Dr. Kollár Gergő[1]: Az adatkezelési jogalapok rendszere a munka világában (JURA, 2023/3., 18-44. o.)

I. Bevezetés

Az önállótlan munka világának évszázados múltra visszatekintő hagyományai alapvetően determinálják az adatkezelések jellegét, ezáltal szem előtt kell tartani azt a számos rendkívül fontos társadalmi és technológiai változást, amely hatást gyakorol a munkavégzés formájára, időbeosztására és helyére. Régóta jelenlévő folyamat a munkavégzés gépesítése,[1] valamint ennek következtében a szigorúan vett fizikai munkák (fizikai jelenlétet igénylő munkák) számának csökkenése, amely a szolgáltatói szektor bővítésével és új "szellemi" ágazatok létrehozásával a munkaerőpiac átszervezését idézi elő, melynek számos következménye ismert már ma is. Említhető például a munkavégzés formája kapcsán az informatikai eszközök nagymértékű használata, valamint a munkavégzés keretéül szolgáló szervezet átalakulása. Kétségtelen, hogy az erőforrások mobilitásából és könnyű elérhetőségéből adódóan csökken a szükség a centralizált, hierarchián alapuló munkakörnyezet fenntartására, hiszen ugyanaz a munka könnyebben, költséghatékonyabban elvégezhető sokpólusú, sejt-szerűen felépülő, rugalmasan működő, tagolt szervezetrendszerben. Ezzel párhuzamosan kerülhetnek előtérbe az atipikus foglalkoztatási formák különböző megnyilvánulásai, lehetővé téve a munkáltató és a munkavállaló egymáshoz viszonyított földrajzi helyzetének irrelevánssá válását vagy az előre meg nem határozott munkaidőben történő munkát (zero-hours contract).[2]

A technológiai fejlődés, az informatikai eszközök használatának általánossá válása a munka világán belül az adatkezelésekre is jelentős hatást gyakorolt, hiszen lehetővé teszi a személyes adatok minden eddiginél nagyobb mértékű gyűjtését és felhasználását. Ez a folyamat az eddiginél szigorúbb szabályozási kereteket igényelt, mely az Általános Adatvédelmi Rendelet (2016/679/EU rendelet, továbbiakban GDPR, vagy Rendelet) megalkotásához vezetett. A GDPR 2016-os hatályba lépése - pontosabban 2018-as alkalmazandóvá válása - óta a jogalapok kibővült rendszere számos változást idézett elő a személyes adatok kezelésének jogszerűségi feltételeiről kialakított gondolkodásmódban. A korábbi nagyrészt két jogalappal működő (dichotóm) rendszerhez képest jelenleg[3] hat jogalap közül kell választania az adatkezelőnek, ami minden előnye mellett, időről időre zavart okoz az adatkezelés résztvevőiben. Az előbbi állítás kiváltképp igaz a munkaviszonyokra, figyelembe véve az adatok és az érintettek számát, az

- 18/19 -

adatfajták sokféleségét, illetve az érintetti kör (munkavállalók) immanens kiszolgáltatottságát.[4]

A tanulmány célja a lehetséges jogalapok vizsgálata a munkavállalói adatok teljes életciklusa során - a munkaerő-felvételtől, a jogviszony teljesítésén át egészen annak megszűnéséig terjedően - annak érdekében, hogy az egyes adatkezelési folyamatokra a megfelelően alkalmazható jogalapok kerüljenek kiválasztásra. A tanulmány lezárásaként a saját belátásom szerint helyesnek ítélt jogalapokat egy táblázatban összegzem.

II. Az adatkezelési jogalapok vizsgálata a munkavállalói adatok életciklusa tükrében

Adatkezelési jogalap alatt azt az erkölcsileg és törvényileg helytálló hivatkozást, jogcímet értjük, amely szükséges valamely jog érvényesítéséhez. Másként megfogalmazva, a jogalap egy olyan lehetőség vagy kötelezettség, amely lehetővé vagy kötelezővé teszi az adatok kezelését.[5] Nem véletlen, hogy a GDPR 6. cikkének címe - amely a lehetséges jogalapokat rögzíti - "Az adatkezelés jogszerűsége", hiszen valamely jogalap hiányában az adatkezelés jogszerű egyáltalán nem lehet.[6] A lehetséges jogalapokat az említett cikk (1) bekezdése rendezi, a)-f) pontokba szedve. Ennek megfelelően az alábbi hat jogalapot alkalmazhatja az adatkezelő:

