https://doi.org/10.26521/profuturo/2022/1/11183
Munkaerő-kölcsönzés esetén a kölcsönbeadó és a kölcsönvevő közötti adatvédelmi viszonyt gyakran nem megfelelően határozzák meg, ami a személyes adatok védelméhez fűződő, valamint a munkaerő-piaci jogok és kötelezettségek megsértéséhez vezet. Jelen tanulmány célja annak vizsgálata, hogy a kölcsönvevő és a kölcsönbeadó relációjában történő munkavállalói adatkezelések önálló adatkezelői adattovábbításnak, közös adatkezelésnek vagy adatfeldolgozásnak minősülnek-e, ami által pontosan megállapíthatóvá válik, kinek kell megfelelő technikai és szervezési intézkedéseket végrehajtania annak biztosítása érdekében, hogy a személyes adatok kezelése az Európai Unió általános adatvédelmi szabályozásával (GDPR) összhangban történjen.
Kulcsszavak: munkaerő-kölcsönzés, adatvédelem, közös adatkezelői viszony, adatkezelő, adatfeldolgozó, GDPR
In temporary agency work the relationship between the temporary work agency and the user-undertaking is often not adequately or correctly understood in the context of the processing of personal data. This leads to a deterioration of protection of personal data as well as labour market rights and obligations. The purpose of this study is to explore when we can speak about a controller-processor, a joint controller or a controller-controller relationship, which will clarify who has to implement appropriate technical and organisational measures to ensure and to be able to demonstrate that the processing is performed in accordance with the Regulation.
Keywords: temporary agency work, data protection, joint controllers, controller processor, GDPR
A foglalkoztatásra irányuló jogviszonyokban a munkáltató szükségképpen nagy mennyiségű személyes, esetleg különleges adathoz jut hozzá, amelyeket minden
- 70/71 -
esetben a különböző adatvédelmi előírások, így a munka törvénykönyvéről szóló 2012. évi I. törvény (Mt.), az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR)[1] és egyéb vonatkozó jogszabályok figyelembevételével szükséges kezelnie. Ezen adatvédelmi szabályok általánosságban a megszokott, hagyományos munkaviszonyokra tekintettel születtek, viszont a gyakorlatban egyre elterjedtebbek a hagyományos munkaviszonytól eltérő kivételek. Ilyen, atipikus munkaviszony a munkaerő-kölcsönzés során létrejövő munkaviszony, amelynek sajátossága, hogy a munkavállaló olyan munkáltatóval létesít munkajogviszonyt, amelynek tevékenysége a munkaerő-kölcsönzésre irányul, és a munkavállaló munkateljesítését egy harmadik személy használja fel, aki annak ellenére gyakorolja a munkavégzéssel kapcsolatos munkáltatói jogokat, hogy közte és a munkavállaló között nem áll fenn munkajogviszony. Ennek következtében a munkaerő-kölcsönzés során gyűjtött adatok köre adatkezelési szempontból nagymértékben eltér az általános szabályok szerinti munkaviszonyban történő adatkezelésektől.
A kölcsönvevő és a kölcsönbeadó elsősorban az alkalmazandó jogszabályban foglalt, másodsorban pedig a kettejük közötti szerződésben meghatározott feltételeknek megfelelően megosztva gyakorolják a munkavállaló foglalkoztatásával kapcsolatos jogokat és kötelezettségeket. Míg a munkaviszony létesítésével és megszüntetésével, valamint a bér kifizetésével kapcsolatos jogokat és kötelezettségeket a kölcsönbeadó, addig a munkaidő beosztásához és a munka irányításához kapcsolódó jogokat és kötelezettségeket a kölcsönvevő gyakorolja.[2] Ebből következően úgy a kölcsönvevő, mint a kölcsönbeadó szükségszerűen kezel a munkavállalóval kapcsolatos személyes adatokat.
Az Mt. alkalmazásában a "munkaerő-kölcsönzés: az a tevékenység, amelynek keretében a kölcsönbeadó a vele kölcsönzés céljából munkaviszonyban álló munkavállalót ellenérték fejében munkavégzésre a kölcsönvevőnek ideiglenesen átengedi".[3]
Adatvédelmi szempontból, a meghatározásból is jól látszik, hogy a munkavégzés átengedése szükségszerűen az adott munkavállalókra vonatkozó személyes adatok "átengedését" is jelenti. Munkaerő-kölcsönzés esetén a munkavállalókra vonatkozó személyes adatok köre igen széles, így vannak olyan személyes adatok, amelyeket a munkaerő-kölcsönzés céljából a munkavállaló ad meg (ilyen például a munkavállaló neve, életkora, szakképesítése, lakóhelye, elérhetőségei); olyan adatok, amelyek a kölcsönbeadónál keletkeztek (például a munkaszerződés megkötéséhez szükséges adatok, a bérszámfejtéshez fűződő adatok); illetve olyan adatok is, amelyek csak a kölcsönvevőnél keletkeznek (a távollétek igazolásai, a munkaidő-nyilvántartás adatai). Ezek közül nagyon sok adat a kölcsönbeadó és a kölcsönvevő között megosztásra kerül, hiszen kötelezettségeik teljesítése végett sok esetben mindkettőjüknek szüksége van akár ugyanarra az adatra. A GDPR 5. cikkében megfogalmazott egyik
- 71/72 -
legfontosabb alapelvet tiszteletben tartva, amely szerint a "személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni", az adatvédelmi kötelezettségek szempontjából fontos meghatározni, hogy ezen atipikus munkaviszony fennállása esetén, az adatvédelmi megfeleléshez tartozó felelősségek pontosan kit terhelnek.
