A NIS2-felkészülés során sok szervezetnél előbb-utóbb felmerül a kérdés, hogy meddig terjed a munkáltató ellenőrzési joga, és hol kezdődik a munkavállaló magánszférája. Különösen igaz ez akkor, amikor a kiberbiztonsági követelmények teljesítése érdekében a munkavállalók által használt informatikai eszközök ellenőrzése válik szükségessé. A Munka Törvénykönyve egyértelműen rögzíti, hogy a munkavállaló kizárólag a munkaviszonnyal összefüggő magatartása körében ellenőrizhető, a magánélete nem. Ugyanakkor azt is kimondja, hogy a munkáltató technikai eszközöket is alkalmazhat az ellenőrzés során, és betekinthet a munkavégzéshez használt számítástechnikai eszközökön tárolt, munkaviszonnyal összefüggő adatokba – függetlenül attól, hogy az eszköz a munkáltató tulajdona vagy a munkavállaló sajátja. A NIS2-t végrehajtó hazai kiberbiztonsági szabályozás ezen a ponton nem szűkíti, hanem inkább megerősíti a munkáltató ellenőrzési kötelezettségét. Az elektronikus információs rendszerek védelme érdekében a szervezeteknek olyan kockázatmenedzsment- és biztonságfelügyeleti rendszert kell működtetniük, amelynek része a védelmi intézkedések folyamatos ellenőrzése és monitorozása. Ezek az ellenőrzések sokszor észrevétlenek maradnak, például naplózás, automatikus fiókzárolás vagy jogosultságkezelési szabályok formájában, mégis személyes adatok kezelésével járnak.
Fontos látni, hogy minden ellenőrzés adatkezelésnek minősül, hiszen természetes személyekhez köthető információk gyűjtése, tárolása vagy elemzése történik. Éppen ezért az ellenőrzés jogszerűsége nemcsak munkajogi, hanem adatvédelmi kérdés is. A munkáltatónak az ellenőrzések megkezdése előtt rendelkeznie kell a szükséges adatvédelmi dokumentumokkal, ideértve az adatkezelési nyilvántartást, az érintetti tájékoztatót, és adott esetben az adatvédelmi hatásvizsgálatot vagy érdekmérlegelési tesztet is. A NIS2 szempontjából különösen érdekes, hogy a kiberbiztonsági célból gyűjtött adatok nem kizárólag erre a célra használhatók fel. Bizonyos esetekben ezek az adatok a munkavégzés szabályszerűségének ellenőrzésére is alkalmasak lehetnek, például home office esetén a hozzáférések vagy IP-címek vizsgálata révén. Ilyenkor azonban az adatkezelés célja már túllép a kiberbiztonságon, ezért a munkáltatónak külön igazolnia kell az ellenőrzés jogalapját és szükségességét.
A joggyakorlat következetesen hangsúlyozza, hogy a munkavállalók teljes körű, folyamatos megfigyelése tilos, és az ellenőrzésnek mindig arányosnak, célhoz kötöttnek és előre átláthatónak kell lennie. Az Európai Adatvédelmi Testület és a magyar NAIH döntései egyaránt kiemelik az előzetes tájékoztatás, a fokozatosság elve és a munkavállaló jelenlétének biztosítása jelentőségét. Kivételt csak rendkívüli, azonnali intézkedést igénylő helyzetek képezhetnek, amelyeknél is biztosítani kell az utólagos elszámoltathatóságot. A legfontosabb tanulság, hogy a NIS2 nem „szabad kezet” ad a munkavállalók ellenőrzésére, hanem jogi kötelezettséggé teszi a kockázatarányos, szabályozott és dokumentált ellenőrzést. A munkáltató felelőssége abban áll, hogy az információbiztonsági követelmények érvényesítése során ne sérüljenek a munkavállalók alapvető jogai, és az ellenőrzések minden körülmények között védhetőek legyenek jogi, adatvédelmi és auditálási szempontból is.
Készült a NIS2 Portal hivatalos forrása alapján.