A Nemzeti Adatvédelmi és Információszabadság Hatóság (“NAIH”) a közelmúltban tette közzéhatározatát, amelyben 1.500.000 forint adatvédelmi bírságot szabott ki egy munkáltatóval szemben többek között azért, mert a munkavállalók részére átadott számítástechnikai eszközök ellenőrzésére vonatkozó szabályzata nem felelt meg a jogszabályi előírásoknak.

Ami a jogszabályi hátteret illeti, a 2012 óta hatályos új Mt. (2012. évi I. törvény) a munkavállalók munkáltató általi ellenőrzésének feltételeit egyértelműen rögzíti. Az Mt. 11. § alapján a munkáltató csak a munkaviszonnyal összefüggő magatartása körében ellenőrizheti a munkavállalókat, az ellenőrzés nem járhat az emberi méltóság megsértésével, a munkavállalók magánélete nem ellenőrizhető, illetve köteles a munkáltató a munkavállalókat előzetesen tájékoztatni az ellenőrzéshez használt technikai eszközökről. Tekintettel arra, hogy a munkavállalók ellenőrzése szükségképpen együtt jár a munkavállalók személyes adatainak kezelésével, ezért az Mt. vonatkozó szabályain túl az Infotv. (2011. évi CXII. törvény) rendelkezéseire is figyelemmel kell lenni.

A munkavállalók ellenőrzésével már az egykori adatvédelmi biztos is foglalkozott. A NAIH 2013-banajánlást (“Ajánlás“) bocsátott ki, amely egyértelműen előrevetítette, hogy a Hatóság kiemelt figyelmet kíván szentelni ennek a területnek, segítve a munkáltatókat a jogszabályoknak (és a NAIH elvárásainak) megfelelő gyakorlat, illetve belső szabályzat kialakításában.

A határozat alapjául szolgáló tényállás szerint a munkáltató céges laptopot adott a projektvezetői munkakörben foglalkoztatott munkavállaló részére, aki jogosult volt azt magáncélra használni. A munkáltató egyik alkalommal a munkavállaló laptopját elkérte abból a célból, hogy annak tartalmáról biztonsági mentést készíthessen. A biztonsági mentés elrendelésének alapjául az szolgált, hogy a munkáltató észlelte, hogy a munkavállaló a munkahelyén a munkáltató konkurensének számító cég logójával ellátott dokumentumokat nyomtatott ki. A munkavállaló számára biztosították, hogy a laptopról a privát adatait letörölhesse, aki azonban attól tartva, hogy a munkáltató a letörölt adatokat megkísérli majd visszaállítani, egy adattörlő szoftvert telepített a számítógépre. A munkavállaló a programot elkezdte futtatni, de nem tudta befejezni, mert a munkáltató HR vezetője a laptop azonnali átadására szólította fel. A munkáltató külsős cég segítségével a letörölt adatokat sikeresen helyreállíttatta. A helyreállított adatok között a munkavállaló bankszámlaadatai, hitelkártya, egészségügyi, szakszervezeti adatok, valamint a munkavállalóról és partnerétől készült meztelen és szex fotók voltak. A munkáltató képviselője ez utóbbiakat kinyomtatott formában a munkavállaló elé tárta azzal az ajánlattal együtt, hogy amennyiben a munkavállaló nyilatkozatban elismeri, hogy a fotók őt ábrázolják, úgy a képeket senki sem fogja megismerni. A munkavállaló ezt a nyilatkozattételt megtagadta, majd ezt követően munkaviszonyát azonnali hatályú felmondással megszüntették, tekintettel arra, hogy munkáltató ún. Információbiztonsági Szabályzata szerint pornográf tartalmakat nem lehet céges laptopon tárolni, illetve arra nem lehet jóváhagyás nélkül szoftvert telepíteni.

