Minden cég márkaépítésének és kommunikációjának egyik legfontosabb platformja a közösségi média. Szinte elképzelhetetlen, hogy egy jól felépített Facebook, LinkedIn, Instagram, vagy YouTube felület nélkül hatékonyan tudjuk megszólítani ügyfeleinket vagy leendő munkavállalóinkat. Sokan elfeledkeznek azonban arról, hogy a fényképek, videók közzététele szinte minden esetben személyes adatok kezelésével jár, ha pedig az ebből eredő feladatainkra elmulasztunk ügyelni, könnyen elégedetlen ügyfelekkel, jogosan felháborodott munkavállalókkal, végső esetben pedig adatvédelmi bírsággal találhatjuk szemben magunkat.
A közösségi médiamegjelenés adatvédelmi kérdéseiről Dr. Gera Dániel, ügyvéd, munkajogász, a Schönherr Hetényi Ügyvédi Iroda partnere és munkajogi praxisának vezetője és Dr. Hegyi Áron Antal, ügyvédjelölt, a Schönherr Hetényi Ügyvédi Iroda munkatársa beszéltek a Wolters Kluwer Hungary által szervezett webináriumon. A webinárium felvételét itt tekintheti meg.
Mire használjuk a közösségi média felületeit?
Az előadók mindenekelőtt fontosnak tartották tisztázni, hogy mi a közösségi média funkciója, mi az, amire a céges közösségi média felületet használjuk. Elsődleges rendeltetése a megosztás (share), amely lehetővé teszi, hogy a követőkhöz eljusson az adott tartalom.
A cégeknek figyelembe kell venni azt is, hogy amit ebben a minőségünkben tesznek közzé a közösségi médiában, az gyakran olyan emberekhez is eljut, akikről nem is gondolják, hogy figyelemmel kísérik ezeket a felületeket. Sok esetben a posztokban személyes adatokat – jellemzően képeket - is közzétesznek. Az előadók hangsúlyozták, hogy kiemelt figyelmet kell fordítani a közösségi médiatartalmakkal kapcsolatos adatvédelmi szabályozásra.
A legtöbbet használt platformok jelenleg Európában a Facebook, a Twitter, a YouTube, a LinkedIN, az Instagram, a Pinterest, a TikTok, valamint a Snapchat.
A platformok rövid bemutatása
- Facebook: eredetileg egy egyetemi kapcsolattartásra létrejött felület volt, amely mára világméretűvé nőtte ki magát. A kapcsolattartáson túl használják a különböző rendezvényekre való meghívásra, az érdeklődési körnek megfelelő csoportokban való részvételre.
- Instagram: világszerte népszerű, nagy felhasználószámmal rendelkező kép-, illetve videómegosztó alkalmazás.
- Twitter: Magyarországon kevésbé népszerű felület, különböző gondolatok (tweet-ek), hírek, illetve hozzájuk kapcsolódó képek megosztására használják.
- YouTube: videómegosztó szolgáltatás.
- LinkedIn: többek között álláshirdetések megjelenítésére használt felület.
- Pinterest: különböző témákkal kapcsolatban képek megosztását teszi lehetővé.
- TikTok: leginkább a 18 év alatti korosztály körében népszerű alkalmazás, rövid videók megosztására használható.
- Snapchat: szintén rövid videók megosztásra alkalmas felület, amelyek a megosztás után csak korlátozott ideig érhetőek el.
Mire használják a cégek a közösségi médiát?
1. Általános információk közlése
A közösségi média vagy social media posztok elsődleges témáját az általános információk adják, ennek során az adott céggel kapcsolatos tudnivalókat bocsátják így a cégek az ügyfeleik rendelkezésére. Adatvédelmi vonatkozásai nem igazán vannak, hiszen itt főleg olyan posztokról lehet szó, amikor a cég egy egyszerű információt próbál átadni az ügyfeleknek (pl. „Megnyitott az új üzletünk!”).
