Munkavállalói adatvédelem: Mely adatokhoz nincs joga a munkáltatóknak

Digitális korunkban az információ a legfőbb érték. Láthatatlanul kidolgozott algoritmusok követik minden online kattintásunkat, hogy célzott hirdetésekhez részletes portrékat készítsenek rólunk. A közösségi média többet tud és többet tud rólunk, mint amit szívesen beismernénk. Még a munkáltatóink is nyomon követhetnek mindent, amit az iroda falain belül - és néha azon kívül is - teszünk.

2022-ben egy amerikai könyvelő elvesztette az állását, miután részt vett a World Naked Bike Ride-on. A hobbija nem kapcsolódott a karrierjéhez; a kerékpározás alatt nem volt munkaidőben, és nem tett fel magáról fotókat az internetre. Főnöke mégis úgy döntött, hogy kirúgja, miután meglátta egy ismerős arcát a képen, amelyet egy másik résztvevő posztolt.

Ez az eset nem egyedi. A munkavállalókról hatalmas mennyiségű adatot gyűjthetnek, az alapvető elérhetőségi adatoktól és a korábbi munkatapasztalatuktól kezdve az egészségügyi információkig és a politikai nézetekig. Az alapvető adatok gyűjtése szükséges a bérszámfejtéshez, a teljesítménymenedzsmenthez vagy más jogszerű üzleti célokra. Más személyes adatok gyűjtése és az ezek alapján történő vezetői döntések meghozatala illegális és etikátlan, de hol húzódik a határ?

Ez a cikk megkísérli meghúzni ezt a határt, és elmélyedni abban a kritikus kérdésben, hogy milyen adatok megszerzéséhez nincs joga a munkáltatóknak. Végső soron az a célunk, hogy kiindulópontot nyújtsunk annak megértéséhez, hogy a munkáltatóknak milyen határokat kell tiszteletben tartaniuk a munkavállalói adatok gyűjtése során.

A munkáltató által gyűjthető adatok határait a magánélet védelmére és a munkaügyi jogszabályok szabják meg. Ezek a jogszabályok azonban világszerte jelentősen eltérhetnek. Ebben a cikkben csak néhány kulcsfontosságú joghatóságot vizsgálunk meg röviden. Az Ön területének jogi sajátosságainak megismeréséhez javasoljuk, hogy konzultáljon ügyvédjével.

Érdemes megjegyezni, hogy a legtöbb adatvédelmi törvény nem terjed ki kifejezetten a munkahelyi adatgyűjtésre. Ehelyett általános követelményeket határoznak meg a személyes adatok kezelésére vonatkozóan, amelyeket később a munkáltató és a munkavállalók közötti kapcsolatokra vonatkozóan kell értelmezni. E cikk alkalmazásában ezeket a törvényeket a "munkáltató" és a "munkavállaló" kifejezésekkel fogjuk leírni.

• Egészségbiztosítási hordozhatósági és elszámoltathatósági törvény (HIPAA) a munkavállalók egészségügyi adatait védő legfontosabb törvény. Korlátozza a munkáltatók hozzáférését a munkavállalók egészségügyi adataihoz, és kimondja, hogy azokat csak meghatározott célokra és a beteg engedélyével lehet felhasználni és nyilvánosságra hozni.

• A fogyatékossággal élő amerikaiakról szóló törvény (ADA) védi a fogyatékossággal élő személyeket a megkülönböztetéstől. Ez a törvény korlátozza a munkáltató hozzáférését a munkavállalók egészségügyi adataihoz. A munkáltató csak akkor kaphat orvosi információkat, ha azok a munkával kapcsolatosak, vagy ha a munkavállalónak a fogyatékossága miatt különleges alkalmazkodásra van szüksége.

• Fair Credit Reporting Act (FCRA) szabályozza, hogy a munkáltatók hogyan gyűjtik, használják és teszik közzé a munkavállalók hitelinformációit. A munkáltatóknak általában megengedett célt (például háttérellenőrzést) és a munkavállaló írásbeli hozzájárulását kell kérniük a hitelinformációk megszerzéséhez.

• Nemzeti munkaügyi kapcsolatokról szóló törvény (NLRA) védi különösen a munkavállalók azon jogát, hogy megvitassák egymással a munkakörülményeket, többek között a közösségi médián keresztül. Ez azonban nem garantálja a közösségi médiában való teljes körű magánéletet, és a munkáltatóknak bizonyos mozgástérrel rendelkezhetnek, hogy fegyelmezzék a munkavállalókat a munkahelyet zavarónak vagy fenyegetőnek ítélt bejegyzések miatt.

