A munkahelyi adatok védelméről nem szól a GDPR, helyi szabályozás hiányában a munkavállalók és a munkáltatók nehezen érvényesítik érdeküket, az EU bíróság hozhat végső döntés a vitás kérdésekben. A magyar törvényhozás késlekedése miatt a GDPR hatálybalépésekor ex lex, vagyis törvényen kívüli állapot alakulhat ki.
Dolgoztam olyan munkahelyet, ahol tartotta magát az a folyosói pletyka, miszerint a céges levelezésnél fogjuk vissza magunkat, mert a főnök előbb olvassa el azokat, mint a címzett. Bevallom, akkor nem voltam elég bátor ahhoz, hogy ezt teszteljem is, netán komoly gyanú esetén valamilyen hatósághoz forduljak. Egyedüli kifogásom, hogy abban az időben sokan az sem tudták, hogy az e-mail címben van-e „kukac” vagy www-vel kezdődik-e, úgyhogy nagyon sok magyarázni valóm lett volna az illetékes hatóságoknak.
Ex lex állapot alakul ki
Ha a munkáltató kamerával figyelné meg a dolgozóit, belenézne az üzeneteibe, elolvasná a levelezését jogos munkáltatói érdekekre hivatkozva, akkor bizony ingoványos talajra lépne. Ezen a területen nincs egyértelmű magyar szabályozás, az adatvédelmi hatóság rendelkezései az iránymutatók, amely ezen a téren igencsak szigorú. Ugyanúgy nem rendezett a bűnügyi adatok kérdése (tényleg kérhet-e a munkáltató erkölcsi bizonyítványt), illetve az egészségügyi adatok terén is egyszerűsödhetne a felhasználáshoz történő hozzájárulás. Ám 2018. május 25. után félig-meddig ex lex, vagyis törvényen kívüli állapot alakul ki többek között ezen a területen is.
A GDPR a jogi terminológiában nyitóklauzuláknak nevezett kérdések rendezését a helyi szabályozóra bízta. Vagyis a magyar törvényhozás dönti el, hogy például az adatvédelmi tanúsító szervek akkreditációját ki hogyan végezze, a bírságon kívül milyen szankciói legyenek az adatvédelmi incidenseknek, a jogorvoslatot hogyan biztosítsák a különböző feleknek és ki legyen az adatvédelmi felügyeleti hatóság. Ezekben a kérdésekben a tagállamok saját belátásuk szerint dönthetnek, enyhíthetnek vagy szigoríthatnak a meglévő szabályozásokon. Ugyanakkor a módosítás lehetőséget teremt a különböző ágazati koherenciazavarok felszámolására is.
Május 25. után törvény hiányában nem lesz kijelölt adatvédelmi hatósága hazánknak, aki a GDPR kérdésekben bírságolna, döntene – a vitás kérdések rendezését az években mérhető hatékonysággal dolgozó bíróságokra bízhatják a munkáltatók és a munkaadók egyaránt. Ugyanúgy a munkahelyi adatok kérdését sem rendezi a törvényhozás, holott a törvény frissítése kiváló alkalmat biztosítana erre is.
Az a bizonyos Barbulescu-ügy
|
|---|
Lapunk hasábjain tavaly írtunk a Barbulescu-ügyről, amikor is egy romániai eset kapcsán az Emberi Jogok Európai Bírósága végleges döntésében 2017 őszén kimondta: a munkáltatónak joga van ellenőrizni az alkalmazott e-mailjét, üzenetváltását, de csak akkor, ha erről előre értesíti a munkavállalót, vagyis, ha ezt szabályzatba foglalja és leírja, hogyan, milyen eszközökkel történik az ellenőrzés. Noha szabályozás nincs, az eddigi magyar gyakorlat is hasonló, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) az EU-s bíróság által meghozott döntésben foglalt szigorú alapelveket követte. Vagyis Magyarországon a munkaadó az üzleti célú munkavállalói levelezéseket megismerheti, feltéve, ha ennek feltételeiről előzetesen részletes tájékoztatást ad. Tisztázni kell, hogy a rendelkezésre bocsátott e-mail-fiók használatát magáncélból is lehetővé teszi-e, valamint azt is, hogy a fiók használatát jogosult-e ellenőrizni. Ehhez mindenképp javasolt a részletes tájékoztató elkészítése, amelynek ki kell térnie például az ellenőrzés céljára, szabályaira, az ellenőrzést végző személyére, valamint a munkavállaló jogaira és jogorvoslati lehetőségeire is. A munkavállalók magánjellegű leveleit a munkáltató nem ismerheti meg. |
Hogyan jutottunk el ide?