2. Interakció növelése, követők gyűjtése
A következő, talán leggyakrabban előforduló poszt-típus a cégek közösségi média oldalain megjelenő, interakció növelését célzó tartalom. Ilyenek lehetnek például a „Válaszolj a kérdésre!” posztok, vagy amikor arra buzdítják a követőket, hogy jelöljék meg egy ismerősüket a poszt alatt. Ezen posztok célja, hogy az adott felület interakcióját növelje, minél több látogatót érjen el, ezzel népszerűsítve a vállalat termékeit vagy szolgáltatásait.
3. Employer branding
Egyre nagyobb népszerűségnek örvend manapság az employer-branding, amelyet adatvédelmi szempontból, illetve a közösségi média szempontjából úgy definiálhatunk, hogy egy cég próbál vonzóvá válni ügyfelei, illetve a leendő munkavállalók előtt. Sok esetben saját kollégái bevonásával róluk készült posztokat, fényképeket vagy céges rendezvényekről készült tartalmat oszt meg. Fontos azonban kiemelni, hogy ezeknek a posztoknak a többsége szinte minden alkalommal személyes adatok közlésével jár, amelyeket az adott cég kezel egy-egy ilyen poszt közzétételekor.
Előfordul, hogy ezeket a munkavállalókról, ügyfelekről készült kép-, videó-, illetve hangfelvételeket a cég úgy teszi közzé a különböző platformokon, hogy nem kér hozzájárulást az ügyfelektől, munkavállalóktól. Alapvetően két eset látható, hogy miért nem szerzi be a cég az érintettektől a hozzájárulást.
Az első, viszonylag egyszerűbb eset az, hogy a cég egy másik adatkezelési jogalapot határoz meg a személyes adatok kezelésére. A GDPR 6. cikke összesen hat jogalapot sorol fel, amely alapján személyes adatokat lehet kezelni, ezek közül a legelső a hozzájárulás, azonban a másik öt jogalapon is érvényesen lehet ezen adatokat kezelni. A hozzájárulás bekérésének a hiánya elsőlegesen azért fordulhat elő, mert arra hivatkozik a cég, hogy nem hozzájárulás alapján kezelik a social médiában megjelenő fényképeket, hanem egy másik adatkezelési jogalapon, ami jellemzően az adatkezelő jogos érdeke. A jogos érdek lényege, hogy kifejezett hozzájárulás hiányban is lehet a személyes adatokat kezelni, azonban az adatkezelőnek kell azt bizonyítania, hogy a cég népszerűsítéséhez fűzött érdek erősebb, mint a magánszemély személyes adatainak védelméhez való joga.
A másik eset, amikor a munkavállaló vagy az ügyfél aláír ugyan egy hozzájáruló nyilatkozatot, azonban az valamilyen oknál fogva adatvédelmi jogi szempontból érvénytelen. Ennek elsődleges oka az lehet, hogy a cégek nincsenek tisztában azzal, hogy mik a hozzájárulás pontos követelményei. Itt fontos megemlíteni, hogy a hozzájárulás az adatvédelmi jogban más jelentéssel bír, mint a hétköznapi nyelvben. Hétköznapi értelemben hozzájárulásnak számít az, ha valaki például tud arról, hogy róla videó készül, nem tiltakozik a megjelenés ellen vagy ráutaló magatartással hozzájárul ahhoz. Ezzel szemben az adatvédelmi jogban azt tekintjük hozzájárulásnak, amit megfelelő tájékoztatást követően, önkéntesen ad valaki, illetve konkrétan meg van jelölve, hogy mire, mihez adja hozzájárulását. Ennek megfelelően az adatvédelmi jogban a „tud róla” és a „nem tiltakozik” nem elegendő ahhoz, hogy a hozzájárulás elfogadható legyen, ezért ráutaló magatartással nem lehet hozzájárulni az adatkezeléshez.