• Az 1974. évi adatvédelmi törvény: Ez a törvény elsősorban arra vonatkozik, hogy a szövetségi ügynökségek hogyan kezelik a személyes adatokat, de nyújt némi betekintést. Olyan elveket határoz meg, mint a "tisztességes információs gyakorlat", amely előírja az ügynökségek számára, hogy legyenek átláthatóak az adatgyűjtéssel kapcsolatban, és korlátozzák az adatok felhasználását a jogszerű célokra.

Ez csak néhány, az adatvédelemre vonatkozó legfontosabb szabályozás. Emellett van néhány olyan állami törvény, például a kaliforniai fogyasztói adatvédelmi törvény (CCPA), amely bizonyos jogokat biztosít a munkavállalóknak a személyes adataik munkáltatók általi gyűjtésével kapcsolatban.

Az általános adatvédelmi rendelet (General Data Protection Regulation, GDPR) az EU-ban az adatvédelem és a magánélet védelmét szabályozó legfontosabb rendelet. Magasra teszi a lécet az adatvédelmi jogok tekintetében, korlátozza a munkáltatók által gyűjthető adatok körét, és jelentős ellenőrzést biztosít a munkavállalók számára a munkáltatók által gyűjtött adatok felett.

Bár a GDPR nem határozza meg egyértelműen, hogy milyen személyes adatokat lehet gyűjteni és milyeneket nem, a munkáltatókat az átláthatóság és a szükségesség elvének betartására kötelezi. Más szóval, érvényes jogalapjuknak kell lennie az egyes típusú információk gyűjtésére, például szerződéses szükségesség, munkahelyi biztonság vagy teljesítményértékelés. Emellett a munkáltatóknak nyíltan kell beszélniük a munkavállalókkal arról, hogy milyen adatokat gyűjtenek, hogyan használják fel és mennyi ideig tárolják azokat.

A GDPR megköveteli a munkáltatóktól, hogy megfelelő technikai és szervezeti intézkedéseket hajtsanak végre a munkavállalói adatok jogosulatlan hozzáféréstől, nyilvánosságra hozataltól, megváltoztatástól vagy megsemmisítéstől való védelme érdekében.

A munkavállalói jogokat és szabadságokat nagymértékben veszélyeztető adatvédelmi incidens esetén a munkáltatóknak értesíteniük kell az illetékes adatvédelmi hatóságot és a potenciálisan érintett személyeket.

A brazil Lei Geral de Proteção de Dados (LGPD) a közelmúltban született átfogó adatvédelmi törvény, amely a GDPR-t követi, és 2020-ban lép hatályba.

A GDPR-hez hasonlóan az LGPD sem jelöli meg azokat a munkavállalói adatokat, amelyeket a munkáltatók nem gyűjthetnek. Azonban keretet határoz meg arra vonatkozóan, hogy a munkáltatóknak hogyan kell gyűjteniük, felhasználniuk és tárolniuk a munkavállalók személyes adatait. A munkáltatók kötelesek beszerezni a munkavállalók hozzájárulását az adataik gyűjtéséhez. Csak olyan adatokat gyűjthetnek, amelyek feltétlenül szükségesek a munkaszerződés teljesítéséhez, a munkahelyi biztonság biztosításához, a kötelességszegések kivizsgálásához vagy más jogszerű üzleti célokra. Biztosítaniuk kell, hogy az összegyűjtött adatokat biztonságosan tárolják és védik a jogosulatlan hozzáféréstől, nyilvánosságra hozataltól, megváltoztatástól vagy megsemmisítéstől. Végezetül, a munkáltatóknak a munkavállalói jogokat és szabadságokat nagymértékben veszélyeztető adatvédelmi incidens esetén értesíteniük kell a Brazil Nemzeti Adatvédelmi Hatóságot (ANPD) és a potenciálisan érintett személyeket.

A személyes adatokat Kínában a személyes adatok védelméről szóló törvény (PIPL) védi. A PIPL a "személyes adat" fogalmát tágan értelmezi, mint bármely olyan adatot, amely önmagában vagy más információkkal kombinálva alkalmas egy személy azonosítására. Ezek az információk magukban foglalják az alkalmazottak olyan adatait, mint a név, elérhetőségi adatok, foglalkoztatási előzmények, teljesítményértékelések és egészségügyi adatok (további korlátozásokkal).

A PIPL szerint a munkáltatók csak akkor gyűjthetnek és dolgozhatnak fel munkavállalói adatokat, ha megkapták a munkavállaló hozzájárulását. A törvény más jogalapokat is lehetővé tesz, beleértve a szerződéses szükségességet, a jogi kötelezettségeknek való megfelelést (olyan esetek, amikor az adatgyűjtést a kínai törvények írják elő) és a jogos érdekeket.