Megfelelő jogi szabályozás, illetve az e területre vonatkozó konkrét iránymutatás hiányában, jelen tanulmány célja tisztázni a munkaerő-kölcsönzés során felmerülő néhány lényeges adatvédelmi kérdést.
Elsősorban fontos meghatározni, hogy a kölcsönbeadó és a kölcsönvevő között milyen adatvédelmi jogi viszony áll fenn, azaz, hogy a munkavállalói adatkezelések önálló adatkezelői adattovábbításnak, közös adatkezelésnek vagy adatfeldolgozásnak minősülnek-e, hiszen ennek függvényében szükséges alkalmazni a vonatkozó adatvédelmi szabályokat. Közös adatkezelés esetén ugyanis a jogalkotó az adatkezelésekkel kapcsolatos felelősség megállapításában szabad kezet biztosít az adatkezelésben részt vevő feleknek, melyet azoknak a közöttük megkötött megállapodásban szükséges részletesen meghatározni. A munkaerő-kölcsönzés fogalmának tisztázása után, a kölcsönvevő és kölcsönbeadó közötti adatvédelmi viszony meghatározása mellett, jelen tanulmányban, a GDPR és az Mt. XVI. fejezete szabályainak összevetése alapján, az adatvédelmi megfelelésre irányuló felelősség megállapítását, az érintettek jogainak gyakorlásával kapcsolatos kérdéseket, valamint a kártérítési felelősség lényeges kérdéseit is vizsgáljuk.
A munkaerő-kölcsönzés egy atipikus foglalkoztatási jogviszony. A jogintézmény legfőbb sajátossága, hogy három fél - a munkaerő-kölcsönző (a kölcsönzési irányelv meghatározása alapján: kölcsönbeadó, temporary-work agency),[4] a kölcsönzött munkavállaló (kölcsönzött, temporary agency worker)[5] és a kölcsönvevő vállalkozás (kölcsönbevevő, user undertaking)[6] - jogviszonyára (triangular employment relationship) épül, míg a hagyományos munkajogviszony esetén két fél - a munkáltató és a munkavállaló - áll kapcsolatban.
A munkaerő-kölcsönzés lényegében a harmadik személy (kölcsönbeadó) alkalmazásában álló személy munkaerejének (kölcsönzött) ellenszolgáltatás fejében történő (a kölcsönbevevő általi) kölcsönbe vételét feltételezi. Gyakorlatilag, a kölcsönzött munkavállaló egy munkaerő-kölcsönzéssel foglalkozó ügynökséggel köt munkaszerződést, de a tényleges munkateljesítés egy másik gazdasági egységnél valósul meg. Utóbbival a kölcsönbeadó polgári jogi szerződéses jogviszonyban áll. Hangsúlyozandó, hogy a kikölcsönzés ideje alatt a kölcsönvevő gyakorol bizonyos munkáltatói jogokat a munkavállalóval szemben. Ezáltal, a munkaerő-kölcsönzés
- 72/73 -
"lényege, hogy a kölcsönvevő úgy jut a munkaviszony sajátosságainak megfelelő alárendelt, utasítható munkaerőhöz, hogy neki magának nem kell munkaviszonyt létesítenie".[7]
Az angol terminológiában megjelenő temporary agency work[8] kifejezés a foglalkoztatás ideiglenessége mellett azt is jelzi, hogy egy harmadik fél által közvetített munkáról beszélünk, de a jogviszony háromoldalú szerkezetére és arra a jogügyletre, amellyel a foglalkoztatás realizálódik, nem történik utalás.[9] A magyar szakirodalom és a jogszabályok a munkaerő-kölcsönzés kifejezést használják. Így a magyar megnevezés tükrözi a munkajogviszony jellegzetességeit: a jogviszony háromoldalú jellegét, a munkaerő ideiglenes kölcsönzését, illetve azt, hogy a munkavállaló kifejezetten azt vállalja, hogy minden esetben annál a kölcsönvevőnél fog munkát teljesíteni, ahová kikölcsönözi a kölcsönbeadó.
A munkaerő-kölcsönzést Nyugat-Európában már az 1960-1970-es évek fordulóján alkalmazták mint foglalkoztatási konstrukciót. Az elsők között volt Hollandia (1965), Dánia (1968), majd Franciaország és Németország (1972).[10] A foglalkoztatás ezen formája azóta globálisan elterjedt, mivel a munkaerő-kölcsönzés a hagyományos munkajogviszonnyal szemben nagyobb rugalmasságot biztosít a kölcsönvevőnek, egyszerűsíti a munkaerőhöz jutatást, illetve alacsonyabb jogi, adminisztratív és humánerőforrás-vonatkozású költségeket feltételez. Kijelenthető, hogy a munkaerő-kölcsönzési szolgáltatást alapvetően az egyre fokozódó piaci verseny szülte. A munkáltatók azon igényére nyújt hatékony megoldást, hogy beszállítóként a hirtelen jelentkező rendeléseknek eleget tudjanak tenni, illetve a szezonálisan elvégzendő feladatokra biztosítva legyen megfelelő mennyiségben a humánerőforrás. A rugalmas létszámgazdálkodás mellett a hagyományos munkajogviszonyban foglalkoztatott munkaerő gyors pótlására is alternatívát jelenthet.