Közismert nevén az Infotörvény (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról) szabályozza az adatvédelmi kérdéseket. A magyar hatóságok tavaly augusztusban bocsátották nyilvános vitára az Infotörvény módosítását, tagállamok között elsőként. A sietség az idei választásokkal magyarázható, de ettől még a szakemberek nem értik, miért csak a minimális elvárásoknak megfelelő módosításokat vezették be a javaslatokba. Így ez a javaslat a munkahelyi adatok, egészségügyi adatok vagy bűnügyi adatok kérdését sem rendezi. Az előterjesztés társadalmi és jogi konzultációja szeptemberben lezárult, majd novemberben létrejött egy munkacsoport, 2018 februárjában a minisztériumi egyeztetések fázisába jutottak, majd kiderült, hogy áprilisban választások lesznek.
Liber Ádám, a Baker McKenzie ügyvédje szerint leghamarabb 2018 szeptemberében tárgyalhatja az Infotörvény szükséges módosításait az Országgyűlés, hiszen korábban nincs gyakorlati lehetősége az új törvényhozásnak az érdemi munkára. Szerinte a módosításnak nemcsak a szükséges minimum kérdéseket kellene rendeznie, hanem a munkavállalók és munkaadók nyugalma szempontjából legalább a munkahelyi adatok kérdését is. Eddig az EU-s tagországok körülbelül egyharmada fogadta el a szükséges módosításokat, a németek a munkahelyi adatok kérdését is rendezték.
Sok adat, sok kérdés
A GDPR is foglalkozhatott volna a munkahelyi adatok kérdésével, de ezt nagyvonalúan a tagországokra bízta, hiszen maga a rendelet is politikai alku következtében alakult ki – folytatta Liber Ádám. Az egészségügyi adatoknál például a hazai szabályozás fogalmai eltérnek a GDPR-tól. A magyar jogszabályok mindenhez írásbeli hozzájárulást kérnek, míg a GDPR csupán kifejezett hozzájárulásról beszél.
Nézzük meg, hogyan kezeli a munkavállalói adatokat egy tipikus magyar vállalat! Az xFlower tíz alkalmazottal működő kis hazai cég, ahol a belső irodában a munkavállalókat nem figyelik kamerákkal, azok az iroda külterét pásztázzák biztonsági céllal – mondta Szederkényi Zsolt tulajdonos-ügyvezető. Arra vonatkozóan nincs írásos szabályzatuk, hogy beletekinthet-e vagy sem a tulajdonos a vállalati e-mailekbe. Általános erkölcsi normaként megbíznak a munkatársakban, és nem vizsgálják az e-maileket. Az is mindenki számára természetes, hogy a magánjellegű problémákat privát e-mail-en keresztül beszélik meg, a munkajellegűeket pedig a vállalati levelezésben intézik.
Szederkényi Zsolt szerint vitás eset, visszaélés vagy bűncselekmény esetén természetesen megnéznék az adott kolléga levelezését – erre szerencsére nem volt példa eddig. Ami a munkavállalók személyes jellegű adatait illeti, azokat külsős könyvelő cég kezeli, természetesen a törvényi előírásoknak megfelelően.
Egy biztos, május 25. után is lesznek munkavállalók, adatok és egymásnak ütköző érdekek. Csak nehezebb és drágább lesz a viszályokat tisztázni.
