A munkáltatói ellenőrzés adatvédelmi kérdései
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A bíróság ítéletében kifejtette, hogy a büntetőeljárás sikerességének biztosítása érdekében a munkáltató mellőzheti a GDPR 14. cikk (1)-(4) bekezdése szerinti tájékoztatást.
1. Az alapügy
A Kérelmező jogi képviselőjén keresztül, 2020. június 24. napján kérelmet nyújtott be a NAIH-hoz, amelyben előadta, hogy 2020. március 31. napjával szűnt meg munkaviszonya az Adatkezelőnél, miután felmondását az Adatkezelő tudomásul vette és elfogadta. Az Adatkezelő által biztosított laptopot és mobiltelefont 2020. április 6. napján visszaszolgáltatta. Az Adatkezelő ezt követően a laptop ellenőrzése során, a Kérelmező magánhasználatú e-mail fiókjába betekintett és ott személyes adatokat ismert meg, majd az esetet adatvédelmi incidensként azonosította, és 2020. május 22-én a Hatóságnak is bejelentette.
A Kérelmező 2020. május 22. napján az Adatkezelő ügyvezetőjétől a következő szövegű e-mailt kapta: „Ezúton tájékoztatom, hogy a […] tulajdonát képező, ön által korábban használt számítógépe átállítása során, az ön által nem bezárt (kijelentkeztetett) Gmail fiókjában lévő e-mail forgalomról, szándékunk nélkül tudomást szereztünk, amelyről tájékoztattuk a NAIH-ot a jogszabályok szerint.”
Az Adatkezelő a munkavállalói által használt hivatali e-mail címeket a következő módon képzi: keresztnév.vezetéknév@[…].com. Azokban az esetekben, amikor a céges levelező fiók technikai okokból nem működik, az Adatkezelő tájékoztatása szerint, az a kialakult gyakorlat, hogy ideiglenesen egy Gmail fiókot használnak a sürgős üzleti levelek üzleti partnereknek való továbbítása érdekében. Mivel a Gmail fiók betöltésekor a megjelenített e-mail címben szerepelt a „[…]” név, az Adatkezelő azt feltételezte, hogy a Kérelmező másik céges e-mail fiókjáról van szó, különös tekintettel arra, hogy a munkaszerződés szerint a számítógép magánhasználata nem engedélyezett. A betekintés során az elküldött levelek automatikusan betöltődtek, és a kimenő levelek listájában keresés nélkül láthatóak voltak üzleti célból küldött levelek, melyek tovább erősítették az Adatkezelő azon feltételezését, hogy nem magán levelezésről lehet szó.
A levelek tartalmába történő betekintés során derült ki, hogy ez valójában a Kérelmező magán e-mail fiókja és levelezése, illetve, hogy erről a magán e-mail címről üzleti titoknak minősülő információkat továbbított az Adatkezelő konkurenciájának. A Kérelmező által továbbított levelek közül elsőre feltűnt e-mail tárgya „Confidential”, azaz titkos volt, és legalább 3 csatolt fájlt tartalmazott, melyek elnevezésük alapján megegyeznek az Adatkezelő által forgalmazott gépekre vonatkozó árlistát és árkalkulációt tartalmazó fájlokkal, melyek üzleti titoknak minősülnek.
A számítógép ellenőrzésekor a Kérelmező már nem volt az Adatkezelő munkavállalója, munkaviszonya 2020. április 30. napjával megszűnt, és a számítógépet sem a Kérelmező használta már, az az Adatkezelő tulajdonát képező, ideiglenesen használaton kívüli számítógép volt. A számítógép ellenőrzése továbbá, a Adatkezelő nyilatkozata szerint nem a Kérelmező munkaviszonnyal összefüggő magatartásának ellenőrzésére irányult, ezért a Kérelmező ellenőrzésről történő előzetes tájékoztatása az Adatkezelő álláspontja szerint nem volt szükséges. A számítógépen a Kérelmező a munkaszerződésben foglaltak alapján személyes adatait nem tárolhatta, tekintettel arra, hogy a számítógép magáncélú használatát a munkáltató nem engedélyezte. Amint észlelte, hogy véletlenül betekintett a Kérelmező magán e-mail fiókjába, erről őt e-mailben tájékoztatta.