Ugyanakkor, a kikölcsönzés időtartamának leteltével a kölcsönzött munkavállaló egyszerűen visszatér a kölcsönbeadóhoz, de esetenként, a kölcsönzési szerződés felmondásával, akár az eredetileg kikötött időtartam lejárta előtt is megszüntetheti a kölcsönzött munkavállalóval való együttműködését a kölcsönvevő. A hagyományos munkajogviszony esetében jellemző, a megszüntetéssel vagy elbocsájtással járó jogi kockázat, anyagi és adminisztratív teher kisebb mértékű, szétbomlik a munkáltatói jogkör és felelősség. A kölcsönvevő a kölcsönzött munkavállalókat érintő humánerőforrás-politikáját, illetve döntéseit nem keretezik ilyen korlátok.[11]
Ami a munkaerő-kölcsönzésre vonatkozó európai szabályozást illeti, évekig nyúló viták és egyeztetések után került elfogadásra a munkaerő-kölcsönzés közösségi
- 73/74 -
jogi szabályozásában a legfontosabb szabályokat tartalmazó, a munkaerő-kölcsönzésről szóló 2008/104/EK irányelv (kölcsönzési irányelv).[12]
A kölcsönzési irányelv a munkaerőt kölcsönzőkkel kötött munkaszerződéssel rendelkező vagy ott munkaviszonyban álló munkavállalókra, illetve gazdasági tevékenységet folytató köz- és magánvállalkozásra vonatkozik, függetlenül attól, hogy a vállalkozás nyereségérdekelt-e.[13] Az irányelv elsősorban meghatározza a munkavállalók, a munkaerő-kölcsönző, a kölcsönzött munkavállaló, a kölcsönvevő vállalkozás, a kikölcsönzés és az alapvető munka- és foglalkoztatási feltételek fogalmát.[14]
Az irányelv hangsúlyozza továbbá az egyenlő bánásmód elvét, és kiemeli, hogy a kölcsönzött munkavállalóknak ugyanolyan hozzáférést kell biztosítani a kölcsönvevő vállalkozás szolgáltatásaihoz, és annak közös létesítményeihez, mint a vállalat saját dolgozóinak, kivéve, ha az eltérő bánásmódot objektív indokok támasztják alá. Az uniós szabályozás e tekintetben különösen kitér az étkezéshez, a gyermekgondozási létesítményekhez és az utazási szolgáltatásokhoz való hozzáférésre. Az egyenlő bánásmód alapelve alól az irányelv három kivételt fogalmaz meg. Az első kivétel a díjazást érinti; a tagállamok eltérhetnek ennek tekintetében, amennyiben a munkavállaló a kikölcsönzések közötti időszakokban is kap fizetést. Ugyanakkor, a szociális partnerek olyan kollektív szerződéseket tarthatnak fenn vagy köthetnek meg, amelyek a kölcsönzött munkavállalók általános védelmének tiszteletben tartása mellett a kölcsönzött munkavállalók munka- és foglalkoztatási feltételei tekintetében eltérő szabályokat állapítanak meg. A harmadik kivétel annyiban alkalmazandó, amennyiben az illető tagállam nem rendelkezik olyan jogi rendszerrel vagy gyakorlattal, amely általánosan alkalmazandónak nyilvánítja a kollektív megállapodásokat, vagy nem létezik olyan jogi rendszer vagy gyakorlat, amely egy adott ágazatban vagy földrajzi területen működő valamennyi hasonló vállalkozásra kiterjeszti ezek rendelkezéseit. Ez esetben a kölcsönzött munkavállalókra vonatkozó alapvető munka- és foglalkoztatási feltételek tekintetében eltérő rendelkezéseket is megállapíthatnak.
Láthatjuk tehát, hogy adatvédelmi szempontból az irányelv nem tartalmaz különös szabályozást, így a munkavállalók adatainak kezelése kapcsán a GDPR szabályait, valamint az Mt. XVI. fejezetében megfogalmazott, a munkaerő-kölcsönzésre vonatkozó különös szabályokat szükséges figyelembe venni.
Mivel a GDPR nem tartalmaz a munkaerő-kölcsönzésre vonatkozó speciális rendelkezéseket, az adatvédelmi kötelezettségek tekintetében a kölcsönbeadóra - ugyanúgy, mint a kölcsönvevőre - a GDPR-ban megfogalmazott általános szabályozás alkalmazandó, amennyiben arról hazai törvény eltérően nem rendelkezik. A munkaerő-kölcsönzés konstrukcióját tekintve, a törvényben meghatározott köte-
- 74/75 -
lezettségek[15] és az egymással kötött megállapodás értelmében, a kölcsönbeadó és kölcsönvevő között adatmegosztás történik.
Adatvédelmi szempontból a legfontosabb eldöntendő kérdés annak meghatározása, hogy a munkavállalókra vonatkozó adatkezelések, valamint adattovábbítások kapcsán ki minősül adatkezelőnek, ki adatfeldolgozónak, vagy beszélhetünk-e közös adatkezelőkről, hiszen a munkavállalókra vonatkozó adatokat kezelő szervezetek kategorizálása a felelősség megállapítása, valamint az érintettek jogainak gyakorlása szempontjából is fontos.