a) pont, vagyis az érintett hozzájárulását az adatkezeléshez,

b) pont, vagyis az olyan adatkezelést, amely szerződés teljesítéséhez szükséges,

c) pont, vagyis az olyan adatkezelést, amely az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges,

d) pont, vagyis az olyan adatkezelést, amely az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges,

e) pont, amely a közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelést jelenti,

f) pont, amely az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges adatkezelést takarja.

Fontos azonban kiemelni, hogy bár szabadon használható bármelyik a hat jogalap közül, egy adatkezelésnek egyszerre csak egy érvényes jogalapja lehet.[7] A jogalapok tárgyalása előtt leszögezendő az is, hogy a jogszerűséghez az érvényes jogalap mellett egy pontosan és részletesen meghatározott adatkezelési célra is szükség van.[8]

Alapvetően a munkaviszonyok minden szakaszában megjelennek az adatkezelési műveletek.[9] A következőkben szándékom szerint a munkavállalói adatok teljes életciklusát végig követem, egy hipotetikus dolgozó leendő - minden tekintetben átlagos, magánszférában működő - munkáltatója által kiírt pályázatra történő jelentkezésétől, a felvételi eljáráson

- 19/20 -

való részvételen és munkavégzésének megkezdésén, valamint folytatásán keresztül, egészen a jogviszony megszűnéséig. Annak érdekében, hogy a lehető legtöbb aspektusból képes legyek megvilágítani az adatkezelési jogalapok megválasztásának jelentőségét a számtalan adatkezelési folyamat során, tartózkodni fogok az ágazatspecifikus, illetve az egyes rendelkezések részletszabályainak ismertetésétől. Az áttekinthetőbb struktúra érdekében a témát szegmentáltan igyekszem tárgyalni, így az egyes alpontokat további témakörökre bontom, azokban pedig törekszem ismertetni a gyakorlat adatkezelési jellegzetességeit, a főbb problematikáit, valamint a szakirodalom, a joggyakorlat, illetve saját belátásom szerint megfelelőnek ítélt jogalapot és alkalmazásának következményeit. Zárásképpen megjegyezném, hogy minden esetben vélelmezem a jogszerű működés igényét, mind a munkáltatótól, mind a munkavállalótól.

Fontos tisztázni a várható adatkezelési folyamatok alapvető törvényszerűségeit is. Erre alapvetően könnyebb megértés miatt van szükség, ugyanis ez a kategorizálás hivatott a relatíve elvont adatkezelési terminológiát és helyzetértékelést a valós munkaügyi folyamatokba becsatornázni. Munkáltató és munkavállaló relációjában - ahogy egyébként sok más esetben is - az adatok kezelése alapvetően ügyviteli, nyilvántartási[10], ellenőrzési vagy egyéb célból történhet. Egyik kategória sem alkalmas konkrét adatkezelés céljául szolgálni meghatározatlansága miatt, azonban jól elkülöníthetővé teszik az egyes területeket.

Az ügyviteli típusú adatkezelés egy jogviszony (szerződés, megállapodás, jogszabály vagy hatósági döntés) létrejöttéhez, feldolgozásához és lezárásához kapcsolódik, így a meghatározott feladatok ellátásához, a résztvevők azonosításához és az elszámoláshoz szükséges adatokra kell, hogy korlátozódjon. Ennek megfelelően az ilyen adatkezelések esetén személyes adatok, csak a jogviszonyhoz kapcsolódó iratokban, kommunikációban, illetve segédletekben szerepelhetnek. A nyilvántartási célú adatkezelés során az egyes adatfajtákból létrejövő adatállományok teszik lehetővé az adatok visszakereshetőségét és azonosíthatóságát.[11]

Az ellenőrzések lebonyolításához mindenekelőtt szükséges egy védendő és jogszerű érdek fennállása. Ellenőrzések irányulhatnak közvetlenül az adatalany tevékenységére, de elképzelhető, hogy az ellenőrzés tárgya eltérő, az adatalany annak csak eshetőleges résztvevője. Az egyéb kategóriába tartozó adatkezelések sokfélék lehetnek, közös tulajdonságuk, hogy nem tipikus elemei minden munkaviszonynak, de előfordulásuk mindazonáltal jellemzőnek mondható.

