A digitális korszak egyik legfontosabb problémája az adatvédelem, s azon belül is különösen érzékeny terület a munkahelyeken keletkező személyes adatok, információk kezelése. E szinte mindenkit érintő témát járjuk körül most induló sorozatunkban. Elsőként Majtényi Lászlót, Magyarország volt adatvédelmi biztosát, a szakterület elismert teoretikusát kérdeztük a hazai munkahelyi adatvédelem legégetőbb gondjairól.

it.news: Az adatvédelmi biztos honlapján található állásfoglalásokat olvasva jól látható, hogy a biztos a munkahelyi adatvédelemmel kapcsolatban hozzá fordulóknak gyakran nem tud kielégítő választ adni, mert bár világosak az adatvédelmi jogszabályok, a napi munka során olyan speciális és folyamatosan változó helyzetek adódnak, melyekre konkrét rendelkezés nem vonatkozik. Mi a megoldás ezekben az esetekben? Az adatvédelmi törvényből kell valamilyen módon levezetni, hogy mi a teendő, új jogszabályokra lenne szükség, vagy esetleg valamilyen más megoldást kell találni?

Majtényi László: Az adatvédelmi jognak, a törvény alkalmazásának szakmai szempontból egyik legszebb és legizgalmasabb területe a munkahelyi adatvédelem, épp az állandó változás miatt. Az Európai Unió iránymutatása ebben a kérdésben egyébként elég világos és tiszta. A magyar gyakorlat esetében is egyrészt az Alkotmány, másrészt az adatvédelmi törvény rendelkezéseinek megfelelően kell eljárni. Az információs önrendelkezés elvét figyelembe véve azt mondhatjuk, hogy akkor és úgy lehet a dolgozóról adatokat gyűjteni, ha ez az ő alkotmányos jogait nem sérti. Ugyanakkor, bár a gyengébb fél, a munkavállalók adatait kell megvédeni az erősebb fél, a munkaadó esetleges túlkapásaitól, azt sem szabad elfelejteni, hogy a dolgozó mégis csak azért van a munkahelyén, hogy ott a tulajdonos által biztosított körülmények között munkát végezzen, s ebből fakadóan a munkaadó természetesen meg kívánja védeni az érdekeit, hiszen a munkaszerződésben a munkavállaló bizonyos kötelezettségeket vállalt.

A munkaadó és a munkavállaló viszonya azonban ma már jelentősen átalakult a klasszikus kapitalizmus korához képest. Az a mentalitás szerencsére eltűnőben van, amelyet a 40-es évekbeli mozgalmi dal mint modern rabszolgaságot jellemzett ("a lelkem a vállalatot illeti meg") – ma már extrém példának hat, hogy Henry Ford annak idején esténként végigjárta a kocsmákat, sőt alkalmazottainak lakásait is, hogy a dolgozói ne dorbézoljanak, hanem otthon pihenjenek, hiszen "tulajdonának" tekintette őket, akiknek reggel pihenten kellett munkába állniuk, hogy a maximális hasznot termeljék a tulajdonosnak. Ez a viszony napjainkra fokozatosan megváltozott, s azt mondhatjuk: ma a munkaadónak kiterjedt ellenőrzési jogosítványai vannak, ám tiszteletben kell tartania alkalmazottai személyiségi jogait. Ma két, egymással ellentétes tendencia befolyásolja a munkaadó és az alkalmazottak viszonyának változását. Az egyik az, hogy egyre több cég igyekszik csapatépítéssel úgy alakítani a belső állapotokat, hogy szinte második otthonként tekintsenek dolgozóik a munkahelyre. Emellett a munkahelyek a magánélet helyszínei is (barátságok köttetnek, szerelmek szövődnek stb.), tehát a magánszféra megkerülhetetlenül jelen van a munkavégzés helyszínén.

A másik tendencia viszont Jeremy Bentham Panopticon-elképzelésére épül, melynek keretei között a brit gondolkodó megtervezte a "tökéletes börtönt", ahol a kör alaprajzú épületben a "láthatatlan látó" középről megfigyelhetett mindenkit. Bár a Panopticon nem épült meg, az elgondolásnak nagy hatása volt a börtönök, kórházak, munkahelyek építészeti kialakítására. S a modern technológia – elsősorban a videomegfigyelés kialakulása – ezt a rendszert valóban a tökéletességig tudta fejleszteni. Az ilyen megfigyelés biztonsági szempontból természetesen gyakran indokolt, gondoljunk csak a raktárak felügyeletére, a pénzintézetekben, bankjegykiadó automatáknál alkalmazott kamerákra stb. Ám körültekintően kell eljárni, s a Nemzetközi Munkaügyi Szervezetnek van is egy ajánlása, melyben kifejtik, hogy mit lehet megfigyelni, és mit nem.

it.news: Ezek szerint az adatvédelmi gyakorlatban folyamatosan egyensúlyozni kell a munkavállaló és a munkáltató érdekei között.