2. A NAIH döntése
Jelen esetben a NAIH az üzleti titok védelméhez fűződő jogos érdek, mint jogalap fennálltát megállapíthatónak tartotta, ez azonban nem jelenti azt, hogy az Adatkezelő ne lenne köteles e jogalap fennállásához szükséges feltételek meglétét előzetesen, és az adatkezelés során is folyamatosan ellenőrizni. Az érdekmérlegelés lefolytatása hiányában az Adatkezelő az általános adatvédelmi rendelet több garanciális szabályát megsértette. A GDPR 5. cikk (2) bekezdés szerinti elszámoltathatóság alapelvi követelményéből is fakadóan, a munkáltató kötelezettsége, hogy belső szabályzatban vagy más írásbeli dokumentumban rögzítse e jogalap alkalmazásával együtt járó adatkezelési körülményeket, annak érdekében, hogy a munkavállalók meg tudjanak győződni arról, hogy az adatkezelés valóban arányosan korlátozza a jogaikat. Emellett a NAIH vagy a bíróság is így tudja ellenőrizni, vizsgálni azt, hogy a munkáltató adatkezelése megfelelt-e az adatvédelmi követelményeknek. Tekintettel arra, hogy az adatkezelésre vonatkozó írásbeli szabályzat, illetve érdekmérlegelés hiányában az Adatkezelő nem tudta igazolni, hogy a munkavállalói e-mail fiókok munkaviszony megszűnését követő megőrzésére vonatkozó eljárásrend a Kérelmező számára ismert volt, a NAIH megállapítja, hogy az Adatkezelő adatkezelése nem felelt meg a GDPR 5. cikk (2) bekezdése szerinti elszámoltathatóság elvének.
A munkavállalói felhasználói fiók ellenőrzésére a munkáltatónak már előzetesen, az adatkezelést megelőzően pontosan meghatározott adatkezelési céllal kell rendelkeznie. Ennek a célnak – ami egyben az érvényesítendő érdeknek is megfeleltethető – ténylegesnek és valósnak kell lennie, és a valóságban érvényesített érdeknek meg kell egyeznie azzal, amelyet az adatkezelő előzetesen meghatározott. Mint ahogy az adatvédelem egyéb létfontosságú aspektusának (például az adatkezelő azonosítása vagy a cél meghatározása) esetében is történik, ilyenkor is az adatkezelő kijelentése mögött meghúzódó valóság számít.
Az Mt. 11/A. § (2) bekezdése alapján a munkavállaló a munkáltató által a munkavégzéshez biztosított számítástechnikai eszközt, rendszert – eltérő megállapodás hiányában – kizárólag a munkaviszony teljesítése érdekében használhatja. E kötelezettség megtartása végett a jogalkotó lehetőséget biztosít arra, hogy a munkáltató a munkavállalót a munkaviszonnyal összefüggő magatartása körében ellenőrizze, mely szükségszerűen együtt járhat személyes adatok kezelésével. Az Adatkezelő, mint munkáltató jogos érdeke, hogy a tevékenységével kapcsolatos adatok, üzleti titkok a birtokában maradjanak, mely indokolttá teheti az eszköz teljes – a munkavállalói felhasználói fiókokra is kiterjedő – átvizsgálását.
A munkáltató a magánjellegű e-mailek tartalmát még akkor sem jogosult ellenőrizni, ha a számítógép és a munkavállalói felhasználói fiókok ellenőrzésének tényéről a munkavállalókat előzetesen tájékoztatta. Az ellenőrzést ekkor a munkavállalók személyes adataik védelméhez való joga, illetve azoknak a nem munkavállaló harmadik személyeknek a személyes adataik védelméhez való joga – továbbá más személyiségi joga, így elsősorban a magántitokhoz és a levéltitokhoz való joga – korlátozza, akik az e-mailt a munkavállalóknak küldték vagy tőlük azt kapták.