A Hatóság a határozatában (hasonlóan az ajánlásban foglaltakkal) ismételten rögzítette, hogy a munkavállalók jogszerű ellenőrzésének melyek a feltételei:

• a munkáltató megfelelő módon és formában előzetesen tájékoztatja az ellenőrzésről a munkavállalókat;
• a tájékoztatásnak ki kell terjednie az adatkezelés céljára, az adatkezelő személyére, az adatkezelés tartamára, az érintett jogaira;
• az ellenőrzés nem terjedhet ki a munkaviszonnyal össze nem függő munkavállalóira adatokra;
• az ellenőrzés a munkavállaló személyes adatainak védelméhez fűződő jogát nem sértheti;
• az ellenőrzésnek arányban kell állnia az elérni kívánt céllal;
• az adatbiztonság miatt a rendszergazda vagy informatikus jogosult a számítógép tartalmába betekinteni, azonban a megismert adatokat harmadik személy részére (ideértve a munkáltatót is) nem jogosult továbbítani;
• a belső szabályzatot megfelelően kell a munkavállalóval közölni (azaz azt kell tudni bizonyítani, hogy a munkavállaló azt átvette).

A határozattal érintett ügyben a NAIH a következőket állapította meg:

• a munkáltató nem tájékoztatta előzetesen a munkavállalókat az ellenőrzésről, annak eljárásáról, azonban a munkáltató a munkavállalók számítógépét és céges e-mailforgalmat bármikor ellenőrizhette;
• a konkurenssel történt nem engedélyezett kapcsolattartás gyanúját elsőként a nyomtatási napló, e-mail-szerver, illetve a munkáltató birtokában lévő hálózati és egyéb eszközök vizsgálatával kellett volna megkísérelni bizonyítani, illetve a laptop ellenőrzését úgy elvégezni, hogy az ne járjon a laptopon található személyes adatok kezelésével, azaz betartva az arányosság követelményét;
• a munkáltató Információbiztonsági Szabályzatából nem derült ki egyértelműen a munkavállalók számára, hogy a céges számítástechnikai eszközök magánhasználata megengedett-e. Amennyiben a céges eszköz magánhasználata nem megengedett, úgy a munkavállaló nem tárolhat azon magán-adatokat a munkáltató utasításával ellentétesen. Amennyiben a magáncélú használat megengedett, úgy a munkáltatónak mindent meg kell tenni a munkavállalók munkaviszonnyal össze nem függő személyes adatai kezelésének elkerülésére, és az ellenőrzést úgy kell elvégezni, hogy a munkavállalók gépen tárolt magánadatai ne jussanak a kezelésükbe, tudomásukra. Ezért az Információbiztonsági Szabályzatban egyértelműen és kétséget kizáróan kell szabályozni a céges eszközök magánhasználatának engedélyezését vagy tiltását.
• az Információbiztonsági Szabályzatot nem közölték szabályszerűen a munkavállalóval, azt nem íratták vele alá.

A fentiek alapján látható, hogy a munkáltatók által a munkavállalók ellenőrzése céljából készített szabályzatnak célszerű az Ajánlásban meghatározott feltételeknek megfelelnie, máskülönben még egy már meglévő belső szabályzat ellenére is lehet azzal számolni, hogy a NAIH bírságot szab ki.

UPDATE: A Fővárosi Közigazgatási és Munkaügyi Bíróság ítéletével hatályon kívül helyezte a NAIH fenti határozatát és a Hatóságot egyben új eljárásra utasította. Az ítélet szerint a NAIH határozatának alapját 2011 szeptember és október hónapokban történt adatkezelés képezte, amikor még a korábbi adatvédelmi törvény, az Avtv. (1992. évi LXIII. törvény) és nem az Infotv. volt hatályban, márpedig a vizsgált adatkezelést kizárólag az Avtv. alapján kellett volna a Hatóságnak minősítenie. A bíróság azt is előírta a NAIH számára, hogy az új eljárásban vizsgálja meg, hogy az Avtv. biztosít-e, és ha igen milyen hatósági jogkört a kérdéses adatkezelés vizsgálatára, az esetleges jogsértés megállapítására és szankcionálására.

dr. Fekete-Győr Ákos
ügyvéd