A nyilvánossá tett személyes adatok-HR kukkolással

2018. május 25. napjától kell alkalmazni az Európai Unió általános adatvédelmi rendeletét Magyarországon is [az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről, a továbbiakban: Rendelet vagy GDPR].

A személyes adatok kezelésének kézenfekvő területe a munka világa, hiszen egy magánszemély felvételétől kezdve annak „nyugdíjba vonulásáig” kötelező a cégeknek bizonyos személyes adatokat kezelni.
Személyes adatnak minősül a Rendelet alapján az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; így például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező, képmás.
A magyar Infotv. megfogalmazása is nagyon hasonló: személyes adatnak kell tekinteni bármilyen, az érintettel kapcsolatba hozható adatot vagy az adatból levonható következtetést. Ennek értelmében személyes adatnak minősül többek között a jelentkező neve, életkora, azonosító számai, telefonszáma, e-mail címe, lakhelye, gazdasági, kulturális érdeklődési köre, gyakorlatilag a legtöbb, a nyilvánosan elérhető oldalakon kezelt adat.

A személyes adatok körén belül létezik egy még inkább védett csoport, a személyes adatok különleges kategóriája, amely adatok a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utalnak, valamint ide tartoznak a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok – például ujjlenyomat –, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok is. A különleges személyes adatok ismerete azért fontos, mert ezek kezelésére szigorúbb szabályok vonatkoznak.

A munkaviszonnyal kapcsolatos adatkezelésnek három fázisát különíthetjük el:
1. a munkaviszony létesítéséig kezelt személyes adatok,
2. a munkaviszony létrejöttével és annak fennállása alatt kezelt személyes adatok, és a
3. munkaviszony megszűnését követően kezelt személyes adatok.
 
Mindhárom fázisban érvényesülnie kell a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) általános szabályának, miszerint a munkavállalótól csak olyan nyilatkozat megtétele vagy adat közlése kérhető, amely személyiségi jogát nem sérti és a munkaviszony létesítése, teljesítése vagy megszűnése szempontjából lényeges. A jelen cikk a munkaviszony létesítéséig megszerzett személyes adatok kezelésének mikéntjét kívánja bemutatni.

A munkaviszony létesítése előtt kezelt személyes adatok
Egy humánerőforrásért felelős munkatárs egyik legfőbb feladata a cég nyitva álló pozíciójára való megfelelő jelölt kiválasztása, ugyanis – különösen néhány „hiányszektorban” – egy új kolléga interjúztatása, majd felvétele esetén betanítása költséges feladat és csak hosszabb távon történő alkalmazás esetén térül meg.

Nyilvánossá tett személyes adatok
A legmegfelelőbb jelölt felkutatása érdekében a vállalat felelős munkatársai már nem csak az önéletrajzot kérik el, de az interneten fellelhető valamennyi releváns információt – pl. Facebook és LinkedIn profilokat – feldolgozva próbálják „szűrni” a jelentkezőket. Kérdés azonban, hogy minden nyilvánosan elérhető adat felhasználható-e ebből a célból, nem kell-e a cégeknek önmérsékletet gyakorolniuk az álláskeresők magánéletének tiszteletben tartása miatt?
A Nemzeti Adatvédelmi és Információszabadság Hatóság álláspontjával összhangban nem életszerű megtiltani, hogy a munkáltató a világhálón, illetve a közösségi oldalak nyilvános, azaz mindenki számára elérhető adatait, információit megtekintse. Ugyanakkor az Infotv. rendelkezései szerint személyes adatot a vállalat is csak célhoz kötötten, és csak a szükséges mértékben kezelhet. A cél értelemszerűen a munkaviszony létesítése, a szükséges mértéket pedig az alkalmazás eldöntéséhez releváns információk jelentik. Vagyis azon adatokat, amik nem kapcsolódnak szorosan a jelölt megítéléséhez, nem kezelhet a munkáltató. Ha például egy nyilvános Facebook profilt nézegetve a HR-es kolléga azt látja, hogy a jelölt szeret hétköznap esténként bárokban iszogatni, ez alapján még nem zárhatná ki a kiválasztási folyamatból.
Érdemes azt is átgondolni, hogy az interneten, közösségi oldalakon fellelhető információk pontosságát, valódiságát nem lehet garantálni. Akár a jelentkező is építheti tudatosan, egy jövőbeli alkalmazó tetszésének megfelelően profilját, illetve a rosszhiszemű álprofilok létrehozása sem zárható ki, így minden esetben érdemes fenntartásokkal kezelni a megismert adatok minőségét.
Amellett, hogy a munkáltató felhasználja-e ezeket az adatokat, tudnia kell, hogy a keresés mikéntjéről tájékoztatnia kell a jelentkezőt. Azaz, ha a kiválasztási folyamat, az értékelés automatikus részét képezi a nyilvános profil vizsgálata, akkor ezt tudatni kell az álláskeresővel, hiszen csak így biztosítható, hogy az érintett vitathassa a levont következtetést.
A tisztességes eljárásnak természetesen az is részét képezi, hogy a munkáltató nem használja fel a jelentkező nem nyilvános adatait annak hozzájárulása nélkül, így például ha egy társaság látja, hogy kollégája ismerőse a jelöltnek a LinkedInen, akkor nem lehet a kollégán keresztül megismerni a magáncélú, zártan kezelt információkat.
A fentiek kapcsán az az álláspontunk, hogy a magánszemély is felelősséggel tartozik a tekintetben, hogy ki és milyen adatait ismerheti meg és ez alapján milyen következtetést von le abból. Célszerű kihasználni a közösségi portálok adatvédelmi beállítási lehetőségeit, ennek keretében tudatosan lehet alakítani az információk nyilvánosságát és védeni a magánéletet.