A cikk szerzője "Adatvédelem a digitalizált munkahelyen" címmel előadást tart a november 20-ai Big Office Day Konferencián a Groupama Arénában. A rendezvényről további információk a linkre kattintva találhatók.
Mit mond a joggyakorlat? A személyes adatok védelméről uniós rendelet (más néven GDPR) szól, valamint az Európa Tanács 108. sz. egyezménye. Külön európai irányelv rendelkezik emellett a bűnüldözési célú adatkezelésről, ezt az egyes államok saját jogszabályaikkal illesztik be saját jogrendjükbe. Ennek megfelelően az európai bíróságok jogosultak a szabályok értelmezésében a végső szót kimondani – az EU jog tekintetében a Luxemburgban székelő Európai Bíróság, az ET egyezmény tekintetében pedig az Emberi Jogok Európai Bírósága Strasbourgban.
Valójában ezért nehéz ez a kérdés
A legtöbb esetben két jog vagy érdek áll szemben egymással: a vállalat, sőt, a társadalom érdekeltsége abban, hogy a szabálytalanságokat, még inkább a bűncselekményeket megelőzzék vagy, ha már megtörténtek, felderítsék és szankcionálják, és az egyén joga személyes szférájának tiszteletben tartására. Ugyanakkor sok helyen a munkajog szabályozza, hogy a munkáltatónak milyen megfigyelésre van joga. Ez nem mond ellent az adatvédelmi szabályoknak, amelyek lehetővé teszik az adatkezelést, ha azt törvény írja elő. A törvény azonban nem léphet túl az európai jog határain még akkor sem, ha a szabályozott területen az Uniónak nincs jogköre.
Sajnos az Európai Bíróság, amely egyébként a fenti kitételt többször is megerősítette ítéleteiben, nem ítélt még a munkahelyi megfigyelést érintő ügyekben. Ez év májusában ugyan megállapította, hogy a tagállamoknak kötelezniük kell a munkáltatókat, hogy állítsanak fel egy olyan rendszert, amely méri a dolgozók naponta munkában töltött idejét, de ez még nem megfigyelés.
A megfigyelést a GDPR nem is definiálja, de egyes esetekben ez a tevékenység „profilalkotásnak” minősülhet, amelyet a rendelet viszont csak szigorú feltételekkel tesz lehetővé. Profilalkotás, illetve automatikus döntés például, ha a megfigyelés eredménye alapján közvetlenül határozzák meg a dolgozó bérét.
Különbséget kell viszont tenni aszerint, hogy a dolgozó viselkedését figyelik meg, vagy objektív tényeket, ez utóbbi normál gyakorlat (például a határidők teljesítése vagy az elkészített munkadarabok száma alapján történő bérezés).
Hogyan döntött eddig a bíróság?
Az Emberi Jogok Európai Bírósága elé több ügy is került részben állami, részben munkahelyi megfigyelés témájában. Az egyik első adatvédelmi ügy (Rotaru) is erről szólt. Az alapvető elveket már ebben az ítéletben lefektette a bíróság:
- Nem elegendő, hogy a megfigyelést az adott állam joga lehetővé tegye, a megfigyelésnek jogos célja kell legyen, és egy demokratikus társadalomban e cél eléréséhez szükségesnek kell lennie
- A megfigyelést lehetővé tevő jogszabály legyen hozzáférhető a megfigyelt számára, aki ebből előre láthassa annak hatásait
A bíróságot ugyan nem köti szigorúan az egyes államok joga, ugyanakkor széles mérlegelési jogkört biztosít számukra, és csak akkor állapítja meg az egyezmény megsértését, ha ezen mérlegelés során nem érvényesítettek megfelelő egyensúlyt a két jog között. Ezért például a jogsértést megállapító Bǎrbulescu ügy mellé egy kérdés-felelet dokumentumot is közzétettek. Ennek második kérdése rögtön elmagyarázza, miért és milyen feltételekkel szabad megfigyelni a dolgozókat a munkahelyen.
Ennek megfelelően a bíróság az előzőeknél nagyobb port felvert López Ribalda és társai vs. Spanyolország ügyben már azt állapította meg, hogy
amennyiben a megfigyelésről a dolgozók előre tudhattak, az szükséges egy kihágás felderítéséhez (amelynek megtörténtét a konkrét esetben az elkövetők el is ismerték) és nem jelent aránytalan beavatkozást a megfigyelt magánszférájába (az adott esetben egy áruház pénztárait figyelték meg, nem zárt helyiségeket), akkor jogos lehet.
Amennyiben azonban a dolgozókat nem tájékoztatják pontosan a megfigyelés módjáról, helyéről és céljáról, akkor a bíróság megállapíthatja a jogsértést (ez történt a fent említett Bǎrbulescu ügyben).
Egy 1997-es ügyben (Halford) egy rendőrnő telefonbeszélgetéseit az érintett tájékoztatása nélkül és célzottan egy nemi diszkriminációs panasszal szembeni védelem céljából hallgatták le anélkül, hogy erre törvényi felhatalmazásuk lett volna. Jogosnak ítélte ugyanakkor az emberjogi bíróság, hogy egy dolgozó hivatali számítógépein tárolt fájlokat, amelyek nem voltak személyesként megjelölve, illegális anyagok keresése céljából megtekintsenek, megfelelő garanciák mellett (például a fájlokat az érintett személy jelenlétében tekintették meg).
Egyes EU tagállamok bíróságai is hoztak már ítéleteket: Franciaországban a dolgozó azon e-mailjeinek elolvasását ítélték jogosnak, amelyet munkahelyi fiókjából küldött, illetve amelyek oda érkeztek, és nem voltak bizalmasnak, illetve személyesnek megjelölve.
Három tanács, amit érdemes megfogadni
Általában a GDPR elvei nyújtanak jó kapaszkodót a jogszerűség megítéléséhez és a szükséges tájékoztatáshoz illetve biztosítékokra nézve. A legfontosabb három tanács:
- előre kell gondolkodni arról, hogy mit akarunk és miért,
- informálni kell az érintett személyeket
- dokumentálni kell a döntéseket és indokaikat, hogy a jogszerűséget demonstrálni tudjuk.
A GDPR viszont ismer kivételeket is: korlátozhatók az érintett személyek jogai a bűnüldözés, nemzetbiztonság és más, a rendeletben tételesen felsorolt fontos társadalmi vagy jogi érdekek érvényesítésére. A megfelelő egyensúlyt és garanciákat kell tehát megtalálni, hogy a munkaadó érdekei se sérüljenek, de a munkavállaló magánszférája sem.
A cikk szerzője "Adatvédelem a digitalizált munkahelyen" címmel tart előadást a november 20-ai Big Office Day Konferencián a Groupama Arénában. A rendezvényről további információk a linkre kattintva találhatók.