A munkavégzéshez használt eszköz ellenőrzésénél szükséges a munkavállaló – személyes, vagy ha ez nem biztosítható, meghatalmazottja, képviselője – jelenléte, mivel a munkavállaló és harmadik személyek különböző személyes adatai lehetnek az eszközön, amelyek kezelésére a munkáltató – a személyes adata e jellegének ellenőrzésén túl – nem jogosult. Az ellenőrzés során a munkavállaló, vagy képviselője jelenlétének biztosítása jelent garanciát arra, hogy a munkavállaló nem sérti meg ezt a tilalmat.
Az ellenőrzés körülményeitől függően elképzelhetőek olyan helyzetek, amikor a munkavállaló személyes jelenléte objektív okokból nem biztosítható. A Hatóság – a főszabálytól eltérően – egyes rendkívüli esetekben elfogadhatónak tartja, ha a munkavállaló nincs jelen, például azonnali intézkedést igénylő esetekben, vagy betegállományban lévő munkavállaló esetében sürgős intézkedési szükség esetén. Azonban még ezekben az esetekben is egyrészt tájékoztatni kell a munkavállalót a tervezett munkáltatói intézkedésről, másrészt lehetőséget kell biztosítani számára, hogy, ha ő nem is tud jelen lenni, helyette meghatalmazottja vagy képviselője legyen jelen az ellenőrzésnél. Amennyiben ezen megelőző intézkedések – előzetes tájékoztatás és a munkavállaló vagy meghatalmazottja, képviselője jelenlétének biztosítása – ellenére a munkavállaló nem érhető el, vagy nem jelenik meg sem személyesen, sem képviselője útján, akkor lehet távollétében, független harmadik személy alkalmazásával hozzáférni az e-mailfiókjához, számítástechnikai eszközeihez az ellenőrzés, illetve az azonnali intézkedések végrehajtása érdekében.
Az Adatkezelő nem tett semmilyen intézkedést annak érdekében, hogy az ellenőrzésen a Kérelmező személyes, vagy képviselő útján való jelenlétét lehetőségét biztosítsa. A NAIH álláspontja szerint az Adatkezelőnek ez a magatartása az adatkezelés tisztességességét sérti, hiszen a Kérelmezőnek így nem volt lehetősége arra, hogy a saját – és adott esetben a levelezésekben érintett más, harmadik személyek – személyes adatainak védelme érdekében eljárva jelezze az Adatkezelő által megtekintett e-mail fiók magáncélú, személyes jellegét. Az Adatkezelő így kontroll nélkül férhetett hozzá a Kérelmező – és adott esetben harmadik személyek – személyes adataihoz.
Mindebből következően a NAIH megállapítja, hogy az Adatkezelő adatkezelése nem felelt meg a tisztességes adatkezelés elvének, megsértve ezzel a GDPR 5. cikk (1) bekezdés a) pontját.
A NAIH álláspontja szerint a munkáltatónak belső szabályzatokat célszerű megalkotni egyrészt a munkavállalók rendelkezésére bocsátott e-mail fiókok használatának szabályairól: az e-mail-fiókokról biztonsági másolat készítéséről és megőrzéséről, inaktiválásuk szabályozásáról, illetve arról, hogy mikor kerül sor az e-mailek végleges törlésére, valamint az e-mail fiókok használata ellenőrzésének, áttekintésének részletes szabályairól, azt ki és milyen módon hajthatja végre a szervezeten belül, illetve milyen jogai vannak az érintett munkavállalónak az eljárás során. Továbbá a munkáltatóktól elvárható, hogy előzetesen szabályozásra kerüljön, hogy a munkavállalók rendelkezésére bocsátott számítástechnikai eszközök ellenőrzését miként kell lefolytatni, az adott ellenőrzés során kinek, milyen hozzáférése lehet az ellenőrzéssel érintett munkavállaló számítástechnikai eszközeihez, felhasználó fiókjához annak érdekében, hogy a munkavállalók világos, egyértelmű, a jelenlétükre is kiterjedő információkkal rendelkezzenek.
