A munkahelyi adatkezelések egyik legfontosabb részterülete az álláspályázókkal kapcsolatos adatkezelés, mellyel szinte valamennyi adatkezelő találkozik a mindennapok során. Jelen cikk a munka törvénykönyvéről szóló 2012. évi I. törvény (Mt.) szerinti jogviszony létesítése érdekében lefolytatott kiválasztási folyamat keretében felmerülő anonim álláshirdetések, az interjún készített jegyzetek, a munkahelyi belső ajánlási rendszer és a háttérellenőrzések témakörök adatvédelmi szabályozását vizsgálja részletesen.
Az álláspályázói adatkezelés egyik legfontosabb aspektusa az önéletrajzokkal kapcsolatos adatok kezelése – mely témával egy korábbi cikkünk már részletesen foglalkozott – azonban emellett számos további adatkezelés valósulhat meg a toborzási folyamat keretében, melyekkel minden munkáltatónak tisztában kell lennie annak érdekében, hogy képes legyen megfelelni a hatályos adatvédelmi előírásoknak. Ezeket vesszük most sorra.
Fontos hangsúlyozni, hogy a munkahelyi adatkezelés az egyike azon hagyományosan speciálisnak tekintett területeknek, ahol az uniós jogalkotó feljogosította a tagállamokat arra, hogy a nemzeti jogban szabályokat, pontosításokat, kivételeket vagy eltéréseket állapítsanak meg a normaalkotás és a koherens jogalkalmazás hatékony előmozdítása érdekében.[1] A fentiekből következik, hogy ezen a területen a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 2016/679. sz. rendelete, vagyis a GDPR rendelkezéseit az Mt. vonatkozó szabályaival együtt kell alkalmazni. Figyelemmel arra, hogy a munkahelyi adatkezelés részletszabályainak a megalkotását a GDPR tagállami hatáskörbe utalta, ezen a területen a nemzetközi gyakorlat kevésbé releváns, elsősorban a hazai adatvédelmi hatóság gyakorlatát szükséges figyelemmel kísérni (GDPR 88. cikk (1) bekezdés; Mt. 9-11/A. §§.).
Az interjún készített jegyzet
A kiválasztási folyamat egyik központi eleme a jelölt személyes vagy online interjú keretében való meghallgatása. Az interjú természetes velejárója, hogy az ott elhangzott információkról jegyzet készül, mely jegyzet jellemzően személyes adatokat tartalmaz, így a GDPR hatálya alá tartozó adatkezelés valósul meg még ilyenkor is. Az interjún készített jegyzetekkel összefüggésben megvalósuló adatkezelés jellemzően osztja az önéletrajzokban szereplő személyes adatok kezelésének a sorsát, tehát a jegyzeteket is az önéletrajzokkal egyező célból, jogalapon érdemes kezelni a gyakorlatban, továbbá az önéletrajzokra irányadó megőrzési időt szükséges alkalmazni. Fontos azonban, hogy a kapcsolódó adatkezelési tájékoztatóban fel kell hívni az érintettek figyelmét az ilyen típusú adatkezelésre, valamint – az adattakarékosság elvére tekintettel – kizárólag a kiválasztás szempontjából releváns adatok őrizhetők meg, melyekhez csak az arra jogosult munkavállalók férhetnek hozzá a feladataik ellátásához feltétlenül szükséges mértékben.
Anonim álláshirdetések
Nagyon sokszor felmerülő dilemma a gyakorlatban az anonim álláshirdetések jogszerű alkalmazásának kérdése, hiszen az ilyen típusú hirdetések lényege éppen az, hogy nem kerül feltüntetésre a munkáltató, ezért az álláspályázat elküldésének az időpontjában a jelentkező nem lehet tisztában azzal, hogy pontosan mely munkáltatónak az állására jelentkezett (Tajekoztato_munkahelyi_adatkezelesek.pdf (naih.hu) ). Az ilyen típusú hirdetéseknél tehát lényegében két érdek áll szemben egymással – egyrészt az érintett személyes adatok védelméhez fűződő Alaptörvényben biztosított alapjoga (Alaptörvény VI. cikk (3) bekezdés), másrészt a hirdetők bizonyos gazdasági és más megfontolásból származó érdekei, hogy kilétük rejtve maradjon a pályázat során mindaddig, amíg azt szükségesnek tartják. Ez a gyakorlat azonban egyenlőtlen helyzetet eredményezhet, hiszen míg a pályázók jelentkezésük elküldésével azonnal „kiadják magukat”, minden személyes adatuk azonnal a hirdető birtokába kerül, addig a hirdetők egyáltalán nem adnak semmilyen tájékoztatást a személyükről, ezáltal is fokozva a munkavállalók kiszolgáltatottságát, és a hirdetők információs fölényét (NAIH-2015-1159-H_hatrozat).
