A munkahelyi elektronikus kommunikáció adatvédelmi kérdései

Ma már gyakorlatilag minden munkahelyen használnak valamiféle levelezőrendszert (pl. Microsoft Outlook) és csevegő alkalmazást (pl. Microsoft Teams) a kommunikáció gyorsabbá és gördülékenyebbé tétele érdekében. Felmerül azonban a kérdés, hogy ezekben az alkalmazásokban a munkavállalók profiljai, illetve a bennük folytatott levelezések, chatelesek a munkavállaló személyes adatának számítanak-e? Ha igen, a munkáltatónak ezekkel a személyes adatokkal kapcsolaban milyen GDPR-ban meghatározott kötelezettségei vannak? Cikkünk ezekre a kérdésekre válaszol.

Először is tisztázni kell, miért fontos, hogy a munkavállalók belső levelezései, chatelesei adatvédelmi szempontból jól átgondoltak és jogszerűek legyenek. Manapság egyre többször fordul elő, hogy munkajogi perben valamelyik fél ezen alkalmazásokban folytatott levelezést, chat üzenetet kíván bizonyítékként felhasználni. A magyar polgári perjog alapvetően a szabad biznyítás talaján áll, a bíróság a perben – törvény eltérő rendelkezése hiányában – nincs kötve alakszerű bizonyítási szabályokhoz, szabadon felhasználhatja a felek előadásait, valamint minden bizonyítékot, amely a tényállás megállapítására alkalmas – bizonyos, a polgári perrendtartásról szóló 2016. évi CXXX. törvényben meghatározott esetekben akár jogszerűtlenül megszerzett, birtokolt bizonyítékot is figyelembe vehet. Előfordulhat azonban, hogy a – jellemzően – volt munkavállaló bosszúból bejelentést tesz a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH), aki az egyedi eseten kívül kivizsgálhatja a munkáltató vonatkozó adatkezelési gyakorlatát is. Az esetlegesen hosszú idő óta fennálló, nagy számú munkavállalót érintő jogsértés estén pedig akár jelentős összegű bírságra is lehet számítani.

A fent leírtakra tekintettel érdemes onnan kiindulni, hogy

a munkavállalók munkahelyi levelezőrendszerben, chatalkalmazásban létrejött profiljai (pl. munkahelyi e-mail cím, munkahelyi MS Teams, Skype fiók), valamint az azokban/azokon keresztül folyó kommunikáció egyaránt a munkavállaló személyes adatainak minősülnek a GDPR 4. cikk 1. pontja alapján, hiszen ezekből az információkból egyértelműen azonosítható egy természetes személy.

Tekintettel arra, hogy a munkáltató adatkezelőként, a munkavállalók pedig érintettként jelennek meg a jogviszonyban, a munkáltatónak a GDPR 12-14. cikk szerinti tájékoztatási kötelezettsége keletkezik a munkavállalói felé. A tájékoztatásnak a – teljesség igénye nélkül – tartalmaznia kell, hogy a munkáltató a munkavállalói rendelkezésére bocsátott alkalmazásokban személyes adatait

milyen célból gyűjti? – Ez jellemzően a munkavégzés, munkaszervezés gyorsaságának és a hatékonyságának növelése a tárgyalt alkalmazások által.
mi az adatkezelés jogalapja? – Bizonyos munkaköröket elektronikus levelezés vagy távoli felek közötti meetingek nélkül nem lehetne ellátni, így ezek esetén megfelelő jogalap lehet a GDPR 6. cikk (1) bekezdés b) pontja, azaz a felek közötti szerződés előkészítése, teljesítése, ami ebben az esetben a felek közötti munkaszerződés lesz. Olyan munkakörök esetében, aminek elvégzéséhez nem elemi szükséglet a tárgyalt alkalmazások használata, a GDPR 6. cikk (1) bekezdés f) pontja, azaz a munkáltató jogos érdeke lehet a megfelelő jogalap (viszont ebben az esetben úgynevezett érdekmérlegelési teszt elvégzése szükséges).
mennyi ideig őrzi meg a gyűjtött személyes adatokat? – Ez egy nagyon sarkalatos pont, hogy a munkaviszony megszűnésétől számítva mennyi ideig és miért pont addig (pl. munkajogi igények elévüléséig) őrzi meg a munkáltató a tárgyalt alkalmazásokkal összefüggésben a munkvállaló személyes adatait. Eléggé „fel van adva a magaslabda” egy munkaügyi perben a volt munkavállalónak, ha a munkáltató olyan levelezést kíván bizonyítékként felhasználni, ami a vonatkozó adatkezelési tájékoztató szerint elvileg már nem lehetne meg, mivel ez már eleve feltételezi a munkáltató részéről a jogszerűtlen és túlterjeszkedő adatkezelést.

