Nyilvántartottak – a céges adatkezelés jogi előírásai

A cégek életében a személyes adatok kezelése kapcsán az ágazati törvény mellett számos egyéb jogszabály előírásait is szükséges figyelembe venni, hogy a cég jogkövető magatartást tanúsíthasson.

Mind a Munka törvénykönyve (Mt.), mind pedig a Ptk. elnagyoltan tartalmazza a személyes adatok kezelésére vonatkozó jogszabályi előírásokat. Bár az állami, önkormányzati szférában a személyes adatok kezelése a szigorú szabályozásnak köszönhetően jogkövető, a cégek életében a szabályozás kevésbé egyértelmű. Sokszor nem a jogszabályi előírások, hanem a korábbi adatvédelmi biztos illetve a jelenleg működő Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) véleményei, állásfoglalásai, határozatai adnak a magánszektorban tevékenykedők számára kellő iránymutatást a személyes adatok kezelése, feldolgozása vonatkozásában.

A cégek számos személyes adatot kezelnek, melyek az érintettek felől nézve két csoportra oszthatók: a munkavállalók, illetve az ügyfelek (üzlethelyiségbe belépők) személyes adataira.

A társaságoknak a személyes adatok kezelése, feldolgozása során az alábbi jogszabályok rendelkezéseit kell figyelembe venniük:

1. az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.),
2. a Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.),
3. a munka törvénykönyvéről szóló 2012. évi I. törvény (Mt.),
4. a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (vagyonvédelmi törvény).

Ahogy már jelen cikk bevezetőjében említettük, általánosan jellemző tény, hogy míg az állami, önkormányzati rendszerekben a személyes adatok kezelésére vonatkozó keretek határozottan rögzítettek, addig a magánszférában, a gazdasági életben ilyen szigorú szabályokat nem találunk, azok inkább elmosódottak, csupán általános elveket alkalmaznak.

Igaz ez a kijelentés a munkaviszony létesítésére, fenntartására, megszüntetésére. Míg az állami szektorban tevékenykedő közalkalmazottak, kormánytisztviselők személyes adatait jogszabályok, irányító szervezettől érkező konkrét utasítások határolják be, addig a magánszektorban kizárólag a „főbb” jogszabályok adatvédelmi tárgyú rendelkezései az irányadóak.

Munkaviszony létesítésére irányuló adatkezelés

A munkaviszony létesítésének első állomása az álláshirdetésre való jelentkezés. Ez általában azt jelenti, hogy a pályázó elküldi a személyes adatait tartalmazó önéletrajzát a leendő munkáltatójának. Elmondhatjuk, hogy azzal, hogy elküldte a pályázatát, lényegében hozzájárult személyes adatai kezeléséhez, hiszen a hozzájárulás ráutaló magatartással is kifejthető, feltéve, hogy megfelelő előzetes tájékoztatáson alapul. Véleményünk szerint egy álláspályázatra való jelentkezés esetén a hozzájárulás megadásának egyéb aspektusai, elemei megvalósulnak, a tájékoztatás azonban vitatott lehet.

Az állást meghirdető cégtől a leghelyesebb eljárás mindenképpen az, ha a hirdetés tartalmazza az adatvédelmi rendelkezéseket, azaz legalább azt, hogy ki kezeli az adatokat, milyen időtartamban, hogyan érvényesítheti az érintett a jogait.

…az anonim álláshirdetések nem felelnek meg az Infotv. rendelkezéseinek.

Az adatvédelmi biztos 167/A/2006-3. számon ajánlást adott ki az álláshirdetések kapcsán. Ebben a dokumentumban is részletesen kifejti álláspontját az anonim álláshirdetésekkel kapcsolatban, amit az alábbiak szerint összegez:

„…az álláshirdetésnek tartalmaznia kell tehát:
• a feladó személyének, valamint ha nem azonos vele a későbbi adatkezelő, akkor annak pontos megjelölését,
• azt az információs módot, formát, melyen keresztül az érintett tájékozódhat az adatkezelés céljáról, a személyes adatainak kezeléséről, illetőleg amelyen kérheti annak megszüntetését.”1
Emellett foglalkozik az „anonim” álláshirdetések jogszerűségével is. „A jeligével, anonim módon feladott álláshirdetések eredményeképpen létrejövő adatkezelések, a jelentkező munkavállalók személyes adatok védelméhez való jogát korlátozzák, sértik. A adatkezelésekről ugyanis az érintett nem kap tájékoztatást, így az az alkotmányos követelmény, miszerint az érintett a személyes adatainak kezelését nyomon követhesse, nem érvényesül, s mivel nem ismeri az adatkezelő személyét, nem képes érvényesíteni továbbá az Avtv. által az adatkezeléssel kapcsolatban biztosított egyéb jogait sem.”2

Az anonim álláshirdetésekkel a NAIH is foglalkozott. Az adott ügyben a profession.hu honlapot működtető gazdasági társaságot előbb 2011-ben felszólította az adatvédelmi biztos, hogy az anonim álláshirdetések tekintetében módosítson eljárásán, mert a benyújtott pályázatokkal kapcsolatos hozzájárulás nem lehetett megfelelő, tekintettel arra, hogy hiányzott annak egy fogalmi eleme, a megfelelő tájékoztatás. A jelentkezők ugyanis nem tudták, ki kezeli az adataikat, milyen időtartamban és kinek továbbítják azokat. Mivel a honlapot működtető cég nem változtatott eljárásán, a NAIH is megvizsgálta az ügyet és ugyanarra a következtetésre jutott: az anonim álláshirdetések nem felelnek meg az Infotv. rendelkezéseinek.3
Adatkezelés a munkaviszony fennállása alatt

A munkaviszony létesítésének következő lépése a munkaszerződés megkötése majd a munkába állás. Ennek körében fontos lehet a munka-alkalmassági orvosi vizsgálat során kezelt személyes adatok megismerésére való jogosultság.

Az adatvédelmi biztos egy 2009-es döntésében arra az álláspontra helyezkedett, hogy a munkaügyi ügyintéző csupán a legfontosabb egészségügyi adatok megismerésére jogosult, tehát csupán arra terjedhet ki a számára átadott információk köre, hogy alkalmas-e a munkavállaló a munkavégzésre. Az egészségügyi dokumentáció átadására nem jogosult a betegellátó.4

A munkáltató tehát kizárólag egy alkalmasságról szóló vélemény átvételére jogosult, az érintett esetleges betegségeiről részletes tájékoztatást nem kaphat.

Amennyiben a munkáltató harmadik személynek adja át a személyes adatokat, amely nagyvállalatok esetében a munkavégzéshez elengedhetetlenül szükségesek, ahhoz az érintett munkavállaló hozzájárulása szükséges.

Már a munkaszerződés aláírásához, a munkavégzés megkezdéséhez is személyes adatok kerülnek rögzítésre, úgy, mint név, születési név, születési hely és idő, bankszámla adatok, lakcím, társadalombiztosítási szám, iskolai végzettség, adószám, személyi azonosító szám, esetleg személyi igazolvány száma, kereseti adatok. Ezeket a személyes adatokat a cég mint munkáltató nem csupán a munkaviszony fennállása alatt, hanem annak megszűnését követően is kezeli.

Véleményünk szerint a munkavállaló a munkaszerződés aláírásával hozzájárul a munkaszerződésben meghatározott személyes adatai kezeléséhez. Ez a hozzájárulás azonban nem feltétlenül teljes körű. Elsősorban nagyvállalatok esetében fordul elő gyakran, hogy bizonyos személyes adatokat, adatfeldolgozás céljából, adatfeldolgozónak adnak át. Ilyen cél lehet például a bérpapírok megküldése a munkavállalóknak. Ebben az esetben az Mt. 10. § (3) bekezdése alapján az adatfeldolgozásról a munkavállalót előzetesen tájékoztatni kell.