M. L.: Igen, s ezért nem tartom igazán helytállónak az adatvédelmi szakirodalomban – s nem csak ott – alkalmazott megnevezéseket, melyek szerint létezik a Nagy Testvér, mely az államhatalom folyamatos figyelmét, illetve a Kist Testvér, mely a fürkésző munkaadót jelenti. Ugyanis a meggyőző tapasztalat azt mutatja, hogy érvényes a közhely: "az ellenség belülről támad". Az igazán nagy károkat a cégeknek valójában nem a zseniális hackerek vagy crackerek okozzák; a legtöbb esetben egy belső ember is benne van az információ illetéktelen megszerzésére indított akcióban. Elegendő egy megfelelő jelszó kijuttatása, s máris ipari titkok birtokába kerülhetnek az ebben érdekeltek. Ezért az adatvédelmet úgy beállítani, hogy itt a "gonosz tőkés" és a "szegény, szerencsétlen munkás" áll szemben egymással, éppúgy helytelen, mint azt mondani, hogy minden munkavállaló potenciális ipari kém. A digitális fejlődés nem csak a megfigyelést volt képes szinte a tökéletességig emelni. Az erőviszonyok ilyen téren roppant labilissá váltak, a munkáltató is kiszolgáltatottja lett alkalmazottjának.

Ezek az új viszonyok tehát roppant nehéz döntések elé állíthatják a jogalkalmazót, hiszen ha egy bizalmas információkat kezelő dolgozó, más módja nem lévén az adatok megszerzésére, a mobiltelefonjával lefényképezi a fontos információkat tartalmazó monitort – szakértők szerint ez egy olyan probléma, melyre gyakorlatilag nincs megoldás, hacsak ki nem tiltják a mobiltelefont a munkavégzés helyéről, ám ez nagyon sok esetben, ha a telefon munkaeszköz, lehetetlen –, az nyilvánvalóan megengedhetetlen a tulajdonos számára, ám adatvédelmi szempontból elfogadhatatlan egy, a munkavállalót figyelő kamera is. Ezekben a speciális helyzetetekben rengeteg kivétel akad, amelyek esetében egyedi döntéseket kell hozni, hogy sem a munkaadó érdekei, sem a dolgozó személyiségi jogai ne sérüljenek.

it.news: Adatvédelmi szempontból egy munkahelyen a legtöbb gondot az elektronikus levelezés ellenőrzése, ellenőrizhetősége okozza. Hogyan lehet itt azt a bizonyos kényes egyensúlyt megteremteni?

M. L.: Mielőtt erre válaszolnék, tennék egy rövid kitérőt, mely általában érinti a magyar munkahelyi adatvédelmi szabályozást. Nálunk az a probléma, ellentétben néhány nyugati országgal, hogy a magyar szabályozás nem eléggé szituatív. Ezen azt értem, hogy munkahely és munkahely között biztonsági szempontból jelentős különbségek vannak. Például egy papírgyárban más módon kell ügyelni az adatok biztonságára, mint egy bankjegynyomdában, pedig mindkettő papírfeldolgozással foglalkozik. Vagy említhetem a különösen nagy kockázattal működő atomerőműveket. Az józan ésszel is belátható, hogy más típusú ellenőrzésnek kell alávetni egy, a paksi atomerőműben dolgozó lakatost, mint azt, aki Kovács István autóbontójában dolgozik. Ha megnézzük az európai gyakorlatot, akkor erre a szituatív megítélésre találunk is példákat. Így a francia törvény az ellenőrizhetőséget az adott munkahely jellegétől teszi függővé. Ez látszólag olyan nesze semmi, fogd meg jól rendelkezés, ám egy jól működő jogrendszerben, egy hatékonyan és önállóan gondolkodó bíró számára megteremti a mérlegelés lehetőségét, hogy az adott kerettörvények rendelkezéseit súlyozva tudja alkalmazni. Nálunk ez nem működik.