A GDPR 4. cikk 7 pontja szerint az "adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza".[16] Ezzel szemben az "adatfeldolgozó az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel".[17]
A meghatározásokból jól látszik, hogy az adatkezelő minden esetben az, aki meghatározza az adatkezelés céljait és eszközeit, vagyis az adatkezelés miértjét és módját. Az adatkezelőnek kell döntenie mind a célokról, mind az eszközökről, az adatfeldolgozó pedig az adatokat csupán a megbízója nevében, annak rendelkezése alapján kezelheti.[18] Így az adatfeldolgozó feladata arra korlátozódik, hogy végrehajtsa az adatkezelő által adott utasításokat, legalábbis az adatkezelés célja és az eszközök lényeges elemei tekintetében.
A GDPR 28. cikke előírja továbbá, hogy az adatfeldolgozó és az adatkezelő között olyan szerződésnek vagy más jogi aktusnak kell lennie, amely meghatározza az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait is, amely szerződés köti az adatfeldolgozót az adatkezelővel szemben.[19]
Figyelembe véve a fent említett adatvédelmi szabályokat és a munkaerő-kölcsönzés struktúráját, aligha képzelhető el, hogy a kölcsönbeadó adatkezelőnek, míg a kölcsönvevő adatfeldolgozónak minősüljön. A munkaerő-kölcsönzés esetén ugyanis mindkét szervezet részt vesz az adatkezelések céljának és eszközeinek meghatározásában, az adatkezelés egyik fél esetében sem (kizárólag) a másik fél utasítása alapján történik, még akkor sem, ha az adatok köre nagymértékben megegyezik.[20]
- 75/76 -
Például a munkavállaló munkaidő-nyilvántartásában szereplő személyes adatait mindkét fél kezeli: a kölcsönbeadó munkavállalóval fennálló jogviszonyából fakadó szerződéses kötelezettségeinek teljesítése érdekében (bérszámfejtés),[21] a kölcsönvevő pedig a beosztott és teljesített munkaidő és pihenőidő nyilvántartására vonatkozó kötelezettségeinek teljesítése végett.[22] Emellett természetesen, az egymás közötti szerződés teljesítése miatt is szükség van ezen adatok gyűjtésére és tárolására. Ebből is jól látszik, hogy a kölcsönbeadó és a kölcsönvevő között nem teljesülnek az adatkezelő és adatfeldolgozói viszonyhoz szükséges feltételek, miszerint az adatfeldolgozó kizárólag az adatkezelő megbízásából kezelné a személyes adatokat. Amennyiben e viszony fennállna, az adatkezelőre hárulna a kötelezettség meggyőződni arról, hogy az általa választott adatfeldolgozó megfelelő garanciákat nyújt a szakértelem, a megbízhatóság és az erőforrások tekintetében, azaz megfelelő háttérrel rendelkezik az adatok biztonságos kezelése tekintetében.
A közös adatkezelés fogalma kezdetben nem volt elfogadott a magyar jogban.[23] Ezzel szemben a GDPR külön rendelkezésben szabályozza a közös adatkezelők intézményét. Bár a 26. cikk kimondja, hogy "ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek",[24] ezen megfogalmazás túl általános és tágnak bizonyul, ha arra a kérdésre keressük a választ, hogy munkaerő-kölcsönzés esetén megvalósul-e közös adatkezelés. Így a GDPR által nyújtott meghatározás mellett, érdemes figyelembe venni úgy az e témában született Európai Bíróság joggyakorlatát, mint az Európai Adatvédelmi Testület közös adatkezelésekre vonatkozó iránymutatását.
Az adatvédelmi testület 07/2020. számú iránymutatása szerint, a közös adatkezelés legfontosabb eleme, hogy mindkét fél döntési pozícióban van, és a meghatározott cél nem valósulna meg valamelyik fél nélkül, de az adatkezelés legalábbis egymást kiegészítő, szorosan kapcsolódó folyamatokból tevődik össze.[25]
A közös adatkezeléssel kapcsolatban az Európai Bíróság három olyan döntést is hozott, amely mérvadó e viszony fennállásának mérlegelése esetén.