Amennyiben a munkáltató harmadik személynek adja át a személyes adatokat, amely nagyvállalatok esetében a munkavégzéshez elengedhetetlenül szükségesek, ahhoz az érintett munkavállaló hozzájárulása szükséges. Bár a hozzájárulás megadása elméletben ráutaló magatartással is történhet, ennek, illetve a hozzájárulás feltételeinek fennállta sok esetben nehezen bizonyítható, ezért bár a törvény nem írja elő kötelezettségként, javasolt lenne a személyes adatok kezeléséhez, átadásához, továbbításához való hozzájárulás kapcsán írásbeli nyilatkozatot kérni a munkavállalótól. Az írásbeli nyilatkozatban egyértelműen rögzíthető ugyanis maga a tájékoztatás, amely a hozzájárulás alapjául szolgál, ennek elfogadását pedig a munkavállaló aláírásával nyugtázza.
Ahogy korábban kifejtettük, a magánszférában előforduló adatkezeléseknek elsősorban az adatvédelmi alapelvek mentén kell megvalósulniuk. A munkavállaló személyes adatai kezelése körében tehát figyelemmel kell lenni például a rendeltetésszerű joggyakorlásra, azaz hogy csak olyan adatokat kezeljen a munkáltató, amelyek feltétlenül szükségesek. Hasonló alapelv a célhoz kötöttség. Esetleges felhasználásra, pontosan meghatározott cél nélkül nem szabad személyes adatokat kezelni. Ez az elv egy munkajogviszonyban kiemelkedően fontos, tekintettel a munkavállaló alárendelt helyzetére. Mindemellett kiemelnénk, hogy személyes adatokat feleslegesen ne „többszörözzünk”, tehát az egyes adatok több nyilvántartásban, hacsak nincs konkrét külön cél, ne szerepeljenek.
A munkaviszony során megvalósuló adatkezelések a puha jogi szabályozás irányába indultak el: a kereteket a jogszabályok megadják, ám a tartalommal való feltöltés már a gyakorlat feladata. Iránymutatásként szolgál a Nemzetközi Munkaügyi Szervezet (ILO) gyakorlati kézikönyve, amelynek tárgya a munkavállalók személyes adatainak védelme. A kódex, noha nem bír kötelező erővel, ám segítséget nyújt a jogszerű eljárás kialakításában.

Töltse le pdf-ben!

Munkavállalók ellenőrzése

A munkaviszony jellegéből adódóan a munkáltató ellenőrizheti a munkavállaló által végzett munkát: az Mt. 11. §-a rögzíti, hogy a munkáltató a munkavállalót kizárólag a munkaviszonnyal összefüggő magatartása körében ellenőrizheti, amely azonban nem járhat a munkavállaló emberi méltóságának megsértésével.

Az ellenőrzési jogkör gyakorlásának személyes adatokkal kapcsolatos vetülete is van, hiszen a munkáltató ma már legtöbb esetben biztosít a munkavállaló számára számítógépet és mobiltelefont, esetleg GPS követővel ellátott személygépkocsit. Ezen eszközök számos olyan személyes adatot tartalmazhatnak azonban, amelyek kezelésére vagy akár megismerésére a munkáltatónak nincs felhatalmazása, a munkáltató, illetve a felügyeletet gyakorló azonban ellenőrzési jogkörében számos esetben az eszközöket is meg kívánja vizsgálni.

Az alapvető kérdés tehát annak behatárolása, hol húzódik a munkáltató ellenőrzéshez kapcsolódó érdeke és a munkavállaló magánszférájának határa.

Az Mt. 11. § (2) bekezdése szerint a munkáltató köteles a munkavállalót előzetesen tájékoztatni a technikai eszközök alkalmazásáról, amelyek a munkavállaló ellenőrzésére szolgálnak.

Az ellenőrzés körében fontos kiemelni, hogy „a munkahely technikai eszközökkel (például kamerával) történő ellenőrzése nem irányulhat kizárólag a munkahelyi jelenlét vagy munkavégzés intenzitásának megfigyelésére, s azt nem lehet olyan helyiségekben végrehajtani, amelyek a munkavállaló pihenésére szolgálnak, illetve sértik a magánszférát, az emberi méltóságot (így a kamerát nem lehet jogszerűen elhelyezni például az öltözőben vagy az illemhelyiségben).5

Számítógép-használat ellenőrzése a munkahelyen

A XXI. században egyik legfontosabb munkaeszközünk a számítógép. Azon dolgozunk, azon éljük mindennapjainkat, így a számítógépen nem kizárólag a munkavégzéshez szükséges anyagok, adatállományok tárolódnak.

