|

Mikor és hogyan ellenőrizheti a munkáltató jogszerűen a céges eszközöket?

Írta:Dr. Maticsek Anna

A digitális eszközök és online kommunikáció mára már elengedhetetlenné váltak a munkavégzés során. A munkáltató jogos érdeke, hogy az általa biztosított eszközök rendeltetésszerű használatát ellenőrizze, amellyel megelőzheti a visszaéléseket, és védelmezheti az üzleti titkait.

Mindazonáltal a munkavállalók részére a munkaviszonyban is biztosítani szükséges a személyiségi jogok védelmét – így a magánélethez, magántitokhoz és a személyes adatok védelméhez fűződő jogokat is. Ezen jogok nem szűnnek meg csupán amiatt, hogy egyes eszközöket munkavégzés céljából kaptak a munkáltatótól.

Amennyiben tehát a munkáltató ellenőrizni kívánja az általa biztosított erőforrások használatát, úgy ellenőrzési joga ütközhet a munkavállaló egyes jogaival.

Hol húzódik a határ a jogszerű munkáltatói ellenőrzés és a magánszféra, illetve személyiségi jogok megsértése között? Milyen feltételek mellett férhet hozzá a munkáltató a céges eszközökön tárolt (személyes) adatokhoz? Hogyan egyensúlyozható ki a munkáltatói érdekek védelme a munkavállalói jogok tiszteletben tartásával?

Ebben a cikkemben a fenti kérdésekre keresem a választ, bemutatva a hatályos jogi szabályozást. A munkahelyi kamerás megfigyelés speciális szabályaival külön cikkben foglalkoztam.

Fotó: Pixabay

Jogszabályi háttér, alkalmazandó szabályok

A munkavállalók munkaviszonnyal összefüggő magatartásának ellenőrzésére több jogszabály rendelkezései is irányadóak:

  • A munka törvénykönyvéről szóló 2012. évi II. törvény (Mt.) egyes rendelkezései, így különösen az „5. A személyiségi jogok védelme„, valamint „5/A. Adatkezelés” alcímei,
  • az általános adatvédelmi rendelet (GDPR), valamint
  • az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.).

Ezeken kívül érdemes figyelembe venni a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) állásfoglalásait és gyakorlatát, valamint a bírósági gyakorlatot is.

Az ellenőrzés jogszerűségének feltételei

Az alkalmazottak eszközeinek ellenőrzésére csak a szükségesség–arányosság–átláthatóság elvek betartása mellett kerülhet sor, amely követelményt már 2017-ben, a Bărbulescu-ítéletben1 az Emberi Jogok Európai Bírósága kimondott.

A GDPR bevezetésével megerősítésre kerültek ezen elvi elvárások, valamint ma már további feltételeknek is teljesülnie szükséges a munkaeszközök ellenőrzésének adatvédelmi szempontú jogszerűségéhez.

1. Kötelező az előzetes tájékoztatás

Az előzetes tájékoztatás az adatkezelés jogszerűségének alapfeltétele. A munkáltató kizárólag akkor ellenőrizheti a munkavállaló kommunikációját vagy eszközhasználatát, ha erről a munkavállalót előre, egyértelműen és részletesen tájékoztatta.

A GDPR értelmében ennek a tájékoztatásnak világosan meg kell határoznia az ellenőrzés célját, jogalapját és módszerét. Az átláthatóság elve azt is magában foglalja, hogy a munkavállalónak pontosan tudnia szükséges, hogy milyen adatokat gyűjtenek róla, és mire használják fel azokat.

A megfelelő tájékoztatás hiányában az ellenőrzés jogellenes lehet.

2. Az ellenőrzésnek arányosnak és szükségesnek kell lennie

A munkáltatónak igazolnia kell tudni, hogy az ellenőrzés feltétlenül szükséges, és nincs kevésbé intruzívabb eszköz, amellyel az ellenőrzés célját elérhetné.

Az ellenőrzésnek továbbá korlátozottnak kell lennie időben és tartalmában. A munkáltató nem férhet hozzá indokolatlanul az eszközökön, vagy azokkal folytatott kommunikáció tartalmához, különösen, ha az magánjellegű.

Az ellenőrzés végrehajtása során továbbá figyelembe kell venni a munkavállaló magánszférájának védelmét is. A munkahelyi szabályzatok vélt, vagy valós megszegése önmagában nem igazolja automatikusan az ellenőrzés arányosságát.

