Fontos, hogy az informatikai eszközök útján végzett bármely adatkezelésekkel kapcsolatos információknak – a többi adatkezelés mellett – szerepelniük kell a munkavállalók részére adott adatvédelmi tájékoztatásban, a GDPR 13. és 14. cikke szerint (illetve az adatkezelői tevékenységek GDPR 30. cikke szerinti nyilvántartásában is fel kell ezen adatkezeléseket tüntetni).
A GDPR gyakorlati értelmezésének legmeghatározóbb szerve az Európai Adatvédelmi Testület, amely jogelődje az ún. 29-es Adatvédelmi Munkacsoport. A Munkacsoport állásfoglalásai gyakori elemei a hazai hatósági jogalkalmazásnak, ezért érdemes megvizsgálni a Munkacsoport véleményét, ajánlásait a kérdéses témában is. Az informatikai eszközök által végzett adatkezelések kapcsán többek között az alábbi információkat, adatvédelmi szempontokat érdemes mérlegelni, és ennek megfelelően vizsgálni kell az adatkezelés körülményeit (az adatkezelés valóban szükséges-e, nem korlátozza-e indokolatlanul a munkavállalók jogait stb.), valamint össze kell gyűjteni a releváns eszközöket, alkalmazásokat, az általuk gyűjtött személyes adatokat és az adtakezelés időtartamait.
Milyen távoli hozzáféréssel lehet a belső hálózatba belépni, ezzel kapcsolatban milyen adatok keletkeznek?
A távoli hozzáférés biztosítása a munkáltató szempontjából komoly adatbiztonsági kockázatot rejt magában, ezért nyilvánvalóan indokolt az azonosítás elvégzése a hozzáférés biztosítása előtt. Azonban, ha az azonosítással kapcsolatban bármilyen személyes adat (akár IP cím, amely közvetetten alkalmas az azonosításra) keletkezik és ezt a rendszer egy bizonyos ideig tárolja, akkor a munkáltató a logolási tevékenység körében a GDPR 4. cikk 2. pontja szerinti adatkezelővé válik, ebből kifolyólag pedig köteles tájékoztatni az érintett személyt (azaz a munkavállalót) az adatkezelés körülményeiről (annak céljáról, jogalapjáról stb.), az adatkezelési tájékoztató keretében. Az adatkezelés jogalapja tipikusan a munkáltató jogos érdeke lesz, így ne feledkezzünk meg az ilyenkor szükséges érdekmérlegelési teszt elvégzéséről és annak megfelelő dokumentálásáról sem.
Az informatikai eszközök és internet használatával kapcsolatban milyen adatok keletkeznek és kerülnek megőrzésre?
A Munkacsoport WP 55. sz. ajánlása a munkahelyi elektronikus megfigyelésről és elektronikus kommunikációról számos követelményt megfogalmaz az informatikai eszközök munkahelyi ellenőrzésével kapcsolatban. E kérdéskörön belül kifejezetten szerepel az e-mail, valamint internethasználat ellenőrzése, melyről a munkáltató minden esetben részletesen köteles tájékoztatni a munkavállalót. A Munkacsoport ezt a kötelezettséget az általános tájékoztatási kötelezettség elvéből vezeti le. Egyértelmű hatósági elvárás, mely szerint a munkáltató minden esetben köteles tájékoztatni a munkavállalót minden őt érintő adatkezelésről, és ez alól az informatikai eszközök útján végzett adatkezelések sem képeznek kivételt. A dokumentumban a tájékoztatás minimális tartalmára vonatkozóan részletes ajánlást találhatunk.
A Munkacsoport munkahelyi adatkezelésekről szóló WP 249. sz. ajánlása az alábbi, IT szempontból releváns területeket vizsgálja:
- DLP;
- újgenerációs tűzfalak, amelyek nyomon követési technológiát kínálhatnak (pl.: deep packet inspection, TLS megszakítás, holnapszűrés, tartalomszűrés);
- biztonsági alkalmazások és intézkedések, amelyek rögzítik a munkavállalók bejelentkezéseit a munkáltató rendszereibe;
- eDiscovery technológia, azaz minden olyan eljárás, amely bizonyítékként felhasználni kívánt elektronikus adatok keresésére szolgál;
- az alkalmazások és eszközök használatának megfigyelése láthatatlan szoftver segítségével, akár az asztali számítógépen, akár a felhőben;
- a munkavállalók által az erre vonatkozó felhasználási szabályzat alapján, saját munkavégzésük céljára biztosított, személyes eszközök (pl. számítógépek, mobiltelefonok, táblagépek) megfigyelése; valamint a mobileszköz-kezelési technológia, amely lehetővé teszi alkalmazások, adatok, konfigurációs beállítások és frissítések kiküldését a mobil eszközökre; valamint
- felhőalapú szolgáltatásként nyújtott irodai alkalmazások használata a munkahelyen, melyek elméletileg a munkavállalók tevékenységének nagyon részletes naplózását teszik lehetővé.