Az Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16) ügyben a Bíróság megállapította, hogy a Facebookon létrehozott rajongói oldalt létrehozó szervezetet a Facebookkal közös adatkezelőnek kell tekinteni. Döntésében azzal érvelt, hogy a Facebook által felkínált platform létrehozásával és használatával a szervezet lényegében a Facebookkal közösen döntött az adatkezelés eszközéről és céljáról, vagyis arról, hogy a Facebook a rajongói oldal látogatóinak végfelhasználói beren-
- 76/77 -
dezésére cookie-kat helyezhessen, hiszen a rajongói oldal adminisztrátora meghatározhatja azokat a paramétereket, amelyek alapján a látogatókat reklámokkal célozták meg, amely ezzel befolyásolta a személyes adatok analitikai célú kezelését a Facebook részéről.[26]
A Tietosuojavaltuutettu v Jehovan todistajat (C-25/17) esetben a Jehova Tanúi gyülekezetének tagjai a meglátogatott családokról személyes adatokat gyűjtöttek, melyeket az érintettek tudomása nélkül rögzítettek. Ez esetben a Bíróság szintén közös adatkezelői minőséget állapított meg a vallási gyülekezet és a látogatók között, és kimondta, hogy abban az esetben is megállapítható a közös adatkezelői minőség, ha a gyülekezet nem jut az adatok birtokába, illetve a látogató maga dönthet az adat felvételéről. Önmagában a vallási gyülekezet azon tevékenysége, hogy meghatározza a látogatandó területeket, ösztönzi és koordinálja a látogatókat, útmutatást ad nekik a gyűjtendő adatokról és meghatározza a látogatások célját és eszközeit, közös adatkezelő minősíti a vallási gyülekezetet azok látogatóival együtt.[27]
Egy harmadik ügyben az adatkezelés eszközeinek közös meghatározását illetően a Bíróság szerint elegendő volt az, hogy egy szervezet (Fashion ID) lehetővé tette a Facebook számára, hogy személyes adatokat gyűjtsön az érintettektől azáltal, hogy a Facebook "Tetszik" gombot elhelyezte a weboldalán. Az ítélet szerint a közösségi modul weboldalon való elhelyezése úgy értelmezhető, hogy a szervezet befolyásolja a Facebook javára történő adatok gyűjtését és továbbítását, amire az említett modul elhelyezése nélkül nem kerülne sor.[28]
Ahogyan a Bíróság döntéseiből kiderül, az adatkezelő fogalmát tágan kell értelmezni, a közös adatkezelési minőség olyan helyzetekben is megállapítható, amelyekben az egyik vagy másik fél csak nagyon kis mértékben vesz részt az adatkezelés céljának vagy eszközeinek meghatározásában. Nem elhanyagolható következtetés továbbá az sem, hogy az adatokhoz való hozzáférés mindkét fél részéről nem feltétele a közös adatkezelési viszony fennállásának. Együttes adatkezelésre tehát akkor kerül sor, ha konkrét adatkezelési műveletek vonatkozásában különböző felek közösen határozzák meg az adatkezelés módjának azon alapvető elemeit, amelyek meghatározása az adatkezelőre jellemző.[29]
Mint azt fentebb kifejtettük, a munkaerő-kölcsönzés egy speciális, háromoldalú jogviszony, amelyben a kölcsönbeadó és kölcsönvevő, az Mt. XVI. fejezete alapján, közösen gyakorolják a munkáltatói jogokat. Ennek következtében a kölcsönbeadó a munkavállalótól a munkavégzés céljával begyűjtött adatok nagy részét megosztja a kölcsönvevő partnerével, hogy a munkaviszonnyal, valamint a kölcsönvevővel kötött munkaerő-kölcsönzésre vonatkozó megállapodással kapcsolatos jogait gyakorolni,
- 77/78 -
kötelezettségeit teljesíteni tudja.[30] Ez esetben tehát a kölcsönbeadó szervezet a munkavállalók személyes adatait nem önmagában a foglalkoztatás céljából kezeli, mint ahogy az egy általános foglalkoztatási jogviszony esetén történik, hanem a kölcsönvevő partnerrel kötött szerződésből fakadó jogok és kötelezettségek teljesítése végett. Mivel a munkaszerződés megkötése a munkaerő-kölcsönzés céljából történik, így az ezzel járó adatkezelések céljait és eszközeit lényegében a kölcsönbeadó a kölcsönvevővel közösen határozza meg. Az európai adatvédelmi testület iránymutatását és a fent említett joggyakorlatot figyelembe véve, ez esetben a közös adatkezelés fennállását nem befolyásolja az a tény, hogy egyes adatok csak az egyik félnél keletkeznek, amelyekhez a másik fél nem fér hozzá, vagy hogy azokhoz különböző jogalapok kapcsolódnak. E nézőpontot a német adatvédelmi hatóság is megerősíti, melynek állásfoglalása szerint a közös célok és a lényeges eszközökről való döntés akkor áll fenn, ha ez meghatározó és tényleges. Ha egy cél elérése a másik (közös) adatkezelő nélkül nem lehetséges, a közös adatkezelés fennáll. Nem szükséges azonban, hogy a felek mindegyike azonos mértékben működjön közre - meghatározó módon - az adatkezelésben, és nem kell mindegyik fél tevékenységének átfognia az adatkezelés minden lépését.[31]
Mindezek ellenére fontos megjegyezni, hogy a fentiek alól kivételt képeznek az olyan, egyik vagy másik szervezet által végzett adatkezelések, amelyek magához a foglalkoztatáshoz, illetve a kölcsönbeadó és kölcsönvevő közötti megállapodás teljesítéséhez nem kapcsolódnak. Ilyen lehet például az az eset, amikor a kölcsönvevő marketingkampány céljából a foglalkoztatott személyekről fotót, videót vagy interjút készít, vagy ugyanígy például nem tartozik a kölcsönbeadóra, hogy a munkavállaló milyen helyezést ért el a kölcsönvevő által szervezett sporteseményen. Egyértelmű, hogy ezen személyes adatok gyűjtésének, illetve kezelésének célját és eszközeit a kölcsönvevő önállóan dönti el, a közös adatkezelői viszony ezen adatok tekintetében nem áll fenn. Hasonló helyzet a kölcsönbeadó szervezetnél is fennállhat, például amikor a kölcsönbeadó elégedettségi kérdőív kitöltését kéri a munkavállalóktól üzletfejlesztés céljából.
Amennyiben ezen adatok valamilyen oknál fogva mégis megosztásra kerülnek, úgy véleményünk szerint különálló adatkezelők közötti adattovábbítás történik, és a szervezetek mindegyike önállóan felel az adatkezelés jogszerűségének biztosításáért.[32] A GDPR szabályait figyelembe véve ugyanis két önálló adatkezelő közti adatközlés adattovábbításnak, ezáltal adatkezelésnek minősül. Ebből következik, hogy ez esetben az adattovábbításnak is céllal és jogalappal kell rendelkeznie.