3. Célhoz kötöttség

A munkáltatói ellenőrzésnek előzetes tájékoztatáson kell alapulnia
Fotó: Yan Krukau

 A munkáltató csak akkor kezelhet személyes adatot (pl. e-mailt, csevegést, naplófájlt), ha annak világosan meghatározott, jogszerű célja van – és az adatkezelés kizárólag e cél eléréséhez szükséges mértékben történik.

Vagyis:

  • Nem lehet abból a célból ránézni az alkalmazott levelezésére, hogy „hátha találunk valamit”.
  • Nem lehet általánosságban monitorozni a teljes internethasználatot elővigyázatosságból.
  • Nem lehet úgy végezni ellenőrzést, hogy arról a dolgozó nem tud.

Ha például a belső szabályzat szerint a munkahelyi e-mail kizárólag munkavégzés céljából használható, akkor ez önmagában ez még nem jogosítja fel a munkáltatót arra, hogy betekintsen a munkavállaló összes e-mailjébe.

4. Jogos érdek dokumentálása

Munkahelyi ellenőrzés esetén a munkáltató adatkezelése kizárólag a jogos érdekére alapulhat, mivel a munkavállalótól származó hozzájárulás nem tekinthető önkéntesnek (és így a GDPR-nak megfelelőnek sem).

A jogos érdek alkalmazásához kötelező egy írásban dokumentált érdekmérlegelési teszt elvégzése. Ebben meg kell jelölni az ellenőrzéshez kapcsolódó adatkezelés célját (pl. céges eszközök védelme), és igazolni kell, hogy az adatkezelés szükséges és arányos.

A teszt elvégzése során vizsgálni kell azt is, hogy a munkavállaló magánélethez fűződő jogai nem sérülnek-e indokolatlanul. A dokumentációval a munkáltató igazolhatja, hogy az adatkezelés jogszerű és átlátható.

Mi ellenőrizhető a munkavállalók eszközein?

Az Mt. rendelkezései szerint

a munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be.

Mindazonáltal az Mt. szabályozza azt is, hogy hogyan használhatóak a munkáltató által rendelkezésre bocsátott eszközök, illetve rendszerek: a munkavállalók ezeket kizárólag a munkájukból eredő feladatokhoz használhatják. Ettől azonban eltérően is megállapodhat a munkáltató és a munkavállaló.

Jó gyakorlat tehát a munkáltató részéről, ha a munkaeszközök és rendszerek használata tekintetében külön belső szabályzatot készít, amely pontosan meghatározza milyen célokból és milyen módokon lehet használni ezeket. Erre a szabályzatra való utalást célszerű a munkaszerződésbe is belefoglalni.

De nézzük részletesen, hogy pontosan mikbe jogosult betekinteni a munkáltató.

Fotó: Aibek Skakov

1. Céges e-mail fiókok

Manapság már a legtöbb munkáltató a gördülékeny kommunikáció érdekében kizárólagos hozzáférésű e-mail fiókot biztosít a munkavállalói részére. Az ezen e-mail címen végzett üzenetváltások azonban a munkáltató infrastruktúráján keresztül történnek, így a kimenő és bejövő üzenetek tartalma is elvileg könnyen hozzáférhető, ellenőrizhető a munkáltató részére.

Ugyan a fent már leírtak szerint a munkavállaló csak a munkaviszony teljesítésévvel összefüggésben jogosult a törvény szerint használni a rendelkezésére bocsátott e-mail fiókot, azonban a való életben gyakran előfordul, hogy személyes célokból is igénybe veszik azt, így pl. azzal hírlevelekre iratkoznak fel.

Az e-mailezés ellenőrzésekor a munkáltatónak különösen körültekintően kell eljárnia és a magánlevelezéseket csak akkor ismerheti meg, ha arra egyértelmű jogalapja van és a kapcsolódó adatkezelésnek a célja is megfelelő.

2. Chatalkalmazások (pl. Teams, Slack)

A belső kommunikációs platformok – különösen ha céges azonosítóval történik a belépés – munkavégzéshez kapcsolódó használata szintén ellenőrizhető.

Még ha egy chatalkalmazást elsősorban munkára használnak is, természetes, hogy időnként magánjellegű üzenetváltásra is sor kerül ezeken keresztül – ahogy az irodai beszélgetések során is sor kerülhet személyes beszélgetésekre a dolgozók között.

Fontos azonban, hogy a chatalkalmazásokban küldött üzenetek tartalmi vizsgálatára  is csak akkor kerülhet sor, ha azt a belső szabályzat lehetővé teszi, és a munkavállalók erről előzetesen tájékoztatást kaptak.