1. Munkajogviszony létesítése

A szerződés megkötéséig vezető utat az egyszerűség kedvéért 5 jól elhatárolható lépésre osztottam, amelyeken a munkáltatók többsége valamilyen formában végighalad. Megnevezésétől függetlenül - rekrutáció, toborzás, pályáztatás - a folyamat lényege a munkaerő-felvétel. Az eljárás szem-

- 20/21 -

pontjából meghatározó körülmény a szerződési szabadság, hiszen a szerződő fél döntésén múlik akar-e és, ha igen kivel és milyen tartalommal akar szerződést kötni.[12] Ennek a szabadságnak a következtében körültekintően kell eljárnia a munkáltatónak a jogellenes adatkezelés elkerülése érdekében, ugyanis ez nem azt jelenti, hogy bármilyen adatot gyűjthet leendő munkavállalójától. A szerződési szabadsága mellett árnyalja a viszonyokat a jóhiszeműség és a tisztességesség követelménye, amely mindkét fél részére teremt jogosultságokat és kötelezettségeket is.[13]

Elöljáróban szeretném megjegyezni, a munkajogviszony létesítése szempontjából nem minden esetben határolhatóak el egyértelműen a fentebb ismertetett általános adatkezelési célok, főként az egyes folyamatok bizonytalansága miatt. Mindenesetre álláspontom szerint az 1-3 lépések ügyviteli és nyilvántartási célúak, a 4. lépés vegyesen nyilvántartási és ellenőrzési (a munkáltató gyakorlata szerint) az 5. pedig kizárólag ellenőrzési célú.

1.1. Első lépés: az álláshirdetés feladása/pályázat kiírása

Az állásra jelentkezés tipikus esete, mikor egy online vagy hagyományos felületen megjelenő hirdetésre adja be a jelentkező - személyes adatait tartalmazó - pályázati anyagát. A jelentkezés atipikus eseteként említhetők az un. kéretlen pályázatok is. Ezekben az esetekben hirdetés feladás nélkül érkeznek a jelentkezőktől személyes adatok, ekkor nem is beszélhetünk álláshirdetésről, így az ilyen esetekre a 2. lépésben leírtak irányadóak.

A munkáltatónak az álláshirdetés megfogalmazásával és elvárásaival kapcsolatban elsősorban az egyéb alapvető jogok tiszteletben tartása kell, hogy megvalósuljon, így elkerülhetők egyes adatvédelmi problémák is. Különösen fontos az egyenlő bánásmód követelményének betartása, hiszen a jogszerűség alapelve nem csak az adatvédelmi előírások betartását várja el. Az egyenlő bánásmódról és az esélyegyenlőség előmozdításáról szóló 2003. évi CXXV. törvény (Ebktv.) rendelkezéseinek megsértésével is előidézhető jogellenes adatkezelés.[14] Ennek jelen esetben különös jelentősége lehet, ha a pályázatban olyan feltételek kerülnek megjelölésre, amelyek a munkavégzéssel egyáltalán nem, vagy alig vannak összefüggésben,[15] illetve inkább a jelentkező személyes jellemzői közé tartoznak.[16] Az álláshirdetések megírásakor mindvégig fontos szempont kell maradjon az adattakarékosság elvének való megfelelés.[17] Szintén lényeges, hogy a jelentkezők pályázati anyagának befogadásával elkezdődik az adatkezelés, ezért a tájékoztatást már a hirdetésben érdemes megtenni vagy legalábbis elérhetővé tenni[18] (kéretlen pályázatok esetén a válaszlevélben vagy személyesen). Ezen a ponton feltétlenül szükséges megemlíteni az anonim álláshirdetések problematikáját, amikor is a jelentkező egy ismeretlen munkáltatóhoz adja be a pályázatát. E tekintetben az egyébként is hiányos adatkezelői tájékoztatás kritikus hibája valósul meg,