- 78/79 -
Megjegyzendő, hogy bár szerződéskötési kötelezettség ez esetben nem terheli az önálló adatkezelőket, ha köztük önálló adatkezelőkként adattovábbítás történik, ajánlott az adattovábbítás miértjét és módját írásba foglalni, így az adatkezelő bizonyítani tudja, hogy a továbbított személyes adatok védelme érdekében kellő intézkedéseket tett.[33]
Az önálló vagy közös adatkezelői viszony meghatározásának számos következménye van, a belső adminisztrációs teendőktől az érintettek jogainak biztosításán, az adatvédelmi incidensekkel kapcsolatos belső feladatmegosztáson át a közös adatkezelői megállapodás megkötéséig.
Figyelembe véve a GDPR 5. cikk (2) bekezdését, az adatkezelő felelős a személyes adatok kezelésére vonatkozó alapelveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására is. Ezen alapelvek a következők: az adatkezelést jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (jogszerűség, tisztességes eljárás és átláthatóság); az adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet (célhoz kötöttség); az adatoknak a céljaik szempontjából megfelelőnek és relevánsnak kell lennie, és a szükségesre kell korlátozódnia (adattakarékosság); pontosnak és szükség esetén naprakésznek kell lenniük (pontosság); a tárolásnak olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatkezelés céljainak eléréséhez szükséges ideig teszi lehetővé (korlátozott tárolhatóság); az adatkezelést oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve (integritás és bizalmas jelleg).[34]
A GDPR 26. cikk (1) bekezdése alapján "[a] közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti kötelezettségek teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 13. és a 14. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását".
Közös adatkezelés esetén, függetlenül attól, hogy az adatkezelők milyen mértékben járulnak hozzá az adatkezelés céljainak és eszközeinek meghatározásához, a GDPR szerinti kötelezettségek teljesítésével összefüggő felelősségük megoszlását minden eseten a közöttük létrejött megállapodásban, átlátható módon szükséges meghatározni.[35]
Mint láthatjuk, ez esetben a keretek rugalmasabbak, mint az adatkezelő és az adatfeldolgozó vagy több önálló adatkezelő viszonyában. Így lehetőség van az adat-
- 79/80 -
védelmi megfelelést célzó feladatok megosztására, hiszen a felelősség nem automatikusan egyenlő, hanem azokat a valós folyamathoz kell igazítani.[36]
Munkaerő-kölcsönzés esetén tehát a közös adatkezelés nem jelent azonos mértékű felelősséget. Azt, hogy a felek az adatkezelés egyes mozzanatainál mennyiben felelősek, a közös adatkezelői megállapodásnak kell átfognia. Ezen megállapodás tartalmi követelményeiről a GDPR csak általánosan rendelkezik, és leginkább az adatkezelő kötelezettségeinek teljesítésére vonatkozó felelősségre helyezi a hangsúlyt.[37]
Ezzel szemben az Európai Adatvédelmi Testület iránymutatása javasolja a megállapodásban meghatározni az alapelvi megfelelés mikéntjét (minden cél és eszköz kapcsán), a jogalap megjelölését, az adatbiztonsági intézkedéseket, az incidenskezelést és a hatásvizsgálat lefolytatását, az adatfeldolgozók igénybevételét, a harmadik országbeli adattovábbítást, az érintettekkel és a hatóságokkal való kapcsolattartást, valamint az adatkezelés tárgyát, jellegét, célját, az érintettek körét, és az adatok kategóriáit is.[38]
A kölcsönbeadó és kölcsönvevő közötti megállapodásban tehát szükséges bemutatni az adatkezelés teljes folyamatát, és kijelölni minden lépésnél az azért felelős szervezetet. Fontos továbbá a közös cél pontos és részletes meghatározása (a munkavállaló foglalkoztatása), amelynek érdekében sor kerül a munkavállalók személyes adatainak kezelésére.
Mint az a fenti elemzésből is láthattuk, a közös adatkezelés és az önálló adatkezelők viszonya sokszor nehezen határolható el egymástól, sőt vannak olyan esetek, amelyekben e kétféle kapcsolat elemei keverednek egymással. Éppen ezért munkaerő-kölcsönzés esetén, mivel a munkavállalókra vonatkozó adatkezelések nem tisztán közös adatkezelésnek minősülnek, mindenképpen érdemes tisztázni, hogy hol kezdődik a közös adatkezelés, és melyik ponttól minősülnek önálló adatkezelőnek a felek.
Munkaerő-kölcsönzés esetén kiemelten fontos, hogy az érintettek tisztában legyenek azzal, hogy adatvédelmi jogaikat pontosan ki és milyen körülmények között garantálja. Az adatkezelői kötelezettségeket az érintetti jogok biztosításával kapcsolatban a GDPR 12. cikke szabályozza. Az érintett tájékoztatáshoz, hozzáféréshez, helyesbítéshez, törléshez, zároláshoz és az adatkezelés elleni tiltakozáshoz való jogára vonatkozó előírásokat a GDPR úgy fogalmazta meg, hogy azok az adatkezelőre nézve keletkeztetnek kötelezettségeket.[39]
- 80/81 -
Ennek következtében közös adatkezelés esetén a munkavállalók adatvédelmi jogaival kapcsolatos kötelezettségek a kölcsönbeadót és a kölcsönvevőt is terhelik. Ugyanakkor a 26. cikk (2) bekezdése kimondja, hogy közös adatkezelés esetén lehetőség van a felek közötti megállapodásban rögzíteni a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat.