A számítógép-használatra nincsenek speciális előírások, így az adatvédelmi biztos és a NAIH állásfoglalásaira támaszkodhatunk a kérdés megítélése során. Az adatvédelmi biztos gyakorlata szerint a munkáltató csak akkor ellenőrizheti a gépre telepített programokat, ha a számítógépet kifejezetten munkahelyi használatra adta át, és megtiltotta a programok telepítését.

A számítógép használatának jogellenes ellenőrzése kapcsán nemrég látott napvilágot egy NAIH határozat, amelynek tárgya a számítógépen tárolt személyes adatok jogellenes megszerzése és felhasználása volt. A kérdéses esetben egy – egyébként szakszervezeti tisztségviselő – munkavállaló munkahelyi laptopját kérte el a munkáltató, hogy ellenőrizze a rajta tárolt iratokat. A munkavállaló jogszerűen megtagadta a kérés teljesítését, mivel a laptopon személyes iratok is voltak, amelynek számítógépen tárolását nem tiltotta meg a munkáltató. Így időt nyerve törölte a személyes adatokat, ám azok helyreállíthatóak maradtak (mivel nem volt elég ideje a visszaállíthatatlan törlésre). A munkáltató visszaállíttatta az adatállományt, és számítógépen tárolt személyes adatokra, illetve szexuális felvételekre hivatkozva szüntette meg a munkavállaló munkaviszonyát. Eljárását a NAIH jogellenesnek minősítette minden szempontból, hiszen nem volt joga az adatokat megnézni sem, nemhogy visszaállítani, sem ez alapján megszűntetni a munkavállaló munkaviszonyát. A NAIH ennek megfelelően elmarasztalta a munkáltatót. 6
A számítógép használata kapcsán még két kérdéssel szükséges – röviden – foglalkoznunk: az egyik ezek közül az internet használata. Az internet használatának ellenőrzésére a munkáltató kizárólag akkor jogosult, ha kifejezetten megtiltotta az internet magáncélú használatát. Az adatvédelmi biztos egy 2006-os állásfoglalásában kifejti, hogy ha a munkavállaló annak tudatában keres fel egy honlapot, hogy azt a munkáltató ellenőrizheti, megadja a hozzájárulását. 7

Amennyiben a munkavállaló hosszabb ideig nem tudja elolvasni leveleit, egy általa kijelölt munkavállaló – ennek hiányában a rendszert üzemeltető informatikus – jogosult megtekinteni a levelezések fejlécét, és amely levelek hivatalos levélnek tűnnek, azokat jogosult át is adni a munkáltatónak.

Az e-mail használat kapcsán szintén számos állásfoglalás született. Egyértelműnek látszik az a metódus, hogy kettéválasztásra kerüljenek az ügyfelekkel való, illetve az ún. belső levelezés. Amennyiben ugyanis egy munkavállaló egy másik munkavállalóval levelez, annak tartalmát ellenőrzési jogosultsága körében megismerheti a munkáltató. Máshogyan ítélendő meg a kérdés azonban, ha a munkavállaló egy ügyféllel, a munkáltatón „kívüli” emberrel folytat levelezést. Ebben az esetben ugyanis nem csupán a munkavállaló, hanem a kívülálló személy adatainak kezelésére is sor kerülhet, ezért külön meg kell kérni az ügyfél hozzájárulását is.
A kizárólag munkavégzés céljából átadott e-mail postafiók ellenőrzése kapcsán a munkáltatónak joga van arra, hogy a postaládában lévő e-mailek fejlécének megtekintése után – ahol szerepel a küldő és a fogadó személye, e-mail címe, a levél megnevezése, a küldés időpontja, a levél mérete – egy konkrét levél kiadását kérje a munkavállalótól. A munkavállaló a levél átadását csak a harmadik személy jogát sértő levéltitokra történő hivatkozással tagadhatja meg, abban az esetben pedig, ha az e-mail postafiókot kizárólag hivatalos használatra adták át számára és a kért levelet a munkavállaló írta, vele szemben munkajogi szankciókat alkalmazhatja a vezető, illetőleg a munkáltató.8
Emellett fontos kiemelni, hogy amennyiben a munkavállaló hosszabb ideig nem tudja elolvasni leveleit, egy általa kijelölt munkavállaló – ennek hiányában a rendszert üzemeltető informatikus – jogosult megtekinteni a levelezések fejlécét, és amely levelek hivatalos levélnek tűnnek, azokat jogosult át is adni a munkáltatónak. 9
Telefonhasználat

