White & Case: számos kérdés merül fel az Infótörvény munkahelyi adatkezelésével kapcsolatban

Vágólapra másolva!
A Réczicza White & Case LLP Ügyvédi Iroda szakértője szerint a jogos érdekből történő adatkezelés egyik legfontosabb terepe a munkahelyi adatkezelés lehet, de az új jogcím mögött még nem áll kialakult joggyakorlat. A jogbizonytalanságot növeli, hogy az Infótörvényt követően nem sokkal új munka törvénykönyve lépett hatályba (2012. július 1-től), a munkahelyi adatkezelés feltételeit is újraszabályozva. Dr. Fazekas Balázs szerint ezért különösen fontos, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) minél előbb határozataival, ajánlásaival segítse a munkáltatók helyes joggyakorlatának kialakulását.
Vágólapra másolva!

A Réczicza White & Case LLP Ügyvédi Iroda szakértője két részes elemzésünk első részében pár napja arra mutatott rá, hogy a 2012. január elsején hatályba lépett, az információs önrendelkezésről és információszabadságról szóló 2011. évi CXII. törvény továbbra is elsősorban a magánszemélyek privátszférájának védelmére, valamint az átlátható államműködés elősegítésére koncentrál.

A most olvasható második rész elején arra mutatott rá, hogy a munka törvénykönyvét az Infótörvénnyel együtt olvasva az a jogértelmezés adódik, miszerint egy munkáltató vállalat a munkavállalók kifejezett jóváhagyása nélkül is folytathat adatkezelést, ha ahhoz jogos érdeke fűződik, így különösen a munkavállalók ellenőrzése körében. Ez különösen a vállalati visszaélések felderítését célzó belső vizsgálatok szempontjából jó hír.

A jogos érdekre hivatkozás azt jelenti, hogy a munkáltatónak nem kell mindenáron egy formális, pusztán az aláírt papírban kimerülő jóváhagyásért küzdenie (amelynek önkéntessége a munkavállaló alárendelt helyzete miatt eleve kétséges), hanem megfelelő az is, ha jogos érdeket tud felmutatni az adatkezelésre, és egyébként az adatkezelése a magánszférába indokolatlanul nem hatol be és a megfelelő garanciák mellett történik.

A NAIH álláspontja is az, hogy egy formális hozzájárulás helyett a munkavállalók érdekeit is jobban védi, ha a munkáltató arányos adatkezelési igényeket definiál, majd tényleges szervezési és műszaki intézkedéseket alkalmaz az adatok védelmére, és a munkavállalókat megfelelő mélységben előre tájékoztatja az adatkezelés körülményeiről, megfelelő fórumot biztosítva számukra az érdeklődésre és tiltakozásra.

Az adatvédelem nemzetközi kérdései

A Réczicza White & Case LLP Ügyvédi Iroda szakértője szerint ma már az a tipikus, hogy egy vállalatcsoport tagjai személyes adatokat osztanak meg egymással a rendes működés keretei között. Szinte biztosan személyes adatok tömege áramlik a vállalatcsoport egységes munkaügyi nyilvántartási rendszerében, marketing adatbázisában, de akár a központi menedzsment döntését támogató rendszerekben is.

Ráadásul a rendszerekhez hozzáférő vállalatcsoport-tagok gyakran nem egyszerű adatfeldolgozók (tehát amelyek az adatkezelő utasításait követik, például: a bérszámfejtés kiszervezése egy másik országba), hanem a megkapott adatok felhasználásáról önállóan döntő adatkezelők, például, ha a külföldi anyavállalat hoz döntést a magyar leányvállalat vezető állású munkavállalói tekintetében, azok teljesítménye alapján (például: fizetések, premizálás).

Az adatvédelmi jog szempontjából a vállalatcsoport tagjai - mint önálló jogi személyek - külön-külön minősülnek adatkezelőnek vagy adatfeldolgozónak, és a csoport tagjai közötti adatátadások pont annyira vizsgálandók, mint bármilyen két idegen társaság között.

Az adatvédelem megfelelő szintjének igazolása

Dr. Fazekas Balázs felhívta a figyelmet, hogy az európai adatvédelmi jog az Európai Gazdasági Térség (ide tartozik az EU, valamint Izland, Liechtenstein és Norvégia) államai közötti adattovábbítást - az ezen országokban fennálló egységes, magas szintű jogi védelem miatt - a belföldi adattovábbítással egyenértékűnek kezeli. Más - és szigorú feltételekhez kötött - a helyzet akkor, ha a személyes adatot fogadó fél az EGT-n kívül található, ideértve azt is, ha elektronikus rendszerhez rendelkezik hozzáféréssel ilyen EGT-n kívüli társaság.

Az európai - és magyar - adatvédelmi jog szerint ennek feltétele vagy az adatalanyok hozzájárulása (amely értelemszerűen megfelelő tájékoztatáson alapul és önkéntes), vagy hozzájárulás hiányában a fogadónál valamely jogilag elismert jogcím fennállása (például: jogos érdek, szerződés teljesítése, stb.) és ezzel egyidejűleg a fogadó félnél az adatvédelem megfelelő szintjének biztosítása.