Az automatikus naplózás, képernyőrögzítés vagy auditlogok használata jogszerű lehet, ha ezek átláthatóan és célhoz kötötten történnek.

3. Internethasználat-monitorozás

Sok cég alkalmaz tűzfalat, proxy szervert vagy webszűrő szoftvereket a nem kívánatos weboldalak munkavállalók általi elérésének megakadályozására.

Az internethasználat időtartamának és céljának monitorozása – például naplózott webcímek alapján – általánosságban jogszerű, ha ennek tényével a munkavállalók tisztában vannak, és csak a munkavégzéssel kapcsolatos rendeltetésszerű használat vizsgálata történik.

Továbbá az arányosság elvének megtartása itt is fontos: nem követhető, hogy ki pontosan mit olvasott el, vagy milyen adatokat írt be egy-egy weboldalon.

4. Céges mobilok, laptopok használata

A munkáltató jogosult a saját tulajdonában álló eszközökön futó forgalom, tárolt adatok vagy alkalmazások vizsgálatára, illetve megfigyelésére is, de csak abban az esetben, ha ez nem sérti indokolatlanul a munkavállaló magánéletét.

Például a céges telefon helymeghatározásának nyomon követése munkaidőn kívül – tájékoztatás hiányában – már jogsértő lehet. A szoftveres eszközhasználat naplózása viszont megfelelő tájékoztatás és célmeghatározás mellett általában megengedett, jogszerű lehet.

Mit nem tehet a munkáltató?

A fent megjelölt Mt. szabály értelmében olyan, a munkaeszközökön tárol adatokba, amely a munkavállaló magánéletéhez kapcsolódónak, tilos a munkáltatónak betekinteni.

A munkáltató továbbá nem jogosult önkényesen meghatározni az ellenőrzés módját és terjedelmét, a belső szabályozások megalkotásakor pedig figyelemmel kell lennie egyrészt a törvényi elvárásokra, másrészt pedig a bíróság, valamint a NAIH gyakorlatára.

Fotó: Christina Morillo

Nem lehet elégszer hangsúlyozni, hogy

a munkáltató köteles előzetesen, részletesen tájékoztatni a munkavállalót arról, hogy az egyes eszközök (így például az e-mail fiók tartalma, chatalkalmazások, céges mobilhasználat) milyen, a munkavégzéssel összefüggő célból ellenőrizhetőek; azok tartalmához milyen célból, milyen jogalapon és módon, valamint kik férhetnek hozzá.

A munkavállalók titkos megfigyelése – például rejtett szoftveres megfigyelő eszközök telepítése, képernyőrögzítés vagy e-mailek másolatának automatikus továbbítása előzetes tájékoztatás nélkül – súlyosan sérti az átláthatóság és méltányosság elvét. Az ilyen jellegű, „láthatatlan” kontroll csak kivételes, jogilag indokolt esetben (például súlyos visszaélés gyanúja esetén), és kizárólag szűk keretek között lehet jogszerű.

Magánidőben történő megfigyelés

A munkáltató csak munkaidőben és csak a munkaviszonnyal kapcsolatos tevékenységre vonatkozóan végezhet ellenőrzést és adatkezelést. Például egy céges mobiltelefon helyadatainak követése munkaidőn kívül vagy a munkavállaló otthoni internethasználatának figyelése teljes mértékben jogsértő, még akkor is, ha a használt eszköz a munkáltató tulajdonában van.

Szankciók alkalmazása előzetes szabályozás nélkül

Nem lehet fegyelmi vagy egyéb következményt alkalmazni olyan magatartás miatt, amely tekintetében a munkáltató nem tájékoztatta a munkavállalót, hogy az tiltott. Például, ha nem szerepel a belső szabályzatban, hogy tilos a közösségi média magáncélú használata munkaidőben, akkor ennek alapján nem szankcionálható a munkavállaló.

Példák a gyakorlatból

1. A NAIH milliós bírságot szabott ki a jogellenes munkáltatói ellenőrzés miatt

Az ügyben2 a munkaviszony megszűnését követően a volt munkáltató – előzetes tájékoztatás nélkül – ellenőrizte a volt munkavállaló számítógépét és e-mail fiókját, sőt a magán Gmail-fiókját is, melyben üzleti titoknak minősülő információkat talált.

A NAIH megállapította, hogy a munkáltatói ellenőrzéshez kapcsolódó adatkezelés több ponton is sértette a GDPR előírásait és a tisztességes adatkezelés elvét, ezért 2 millió forint adatvédelmi bírságot szabott ki a munkáltatóra.