4. Az érvényes adatvédelmi hozzájárulás feltételei
Az első, illetve legfontosabb eleme az érvényes hozzájárulásnak az önkéntesség. Az adatvédelmi hatóság, illetve több más EU-s jogalkalmazó szerv is kimondta már azt, hogy munkaviszonyban a hozzájárulás önkéntessége nagyon ritkán áll fenn. Ennek oka abban keresendő, hogy a munkaviszony jellegéből adódóan egy alá-fölé rendeltségi viszony van a munkavállaló és a munkáltató között.
Megtörtént eset, hogy egy adott cégnél 8 értékesítő munkatárs dolgozott és a cég egy kilencedig sales-es kolléga felvételén gondolkozott. A munkavállalótól az ügyvezető megkérdezte, hogy hozzájárul-e ahhoz, hogy a korábbi 8 kolléga mellett ő is megjelenjen a cég weboldalán. Ebben az esetben érezhető az, hogy ez a hozzájárulás nem lesz feltétlenül önkéntes, hiszen az interjú résztvevője alappal tarthat attól, hogy ha az értékesítő munkatársak közül egyedül ő nem járul hozzá ahhoz, hogy a weboldalon megjelenjen, akkor nem fogják alkalmazni az adott cégnél.
Problémát okozhat a hozzájárulás tekintetében a visszavonás kérdése. Az adatvédelmi jog szerint ugyanis a hozzájárulás bármikor visszavonható. Könnyű belátni, hogy a közösségi médiában kezelt adatok esetén a munkáltató vagy a cég nincs mindig abban a helyzetben, hogy egy hozzájárulás visszavonás esetén a további adatkezelést megszüntesse.
Általában a hozzájáruló nyilatkozatokat a cégek a belépő munkavállalókkal íratják alá, ilyenkor egy általános, minden social media felületre kiterjedő nyilatkozatról van szó, amiben az aláíró minden közösségi médiás adatkezeléshez (készítéshez, publikáláshoz, továbbításhoz) hozzájárul. Az ilyen általános hozzájáruló nyilatkozatoknál gyakran hiányzik a konkrétság eleme, ami a nyilatkozat érvénytelenségét eredményezi.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) egy korábbi, Magyar Éremkibocsátóval szemben kiszabott 30 millió forintos adatvédelmi bírságról szóló döntésben egyértelműen úgy foglalt állást, hogy a konkrétságból az is következik, hogy csatornánként (platformonként) kell a munkavállalónak a hozzájárulást megadni az adatkezeléshez. Példával szemléltetve: ha a munkavállaló ahhoz adja hozzájárulását, hogy személyes adatait a LinkedIN felületére posztolhatja a cég, akkor pusztán ezen hozzájárulásra alapítva nem posztolhatja a személyes adatokat a cég a Facebookra, hiszen ehhez egy külön hozzájárulásra lenne szükség a munkavállalótól.
Bonyolítja a helyzetet az is, hogy amikor létrejön a munkaviszony, és az új munkavállaló aláírja ezeket a nyilatkozatokat, akkor egy olyan személyes adat, kép publikálásához járul hozzá, ami még nem is létezik.
Mindezekre tekintettel azt a következtetést vonhatjuk le, hogy a munkaviszonyokban a felek között aláírt hozzájáruló nyilatkozatok nagy része érvénytelen vagy az önkéntesség, vagy a konkrétság hiánya miatt. Ebből kifolyólag pedig az adatkezelés jogellenes, ami egy adatvédelmi hatósági vizsgálat esetén azt eredményezi, hogy a cég nem tudja bizonyítani a hozzájárulás jogszerűségét, amely akár bírság kiszabását is vonhatja maga után.
Az adatok sorsa a közösségi médiában
A Magyarországon legnépszerűbb platformok (Facebook, Instagram, TikTok, YouTube) adatvédelmi tájékoztatóiból az alábbiakat tartották fontosnak az előadók.