A GDPR-hez és az LGPD-hez hasonlóan a PIPL is arra kötelezi a munkáltatókat, hogy átláthatóan kezeljék az adatgyűjtési gyakorlatot, különösen azáltal, hogy egyértelmű és hozzáférhető adatvédelmi politikát biztosítanak, és ésszerű biztonsági intézkedéseket hajtanak végre a munkavállalói adatok jogosulatlan hozzáféréstől, nyilvánosságra hozataltól, megváltoztatástól vagy megsemmisítéstől való védelme érdekében.

A leírt rendeletek látszólag szabadságot adnak a munkáltatóknak arra, hogy szinte bármilyen személyes adatot gyűjtsenek, amennyiben azt üzleti célokkal tudják magyarázni. A gyakorlatban azonban ez nem igaz.

A munkáltatóknak nincs joguk bizonyos adatokat jogos indoklás és a munkavállaló hozzájárulása nélkül gyűjteni. Ezek az adatok általában a következő kategóriákba tartoznak:

Az érzékeny adatok olyan személyes adatokra vonatkoznak, amelyek felhasználhatók az egyén hátrányos megkülönböztetésére vagy az életének magánjellegű aspektusainak feltárására. Ezek az adatok többek között a faji és etnikai hovatartozásra, vallásra, filozófiai meggyőződésre, szexuális irányultságra, nemi identitásra és politikai véleményre vonatkoznak.

Ezen adatok gyűjtése és felhasználása diszkriminációhoz vezethet a munkaerő-felvétel, az előléptetés vagy más vezetői döntések során. Kellemetlen vagy ellenséges munkakörnyezetet is teremthet a munkavállalók számára.

Számos joghatóság korlátozza a munkáltatók hozzáférését a munkavállalók egészségügyi adataihoz. Van azonban néhány kivétel:

• A munkavállaló írásbeli beleegyezését adja.

• Az információkra az egészségügyi terv kezeléséhez vagy munkahelyi biztonsági okokból van szükség (pl. munkaképesség-értékelés vagy a fogyatékossággal kapcsolatos különleges intézkedések megszervezése).

• A közzétételt jogszabály írja elő (pl. munkáskártérítési igények vagy szabadság iránti kérelmek).

A munkáltatóknak nincs jogos oka arra, hogy a bérszámfejtés és adózás céljából az alapvető információkon túlmenően kiterjedt pénzügyi adatokat gyűjtsenek a munkavállalókról. A tiltott adatok közé tartoznak ebben az esetben a bankszámlaadatok, a hitelkockázati mutatók és a befektetések.

Bár a munkáltatóknak jogos érdekük fűződhet a munkavállalók magatartásának nyomon követéséhez, nem terjeszthetik ki a nyomon követést a személyes közösségi média fiókokra. A munkáltatók például nem követelhetik meg a munkavállalóktól, hogy barátkozzanak velük a közösségi médiában, vagy hogy hozzáférjenek a magánszámlákhoz, mivel a munkavállalóknak joguk van a magánélethez a közösségi médiahasználatukkal kapcsolatban.

A munkavállaló magánélethez való joga megvédi őt a munkáltatói megfigyeléstől a szabadideje alatt. A munkáltatók megfigyelése általában csak a munkaidőre és a munkával kapcsolatos tevékenységekre terjed ki. A legtöbb joghatóságban korlátozzák a munkavállalók szolgálaton kívüli tevékenységeire vonatkozó adatok gyűjtését, kivéve, ha az üzleti szempontból indokolt, és nem sérti a magánélethez való jogot.

A a Harvard Business Review, A több mint 500 főt foglalkoztató észak-amerikai vállalatok 67,6%-a követi nyomon a dolgozók munkatevékenységét speciális szoftverrel. Egy másik kutatást a WifiTalents megállapítja, hogy a megkérdezett szervezetek közel 96%-a használ valamilyen munkavállalói megfigyelési technológiát.

A munkavállalói felügyeleti szoftverek természetüknél fogva széles körű adatokat gyűjthetnek a munkavállalókról. Leggyakoribb funkciói közé tartozik az e-mail megfigyelés, az internetes tevékenység figyelése, a képernyő rögzítése, az alkalmazáshasználat nyomon követése, sőt, a videó- és hangfelügyelet is. Az alkalmazottak megfigyelése nemes célokat követ, például a megfelelő üzleti kommunikáció biztosítását, a biztonsági fenyegetések megelőzését és a termelékenység javítását. Ugyanakkor esetenként tiltott személyes adatokat is gyűjthet, ha nem a jogi és etikai megfontolásokat szem előtt tartva hajtják végre.