A munkavállaló telefonhasználatával kapcsolatban kialakult gyakorlat abba az irányba mutat, hogy a munkáltató, akinek nevében a munkavállaló telefonhívást bonyolít le, elvben jogosult lenne megismerni a telefonálási adatokat, azonban ha ehhez a harmadik fél (ügyfél), aki szintén érintett, nem járult hozzá, akkor a munkáltató mégsem jogosult az adatkezelésre. Amennyiben a költségek viselése érdekében szükséges a magán és hivatalos hívások megkülönböztetése, ennek megoldása lehet, hogy a részletes híváslistát tartalmazó iratot a munkáltató átadja a munkavállalónak, a munkavállaló pedig törli a listáról a magáncélú telefonhívásokhoz kapcsolódó személyes adatokat.10

Érdekes kérdés még a cellainformációk lekérésének jogszerűsége. Az adatvédelmi biztos kimondta, hogy erre kizárólag a munkavállaló hozzájárulása esetén van lehetőség, és csak akkor, ha ezt a munkavégzés jellege indokolja (tehát amennyiben az irodában ül egész nap a munkavállaló, az nem teremt kellő jogalapot az adatkezelésre). A cellainformációk lekérésére egyébként kizárólag a munkaidő tekintetében van lehetőség, a pihenőidő és a szabadság időtartamára nézve nincs. 11

A cellainformációkhoz hasonló a GPS adatok lekérésének megítélése. Erre szintén a munkaidő tekintetében van lehetősége a munkáltatónak, ha a munkavállaló a gépjárművel munkát végez. A munkaidő leteltét követően a GPS követő rendszert ki kell kapcsolni, az nem küldhet további adatokat a munkáltatónak.12

Ügyféllista

A cégek ebből a szempontból két nagy csoportra oszthatóak: egyik részük kapcsolatba kerül természetes személy ügyfelekkel és velük fogyasztói szerződést köt jellemzően. Másik részük jellemzően cégekkel, vállalatokkal áll kapcsolatban, így személyes adatokat nem kezel.

Az ügyfelek adatainak kezelésére számos esetben ágazati jogszabály tér ki. Általánosan elmondható azonban, hogy az ügyfelek személyes adatainak kezelésére szinte kivétel nélkül hozzájárulás alapján kerül sor.

A legtöbb nagyvállalat nem készít külön adatkezelési nyilatkozatot, hanem az általános szerződési feltételek részévé teszik, így az egyedi szerződés aláírásával egyidejűleg a személyes adatok kezelésére vonatkozó rendelkezéseket is elfogadja az érintett. A régi és az új Ptk. is egybehangzóan kijelenti az általános szerződési feltételek kapcsán, hogy azok kizárólag akkor válnak a szerződés részévé, ha a szerződés megkötését megelőzően az ÁSZF-et alkalmazó lehetővé tette, hogy azt a másik fél megismerje, és azt a másik fél elfogadta. Az általános szerződési feltételek kapcsán az adatvédelmi biztos 2005. évi beszámolója kapcsán említi meg a mobilszolgáltatók által alkalmazott feltételek esetenkénti jogszerűtlenségét. Felhívja a figyelmet például arra, hogy az adatkezelés a magyar jog hatálya alá tartozik: jogszerűtlen tehát más nemzet jogszabályára hivatkozni az adatkezelések kapcsán. Emellett kiemeli, hogy a tájékoztatásnak ÁSZF alkalmazása esetén is részletesnek és érthetőnek kell lennie.13

