A GIRONDE KFT ÉRDEKMÉRLEGELÉSI TESZJE A MUNKAVÁLLALÓK RÉSZÉRE BIZTOSÍTOTT CÉGES SZÁMÍTÓGÉP JOGSZERŰ HASZNÁLATÁHOZ

A GIRONDE Kft. (továbbiakban: Társaság/Adatkezelő) a munkavállalók egy része számára a munkaköri feladataik ellátásához céges számítógépet/notebookot (továbbiakban: számítógép) biztosít. A számítógép magáncélokra is használható „Adatvédelmi tájékoztató munkavállalók részére” (továbbiakban: Szabályzat) megnevezésű okiratban meghatározott korlátozásokkal.

I. A Társaság, mint adatkezelő jogos érdeke/az adatkezelés célja, az érintett természetes személyek és adatok köre

Az Adatkezelőnek az érintett munkavállaló részére biztosított számítógép nélkülözhetetlen az üzleti partnerekkel történő folyamatos kapcsolattartás, a termékáramlás biztosítása, a szerződések megkötése, teljesítése, a szerződések megkötését követően a Ptk. 6:62 §-ában rögzített együttműködési és tájékoztatási kötelezettség betartása és ezzel a szerződésszegés, vagy éppen a szerződéses késedelem elkerülése érdekében.

Ugyanakkor a fenti célok teljesítésével összefüggésben a munkavállalók számítógép használatának ellenőrzéséhez az Adatkezelőnek az Európai Parlament és Tanács 2016/679 Rendeletének (továbbiakban: Rendelet/GDPR) 6. cikk (1) bekezdés f) pontja alapján jogos érdeke fűződik többek között az adatbiztonság, munkaszervezési szempontok, a munkáltató üzleti titkainak óvása, a munkavállaló munkavégzési kötelezettségének teljesítésével összefüggő feladatai elvégzésének ellenőrzése, vagy éppen annak megállapítása, hogy melyik munkatárs nyitott meg olyan oldalt a tiltás ellenére, ahonnan a számítógépre vírusfertőzés vagy más kártékony fájl, alkalmazás került.

Az ellenőrzés révén a munkavállaló bizonyos személyes adatai megismerésére nyílhat lehetősége az Adatkezelőnek.

Az érdekmérlegelési teszttel érintett személyes adatok köre a következő:

  • a számítógépre magáncélú felhasználásra lementett mappák, dokumentumok, fényképek és személyes adatokat tartalmazó fájlok
  • a munkavállaló által meglátogatott weboldalak neve,
  • a számítógépre rögzített és lementett információk (pl. elmentett felhasználónév, jelszó)
  • a munkavállaló által meglátogatott oldalak gyakorisága
  • egyéb online azonosítók

Az Adatkezelő üzleti tevékenységéhez nélkülözhetetlen, hogy a számítógépen dolgozó munkavállaló akár az érintett üzleti partnerrel megkötött szerződéssel kapcsolatosan, akár a más körülménnyel összefüggésben a részére biztosított számítógépet használja.

Annak érdekében, hogy az érintett munkavállalóknak a fentiekben felsorolt személyes adatai megismerésének lehetősége a lehető legkisebbre csökkenjen az Adatkezelő részletes Szabályzatban rögzítette a számítógép használatának korlátait (a tiltott oldalakat) az ellenőrzés szabályait, amely rendelkezéseket, előírásokat, korlátozásokat a munkavállaló megismert és tudomásul vett (ellenjegyzésével igazolt).

Az ellenőrzés végzése során a Szabályzatban rögzített garanciák (részletesen felsorolva a biztosítékok pont alatt) kellő biztosítékot jelentenek a munkavállaló számára, hogy az Adatkezelő nem ismeri meg a számítógép használathoz kapcsolódó személyes adatait, vagy amennyiben részben bármit is ezen személyes adatok közül megismer az számára csak nagyon csekély érdeksérelmet okoz. Ennek érdekében pl. az ellenőrzés teljes időtartama a munkavállaló személyes jelenlétében történik. A számítógép partíciói közül a munkavállaló nyitja meg és mutatja meg a Munkáltató számára az ellenőrzés tárgyát képező partíciók (mappák, almappák) tartalmát. Amennyiben a munkavégzés céljára használt partíciókon a tiltás ellenére a munkavállaló magánjellegű anyagai (fájlok, fényképek, dokumentumok) is találhatók a Munkáltató ezeknek a dokumentumoknak a tartalmát nem ismerheti meg.
Mindezen intézkedések alapján megállapítható, hogy az Adatkezelő az ellenőrzés során minden lehetséges eszközzel igyekszik elkerülni az érintett munkavállalók számítógép használatához kapcsolódó – fentiekben felsorolt – személyes adatai bármelyikének megismerését, amennyiben erre mégis sor kerül (pl. mert a munkavállaló tiltott oldalakat tekintett meg) az minden esetben csak a legszükségesebb körre korlátozódik.