Az anonim álláshirdetésekkel kapcsolatos legnagyobb probléma, hogy alkalmazásuk sértheti a GDPR 5. cikk (1) bekezdés a) pontja szerinti átláthatóság alapelvét, azaz azt a követelményt, hogy az adatkezelés folyamata, dokumentáltsága megismerhető legyen a külvilág számára.
Ennek oka, hogy az anonim hirdetések lényege, hogy nem ismert a hirdető munkáltató (adatkezelő személye), márpedig a GDPR (39) preambulumbekezdése külön kiemeli, hogy átlátható tájékoztatást kell nyújtani az adatkezelő kilétéről. Ezen elvből vezethető le az adatkezelő GDPR 13. cikk (1) bekezdés a) pontja szerinti kötelezettsége is, miszerint
az érintetteket tájékoztatni kell az adatkezelő személyéről az adatkezelés megkezdésekor.
Továbbá fontos kiemelni, hogy az adatkezelők a hirdetéssel összefüggésben folytatott adatkezelés jogalapjaként jellemzően az érintett hozzájárulását jelölik meg, mely jogalap alkalmazásának az előfeltétele, hogy az érintett tudomással bírjon – már az adatkezelést megelőzően – legalább az adatkezelő személyéről és az adatkezelés céljáról, ennek hiányában ugyanis nem lehet megalapozott döntést hozni a személyes adatok kezeléséről (GDPR (42) preambulumbekezdés).
Az anonim álláshirdetések jogszerű alkalmazása érdekében jó megoldás lehet, ha a hirdető adatkezelő egy közvetítőt épít be az adatkezelési folyamatba, tipikusan ilyen lehet egy fejvadász cég. Ez esetben kizárólag a fejvadász cég áll kapcsolatban a pályázó érintettekkel, aki a számára átadott önéletrajzokat anonim formában továbbítja az álláshirdető adatkezelő számára. Ezt követően az adatkezelőnek lehetősége van arra, hogy az anonim formában rendelkezésére álló önéletrajzok paraméterei alapján – de a pályázók személyes adatainak a megismerése nélkül – döntsön a számára releváns pályázatokról. Az ilyen módon kiválasztott jelölteket a közvetítőként eljáró fejvadász cég tájékoztatja a kiválasztás tényéről, továbbá – amennyiben még aktuális számukra a pályázat – az anonim hirdető személyéről, és ezzel egyidejűleg átadja számukra az anonim hirdető GDPR 13. cikk (1)-(2) bekezdései szerinti adatkezelési tájékoztatóját. A közvetítő folyamatba ékelésével a fenti hiányosságok kiküszöbölhetők, azaz jogszerű lehet az anonim álláspályázattal kapcsolatos adatkezelés. Ezt támasztja alá magyar adatvédelmi hatóság is egy korábban, még a GDPR alkalmazandóvá válása előtt született határozatában (NAIH-2015-1159-H_hatarozat) – mely egyébként összhangban áll a hatóság jelenlegi gyakorlatával – ahol szintén közvetítő beépítését javasolja a folyamatba az átláthatóság elvének érvényesülése érdekében.
A munkahelyi ajánlási rendszer
A toborzási folyamat egy másik – adatvédelmi szempontból – nehéz kérdése a munkahelyi ajánlási rendszer, mely alkalmazása sok esetben szintén a GDPR 5. cikk (1) bekezdés a) pontja szerinti átláthatóság alapelvét sérti azáltal, hogy a munkáltatók nem tesznek eleget a GDPR 14. cikke szerinti tájékoztatási kötelezettségüknek a beajánlott jelöltek vonatkozásában. Ennek oka, hogy az ajánlási rendszer lényege, hogy a pályázó érintettek személyes adatait az adatkezelők nem közvetlenül az érintettől gyűjtik, hanem az őket beajánló munkavállalóktól. Ha azonban a személyes adatok forrása nem az érintett, hanem az őt beajánló munkavállaló, akkor a GDPR 14. cikke szerinti feltételek szerint és formában szükséges tájékoztatást adni, mely kötelezettségnek a legtöbb munkáltató nem felel meg a gyakorlatban az ezzel járó többlet adminisztrációs teher okán. A GDPR 14. cikke szerinti tájékoztatás megadása azonban könnyen elkerülhető ilyen helyzetekben, ha az adatkezelő előírja, hogy kizárólag úgy lehet ajánlást benyújtani, ha az ajánló munkavállaló a beajánlott érintett személyes adatai (önéletrajza) átadásával egyidejűleg továbbítja a beajánlott érintett azon nyilatkozatát, melyben tudomásul veszi az adatkezelő GDPR 13. cikke szerinti adatkezelési tájékoztatóját. Gyakori megoldás az is, amikor az adatkezelő az adatkezelési tájékoztató megismerésének az igazolását áttelepíti az a közvetítő (ajánló) munkavállalóra. Ez esetben az ajánlást tevő munkavállalónak kell nyilatkozni arról, hogy megismertette a pályázóval az adatkezelő GDPR 13. cikke szerinti adatkezelési tájékoztatóját az adatok átadását megelőzően. A két megoldási lehetőség közül – az elszámoltathatóság elve szempontjából – az első a biztosabb, hiszen ilyenkor közvetlenül az érintett nyilatkozik az adatkezelési tájékoztató megismeréséről.
