Jövő májusában elkerülhetetlenül életbe lép a General Data Protection Regulation (GDPR), amely szerte a kontinensen egységesíti az adatkezelési feladatokat. Ennek kapcsán nem csak az olyan, magától értetődő információk kezelése válik EU-s direktíva által szabályozottá, mint például a név vagy a lakcím; a GDPR azon adatok körét is lefedi, melyek elsőre nem feltétlenül jutnának eszünkbe. Jellemzően ilyenek az álláskeresők nyilvánosan elérhető, de implicit módon meg nem adott adatai, melyek például közösségi hálózatokon keresztül válnak hozzáférhetővé a munkaadók számára.

Mit lehet és mit nem a Facebookon?

A személyes adatok védelméről szóló, 1995. október 24-én kelt 95/46/EK európai parlamenti és tanácsi irányelv alapján létrehozott hazai szervezet, a 29-es Adatvédelmi Munkacsoport szerint „tévedés, hogy a munkáltatók egy jelentkező személyes adatait pusztán azért kezelhetik, mert azok egy közösségi oldalon nyilvánosan hozzáférhetőek”. Pedig ez a helyzet mára gyakorlatilag elkerülhetetlenné vált, hiszen sokan rengeteg információt osztanak meg magukról ezeken az oldalakon, aminek figyelembe vételével pontosabb képet alkothat a munkaadó az általa kiírt állásokra jelentkezőkről. Már 2010-ben írtunk arról, hogy az amerikai személyzetisek 70 százaléka utasított már el állásra jelentkezőket a közösségi oldalakról begyűjtött információ negatív tartalma miatt.

Míg az alkalmazói oldalról tökéletesen érthető ez a hozzáállás – és ezt a felhasználói profilok kézben tartásával, „munkavállalásra optimalizálásával” teljesen legálisan saját javára is fordíthatják a pozícióra pályázók -, addig azt nem szabad elfelejteni, hogy itt (is) adatkezelésről van szó. Ehhez pedig megfelelő jogalap kell; ilyen például az, ha az állás betöltéséhez szükséges a jelentkezők információinak előzetes átvizsgálása. Azonban ez csak akkor történhet meg jogilag helyes formában, ha a gyakorlat alkalmazásáról az érintetteket tájékoztatják - például magában az álláshirdetésben -, az adatok pedig törlésre kerülnek, ha nem jön létre munkaviszony.

Hasonlóan érdekes téma a munkavállalók közösségi aktivitásának nyomon követése. A 29-es Munkacsoport szerint tilos az általános megfigyelés, és a közösségi oldalakon megosztott felhasználói információkhoz sem kérhet legálisan hozzáférést a munkaadó.

Egyre bonyolultabb megvédeni a magánszférát

A kétezres évek második évtizedének egyik jellemző trendje a munkahelyi és a privát élet határainak összemosódása. Egyre többen dolgoznak irodától, telephelytől távol, távmunkában, és az is mind gyakoribb, hogy a munkáltató nem csupán megtűri, hanem bátorítja is a saját eszközökön keresztül történő munkavégzést (BYOD). Ez azonban azt jelenti, hogy a munkahelyi adatkezeléssel kapcsolatos teendők sem állnak meg az iroda ajtajában, hanem kiterjednek az alkalmazottak magánszférájára.

Saját adatai védelme érdekében ezért a munkaadó bizonyos szintig figyelemmel követheti alkalmazottjának távoli munkavégzését, ugyanakkor ez nem lehet aránytalan – azaz nem terjedhet ki például képernyőmentés készítésére. Ez ugyanis akár az adott munkavállaló privát életébe való bejutást is jelentheti. Hasonló a helyzet, ha az alkalmazott saját eszközén dolgozik, ekkor biztosítottnak kell lennie a saját, személyes adatainak munkaadó irányából való láthatatlansága. Mindez egészen odáig kiterjed, állítja a 29-es Munkacsoport, hogy a vállalat a munkavállaló által birtokolt eszközöket nem követheti nyomon.

Ebből következően érdemes lehet átvizsgálni a mobileszköz-menedzsment (MDM) megoldásokat, eleget tesznek-e az általuk alkalmazott gyakorlatok a GDPR iránymutatásának. Az adatvédelmi hatásvizsgálat során ki kell derülnie, hogy a bevett módszerek megfelelnek-e az arányosság elvének. Utóbbi egyébként gyakorlatilag a munkavállalókat érintő adatkezelés minden területére kiterjed.

Így például a kamerás megfigyelőrendszerekre is. Ennek speciális vállfaja, az arcfelismerő technológiával bíró hálózatok alkalmazása éppen ezért csak nagyon indokolt esetben alkalmazható – például szerverközpontok biztonsági helyiségébe való bejutáshoz -, a vállalatok döntő többsége nem élhet ezzel a módszerrel munkavállalói ellenőrzésének érdekében.

Még szigorúbb a szabályozás a testen viselhető okos eszközök esetében. Az általuk gyűjtött érzékeny egészségügyi információk kezelése semmilyen körülmények között – még az alkalmazott engedélye esetén – sem megengedett.

Előtérben a megelőzés

A jövő májusban hatályba lépő GDPR egyfajta proaktív szemléletet igyekszik meghonosítani a munkahelyi adatkezelés tekintetében. Ahelyett, hogy az utólagos ellenőrzésekre helyezné a hangsúlyt, arra bátorítja a munkaadókat, hogy inkább a szabályzataik megszegésének megelőzésére fókuszáljanak.

Ezzel egyben együtt jár az adattakarékosság elvének alkalmazásával. Vagyis a személyes adatok tekintetében törekedni kell a lehető legkevesebb, de releváns információ beszerzésére. Így azok kezelése sem jelent akkora terhet és csökkenti a vitás esetek számát illetve a GDPR megsértése esetén kiszabható - akár 20 millió euró mértékű - büntetés bekövetkeztének valószínűségét.