A Réczicza White & Case LLP Ügyvédi Iroda szakértője megjegyezte: a második esetben, ha a fogadó fél egyszerű adatfeldolgozó, amely a személyes adatokkal az átadó pozícióban levő adatkezelő utasításai szerint eljárva végez műveleteket, akkor értelemszerűen elegendő, ha az adatkezelés megfelelő jogcíme az átadónál áll fenn.

Az európai jog szerint harmadik országbeli címzettek esetében az adatvédelem megfelelő szintjét alapvetően három módon lehet igazolni. Így az Európai Bizottság bizonyos országok tekintetében határozatával ismeri el az adott ország jogrendszere által biztosított védelmi szint megfelelőségét. Például Magyarország adatvédelmi joga már jóval uniós csatlakozásunkat megelőzően átesett a Bizottság auditján és megkapta a megfelelőségi "plecsnit".

Jelenleg Andorra, Argentína, Ausztrália, Kanada, Svájc, a Feröer-szigetek, Guernsey, Jersey, a Man-sziget, Izrael valamint az Amerikai Egyesült Államok tekintetében mondja ki bizottsági határozat a jogrendszer megfelelőségét. (Az Amerikai Egyesült Államok esetében a határozat szerint a megfelelő védelmi szint csak akkor áll fenn, ha az érintett társaság önként vállalja bizonyos európai sztenderdeknek megfelelő garanciális szabályok alkalmazását, és ezt a vállalását az amerikai kereskedelmi kamara nyilvántartásában regisztrálja. Ezt hívják úgynevezett "Safe Harbor" regisztrációnak.)

Az Európai Bizottság szerződéses feltételei

Az Európai Bizottság szintén határozattal hirdetett ki olyan szerződéses feltételeket, amelyek pontos (valóban szöveghű!) alkalmazása esetén az adatfogadónál az adatvédelem szintjét megfelelőnek kell tekinteni. Itt az Európai Bizottság által kidolgozott feltételek szerződéses úton kényszerítenek ki olyan jogi garanciákat, amelyeket Európában maga a jogrendszer tartalmaz. Külön határozat rögzíti az adatkezelőtől külföldi adatkezelőhöz történő adatátadás (2001/497/EK Határozat) és az adatkezelőtől külföldi adatfeldolgozóhoz történő adatátadás (2010/87/EU Határozat) szerződéses feltételeit, az előbbi esetben a jogi, eljárási garanciákra, míg a második esetben inkább a szervezési és technikai védelem biztosítására koncentrálva.

Az Európai Bizottság közreműködése nélkül is alkothatók olyan szerződéses feltételek és belső vállalati szabályok - úgynevezett "kötelező vállalati szabályok" ("Binding Corporate Rules", vagy "BCR") -, amelyek egy egész vállalatcsoport tekintetében önkéntes csatlakozás és elfogadás útján teremtik meg az adatvédelem megfelelő szintjét az Európán kívüli tagvállalatokra is kiterjedő hatállyal. A legtöbb országban egy BCR akkor minősül a jog által is elismertnek, ha az adatvédelmi hatóság azt jóváhagyja. Mára kialakult az európai adatvédelmi hatóságok több mint felének részvételével működő együttműködési és kölcsönös elismerési mechanizmus, amely lehetővé teszi, hogy egy sok országra kiterjedő BCR az adatkezelés központi helye szerinti adatvédelmi hatósághoz történő - tehát egy - bejelentéssel több országra kiterjedően elfogadtatható legyen.

A tapasztalatok azt mutatják, hogy a globálisan működő vállalatcsoportok számára a BCR jól használható megoldásként szolgál a vállalati adatvédelem európai mérték szerint is megfelelő szintjének egységes biztosítására. Éppen ez az oka annak, hogy az Európai Bizottság 2012 elején kiadott új adatvédelmi jogalkotási csomagja is hangsúlyosan építeni kíván a BCR-ekre. Ehhez képest különösen sajnálatos, hogy Magyarországon az Infótörvény a BCR-eket egyelőre nem ismeri el az adatvédelem megfelelő szintjét igazolni képes eszközként.

És mi a helyzet a felhőalapú szolgáltatásokkal?

Ha már az adatfeldolgozókról volt szó, érdemes megemlíteni egy további problémát - mondta el a Réczicza White & Case LLP Ügyvédi Iroda szakértője. Jól láthatóan az Infótörvény célja, hogy az adatkezelés minden mozzanata az érintett (és a hatóság) számára átlátható, kontrollálható legyen, és átláthatatlan adatfeldolgozói "láncolatok" ne alakuljanak ki. Ennek érdekében megtiltja, hogy az adatfeldolgozó a tevékenysége ellátása során más adatfeldolgozót vegyen igénybe (lásd Infótörvény 10. § (2) bek.).