Amint tehát a megfelelési kötelezettség területén, a jogalkotó itt is a felek megegyezésére bízza, hogy a munkavállalók adatvédelmi jogaihoz kapcsolódó konkrét tevékenységeket melyik félnek szükséges ellátnia. Ennek ellenére a felek között létrejött megállapodás csak a kettejük közötti elszámoltathatóság érdekében lényeges, ugyanis a 26. cikk (3) bekezdése egyértelműen kimondja, hogy az érintett az említett megállapodás feltételeitől függetlenül, mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja a GDPR szerinti jogait.
Éppen ezért az érintettek számára hozzáférhetővé kell tenni a megállapodás tartalmát, hogy a munkavállalók tudják, melyik adatkezelő miért felelős. Az érintett számára teljesen egyértelműnek kell lennie, hogy jogainak gyakorlása tekintetében melyik adatkezelő szolgál kapcsolattartási pontként. Ezt követően a kérelmek tényleges teljesítése a másik tisztázandó kérdés, vagyis hogy az adatkezelés jogalapja alapján gyakorolható jogok tekintetében milyen technikai folyamatot melyik fél hajt végre, és hogy annak mekkora mozgástere van, mit tehet meg a másik bevonása nélkül.
Ami az adatvédelmi jogok megsértéséből keletkezett károkat illeti, az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet a GDPR-t sértő adatkezelés okozott.[40]
Ezzel párhuzamosan az Mt. 221. § (4) bekezdésének szabályai szerint is felelnek: "A munkavállalónak a kikölcsönzés során okozott kárért vagy személyiségi jogai megsértéséért a kölcsönvevő és a kölcsönbeadó egyetemlegesen felel."
A munkavállalónak a kikölcsönzés során tehát a személyiségi jogai megsértésével okozott kárért a kölcsönvevő és a kölcsönbeadó egyetemlegesen felel, azaz a károsult bármelyikükkel szemben megindíthatja a kártérítési eljárást. Ennek alapján célszerű szintén a kölcsönbeadó és a kölcsönvevő közötti megállapodásban rendezni, hogy ez a költség végső soron melyik félre hárul.
Munkaerő-kölcsönzés esetén a kölcsönvevők és a kölcsönbeadók sokszor hibásan vagy átgondolatlanul kötnek az adatkezeléssel kapcsolatosan megállapodást. A felek adatvédelmi viszonyának helyes meghatározása már az adatkezelés megkezdése előtt kiemelten fontos a felelősség- és feladatmegosztás szempontjából is.
Így a munkaerő-kölcsönzés során felmerülő adatvédelmi kérdések tisztázásához elengedhetetlen az adatkezelésbe bevont szereplők szerepének definiálása, ami a GDPR-ból fakadó kötelezettségek - így különösen előzetes tájékoztatás, érintetti joggyakorlás biztosítása, felelősségvállalás - teljesítésének előfeltétele. Adatkezelő
- 81/82 -
személy pontos meghatározásának legfontosabb célja, hogy egyértelműen megállapítható legyen, ki az, aki az adatkezelésre vonatkozó kötelezettségek betartásáért felelős.
Álláspontunk szerint a kölcsönvevő és kölcsönbeadó között a foglalkoztatáshoz fűződő adatkezelések tekintetében közös adatkezelői viszony áll fenn. A foglalkoztatáshoz nem kapcsolódó egyéb adatkezelések tekintetében pedig önálló adatkezelői minőségben járnak el. Továbbá kijelenthető, hogy ezen atipikus munkaviszony esetében, a munkavállalói adatokat tekintve, a kölcsönbeadó és kölcsönvevő között nincs adatkezelő-adatfeldolgozó viszony. Ez utóbbi esetben ugyanis, az adatfeldolgozó kizárólag az adatkezelő utasítása alapján járna el, nem rendelkezne önálló döntési jogkörrel az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait illetően.
Láthatjuk tehát, hogy az általános munkaviszonytól eltérő módon, munkaerőkölcsönzés esetén a munkavállalók személyes adatainak kezelése során eltérő szabályokat kell figyelembe venni. Közös adatkezelés esetén ugyanis a jogalkotó a felek megegyezésére bízza a kölcsönbeadó és kölcsönvevő közötti felelősség megosztását. Ennek következtében egyértelművé válik, hogy munkaerő-kölcsönzés esetén esetről esetre szükséges megvizsgálni az adatvédelmi megfeleléshez kapcsolódó kötelezettségért felelős szervezetet, amit lényegében a felek között megkötött megállapodás hivatott tisztázni. ■
JEGYZETEK
[1] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet), HL L 119/1, 2016.5.4.
[2] A 2012. évi I. törvény a munka törvénykönyvéről (a továbbiakban Mt.), 217. §
[4] Az Európai Parlament és a Tanács 2008/104/EK irányelve a munkaerő-kölcsönzés keretében történő munkavégzésről (a továbbiakban: kölcsönzési irányelv), 3. cikk 1. bekezdés b) pont.
[5] Kölcsönzési irányelv 3. cikk 1 bekezdés c) pont.