- Facebook: A Facebook az általa gyűjtött adatokat továbbítja az EGT-n kívülre, az adatok tárolása és kezelése szintén az EGT-n kívül történik, beleértve az Egyesült Államokat is.
- TikTok: Megengedi bizonyos dolgozóinak Brazíliában, Kanadában, Kínában, Izraelben, Japánban, Malajziában, Fülöp-szigeteken, Szingapúrban, Dél-Koreában és az Egyesült Államokban, hogy hozzáférjenek az európai felhasználók adataihoz.
- YouTube: Adatvédelmi tájékoztatójában szerepel, hogy előfordulhat az, hogy az adatokat olyan szervereken dolgozzák fel, amelyek a felhasználóétól eltérő országban található.
- Instagram: Adatvédelmi tájékoztatója a Facebook-hoz hasonló, az adatokat globálisan osztják meg, valamint azok tárolása, kezelése az Egyesült Államokban történik.
A közösségi médiában található adatainkat tehát valóban konkrét, élő emberek nézik, elemzik, dolgozzák fel. Ebből következik az, hogy az ilyen platformokra feltöltött adatok elemzésével következtetéseket vonnak le belőle az adott személyre nézve.
Az előadók kiemelték, hogy ezeket az adatokat (a fentiekben kifejtettek szerint) kiküldik az Egyesült Államokba, azonban az ír adatvédelmi hatóság nemrégiben született döntése értelmében ez jogszerűtlen. Az Európai Uniós állampolgárok adatait a Facebook annak ellenére továbbítja az Egyesült Államokba, hogy az USA jelenleg nem rendelkezik ún. megfelelőségi határozattal. Ezek fényében fontos az, hogy a Facebookra olyan felvételeket, posztokat töltsenek fel a cégek, amelyek vonatkozásában vállalják ezt a kockázatot, továbbá tájékoztatni kell erről azokat, akiknek az adatait így eljuttatják az Európai Unión kívülre.
A jogszerű közzététel feltételei
Mindenekelőtt szükséges tisztázni, hogy a kép elkészítése és annak közzététele két, egymástól eltérő adatkezelés. Ennek megfelelően mindkét adatkezelés tekintetben külön-külön érdemes figyelembe venni az alábbiakat.
Minden adat kezelésénél, így a social mediában használt képek közzétételénél is szükséges egy adatkezelési cél és egy adatkezelési jogalap. Az adatkezelési cél bármi lehet, az szabadon meghatározható. Így például cél lehet a vállalkozás népszerűsítése, azonban ezt a célt dokumentálni kell és ezt a dokumentációt adott esetben fel kell tudni mutatni az adatvédelmi hatóságnak. Az érvényes jogalapokat a korábbiakban említett GDPR 6. cikke tartalmazza.
A közzététel jogszerűségéhez elengedhetetlen továbbá a megfelelő tájékoztatás. A megfelelő tájékoztatásnak tartalmaznia kell azt is, hogy mennyi ideig kezelik a személyes adatokat, hiszen ez gyakran kimarad a munkavállalói adatkezelői tájékoztatókból.
Gyakran előfordul, hogy a cég fotóst, vagy marketing ügynökséget bíz meg azzal, hogy felvételeket készítsen a kollégákról, ilyenkor a fotós vagy az ügynökség szintén kezeli, tárolja a munkavállalók személyes adatait. Ebben az esetben fontos az, hogy ha a két fél között megszűnik az együttműködés, a kapcsolat, akkor az ügynökséget vagy a fotóst rá kell szorítani arra, hogy a cég munkatársairól készült adatokat töröljék. Ezt jellemzően adatfeldolgozói szerződéssel érhetjük el.
Végül pedig érdemes megemlíteni, hogy mi a helyzet abban az esetben, ha a munkavállaló az adatai törlését kéri. Ilyenkor alapesetben indokolatlan késedelem nélkül törölni kellene a szóban forgó posztot, fényképet, stb., azonban problémát jelent az, hogy a felek nem határozzák meg előre, hogy egy adott fénykép meddig lehet kint a cég közösségi oldalán, így gyakran egy kollégáról készült kép soha nem kerül le a platformról.