II. Az érintettek érdekei, elvárásai, alapjogok

Az Adatkezelő fentiekben részletesen megindokolt jogos érdekei mellett az érintettnek az Alaptörvény 6. cikk (2) bekezdése alapján joga van személyes adatai védelméhez. A GDPR 1. cikk (2) bekezdése rögzíti, hogy a Rendelet védi a természetes személyek alapvető jogait és szabadságait.

A céges számítógépet használó munkavállalóknak a fentiek szerint védelmet élvező érdeke fűződik ahhoz, hogy:

  • információs önrendelkezési jogát tiszteletben tartsák, személyiségi jogai védelme és az I. pont alatt felsorolt személyes adatainak védelme biztosított legyen
  • az Adatkezelő az adatait csak a szükséges ideig tárolja, az Adatkezelő által megismert adatai sorsát nyomon követhesse, saját maga rendelkezhessen az adatai felett
  • a megismert, megszerzett adatokat az Adatkezelő a fentiekben feltüntetett céltól eltérő célra – pl. más adatokkal összekapcsolásra – ne használja, azokat az
  • érintett előtt nem ismert harmadik személy részére ne továbbítsa, azokhoz az Adatkezelőnél csak szűk személyi kör férhessen hozzá
  • amennyiben az adatkezelési cél megszűnt, az Adatkezelő az adatokat haladéktalanul törölje
  • az Adatkezelő az adatokat szükség esetén haladéktalanul helyesbítse
  • az Adatkezelő a személyes adatai biztonsága érdekében megfelelő technikai és szervezési intézkedéseket hajtson végre
  • Az Adatkezelőtől bármikor tájékoztatást kérhessen személyes adatai kezelésével kapcsolatban, valamint tiltakozhasson személyes adatai kezelése ellen továbbá kérhesse azok törlését

III. A kezelt adatok időtartama

Az Adatkezelő az I. pont alatt meghatározott személyes adatokat főszabály szerint az ellenőrzésről készített jegyzőkönyvek kiállításától számított 5 évig kezeli. Az Adatkezelő az 5 éves adatkezelési időtartam meghatározásánál a Ptk. 6:22 §-ában meghatározott általános elévülési idő 5 éves időtartamát vette figyelembe.

Az 5 éves adatkezelési időtartam oka, hogy amennyiben az érintett munkavállaló ellenőrzéséből kifolyólag a munkaszerződés alatt vagy annak megszűnését követően az általános elévülési időn belül jogvita támad, az Adatkezelőnek bizonyítania kell tudnia az adott jogvita elbírálásánál, hogy jogszerűen járt el az ellenőrzés során.

Ahhoz, hogy az Adatkezelő mindezeket bizonyítani tudja, nélkülözhetetlen, hogy rendelkezzen az adott igény elévülésének időpontjáig az ellenőrzésről felvett jegyzőkönyvekkel. Ezek a jegyzőkönyvek szükségszerűen tartalmazhatják – legalább részben – az érintett munkavállaló I. pont alatt felsorolt és megismert személyes adatait.

IV. Biztosítékok

Az Adatkezelő számos – az alábbiakban felsorolt – biztosítékot, adatvédelmi és adatbiztonsági intézkedést nyújt az érintett személyek számára annak érdekében, hogy az esetlegesen okozott érdeksérelmet a lehető legkisebb mértékűre csökkentse.