Mindenképp érdemes szem előtt tartani, hogy a munkavállalónak, mint érintettnek biztosítani kell a GDPR III. fejezetében szereplő érintetti jogokat, így többek között kérhet hozzáférést (GDPR 15. cikk) személyes adataihoz (akár a munkaviszony megszűnése után is, amennyiben a munkáltató azokat azon túl is megőrzi) vagy kérheti személyes adatainak korlátozását (GDPR 18. cikk), amivel jellemzően jogi igények érvényesítése, védelme érdekében szoktak élni.

Összefoglalva: új munkavállaló belépése esetén a munkáltatónak már az első használat előtt tájékoztatnia kell dolgozóját arról, hogy a munkavégzésével összefüggésben, kommunikációra használt alkalmazásokban létrehozott profilját és az abban keletkezett tartalmakat (pl. levelezések, meetingek időpontjai és résztvevői) a munkáltató milyen célból, milyen jogalapon és mennyi ideig kezeli róla, valamint ezzel kapcsolatban milyen érintetti jogai vannak, amiket a megőrzési idő végééig gyakorolhat.

Mindkét félnek kiemelt érdeke, hogy átlátható legyen a munkahelyi elektronikus kommunikáció és az egyik fél kezében se váljon fegyverré.

Süti	Időtartam	Leírás
COOKIE_SUPPORT	1 year	Ezt a sütit a Liferay állítja be. Ez a süti annak ellenőrzésére szolgál, hogy a látogató böngészője támogatja-e a sütiket.
JSESSIONID		JSP-ben írt webhelyek használják. Általános célú platform-munkamenet sütik, amelyek a felhasználók állapotának az oldalletöltések közötti fenntartására szolgálnak.
PHPSESSID		Ez a süti a PHP-alkalmazásokban található. A cookie a felhasználók egyedi munkamenet-azonosítójának tárolására és azonosítására szolgál a felhasználói munkamenet kezelése céljából a weboldalon. A munkamenet-süti a böngésző összes ablakának bezárásakor törlődik.
SERVERID		Ez a süti arra szolgál, hogy a felhasználót egy adott szerverhez rendelje, így jobb és gyorsabb szerveridőt biztosít. Emlékszik arra, hogy melyik szerver szállította az utolsó oldalt a böngészőnek. Segít a terheléselosztásban is.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Süti	Időtartam	Leírás
Gdyn	1 year 1 month	Ezt a sütit a Gemius szolgáltató állítja be. Ezt a sütit a MOSS és a fejlett webstatisztikák technikai munkamérésének végrehajtásához használják.
GUEST_LANGUAGE_ID	1 year	Ez a süti a látogatók által preferált nyelvi azonosító tárolására szolgál.

Süti	Időtartam	Leírás
_ga	2 years	Ezt a sütit a Google Analytics telepíti. A cookie-t a látogatói, munkamenet- és kampányadatok kiszámítására és a webhely használatának nyomon követésére használják a webhely analitikai jelentéséhez. A cookie-k névtelenül tárolják az információkat, és egy véletlenszerűen generált számot rendelnek hozzá az egyedi látogatók azonosításához.
_gat_UA-112481-1	1 minute	Ez a Google Analytics által beállított mintatípusú cookie, ahol a névben lévő mintaelem tartalmazza a fiók vagy a weboldal egyedi azonosító számát, amelyre vonatkozik. Ez a _gat cookie egy változata, amelyet a Google által rögzített adatok mennyiségének korlátozására használnak a nagy forgalmú webhelyeken.
_gid	1 day	Ezt a sütit a Google Analytics telepíti. A süti arra szolgál, hogy információkat tároljon arról, hogy a látogatók hogyan használják a weboldalt, és segít a weboldal teljesítményéről szóló elemzési jelentés elkészítésében. Az összegyűjtött adatok között szerepel a látogatók száma, a forrás, ahonnan érkeztek, és a meglátogatott oldalak névtelen formában.
UID	2 years	No description available.