Munkajogi kitekintés
Nem szigorúan adatvédelmi kérdés, de fontos megemlíteni azt az esetet, amikor a cég munkavállalója a munkáltató képviseletében posztol, kommentel, vagy nyilvánít véleményt a közösségi médiában. A véleménynyilvánítás szabadságát és a szólásszabadságot, illetve a munkáltató jogos gazdasági érdekét kell ilyenkor vizsgálni, amely olykor ütközik egymással.
A Munka Törvénykönyve rendelkezik arról, hogy a munkavállaló nem tanúsíthat olyan magatartást, ami a munkáltató jogos gazdasági érdekét sérti. Ezen kívül rendelkezik arról is, hogy munkaidőn kívül sem tanúsíthat olyan magatartást a munkavállaló, amely veszélyezteti a munkáltató jó hírnevét. Ebben a tekintetben vizsgálandó az, hogy mi az a vélemény, az a szóhasználat, ami ezzel a rendelkezéssel összeegyeztethetetlen, mi az, ami már okot adhat a jogviszony megszüntetésére.
Gyakran előfordul az is, hogy a munkavállaló nem a munkaviszonnyal, vagy a munkáltatóval összefüggésben nyilvánít véleményt, hanem egyéb közéleti kérdésben, azonban ezt olyan formában teszi, ami szembe megy a cég vagy a munkáltató értékítéletével. Ezek megítélése nem mindig egyszerű, a bíróság számos esetben mondta ki azt, hogy a szabad véleménynyilvánításhoz való jog előbbre való.
A cégek tekintetében fontos az, hogy legyen egy belső szabályozás arra vonatkozóan, hogy ki, mit, illetve milyen véleményt tehet közzé, sok esetben ez általános illemszabályokkal leírható. Az angolszász irodalomban használt kifejezés az ún. „grandmother rule”, ami azt jelenti, hogy olyan közléseket célszerű a munkavállalóknak közzétenni, amelyeket a nagymamájuknak is mondanának vagy megmutatnának.
Leggyakoribb problémák a közösségi média használatakor
A leggyakrabban előforduló probléma, hogy „ösztönből” kezelik a közösségi média felületeket a cégek, nem átgondolt a jogi háttér és az sem, hogy milyen kollégák vesznek részt ebben a folyamatban, hogy mennyi ideig és milyen célból kezelik a személyes adatokat, vagy mikre érdemes odafigyelni egy kép elkészítésekor.
Mindezek átgondolása pusztán elengedhetetlen ahhoz, hogy a későbbiekben elkerülhető legyen egy esetleges bírság, azonban sok cég erre még mindig nem fordít kellő figyelmet. Sok esetben hiányzik a cégeknél egy olyan munkavállaló, aki átlátja a közösségi médiában történő posztolás adatvédelmi szempontjait, vagy ezt a feladatot olyan munkavállaló végzi, aki nem kapott megfelelő adatvédelmi képzést. Ez kiküszöbölhető lenne azzal, ha a cég bevonna egy olyan partnert, aki erről tájékoztatást tud adni a munkavállalónak.
Gyakran előfordul, hogy hiányzik az adatvédelemmel kapcsolatos dokumentáció, a hozzájáruló nyilatkozatok sokszor érvénytelenek, ha a cég jogos érdek alapján kezeli az adatokat, akkor nincs megfelelő ún. érdekmérlegelési-teszt, vagy nincs adattovábbításra vonatkozó hatásvizsgálat, illetve a kollégák felé irányuló tájékoztatás hiányos vagy egyáltalán nincs. Ezen túl gyakori problémák a korábbiakban említett „örökké” kint maradó posztok, illetve ha nem veszi figyelembe a cég, ha valaki az adatvédelmi jogaival él (törlést kér vagy tiltakozik).