Az ügyfelek adatainak vizsgálata során ki kell térnünk a pénzmosás és terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2007. évi CXXXVI. törvény (a továbbiakban: Pmt.) által előírt ügyfél-átvilágítási kötelezettségre. A Pmt. hatálya alá tartoznak többek között a pénzügyi szolgáltatói, biztosítói tevékenységet végzők, az ügyvédi irodák, közjegyzők, ingatlanügyekkel foglalkozók, nemesfémekkel kereskedők, könyvvizsgálói és adószakértői tevékenységet végzők, önkéntes kölcsönös biztosítópénztárak és azok a vállalkozók, akik árukereskedelmi tevékenység folytatása során napi hárommillió-hatszázezer forintot elérő vagy meghaladó összegű készpénzfizetést fogadnak el.
Mint látható tehát, széles körben alkalmazandóak a Pmt. rendelkezései. A Pmt. 7. §-a részletezi, hogy az ügyfél-átvilágítás során mely adatokat szükséges rögzíteni. Számos, a Pmt. hatálya alá tartozó, és így ügyfél-átvilágítási kötelezettséggel terhelt vállalkozás azonban – tévesen – az ügyfelek személyi azonosító okmányait lefénymásolja. Az adatvédelmi biztos 2006-os állásfoglalásában kifejti, hogy az adatok rögzítése és az igazolványok fénymásolása nem egy és ugyanaz. Bár a rögzítésre van jogszabályi felhatalmazása az eljáró vállalkozásnak, fénymásolatok készítésére nincs, az tehát kizárólag az érintett hozzájárulásával történhet meg.
Felmerül azonban a kérdés, hogy az érintett által adott hozzájárulás mennyire tekinthető önkéntesnek? Erre az adatvédelmi biztos állásfoglalásában az alábbiakat fejti ki:

Egy hozzájáruló nyilatkozat „aláírattatása” nem feltétlenül jelenti egyúttal az adatvédelmi követelményeknek megfelelő, valódi hozzájárulás meglétét is. Az ügyfelek részére egyértelmű tájékoztatást kell adni az okiratmásolatok készítésének céljáról, mely ahhoz szükséges, hogy az ügyfelek megfelelő információk birtokában valóban el tudják dönteni, hogy hozzájárulnak-e a meghatározott cél érdekében történő adatkezeléshez. Amennyiben az adatkezeléshez történő hozzájárulás megtagadása miatt a hitelintézet az adott jogügyletet nem végzi el, sérülhet a hozzájárulás önkéntességének az elve. Nem beszélhetünk önkéntes hozzájárulásról, ha például a szerződéskötés feltétele az okmánymásolat készítése.14

A legtöbb cég esetében számos adatkezelési kérdés merül fel, még akkor is, ha kizárólag a munkavállalók adatait kezelik. Fontos, hogy figyeljünk az adatkezelés jogszabályi előírásainak betartására, hiszen a NAIH súlyos pénzbírsággal sújtja a jogosulatlan adatkezelőket, és határozatait honlapján közzé is teheti, választása szerint a jogellenes adatkezelést megvalósító cég nevének megadása mellett is – ez pedig komoly imázs-romboló hatással bírhat, amit érdemes elkerülni.
1 ABI -167/A/2006-3. számú ajánlás
2 ABI -167/A/2006-3.
3 NAIH-608-15/2013/H
4 ABI- 465/P/2009-5
5 Kártyás Gábor: Kommentár a munka törvénykönyvéről szóló 2012. évi I. törvényhez. Complex online kommentár. 11. §.
6 NAIH-421-19/2013/H
7 ABI -1767/K/2006-3.
8 ABI – 40/K/2006-3.
9 ABI – 40/K/2006-3
10 ABI – 1672/K/2006-3, ill. 1767/K/2006-3.
11 ABI – 920/K/2006-2.
12 ABI – 559/A/2006-3.
3 Az adatvédelmi biztos 2005. évi beszámolója. 90-91. oldal
elérhető: http://www.naih.hu/files/Adatvedelmi-biztos-beszamoloja-2005.PDF (letöltés d.: 2014.08.20.)
14 ABI -1477/A/2005-6.

Készítette: Dr. Holló Dóra és Dr. Nagy Dóra Adriána. Megjelenik a Detektor Magazin 2015/5-ös és 2015/6-os számában.