Háttérellenőrzés – background check
A gyakorlatban sokszor vitatott téma a munkáltatók által lefolytatott háttérellenőrzés (background check) alkalmazhatóságának a kérdése. Ennek lényege, hogy a munkáltató felvételi eljárás keretében a lehető legtöbb információt próbálja begyűjteni az adott pályázatra jelentkezőkről. Napjainkban ennek legkézenfekvőbb módja az interneten nyilvánosan elérhető adatok, így különösen az egyes social media felületeken közzétett információk áttekintése.
A magyar adatvédelmi hatóság már egy 2015. évben született tájékoztatójában elismerte a háttérellenőrzések létjogosultságát, álláspontja szerint ugyanis életszerűtlen elvárni a munkáltató oldaláról, hogy ne tekinthesse meg azokat a bárki számára nyilvánosan elérhető információkat, melyeket az álláshirdetésre jelentkező személy osztott meg magáról (Tajekoztato_munkahelyi_adatkezelesek.pdf (naih.hu)).
Fontos kiemelni, hogy a nyilvánosságra hozott személyes adatok jóllehet bárki számára hozzáférhetőek, ez azonban nem jelenti azt, hogy a nyilvánosságra hozatallal elveszítik a személyes adat minőségüket, ezért a munkáltatók a háttérellenőrzés keretében megismert személyes adatokat is kizárólag a GDPR előírásaival összhangban kezelhetik. Első lépésként megfelelő jogalapot kell meghatározni, mely a háttérellenőrzések esetében a munkáltató ahhoz fűződő – GDPR 6. cikk (1) bekezdés f) pontja szerinti – jogos érdeke lehet, hogy olyan személyt alkalmazzon, akinek az értékei, magatartása összeegyeztethető a munkáltató profiljával, tevékenységével. Természetesen a GDPR alapelveinek is maradéktalanul meg kell felelni, így a munkáltatók a pályázókról kizárólag olyan mértékben kezelhetnek személyes adatokat, amilyen mértékben az ilyen adatok szükségesek és relevánsak azon munkakör betöltése szempontjából, melyre az érintett pályázó jelentkezett. A legtöbb munkaviszony létesítése szempontjából például irrelevánsnak minősülnek a magánéletre, párkapcsolatra, családi életre, vallásra vonatkozó személyes adatok [ld.: GDPR 5 cikk (1) bekezdés c) pont szerinti adattakarékosság elve].
Fontos továbbá, hogy az érintett közösségi oldalon végzett nyilvános tevékenysége igaz megismerhető, sőt abból következtetés is vonható le, azonban további adatkezelési műveletek már jogellenesnek minősülnek, azaz
a munkáltató nem mentheti le a jelentkezők profiloldalát, nem építhet azokból adatbázist és nem továbbíthatja az adatokat harmadik feleknek.
További korlát, hogy a munkáltató kizárólag a jelöltek által nyilvánosságra hozott információkat használhatja fel a háttérellenőrzés során, a munkáltató tehát nem jogosult arra, hogy korlátozottan nyilvános adatokhoz férjen hozzá (például közösségi oldalak zárt csoportjai, levelezései).
A munkáltató mindezek mellett köteles előzetesen tájékoztatni a pályázókat a háttérellenőrzés tényéről a GDPR 14. cikke (1)-(2) bekezdései szerinti tartalommal annak érdekében, hogy a GDPR szerinti érintetti jogaikat megfelelően gyakorolhassák.
Összességében megállapítható, hogy a toborzási folyamat keretében számos olyan adatkezeléssel járó tevékenység merülhet fel, melyek kihívás elé állítják a munkáltatókat, azonban kellő körültekintéssel minden helyzetre létezik olyan megoldás, mely alkalmassá teszi a munkáltatók gyakorlatát az adatvédelmi előírásoknak való megfelelésre.
Kapcsolódó cikk:
Védett álláspályázói adatok – Az önéletrajzokkal kapcsolatos adatkezelés gyakorlati aspektusai