2. A munkáltatói ellenőrzés és a munkavállalói adatkezelés jogszerűsége kulcsszerepet játszhat a munkaviszony megszüntetésének módjában

Egy 2024-ben hozott ítélet szerint3 a munkáltató – informatikai eszközeinek naplóállományai alapján – utólagos ellenőrzés során derítette ki, hogy a korábbi ügyvezető a munkaviszony megszűnését megelőzően több száz céges, üzleti titkokat is tartalmazó e-mailt továbbított saját privát címére.

Bár a munkáltató adatvédelmi szabályzata egyértelműen tiltotta az ilyen adattovábbítást, a munkáltatói ellenőrzés módjáról (pl. rendszeres vagy célzott elektronikus ellenőrzés) előzetes, részletes tájékoztatás abban nem szerepelt.

A munkavállaló ezen magatartás ismeretlen volt a munkáltató előtt a közös megegyezéssel történő jogviszony-megszüntetés során, sőt a munkavállaló kifejezetten azt nyilatkozta, hogy minden adatot visszaszolgáltatott.

A volt munkavállaló a perben támadta az utólagos munkáltatói ellenőrzést; azzal érvelt, hogy a munkáltató engedély nélkül végzett informatikai vizsgálatot, és nem tájékoztatta őt arról, hogy ezt megteszi.

A Kúria szerint a munkavállaló magatartása szándékos megtévesztésnek minősült, mivel a munkáltató a valódi körülmények ismeretében nem kötötte volna meg a közös megegyezést, hanem azonnali hatályú felmondással élt volna.

3.  A magán mobiltelefonban elhelyezett céges SIM kártya nem ad jogalapot az eszköz ellenőrzésére

Egy munkavállaló mobiltelefonját a munkáltató belső vizsgálat során ellenőrizte, amelyen – mivel az a munkavállaló tulajdona volt – személyes üzenetek is voltak, amelyeket a munkáltató megismert.

A Kúria felülvizsgálati eljárásában4 megállapította, hogy a munkáltató megsértette a munkavállaló magántitokhoz való jogát, mivel nem adott megfelelő előzetes tájékoztatást és nem volt kifejezett írásbeli hozzájárulás a személyes adatok kezeléséhez. Az ítélet szerint a munkáltatói ellenőrzés csak akkor jogszerű, ha arányos a céllal, megfelelő biztosítékokat nyújt és a munkavállaló előzetesen és részletesen tájékozott a folyamatról.

Fotó: Katrin Bolovtsova

Összefoglalás

A munkáltatói ellenőrzés csak akkor jogszerű, ha azt megelőzően előzetes, részletes tájékoztatást nyújtottak a munkavállalók számára, annak során az arányosság, a célhoz kötöttség és az átláthatóság elvét betartják, valamint minden lépést dokumentálnak.

Ezen garanciák megléte nemcsak a hatályos jogszabályoknak való megfelelést szolgálja, hanem erősíti a munkáltató és munkavállaló közötti bizalmat is.

Amennyiben a munkahelyi eszközök ellenőrzése nem a jogszabályokban foglaltaknak megfelelően történnek, úgy jogosultak jogaikat polgári, vagy munkajogi perben, illetve jogellenes adatkezelés esetén a NAIH előtti eljárásban érvényesíteni.

  1. Bărbulescu v. Romania, no. 61496/08., 2016. január 12-i ítélet ↩︎
  2. NAIH-3644/2021 számú ügy, 2021. május 5. ↩︎
  3. Kúria Mfv.II.10.117/2023/8. szám, 2024. január 9. ↩︎
  4. Kúria Mfv.I.10.397/2018/7. szám, 2019. június 5. ↩︎

Kapcsolódó bejegyzések

| |

Kép- és hangfelvételek felhasználása bizonyítékként bírósági és egyéb eljárásokban

Írta:Dr. Maticsek Anna

Mikor jogszerű és mikor tilos hang- vagy képfelvételt készíteni másokról és azt bizonyítékként felhasználni eljárásokban? A cikk bemutatja a GDPR, a Ptk. és a bírósági gyakorlat legfontosabb szabályait.

A NAIH eljárásai a GDPR-ban biztosított jogok érvényesítésére: vizsgálati és adatvédelmi hatósági eljárás. Mikor melyiket célszerű indítani?

Írta:Dr. Maticsek Anna

Ebben a cikkben bemutatom a NAIH eljárásait: a vizsgálati és az adatvédelmi hatósági eljárást. Részletesen áttekintem a két eljárás közötti főbb különbségeket, jogalapjukat, valamint az eljárások megindításának feltételeit és módjait.