[6] Kölcsönzési irányelv 3. cikk 1 bekezdés d) pont.
[7] Kártyás Gábor: A munkaerő-kölcsönzés hazai szabályozása az Európai Unió irányelveinek tükrében. Pro Futuro, 2019/1, 55-56.
[8] A szakirodalomban a további négy kifejezés is előfordul: a temporary work, az agency work, az agency temping és a temporary dispatch work.
[9] Bankó Zoltán: Az atipikus munkajogviszonyok. A munkajogviszony általánostól eltérő formái az Európai Unióban és Magyarországon. Doktori értekezés, Pécsi Tudományegyetem Jogtudományi Doktori Iskola, Pécs, 2008, 154.
[10] Bankó: i. m., 157.
[11] Horváth István: Munkajogi triangulum I., Gondolatok a munkaerő-kölcsönzésről szóló 2008/14/EK irányelv magyar harmonizációjához. Pécsi Munkajogi Közlemények, 2010/I, 13.
[12] Kölcsönzési irányelv 1. cikk (1) és (2) bekezdés.
[13] Kölcsönzési irányelv 1. cikk (1) és (2) bekezdés.
[14] Kölcsönzési irányelv 3. cikk.
[15] Mt. 217. § (1) bekezdés 5. pont.
[16] GDPR 44. cikk 7. pont.
[17] GDPR 4. cikk 8. pont.
[18] Guidelines 07/2020 on the concepts of controller and processor in the GDPR. European Data Protection Board, 2020. https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-072020-concepts-controller-and_ro (2021. 05. 15.).
[19] GDPR 28. cikk (3) bekezdés.
[20] Simon Balázs: A GDPR alkalmazása a kölcsönvevő és a kölcsönbeadó relációjában. Blogbejegyzés, Munkajog Portál, 2019. 06. 27. https://munkajogportal.hu/a-gdpr-alkalmazasa-a-kolcsonvevo-es-a-kolcsonbeado-relaciojaban/ (2021. 05. 12.).
[21] Mt. 217. § (5) bekezdés.
[22] Mt. 218. § (4) bekezdés.
[23] Jóri András-Soós Andrea Klára-Bártfai Zsolt-Hári Anita: A GDPR magyarázata. HVG-ORAC, Budapest, 2018, 95.
[24] GDPR 26. cikk.
[25] Guidelines 07/2020 on the concepts of controller and processor in the GDPR, i. m., 18.
[26] C-210/16 sz., Wirtschaftsakademie Schleswig-Holstein kontra Facebook Ireland Ltd ügyben 2018. június 5-én 8 hozott ítélet (ECLI:EU:C:2018:388).
[27] C-25/17 sz., Tietosuojavaltuutettu kontra Jehovan todistajat ügyben 2018. július 10-én hozott ítélet (ECLI:EU:C:2018:551)
[28] C-40/17. sz., Fashion ID kontra Facebook Ireland ügyben 2019. július 29-én hozott ítélet (ECLI:EU:C:2019:629).
[29] Kuner, Christopher-Bygrave, Lee A.-Dooksey, Christopher: The EU General Data Protection Regulation (GDPR). A commentary. Oxford University Press, United Kingdom, 2020, 586. (https://doi.org/10.1093/oso/9780198826491.001.0001).
[30] A munkaerő-kölcsönzők adatkezelői státusza. Az ARB Consulting Kft. szakvéleménye, 2020. https://arbconsult.ing.hu/2020/03/14/a-munkaero-kolcsonzok-adatkezeloi-statusza/ (2021. 05. 13.).
[31] Kurzpapier Nr. 16: Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DSGVO. Stand: 19.03.2018. https://www.lda.bayern.de/media/dsk_kpnr_16_gemeinsam_verantwortliche.pdf (2021. 11. 05.).
[32] Osiej, Tomasz-Czarncki Michał: Summary of the Conference "Employment of temporary agency workers and GDPR". Blogbejegyzés, gdpr.pl, 2021. https://gdpr.pl/summary-of-the-conference-employment-of-temporary-agency-workers-and-gdpr (2021. 05. 11.).
[33] Czapári Dóra: Adatkezelés során felmerülő jogviszonyok elhatárolása. Közigazgatási és Infokommunikációs Jogi PhD Tanulmányok, 2020/I, 75. (https://doi.org/10.47272/KIKPhD.2020.1.5).
[34] GDPR 5. cikk (1) bekezdés.
[35] GDPR 26. cikk (1) bekezdés.
[36] Például, hogy a hatásvizsgálat elvégzésében melyik fél milyen és mekkora szerepet tud vállalni, a felek közösen dönthetik el.
[37] GDPR 26. cikk (1) bekezdés.
[38] Guidelines 07/2020 on the concepts of controller and processor in the GDPR, i. m., 18.
Lábjegyzetek:
[1] A szerző minősített adatvédelmi tisztviselő, nemzetközi és európai uniós üzleti szakjogász; PhD-hallgató, Eötvös Loránd Tudományegyetem Állam- és Jogtudományi Doktori Iskola, Budapest, e-mail: anita.a.boros@gmail.com.
[2] A szerző minősített adatvédelmi szakember (CIPP/E) és információbiztonsági auditor, a Babeş-Bolyai Tudományegyetem Jogtudományi Karának mesterszakos hallgatója, Kolozsvár, e-mail: barnabas.szekely@protonmail.com.
Visszaugrás