Alkalmaz-e a munkáltató DLP (adatszivárgás elleni szoftver), illetve MDM (mobil menedzsment szoftver), vagy más hasonló megoldást?
A GDPR 32. cikke részletesen foglalkozik az adatbiztonsági követelményekkel, melynek része, hogy az adatok az adatkezelő köteles illetéktelen harmadik személlyel szemben megóvni. A DLP (data loss protection) megoldás lehetővé teszi az adatszivárgás észlelését, ugyanakkor a DLP – az adatkezeléssel érintett munkavállalók szempontjából – meg kell feleljen a GDPR előírásainak. Amennyiben tehát a cég alkalmaz DLP rendszert, akkor az adatvédelmi megfelelőség érdekében szükséges megvizsgálni ennek működését, különös tekintettel arra az esetre, ha a DLP a munkavállalóval összefüggésbe hozható személyes adatokat kezel. A Munkacsoport álláspontja szerint a DLP és hasonló rendszerek garanciákkal való körülbástáyázása azért is fontos, mert annak használata bizonyos esetekben szükségtelen (így jogellenes) adatkezelésekhez vezethet, pl. akkor, ha az téves „riasztást” tesz egy kiküldött e-mail kapcsán. Általánosságban elmondható, hogy a cég köteles tájékoztatni a kollegákat az eszköz használatáról és meg kell ismertetnie velük azon szabályokat, illetve logikát, amely mentén az eszköz egy e-mail elküldését potenciális incidensnek minősíti. Az eszköznek figyelmeztetnie kell a munkavállalót az e-mail elküldése előtt arra, hogy az e-mailt az eszköz potenciális incidensnek fogja minősíteni és meg kell adni a lehetőséget a munkavállalónak az e-mail küldés visszavonására.
Az egyre inkább elterjedő MDM (mobile device management) rendszerek használata is a fenti körbe sorolható, amennyiben ennek célja az adatszivárgás megakadályozása. MDM rendszer használatával a munkáltató a mobiltelefon adattartalmát távolról is képes törölni, például abban az esetben, ha a munkavállaló bejelenti a mobiltelefon elvesztését vagy ellopását. A Munkacsoport iránymutatása szerint az MDM rendszer használata esetén az adatkezelő köteles előzetes adatvédelmi hatásvizsgálatot lefolytatni. Továbbá részletesen vizsgálni kell, hogy az arányosság és szubszidiaritás elvének megfelel-e az MDM alkalmazása. Az így gyűjtött adatoknak a célhoz kötött feldolgozásáról a munkáltatónak gondoskodnia kell (kerülni kell, hogy az adatokkal egy széleskörű ellenőrző mechanizmus jöjjön létre a munkavállalóra nézve). A lehető legminimálisabbra kell szorítani a rendszer által gyűjtött adatokat, és garanciákkal kell biztosítani, hogy azokhoz a munkáltató csak akkor férhessen hozzá, ha az eszköz eltűnését bejelentik, tehát ne legyen automatikus hozzáférés, állandó jellegű figyelés. A garanciákat célszerű a vonatkozó belső szabályzatba foglalni.
Hangsúlyozzuk, hogy az adatvédelmi tájékoztatás szintjén a munkavállalóknak nem a technikai tényezőkkel kell teljes körűen tisztában lenniük (ez akár ellentétes is lehet a munkáltató érdekeivel), hanem mindössze arról kell tájékoztatást nyújtani, hogy az alkalmazott technikai módszerek milyen adatokat kezelnek, hogyan, meddig, és milyen célból, illetve jogalap mentén, azaz a tájékoztatásnak a GDPR 13. és 14. cikkében foglalt elemeket kell tartalmaznia.