Ma már gyakorlatilag minden munkahelyen használnak valamiféle levelezőrendszert (pl. Microsoft Outlook) és csevegő alkalmazást (pl. Microsoft Teams) a kommunikáció gyorsabbá és gördülékenyebbé tétele érdekében. Felmerül azonban a kérdés, hogy ezekben az alkalmazásokban a munkavállalók profiljai, illetve a bennük folytatott levelezések, chatelesek a munkavállaló személyes adatának számítanak-e? Ha igen, a munkáltatónak ezekkel a személyes adatokkal kapcsolaban milyen GDPR-ban meghatározott kötelezettségei vannak? Cikkünk ezekre a kérdésekre válaszol.
Először is tisztázni kell, miért fontos, hogy a munkavállalók belső levelezései, chatelesei adatvédelmi szempontból jól átgondoltak és jogszerűek legyenek. Manapság egyre többször fordul elő, hogy munkajogi perben valamelyik fél ezen alkalmazásokban folytatott levelezést, chat üzenetet kíván bizonyítékként felhasználni. A magyar polgári perjog alapvetően a szabad biznyítás talaján áll, a bíróság a perben – törvény eltérő rendelkezése hiányában – nincs kötve alakszerű bizonyítási szabályokhoz, szabadon felhasználhatja a felek előadásait, valamint minden bizonyítékot, amely a tényállás megállapítására alkalmas – bizonyos, a polgári perrendtartásról szóló 2016. évi CXXX. törvényben meghatározott esetekben akár jogszerűtlenül megszerzett, birtokolt bizonyítékot is figyelembe vehet. Előfordulhat azonban, hogy a – jellemzően – volt munkavállaló bosszúból bejelentést tesz a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH), aki az egyedi eseten kívül kivizsgálhatja a munkáltató vonatkozó adatkezelési gyakorlatát is. Az esetlegesen hosszú idő óta fennálló, nagy számú munkavállalót érintő jogsértés estén pedig akár jelentős összegű bírságra is lehet számítani.
A fent leírtakra tekintettel érdemes onnan kiindulni, hogy
a munkavállalók munkahelyi levelezőrendszerben, chatalkalmazásban létrejött profiljai (pl. munkahelyi e-mail cím, munkahelyi MS Teams, Skype fiók), valamint az azokban/azokon keresztül folyó kommunikáció egyaránt a munkavállaló személyes adatainak minősülnek a GDPR 4. cikk 1. pontja alapján, hiszen ezekből az információkból egyértelműen azonosítható egy természetes személy.
Tekintettel arra, hogy a munkáltató adatkezelőként, a munkavállalók pedig érintettként jelennek meg a jogviszonyban, a munkáltatónak a GDPR 12-14. cikk szerinti tájékoztatási kötelezettsége keletkezik a munkavállalói felé. A tájékoztatásnak a – teljesség igénye nélkül – tartalmaznia kell, hogy a munkáltató a munkavállalói rendelkezésére bocsátott alkalmazásokban személyes adatait
- milyen célból gyűjti? – Ez jellemzően a munkavégzés, munkaszervezés gyorsaságának és a hatékonyságának növelése a tárgyalt alkalmazások által.
- mi az adatkezelés jogalapja? – Bizonyos munkaköröket elektronikus levelezés vagy távoli felek közötti meetingek nélkül nem lehetne ellátni, így ezek esetén megfelelő jogalap lehet a GDPR 6. cikk (1) bekezdés b) pontja, azaz a felek közötti szerződés előkészítése, teljesítése, ami ebben az esetben a felek közötti munkaszerződés lesz. Olyan munkakörök esetében, aminek elvégzéséhez nem elemi szükséglet a tárgyalt alkalmazások használata, a GDPR 6. cikk (1) bekezdés f) pontja, azaz a munkáltató jogos érdeke lehet a megfelelő jogalap (viszont ebben az esetben úgynevezett érdekmérlegelési teszt elvégzése szükséges).
- mennyi ideig őrzi meg a gyűjtött személyes adatokat? – Ez egy nagyon sarkalatos pont, hogy a munkaviszony megszűnésétől számítva mennyi ideig és miért pont addig (pl. munkajogi igények elévüléséig) őrzi meg a munkáltató a tárgyalt alkalmazásokkal összefüggésben a munkvállaló személyes adatait. Eléggé „fel van adva a magaslabda” egy munkaügyi perben a volt munkavállalónak, ha a munkáltató olyan levelezést kíván bizonyítékként felhasználni, ami a vonatkozó adatkezelési tájékoztató szerint elvileg már nem lehetne meg, mivel ez már eleve feltételezi a munkáltató részéről a jogszerűtlen és túlterjeszkedő adatkezelést.
Mindenképp érdemes szem előtt tartani, hogy a munkavállalónak, mint érintettnek biztosítani kell a GDPR III. fejezetében szereplő érintetti jogokat, így többek között kérhet hozzáférést (GDPR 15. cikk) személyes adataihoz (akár a munkaviszony megszűnése után is, amennyiben a munkáltató azokat azon túl is megőrzi) vagy kérheti személyes adatainak korlátozását (GDPR 18. cikk), amivel jellemzően jogi igények érvényesítése, védelme érdekében szoktak élni.
Összefoglalva: új munkavállaló belépése esetén a munkáltatónak már az első használat előtt tájékoztatnia kell dolgozóját arról, hogy a munkavégzésével összefüggésben, kommunikációra használt alkalmazásokban létrehozott profilját és az abban keletkezett tartalmakat (pl. levelezések, meetingek időpontjai és résztvevői) a munkáltató milyen célból, milyen jogalapon és mennyi ideig kezeli róla, valamint ezzel kapcsolatban milyen érintetti jogai vannak, amiket a megőrzési idő végééig gyakorolhat.
Mindkét félnek kiemelt érdeke, hogy átlátható legyen a munkahelyi elektronikus kommunikáció és az egyik fél kezében se váljon fegyverré.