A NAIH vonatkozó gyakorlata alapján a Kovács Réti Szegheő Ügyvédi Iroda szakértői foglalják össze a legfontosabb aktuális adatvédelmi tudnivalókat.

A munkáltatók a legtöbb esetben a tulajdonukban álló gépjárművekbe GPS nyomkövetőt szerelnek a munkavállaló ellenőrzése céljából.

Ez a gyakorlat azonban egy kidolgozott adatvédelmi szabályzat, érdekmérlegelési teszt, továbbá egy ahhoz kapcsolódó adatvédelmi hatásvizsgálat nélkül nem minősül jogszerűnek és számos esetben tapasztalunk jogsértő gyakorlatot, ezért az alábbiakban foglaljuk össze, hogy milyen úton lehet jogszerűen GPS-rendszert alkalmazni, elkerülve ezzel egy esetleges adatvédelmi bírságot.

A NAIH gyakorlata alapján elsődlegesen fontos kiemelni, hogy a munkáltatók tulajdonában álló gépjárművek GPS útján való megfigyelése minden esetben személyes adat kezelésével jár, tekintettel arra, hogy a GPS-rendszer alkalmazása során nyert személyes adat összeköthető a gépjárműben tartózkodó személyekkel.

Ezért a GPS-el kapcsolatos személyes adatok kezelését az adatvédelmi tájékoztatóban, illetve szabályzatban szükséges részletezni. A GPS-rendszer alkalmazása során szinte kivétel nélkül harmadik fél szolgáltatását veszi igénybe a munkáltató, azaz a GPS-rendszer üzemeltetője adatfeldolgozó lesz, így a GDPR követelményének megfelelő adatfeldolgozói szerződést szükséges kötni.

A munkavállaló ellenőrzése e körben csak munkaidőben történhet és nem ellenőrizhető a munkavállalók földrajzi helyzete munkaidőn kívül. Egy olyan gépjármű esetében, amellyel jelentős értékű anyagot nem szállítanak, vagy az adott munkavállaló a munkáját otthonában látja el, a GPS alkalmazása nem indokolt.

Ez azt jelenti, hogy a munkavállalónak lehetőséget kell adni arra, hogy a GPS-t kikapcsolja akkor is, ha az nála marad (így például, ha a járművet munkaidőn kívül is magánál tarthatja), továbbá minden gépjárműben egy piktogrammal fel kell hívni a munkavállalók figyelmét a GPS nyomkövetés útján való megfigyelés tényére.

A NAIH kiemelte egy korábbi tájékoztatójában, hogy a GPS alkalmazásának, és így a személyes adatok kezelésének jogalapja kivétel nélkül a munkáltató jogos érdeke lesz, tehát érdekmérlegelési tesztben szükséges az érintettek, azaz a munkavállalók alapvető jogait összevetni a munkáltató jogos érdekével.

A jogos érdek meghatározásával kapcsolatban az adatvédelmi hatóság iránymutatásában három lehetőséget vázolt fel.

Az első: a GPS-rendszer alkalmazásának céljaként elsődlegesen a logisztikai cél fogadható el, azaz a munkafolyamatok hatékony megszervezése, tekintettel arra, hogy egyszerre több, szimultán fuvarozó, futár esetében szükséges azt tudnia a munkáltatónak, hogy éppen hol tartózkodik az adott munkavállaló.

Második lehetőség: a logisztikai célon túl a hatóság még a vagyonvédelmet tekintette elfogadhatónak, azaz a gépjárműben szállított ingóságok, vagyontárgyak védelme alapozhatja meg a GPS alkalmazását.

Harmadik: végső esetben felmerülhet a személyvédelem is, mint jogos érdek, azonban ez a cél csak akkor lehet megalapozott, ha bizonyíthatóan veszélyes területen kell a munkavállalónak rendszeresen áthaladnia, így például háborús övezetek, vagy kiemelt arányú bűnözéssel érintett területetek esetén.

Mindezek alapján szükséges az érdekmérlegelési tesztben az adott munkáltatói tevékenységgel összhangban meghatározni és részletezni a fenti logisztikai, vagyonvédelmi vagy esetleg személyvédelmi célt és annak indokoltságát.

Fentieken túl kiemelendő, hogy a munkáltató által meghatározott jogos érdeknek jogszerűnek kell lennie. Ez azt jelenti, hogy a jogos érdek valamely jogszabályi rendelkezésből levezethető kell, hogy legyen, így például a tulajdonhoz való jog már megalapozza a vagyonvédelmi cél jogszerűségét.

A GDPR 35. cikkének (4) bekezdése alapján az adatvédelmi hatóságok kötelesek elkészíteni egy jegyzéket, amely jegyzékben foglalt adatkezelések során az adatkezelők kötelesek hatásvizsgálatot elvégezni. Az adatvédelmi hatásvizsgálat célja az adatkezelés jellegének feltárása, szükségességének és arányosságának vizsgálata, valamint az érintettek jogait és szabadságait érintő kockázatok értékelése és a kezelésükre szolgáló intézkedések meghatározása.

Ez a jegyzék nálunk is elkészült, a GPS-rendszerrel kapcsolatos hatásvizsgálatot különösen a jegyzék 16. pontja írja elő, amely pont szerint kötelező hatásvizsgálatot elvégezni, ha a munkavállaló munkájának megfigyelése a személyes adatainak nagyszámú és módszeres feldolgozásával valósul meg.

Fotó: Hirling Bálint - Origo

E körben a jegyzékben a GPS-rendszer kifejezett példaként kerül meghatározásra. A hatásvizsgálat szükségességét támasztja alá továbbá az is, hogy a GPS a folyamatos megfigyelés következtében önmagában nagyszámú személyes adat feldolgozását eredményezi, valamint a GPS használata a módszeresség követelményét is kimeríti, hiszen a nyomkövetés rendszeres, előre meghatározott módszer szerint zajlik.

Mik a teendők tehát, ha valamely cégvezető jogszerűen szeretne GPS-rendszert üzemeltetni?

Mindenekelőtt szükséges meghatározni azt a célt, jogos érdeket, amely megalapozza a rendszer használatát (így például logisztika, vagy vagyonvédelem), és ezen jogos érdek mentén szükséges az adatvédelmi tájékoztatót és szabályzatot, a jogos érdeket és az érintettek alapvető jogainak mérlegelését biztosító érdekmérlegelési tesztet, továbbá az egyes adatvédelmi kockázatok feltárását szolgáló hatásvizsgálatot elkészíteni – foglalták össze végezetül a Kovács Réti Szegheő Ügyvédi Iroda szakértői.