Süti	Időtartam	Leírás
_goa3session	2 days	Ezt a sütit a szolgáltató Adverticum állítja be. Ezt a sütit a hirdetések kiszolgálásának folyamatához és a hirdetők számára statisztikai adatok gyűjtéséhez használják.
fr	3 months	A sütit a Facebook állítja be, hogy releváns hirdetéseket jelenítsen meg a felhasználóknak, valamint mérje és javítsa a hirdetéseket. A cookie a felhasználó viselkedését is nyomon követi az interneten keresztül azokon az oldalakon, amelyek Facebook pixellel vagy Facebook social pluginnal rendelkeznek.
Gtest	1 year 1 month	Ezt a sütit a felhasználói viselkedés és a weboldalon végzett tevékenységek gyűjtésére használják a weboldal optimalizálása érdekében. Segít továbbá a Google Ads és a Google Analytics számára a látogatói információk marketing célú összeállításában.
i	1 year	Nincs információ.
IDE	1 year 24 days	A Google DoubleClick használja, és információkat tárol arról, hogy a felhasználó hogyan használja a weboldalt és minden más hirdetést a weboldal meglátogatása előtt. Ezt arra használják, hogy a felhasználóknak a felhasználói profilnak megfelelő, számukra releváns hirdetéseket jelenítsenek meg.
mc	1 year 1 month	Ez a cookie a Quantserve-hez kapcsolódik, hogy anonim módon nyomon követhesse, hogy a felhasználó hogyan lép kapcsolatba a weboldallal.
test_cookie	15 minutes	Ezt a sütit a doubleclick.net állítja be. A cookie célja annak megállapítása, hogy a felhasználó böngészője támogatja-e a cookie-kat.
VISITOR_INFO1_LIVE	5 months 27 days	Ezt a sütit a Youtube állítja be. A weboldalon beágyazott YouTube-videók információinak nyomon követésére szolgál.
YSC	session	Ezt a sütit a Youtube állítja be, és a beágyazott videók megtekintésének nyomon követésére szolgál.

Süti	Időtartam	Leírás
_goa3test	2 years	No description available.
_ia_uid	5 months 27 days	No description
_ia_version	5 months 27 days	No description
CONSENT	16 years 6 months	No description
INX_CHECKER2	16 years 6 months	No description available.
legacy-psid		No description available.
nxdigitolvasosession		No description
psid	session	Nincs elérhető információ.
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.

Kapcsolódó tartalmak

A munkáltató kártérítési felelőssége és az előreláthatósági klauzula

Polgári engedetlenség – munkajogi jogsértés vagy szabad véleménynyilvánítás? – A Fővárosi Törvényszék ítéletet hozott a Karinthy Gimnázium volt tanárainak ügyében!

A diákmunka speciális szabályairól – Az NGM munkavédelmi és munkaügyi tájékoztatót tett közzé!

400 ezer forint felett is kereshetnek a szünidő felét ledogozó diákok – Hamarosan kezdődik a diákmunka szezon – Amit tudni érdemes!

Munkaviszonnyá válhat a taxisok és ételfutárok tevékenysége? – A platformalapú munkavégzés uniós szabályai és a Kúria jogértelmezése – Szakértői összefoglaló!

Állásra jelentkezők személyes adatainak megőrzése

Emberi oldal a munka világában – A támogató munkáltatói hozzáállás és a bizalom segít megtartani a munkavállalót – Egy reprezentatív felmérés tanulságai!

A munkavállalói e-mail fiókok használatának adatvédelmi vonatkozásai – Szabályozás a NAIH gyakorlatának tükrében

Munkaviszonynak minősül-e a platform alapú munkavégzés? – Új uniós szabályok a foglalkoztatottak kiszolgáltatottságának felszámolása érdekében!