Tekintettel arra, hogy az Adatkezelő sem ténylegesen, sem szabályzat szintjén nem rendelkezett a munkavállalók rendelkezésére bocsátott e-mail-fiókok, és számítástechnikai eszközök használatára és ellenőrzésére, illetve az ezekben tárolt adatok kezelésére vonatkozóan, nem tette meg a szükséges megfelelő technikai, szervezési intézkedéseket annak érdekében, hogy biztosítsa az adatvédelmi elvek érvényesülését és az érintettek jogainak védelmét. Ezzel megsértette a GDPR 25. cikk (1) bekezdését a munkavállalói tekintetében.
A NAIH álláspontja szerint, az Adatkezelő érdekmérlegelési tesztben meghatározott jogos érdeke, mint az üzleti titok megsértésének gyanújához kapcsolódó adatkezelés jogalapja elfogadható. A jogérvényesítés lehetőségét előzetesen ellehetetlenítené, amennyiben adatvédelmi szempontokra való hivatkozással az ilyen esetekben az adatkezelés jogszerűsége nem lenne megállapítható. Továbbá, az eljárás során feltárt adatok alapján az Adatkezelő adatkezelése az érdekmérlegelési tesztben meghatározott érdekei érvényesítése céljából, csak az ehhez szükséges adatokra korlátozódott, és nem merült fel adat arra nézve, hogy az az érintett magánszférájába, ezen érdekek érvényesítésével össze nem függő személyes adatok körére is kiterjedt volna.
A tájékoztatás elmaradását az Adatkezelő egyrészt azzal indokolta, hogy az e-mail fiókot érintő adatkezelés tekintetében a Kérelmező érintetti minősége nem állapítható meg egyértelműen. A Hatóság az Adatkezelő ezen indoklását nem tartja elfogadhatónak, tekintettel arra, hogy az e-mail fiók megtekintésére a Kérelmező által munkavégzéshez használt eszközön, egyedi jelszóval védett saját felhasználói fiókjában megnyitott böngészőben került sor, az e-mail fiók neve pedig a Kérelmező nevét tartalmazta, továbbá az Adatkezelő az e-mail fiók megtekintéséről, mint adatvédelmi incidensről a Kérelmezőt, mint érintettet tájékoztatta.
A Hatóság az Adatkezelő ezen indoklását, – mely szerint a Kérelmező tájékoztatása veszélyeztetné a büntetőeljárás sikeres lefolytatását azáltal, hogy megkísérelhetné befolyásolni a tanúkat, illetve eltüntethetné a bizonyítékokat – szintén nem tartotta megalapozottnak, tekintettel arra, hogy a Kérelmezett nyilatkozata szerint a Kérelmező e-mail fiókjában felfedezett levelezés szolgál az üzleti titok megsértésének bizonyítékául, mely tekintetében az Adatkezelő adatkezelést folytat.
A fentiekre tekintettel a NAIH 2.000.000,- Ft adatvédelmi bírságot szabott ki és kötelezte az Adatkezelőt a belső szabályzatai elkészítésére.
3. A NAIH határozatának bírósági felülvizsgálata
Az Adatkezelő keresetében az elszámoltathatóság elvét érintően kifejtette, hogy kizárólag dokumentációs kötelezettségének nem tett eleget, a munkáltatói ellenőrzés lehetőségét és annak lefolytatását, valamint az eszközök magáncélú használatának tilalmát minden munkavállalójával, így a kérelmezővel is szóban közölte, a kérelmező tanúk jelenlétében önként adta át a céges e-mail jelszavát a felperes képviselőjének; az eszköz ellenőrzésének körülményeit ily módon tudja bizonyítani.