De visszatérve az elektronikus levelezésre. Meglátásom szerint ennek szabályozása is bizonyos gyakorlati problémákba ütközik. Ha ugyanis ma indul el egy vállalkozás, akkor egyszerűen azt mondhatja a tulajdonos (s ennek megfelelő munkaszerződést kötnek), hogy a cég szerverein csakis hivatalos levelezés intézhető, s ekkor minden e-mail hivatalos iratnak minősül, amelybe a főnök bármikor belenézhet. Egy már régóta működő cégnél azonban más a helyzet. Itt ugyanis az esetek nagy részében, tapasztalat híján, nem volt kikötve, hogy a vállalati e-mail címeket nem lehet magáncélra használni. Itt egy ma bevezetett tiltás bizonyosan jogsértéssel járna, hiszen a címet ismerő harmadik felek nem szerezhetnek erről tudomást, így az esetleges ellenőrzéskor a munkáltató olyan leveleket is olvashatna, amelyek a harmadik fél jogait sértik. Sérülne az az Európai Unióban is érvényes alapelv, hogy az ellenőrzés lehetőségéről előre kell tájékoztatást adni. Ha nem adom meg ezt az információt még időben, akkor ellenőrizni sincs jogom.

it.news: Tehát a mai magyarországi munkahelyi gyakorlatban és a jogi szabályozásban nem evidencia, hogy a munkahelyi e-mail címet csak hivatalos ügyek intézésére lehet használni?

M. L.: Abszolút nem, s ennek szabályozását nem is tartanám helyesnek. Vannak esetek, amikor egy ilyen korlátozást a munkahelyen belül elfogadhatónak és jogszerűnek tartok, de nem kivétel nélkül és általánosan. Magánvéleményem szerint az olyan e-mail címeket, melyek felépítése személynév@szerver, ellentétes tájékoztatás hiányában, mind magán, mind hivatali célra lehet használni. Azokat azonban, amelyek szerkezete cég_neve@szerver, nem részesíteném védelemben, hiszen személyes adat nem szerepel benne, az ilyen címre érkezett levelet feltehetően a cég több alkalmazottja is elolvashatja, s a cím ismeretében a harmadik fél is tudja, hogy ez a helyzet. Ám itt megint csapdahelyzetbe kerülhetünk. Hiszen a munkavállaló a nevére szóló e-mail címet használhatja magánlevelezésre is, ám ennek adatvédelmi szempontból helyes megközelítése a munkáltató számára problematikus. A munkáltatónak természetesen joga van ellenőriznie alkalmazottja hivatali levelezését, de az ilyen vegyes használatú postafiókban kavarognak a magán- és a hivatalos levelek. Ez egy roppant keservesen megoldható feladat, hiszen a cégvezetőnek jogában áll megismerni a cégiratokat, viszont – magam is találkoztam egy ilyen esettel – ha a szerződéstervezetekről folyó levélfolyamban ott van néhány levél, amely például az alkalmazott homoszexuális kapcsolataira utal, ennek megismerésére viszont nincs semmilyen joga.

it.news: Lehetséges megoldás volna Ön szerint, ha – mondjuk felmenő rendszerben – törvény írná elő, hogy a vállalati szervereken zajló levelezés csakis hivatali ügyekben legyen megengedett?

M. L.: Ez nem szituatív, durva megoldás lenne, hiszen vannak bizalmi szempontból rendkívül érzékeny munkahelyek, és vannak olyanok, ahol ez aligha merül fel. Újra csak mérlegelni kell. Azt például el tudom fogadni, hogy egy nemzetbiztonsági szerv vagy egy nagy autóipari konszern fejlesztőrészlegének szerveréről nem kerülhetnek ki ellenőrizetlen adatok.

it.news: Ám hiába létezik akár külső, akár belső szabályozás, mégis előfordulhat, hogy a munkavállalók nem tartják be a szabályokat, vagy épp az ipari kémkedés alapos gyanúja merül fel. Ekkor a vezetőnek meg kell néznie a levelezést, viszont bizonyos levelek tartalmához, mivel nem tudja, mit is talál majd a postafiókban, jogtalanul jut hozzá. Nem lenne megfelelő megoldás ilyen esetekben egy harmadik, titoktartásra kötelezett fél bevonása az ellenőrzésbe? A nemrégiben lezajlott németországi pedofil-botrány ügyében is úgy zajlott a vizsgálat, hogy a bankok közvetlenül nem engedték be a rendőrséget az ügyfelek adatait tartalmazó adatbázisba, hanem csak azok adatait adták ki, akik egy bizonyos, pedofilokra szakosodott weboldal által megadott számlaszámra utaltak át pénzt.