  • Adatkezelő az érintett munkavállalót a számítógép használat ellenőrzéséről, annak menetéről, a magáncélú használat korlátairól a szabályzat útján mindenre kiterjedően tájékoztatja, amely szabályzatot a munkavállaló megismert és tudomásul vett (ellenjegyzésével igazolt).
  • Emellett az Adatkezelő a saját weboldalán www.gironde.hu, www.lorinhungary.hu, www.justhouseholds.hu elérhetőség alatt az „Érdekmérlegelési tesztek” menüpontban közzéteszi jelen érdekmérlegelési teszt eredményét ezáltal is tájékoztatva az érintett természetes személyeket.
  • Az érdekmérlegelési tesztet az Adatkezelőtől független szakemberek készítették. Az Adatkezelő az érdekmérlegelési tesztet 2 évente felülvizsgálja és szükség szerint kiegészíti, korrigálja, ill. további garanciákat vezet be.
  • Az ellenőrzés időpontjáról az Adatkezelő legalább 24 órával korábban értesíti az érintett munkavállalót.
  • Az ellenőrzést csak a szabályzatban meghatározott jogosultsággal rendelkező – munkavállaló előtt is ismert – személy végezheti.
  • Az eljárás (ellenőrzés) folyamán végig biztosított a munkavállaló személyes jelenléte, aktív közreműködése (ő nyitja meg a számítógép mappáinak, almappáinak a tartalmát)
  • A munkavállaló köteles a magáncélú személyes adatait (pl.: fényképek, adatbázisok, stb…) a Munkáltató által a számítógépen külön erre a célra létrehozott, „PRIVÁT TARTALOM” megnevezésű partíción elhelyezett elektronikus mappákban tárolni, így csökkentve a személyes adatok Munkáltató általi megismerésének és sérelmének lehetőségét. Ezen mappáról a Munkáltató nem készít biztonsági mentést sem.
  • Az Adatkezelő a számítógépen folytatott munkavállalói tevékenységek rögzítésére, nyomon követésére nem használ kémprogramot, illetve más egyéb rejtett ellenőrzést lehetővé tévő programot.
  • Az adatok törlése haladéktalanul megtörténik a fentiekben meghatározott elévülési határidő letelte után.
  • Az érdekmérlegelési teszttel érintett adatokhoz az Adatkezelőnél csak szűk személyi kör férhet hozzá, ezeket az adatokat az Adatkezelő más személy részére sem belföldre, sem külföldre nem továbbítja, más adatokkal és nyilvántartásokkal össze nem kapcsolja, azokkal profilalkotást, automatizált döntéshozatalt nem végez, adatfeldolgozót nem vesz igénybe, a szükséges technikai és szervezési intézkedéseket az adatok védelme érdekében meghozta.
  • A munkavállaló bármikor tájékoztatást kérhet az Adatkezelő által kezelt, illetve (amennyiben van ilyen) az általa megbízott adatfeldolgozó révén feldolgozott adatairól, az adatfeldolgozó nevéről, címéről, az adatkezelés jogalapjáról, céljáról, időtartamáról, amely tájékoztatást az Adatkezelő a GDPR 12. cikk (3) bekezdésében rögzített 1 hónapos időtartamon belül biztosít az érintettnek.
  • Amennyiben az Adatkezelő által kezelt adatok hibásak, a valóságnak nem felelnek meg, vagy tévesek, a munkavállaló kérheti azok helyesbítését.
  • A munkavállalók bármikor gyakorolhatják a GDPR-ben biztosított jogaikat (hozzáférés joga, helyesbítés és törlés joga, adatkezelés korlátozása, tiltakozás joga bővebben a Szabályzat V. pontjában). Az Adatkezelő ezen kérelmeket megvizsgálja és a fentebb említett 1 hónapon belül tájékoztatja az érintetteket, hogy kérésük teljesíthető-e. Amennyiben nem, az Adatkezelő közli az elutasítás jogi és ténybeli indokait, okait.

V. Az Adatkezelő jogos érdekének és az érintettek érdekeinek összevetése, az érdekmérlegelési teszt eredménye

Az érintett természetes személy munkavállalók I. pont alatt felsorolt személyes adatainak megismeréséhez és kezeléséhez az Adatkezelőnek az érdekmérlegelési tesztben fentebb kifejtettek szerint lényeges és egyértelmű jogos érdeke fűződik. Emellett az Adatkezelőnek nem áll rendelkezésére olyan más eszköz, alternatív megoldás, amelynek révén ezen személyes adatok kezelése nélkül is megvalósíthatóak lennének az Adatkezelő jogos érdekének érvényesítéséhez szükséges célok.

Az érintett munkavállalóknak ugyancsak jelentős érdekük fűződik információs önrendelkezési joguk gyakorlásához, magánszférájuk és ezen belül az I. pont alatt felsorolt személyes adataik védelméhez. Társaságunk megítélése szerint ugyanakkor az érintett természetes személyek I. pont alatt felsorolt adatainak kezelése, azok Társaságunk általi megismerése nem okoz részükre nagyfokú sérelmet.
Az érintettek a Társaságunk által folytatott adatkezelés révén nem szembesülnek sem visszafordíthatatlan következményekkel, sem olyanokkal, amelyeket ne tudnának leküzdeni. Az adatkezelés lehetséges kockázatai következményeit illetően nem fenyegeti az érintetteket olyan veszély, amely az életüket veszélyeztetné, részükre jogosulatlan elbocsátást, vagy pénzügyi nehézséget eredményezne.

Az érdekmérlegelési teszt eredménye ennek megfelelően az, hogy Társaságunknak, mint Adatkezelőnek az érintett munkavállalók I. pontban felsorolt személyes adatainak kezeléséhez fűződő jogos érdekei elsőbbséget élveznek az érintett személyes adatai védelméhez fűződő érdekeivel szemben. Társaságunk adatkezelésének jogalapja fennáll, az adatkezelés szükséges és arányos, mivel nincs olyan más módszer, megoldás, amelynek eredményeképp az Adatkezelő jogos érdekének érvényesítéséhez szükséges célok az I. pont alatt nevezett személyes adatok kezelése nélkül is megvalósíthatóak lennének. A Társaságunk által meghozott biztosítékok, adatvédelmi és adatbiztonsági intézkedések pedig az érintett munkavállalóknak okozott érdeksérelmet minimálisra csökkentik.