A cél nemes, az abszolút tilalom mégis aránytalanul rugalmatlannak tűnik - hangsúlyozta dr. Fazekas Balázs. Az érintettek felé mindenképpen az eredeti adatkezelő lesz felelős az adatkezelés során - így az adatfeldolgozók által végzett műveletek jogszerűségéért is -, tehát az adatkezelő eleve érdekelt abban, hogy a bevont adatfeldolgozót a megfelelő szerződéses eszközökkel jogszerű működésre kényszerítse, ideértve azt is, hogy az adatfeldolgozó is hasonló szerződésszerű teljesítést várjon el a saját alvállalkozóitól.

A törvény szövegét követve ad abszurdum egy munkáltatóval (adatkezelő) szerződésben álló könyvelőiroda (adatfeldolgozó) a bérszámfejtést sem szervezheti ki külső bérszámfejtő vállalkozó részére, mert ez utóbbi már al-adatfeldolgozónak minősülne. A tilalom különösen sújtja az ún. "felhőalapú" szolgáltatást nyújtó adatfeldolgozókat, amelyek rendszerint a saját vállalatcsoportjuk tagjainak alvállalkozókénti bevonásával (al-adatfeldolgozók) vállalják el komplett vállalati informatikai platformok és kiszervezett szolgáltatások üzemeltetését a megrendelők (adatkezelők) részére, mégpedig olyan módon, hogy az adatok áramlása, azok aktuális fizikai (földrajzi) helye a szerverparkok és informatikai megoldások sokfélesége miatt diffúzzá, egyszersmind lényegtelenné válik.

A fentiekkel kapcsolatban reménykedésre ad okot, hogy az Európai Bizottság fenti, már hivatkozott 2010/87/EU határozata elismeri al-adatfeldolgozók bevonását, sőt, kifejezetten ilyen esetekre vonatkozó garanciákat is megfogalmaz. Nyilvános fórumon utalt a NAIH képviselője arra, hogy amennyiben egy adatkezelő és adatfeldolgozó között a fenti Bizottsági Határozatot tükröző szerződéses feltételek vannak érvényben, az e határozaton alapuló szerződéseket a védelem megfelelő szintjének biztosítására alkalmas eszközként elismerő rendelkezésére tekintettel (lásd Infótörvény 8. § (2) bek. a) pontját) az al-adatfeldolgozók megjelenése ellen a Hatóság várhatóan nem emel majd kifogást, ha a szerződéses feltételekben meghatározott garanciális intézkedések megtörténtek. Az igazi, bíróság előtt is támadhatatlan megoldást azonban az Infótörvény módosítása jelentené.

A felhőalapú szolgáltatásokkal kapcsolatban pedig érdemes hangsúlyozni, hogy ezt a piacot az Európai Bizottság is nagyon komolyan veszi. A tervek szerint hamarosan kifejezetten erre a piacra vonatkozó határozatot fog kibocsátani, építve az adatvédelmi irányelv 29. cikkelye alapján létrehozott, az adatvédelem gyakorlati kérdéseit nemzetközi szakértői szinten vizsgáló munkacsoport által feltárt kérdésekre és kidolgozott javaslatokra. E határozat megszületése újabb fontos lépés lehet egy korszerűbb magyar jogalkalmazás irányába, illetve fokozottan veti majd fel a törvényben lévő tilalom eltörlésének szükségességét.

Nemzetközi versenyképességi megfontolások

Dr. Fazekas Balázs szerint a fent vázolt anomáliák sajnos nem egyszerűen csak technikai problémák, illetve manapság már nem kezelhetők pusztán nemzeti ügyként, hanem a magyar szabályozás versenyképességi hátrányaként is jelentkeznek. Ennek oka, hogy globális vállalatcsoportok európai tagjai által alkalmazott - amúgy egységesnek szánt európai szabályozáson alapuló - egységes adatvédelmi szabályozás Magyarországon esetleg nem vezethető be, de legalábbis a bevezetés Magyarország külön kezelését igényli (az ezzel kapcsolatosan felmerülő jogi és szervezési költségekkel együtt), vagy csak bizonyos fokú jogi kockázatok felvállalása mellett valósulhat meg.

A Réczicza White & Case LLP Ügyvédi Iroda szakértője rámutatott: bár egyelőre kevés olyan gazdasági szektor van, amelyben az adatkezelési szabályozás képezné az itteni működéssel kapcsolatos döntések kulcselemét, mégis érdemes szem előtt tartani, hogy Magyarországon néhány "divatos", innovatív vagy munkahelyteremtő kapacitással bíró ágazatot (például: informatika, kiszervezett üzleti szolgáltatások) a szabályozás hátrányosan érint, annak a hazai munkaerőpiacra vagy szolgáltatáskínálatra gyakorolt közvetett következményeivel együtt. Mindazonáltal dr. Fazekas Balázs szerint ezzel mára a NAIH és a jogalkotó is tisztában van, ezért alappal lehet bízni abban, hogy minél hamarabb végleges megoldások születnek a problémák kezelésére, és ezzel a gyakorlatban is jól használható adatvédelmi szabályozás áll fel magas szintű jogbiztonság mellett.