Az alkalmazottak megfigyelési gyakorlatának jogszerűsége helytől függően változhat. Egyes szabályozások, például a GDPR szigorúbb munkavállalói adatvédelmi jogokat írnak elő, korlátozva a megengedett megfigyelési köröket. Ezért a munkáltatóknak tanulmányozniuk és megérteniük kell a területükön alkalmazandó jogszabályokat, mielőtt bármilyen munkavállalói megfigyelést bevezetnének.

Etikai szempontból az átláthatóság, az arányosság és az indokoltság elvének kell vezérelnie a munkavállalói megfigyelő szoftverek használatát. A munkáltatóknak az adatgyűjtést a szigorúan szükséges szempontokra kell korlátozniuk, és egyensúlyt kell teremteniük az adatgyűjtés és a munkavállalók magánélethez való jogai között. Ennek legjobb módja, ha olyan alkalmazkodó munkavállalói megfigyelési megoldásokat választanak, amelyek könnyen testre szabhatók a túlzott adatgyűjtés elkerülése érdekében.

Ebben az esetben letilthatja a szükségtelen nyomkövetési funkciókat, hogy elkerülje a túlzott adatgyűjtést és betartsa a vonatkozó előírásokat.

Fontolja meg olyan felügyeleti programok használatát is, amelyek lehetővé teszik az alkalmazottak számára, hogy manuálisan indítsák el és állítsák le a felügyeletet. Ez a lehetőség lehetővé teszi a munkavállalók számára, hogy megvédjék azokat az adatokat, amelyeket nem szeretnének rögzíteni. Ez különösen hasznos lesz a távoli alkalmazottak vagy azok számára, akik személyes eszközöket használnak munkájukhoz.

Az adatvédelmi jogok megértése nemcsak a munkáltatók, hanem a munkavállalók számára is létfontosságú. Ez képessé teszi őket arra, hogy életük minden területén, így a munkahelyen is, ellenőrzésük alá vonják személyes adataikat. A munkavállalóknak biztosított konkrét jogok és a vonatkozó jogszabályok a lakóhelyüktől függően változnak. A GDPR, az LGPD és a PIPL például számos fontos jogot biztosít a munkavállalóknak az adataikkal kapcsolatban:

A hozzáférés joga: A munkavállalók hozzáférést kérhetnek a munkáltató által tárolt személyes adataikhoz.

A helyesbítéshez való jog: A munkavállalók kérhetik a pontatlan vagy hiányos adatok helyesbítését.

A törléshez való jog (más néven a "feledésbe merüléshez való jog"): Bizonyos körülmények között a munkavállalók kérhetik személyes adataik törlését.

Az adatkezelés korlátozásához való jog: A munkavállalók korlátozhatják adataik felhasználását.

Az adathordozhatósághoz való jog: A munkavállalók kérhetik, hogy személyes adataikat strukturált, általánosan használt formátumban kapják meg, és azokat egy másik munkáltatóhoz továbbítsák (amennyiben ez technikailag megvalósítható).

Fontos megjegyezni, hogy ezek csak általános példák. Arra ösztönözzük a munkavállalókat, hogy konzultáljanak jogi forrásokkal vagy adatvédelmi szakemberekkel, hogy megértsék a munkahelyi adatvédelemmel kapcsolatos konkrét jogaikat.

A digitális korszak elmosódott a munka és a magánélet közötti határvonal. A munkáltatók hatalmas mennyiségű munkavállalói adatot gyűjthetnek össze és férhetnek hozzá, ami kritikus kérdéseket vet fel a magánélet védelmével és az etikai határokkal kapcsolatban. A munkáltatók jogos üzleti érdekei, például a biztonság, a termelékenység és a jogi megfelelés nem léphetik át a szükségszerűség és a munkavállalók magánélete közötti határt. A vállalatoknak tisztában kell lenniük a jogi határokkal, és egyensúlyt kell teremteniük érdekeik és a munkavállalói jogok tiszteletben tartása között.

Vállalatok számára javasoljuk, hogy konzultáljanak jogi tanácsadókkal, hogy az adatgyűjtési gyakorlatuk megfeleljen a vonatkozó jogszabályoknak. Fontolja meg olyan egyértelmű és hozzáférhető adatvédelmi irányelvek bevezetését, amelyek ismertetik az Ön által gyűjtött adatok típusait, azok felhasználási módját és a munkavállalók adataikkal kapcsolatos jogait.

A munkavállalóknak azt tanácsoljuk, hogy ismerkedjenek meg a munkahelyi adatvédelmi jogokkal. Számos joghatóság biztosítja a munkavállalók számára a személyes adatokhoz való hozzáférés, azok helyesbítése vagy akár törlése jogát. Ne habozzon jogi tanácsot kérni vagy adatvédelmi szakemberekkel konzultálni, ha aggályai vannak azzal kapcsolatban, hogy a munkáltatója gyűjti az adatait.