A tisztességes adatkezelés elvével összefüggésben kiemelte, hogy a munkaviszony létesítésekor tájékoztatta a munkavállalókat a munka törvénykönyvéről szóló 2012. évi I. törvény (Mt.) 11/A.§ (2) bekezdése szerinti tilalomról, amelyre tekintettel külön szabályzat megalkotása nem volt indokolt. Hangsúlyozta, nem tehető felelőssé azért, mert a kérelmező a munkaviszonyból származó kötelezettségét megszegte; a kérelmező a jogszerűtlenül tárolt személyes adatokat törölhette volna, és amennyiben nem felejti nyitva a gmail-t, akkor a vétlen betekintés sem valósulhatott volna meg. Lényegesnek tekintette, hogy az ellenőrzéskor a kérelmező már nem volt a munkavállalója, az pedig életszerűtlen, hogy a visszaadott eszköz beállításakor a volt munkavállaló vagy annak képviselője is jelen legyen.
Sérelmezte, hogy az alperes nem értékelte a kérelmező rosszhiszeműségét, illetve szándékos magatartását, holott a kérelmező aktívan hozzájárult ahhoz, hogy az eszközre személyes adatok kerüljenek, így számolnia kellett annak kockázatával is, hogy felperes azokat a legnagyobb körültekintés mellett is megismerheti. A gmail megismerésének körülményeit (vétlen betekintés, automatikus betöltődés) illetően a megelőző eljárásban tett előadásával azonosan nyilatkozott.
A kereset – az alábbiak szerint – részben alapos.
A bíróság – a GDPR 25. cikkre vonatkozó [45] bekezdésre is utalva – egyrészről megállapította, hogy az informatikai eszköz munkaszerződésben kizárt magánhasználatának tilalma nem azonos annak a kérelmező általi feltétlen tudásával, hogy az eszköz visszaszolgáltatása után a munkáltató az eszközön korábban végzett bármely informatikai tevékenységről tudomást szerezhet, például valamely munkamenet helyreállása miatt.
Emiatt pedig az eszköz ellenőrzésekor a tisztességes adatkezelés elve akkor érvényesült volna, ha az Adatkezelő lehetővé teszi az eszköz a kérelmező (vagy képviselője) jelenlétével való vizsgálatát, függetlenül az eszköz ellenőrzésének céljától, módjától, a munkaviszony megszűnésének idejétől, az adatok előzetes törlésének lehetőségétől, és a kérelmező esetleges óvatlanságától (kijelentkezés elmaradása a gmail-ből). A tisztességes adatkezelés elve nem önmagában azért sérült, mert a kérelmező nem volt jelen az eszköz ellenőrzésénél, hanem azért, mert az Adatkezelő e lehetőség megteremtése érdekében semmilyen intézkedést nem tett.
Az Adatkezelő ettől függetlenül nem járt el jogszerűen, amikor előzetes tájékoztatási kötelezettségének nem tett eleget (lásd [40] bekezdés), azonban helyesen járt el, amikor a „Confidential” tárgyú levél megismerését követően az adatkezelési cél elérésének (üzleti titoksértés bizonyíthatósága) veszélyeztetettsége miatt a GDPR 14. cikk (1)-(4) bekezdéseinek alkalmazását mellőzte.
A nyomozóhatóság bevonásával pedig – a büntetőeljárás lefolytatásához fűződő érdek természeténél fogva – nem maradt olyan érdemben számításba vehető intézkedés, amelynek megtétele az Adatkezelőtől elvárható lett volna a kérelmező irányába; e tekintetben közömbös, hogy az Adatkezelő az adatvédelmi incidens bejelentése során hogyan járt el, mert a NAIH az Adatkezelő incidensbejelentését nem fogadta el.
A megismételt eljárásban a NAIH-nak az adatvédelmi bírságot annak figyelembevételével kell a 2.000.000 forintnál arányosan kisebb összegben kell meghatározni, hogy az Adatkezelő a bíróság döntése szerint a gmail-re vonatkozóan a tájékoztatási kötelezettségét nem sértette meg.
(naih.hu)