M. L.: De, ilyeneken lehet gondolkodni. Egy bizalmi harmadik fél bevonása is egyfajta megoldás lehet. A német példa egyébként felvet egy másik fontos kérdést, hiszen a vállalati gépek segítségével, a vállalati e-mail cím felhasználásával bűncselekményeket is el lehet követni. Az ez ellen való védekezés természetes érdeke a jó hírére valamit is adó cégnek, tehát ha erről az oldalról szemléljük a dolgot, akkor ez egy újabb indok bizonyos típusú ellenőrző rendszer működtetésére. Arról most nem is szólva, hogy az illegális oldalak látogatása magát a munkahelyi számítógépes rendszert is veszélyeztetheti, hiszen olyan programokat tölthet le a dolgozó, amelyek súlyos károkat okozhatnak. A rendszergazdák felkészültségén és óvatosságán kívül itt léteznek olyan privacy-barát megoldások is, amikor valamilyen módon akadályozzák a letöltéseket. Ez lehet teljes tiltás, esetleg csak szöveges dokumentumokat lehet letölteni, de megadhatják azt a néhány fontos webcímet, amelyek használata szükséges a munkához, ám máshová nem navigálhat el a felhasználó. Mielőtt bárki is felháborodna, megjegyezném, hogy azért alapvetően mégis csak azért vagyunk a munkahelyünkön, hogy dolgozzunk, ezért egy efféle belső szabályozás teljesen jogszerű. Egy ilyen korlátozás ugyanakkor a munkavállalót is védi, hiszen senki nem juthat olyan adatok birtokába – például az internetes böngészési szokásait elemezve – amely alkalmas lenne egy profil megalkotására, melyet aztán jogellenesen különféle célokra fel lehet használni.

it.news: Ebben a duálisnak tekintett (munkaadó-munkavállaló) rendszerben azonban a rendszergazda mégiscsak kitüntetett pozícióban van adatvédelmi szempontból.

M. L.: Hát igen, egy ideális rendszerben a rendszergazda sem férhetne hozzá akármilyen információhoz, de ilyen nem létezik. Olyan különleges státuszban vannak ők, mint a régi idők telefonközpontosai, akik minden hívásba belehallgathattak – s nem szép dolog ugyan, de köztudott volt, hogy a telefonközpontosok gyakran a cégtulajdonosok spiclijei voltak. A rendszergazdák ma ugyanilyen különösen hangsúlyos bizalmi helyzetben vannak.

it.news: Talán nem lenne haszontalan egy olyan helyzet kialakítása, amelyben a titoktartásra kötelezett rendszergazdát nem lehetne kényszeríteni adatok jogsértő kiszolgáltatására, a vállalat érdekeit veszélyeztető információkat viszont ki kellene adnia, s egy ilyen felállásban bizonyos szempontból ő lenne az a bizalmi harmadik. De folytatva az elektronizált ügyvitel által kitermelt új adatvédelmi problémák tárgyalását, úgy tudom, Ön az iratkészítés, hivatali levelezés módjainak megváltozását is kritikus pontnak látja.

M. L.: Igen, így van, s erre kevesen figyelnek fel. Az elektronikus korban már nem működik a hivatali és a magánirat olyan egyértelmű és kemény szétválasztása, mint akárcsak a múlt században. Ennek a technológiaiak mellett természetesen társadalmi okai is vannak. Ma már nem érvényesülnek szigorúan valamilyen hivatali levelezési etikett szabályai, amelyek önmagukban is szinte tökéletesen kizárták a magántartalmak megjelenését a hivatalos szövegekben.

Mára a levelezési szokások igen csak megváltoztak. Roppant gyakori az az eset – s ezt a fajta közvetlenséget bizonyos cégfilozófiák bátorítják is –, hogy az első levél ugyan még hivatalos jellegű, ám utána már úgy kezdődik a levél, hogy: Kedves Józsi! Remélem jól telt a szabadságod, ti is jártatok abban az isteni prágai kocsmában?... stb. S ha mindezt befejezte a levél írója, akkor rátér a szerződéstervezetre. Egy ilyen szöveg esetében gyakorlatilag lehetetlen a magáncélú vagy a hivatali célú minősítést kiosztani. Személy szerint én cégvezetőként nem engedném meg a "józsizást", s egy esetleges ellenőrzés kínos szituációinak megelőzése érdekében megtiltanám a hivatalitól eltérő hangnem és tematika használatát. Ám a működő üzleti világban ez nem így van, s ebből fakadóan jönnek a gondok…

Összességében ezeknek a súlyos és bonyolult adatvédelmi problémáknak, ha nem is a teljes körű megoldásában, de legalábbis részbeni megelőzésében igen sokat segítene egy előzetes egyeztetés, a feltételek munkafelvétel előtti tisztázása, egy olyan belső szabályzat kialakítása, mely a gyakorlati élet tapasztalatait összehangolja az adatvédelmi előírásokkal. Nagy szerepe lehetne ebben – ahogyan erre több nyugati országban van is példa, nálunk nem nagyon –, ha a munkahelyi tanácsok, szakszervezetek és egyéb érdekvédelmi társulások egyeztetnének erről a munkavállalókkal, hogy mindkét fél számára kedvező megoldások születhessenek.

ITCafe.hu, 2007. február 14.

A bejegyzés trackback címe:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.