Belgium: döntés a munkavállalói hozzájárulással kapcsolatban
A Belga Adatvédelmi Hatóság (BDPA) 2020. november 17-én tette közzé legfrissebb döntését, melyben egy kórház adatkezelése kapcsán fejti ki véleményét többek között a munkavállalói hozzájárulásról. A Hatóság munkájáról legutóbb a valós idejű licitálás kapcsán írtunk.
A Hatóság vizsgálata
A BDPA nem hozta nyilvánosságra az ügy résztvevőinek kilétét. A vizsgálat egy bejelentés után kezdődött meg, amikor egy „A” szakszervezethez tartozó alkalmazott tájékoztatta a Hatóságot, hogy munkaadója „B” szakszervezet tagjaival kapcsolatban 2008-ban olyan megegyezést kötött, mely lehetőséget adott a munkaadónak, hogy a szakszervezeti díjat az alkalmazott béréből közvetlenül levonja. (Itthon az Mt. ere jogszabályi szinten ad lehetőséget.)
A munáktató a Hatóság kérésére elmondta, hogy 2008-ban, a megállapodás megkötésekor még minden alkalmazott „B” szakszervezethez tartozott. Amikor később egyes alkalmazottak átmentek „A” szakszervezethez, a munkaadó felajánlotta nekik ugyanezt a lehetőséget, ezt a szakszervezet azonban elutasította.
A panasztevő alkalmazott állítása szerint a munkaadó adatkezelése diszkriminációra adott lehetőséget a szakszervezeti hovatartozás alapján, mivel különbséget tett a az egyes szakszervezethez tartozók között. A BDPA nem talált bizonyítékot diszkriminációra, ellenben információt kapott azzal kapcsolatosan, ahogy a munkaadó az adatkezelést végezte, illetve egy másolatot arról az iratról, melyet a munkavállalóknak alá kellett írnia, ha a munkaadó által adott lehetőséggel élni kívántak.
A kapott irat alapján a BDPA megállapította, hogy az adatkezelés alapja az alkalmazottak kifejezett hozzájárulása volt, bár ezt a munkaadó nem így nevezte meg, illetve, hogy az adatkezelés korlátozva volt csupán a tagsági díjak levonásának adminisztrációjára. Észlelték, hogy a munkavállalók által aláírt nyilatkozatokon kívül a folyamatból semmi nem került írásban dokumentálásra, a megegyezés részleteiben a felek szóban állapodtak meg, azzal kapcsolatban nem készült adatkezelési tájékoztató, illetve az elszámoltathatóság elvének történő megfelelés sem teljesült.
A Hatóság megjegyezte, hogy csak a 2018. május 25. utáni időszakot vizsgálta.
A munkavállalói hozzájárulás feltételei
A GDPR 9. cikk (1) bekezdése alapján szakszervezeti hovatartozással kapcsolatos adatok kezelése tilos a (2) bekezdésben szereplő kivételek valamelyike hiányában. A Hatóság ezért megvizsgálta, hogy a munkavállalók hozzájárulása jelen helyzetben jogszerű volt-e. Ez azért volt fontos, mivel az érintett és az adatkezelő között egyenlőtlen viszony áll fenn [(43) preambulumbekezdés].
Önkéntesség
A Hatóság megállapította, hogy az érintettek hozzájárulása önkéntesnek tekinthető a köztük fennálló egyenlőtlen viszony ellenére. Megjegyezte, hogy a munkáltató semmilyen előnyhöz nem jutott az adatkezelés következtében, ezzel összefüggésben a 2/2017 számú és a hozzájárulással kapcsolatos iránymutatásra hivatkozott.
Konkrétság
Mivel az adatkezelés egy bizonyos tevékenységhez volt kötve (tagsági díj levonása a fizetésből), a BDPA megállapította, hogy a munkáltató a kapcsolódó adatokat más célra nem kezelte, így az adatkezelés e tekintetben jogszerű.
Tájékoztatáson alapuló
Ezzel a feltétellel kapcsolatban a Hatóság megjegyezte, hogy hiányosságokat tapasztalt. Pontosabban, a munkavállalók nem kaptak teljeskörű tájékoztatást, így például arra vonatkozóan, hogy korábban adott hozzájárulásukat bármikor szabadon visszavonhatják. A Hatóság kiemeli, hogy a gyakorlatban ez egy gyakran előforduló hiányosság.
Egyértelmű hozzájárulás
A korábbiak értelmében a BDPA megállapította, hogy az érintettek hozzájárulása egyértelműnek tekinthető, mely az aláírt, írott nyilatkozaton alapul.
A dokumentáció fontossága (elszámoltathatóság)
A hozzájárulás jogszerűsége után a Hatóság az adatkezelés célját kezdte el vizsgálni, illetve az ezzel kapcsolatos dokumentáció meglétét. A GDPR értelmében a személyes adatok kezelése csak meghatározott, egyértelmű és jogszerű célból történhet (GDPR 5. cikk (1) bekezdés b) pont). A BDPA vizsgálata során megállapította, hogy az adatkezelés célhoz kötötten, jogszerűen történt.
A Hatóság azonban nem értett egyet azzal, hogy az adatkezelő nem rendelkezett olyan írásos dokumentumokkal, melyek az adatkezelés célját és szabályait egyértelműen meghatározzák. Az adatkezelő és „B” szakszervezet közötti megállapodás az adatkezelés teljes időtartama alatt szóbeli alapon történt; írásban sosem került lefektetésre.
A BDPA ezen a ponton idézte a GDPR 24. cikk (1) bekezdését, miszerint „az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik”. Erre hivatkozva a Hatóság kijelentette, hogy az adatkezelő számos intézkedés meghozatalát mellőzte, ezért az adatkezelés során súlyos hanyagságot követett el.
Szintén megjegyezte, hogy az írásos dokumentáció hiánya miatt az adatkezelő céljai nem egyértelműek, ezért olyan munkavállalók részéről is kérdéseket vethet fel, akik nem érintettjei az adatkezelésnek (ahogy ebben a konkrét esetben is történt). A BDPA véleménye szerint a puszta tény, hogy hatósági vizsgálat kellett az adatkezelés céljának meghatározására rámutat az adatkezelő hiányosságaira.
A következmények
Bár a Hatóság megállapította a GDPR többszöri megsértését, a következő okok miatt úgy döntött, hogy nem szab ki bírságot:
- A vizsgálatot követően a munkáltató beszüntette adatkezelését.
- A Hatóság nem tapasztalt szándékosságot az adatkezelő részéről a Rendelet megsértésekor.
- A panaszos személy nem volt érintett a jogszerűtlen adatkezelésben.