleblowing) rendszer is működik, az ilyen rendszer működtetését szabályozó törvényt és szabályzatot is figyelembe kell venni.