- 21/22 -

hiszen az adatkezelő kiléte az adatkezelés megkezdése előtt ismert kell legyen az érintett számára.[19]

Jogalapok vonatkozásában kettő lehetőség áll nyitva a hirdető számára, egyfelől a GDPR 6. cikk (1) bekezdés a) pontja - az érintett hozzájárulása - valamint b) pontjának második fordulata, vagyis az érintett kezdeményezésére történő szerződéskötést megelőző lépések megtétele. A szakirodalom alapján a helyes jogalap ilyen esetekben a b) pont második fordulatában rögzített szerződés előkészítéséhez kapcsolódó jogalap,[20] azonban véleményem szerint a hozzájárulás alkalmazása sem jár hátrányosabb következményekkel a felekre nézve, hiszen a szerződéskötés meghiúsulásával ugyanúgy törölni kell az adatokat, mint a hozzájárulás visszavonásakor.

1.2. Második lépés: a pályázati anyag beérkezése

A pályázati anyag beérkezésével elkezdődik a tényleges adatkezelés. Ilyenkor az álláshirdetés alapján - vagy a jelentkező szorgalma szerint - legalább egy vázlatos önéletrajz bekerül az adatkezelőhöz, de előfordulhat, hogy egyebek mellett egy hosszú és a szakmai előmenetel, valamint a szó szerinti motiváció megjelölése mellett egyéb információt is tartalmazó motivációs levél is társul hozzá.

A hirdetésben meghatározott adatkör fontossága itt is előtérbe kerül, hiszen azzal elkerülhető lehet az érintett általi jóhiszemű, de felesleges adatközlés. Ezen a ponton figyelmet érdemelnek az adatbiztonságra vonatkozó előírások, hiszen jelentősége van annak, hogy milyen csatornán érkezett a pályázati anyag, milyen belső gyakorlat vonatkozik rá (iktatás, digitalizálás vagy épp nyomtatás), valamint az irányadó jogosultságkezelési előírásokat követik-e a dolgozók.

A jelentkezők elbírálása a legtöbb esetben már ezen a ponton elkezdődik, így akadnak olyanok, akik a pályázati anyaguk alapján biztosan nem kerülnek felvételre. Ezen érintettek kezelésére változatos megoldások vannak alkalmazásban, de a tapasztalatom az, hogy az elutasító levelet kiküldők inkább erkölcsi érzékük által vezérelve teszik ezt és nem azért, mert a tájékoztatási kötelezettségüknek eleget szeretnének tenni. Fontos tehát olyan gyakorlat kialakítása, amelybe beépítésre kerültek az előre meghatározott tájékoztatási és szükség esetén nyilatkozattételi pontok. Jelen esetben az elutasításra került jelentkezőket legalább tájékoztatni szükséges az elutasítás tényéről és az adataik törléséről.[21]

Jogalapok tekintetében továbbra is alkalmazhatónak mutatkozik a b) pont második fordulata a személyazonosító adatok, valamint az önéletrajzban és motivációs levélben szereplő releváns adatok vonatkozásában. Kérdéses, hogy a szükségtelen adatok esetén a jó megoldás egy új pályázat bekérése a megfelelő tartalommal - a régi egyidejű törlése mellett - vagy a pályázat megtartása és a szükségtelen adatok felismerhetetlenné tétele. Végeredményben az adatkezelő lehetőségein múlik, a lényeg mindössze az, hogy ilyen adatokhoz a szerződés előkészítése nem megfelelő jogalap.

- 22/23 -

1.3. Harmadik lépés: a kiválasztási eljárás

A harmadik lépés súlypontja a jelentkezők személyes meghallgatásán és a belső döntési folyamaton van, utóbbival kapcsolatban mindössze az adatokhoz való hozzáférés korlátozásának fontosságára érdemes felhívni a figyelmet.

A meghallgatással kapcsolatban az 1. lépésben említett egyenlő bánásmód követelményének való megfelelés szükségessége ismét felerősödik, ugyanis az állásinterjú lebonyolítása során számos olyan kérdés tehető fel, amire a megadott válasz jogellenes adatkezelést eredményez. Példálózó jelleggel, tilos a pályázótól adatot kérni a magánéletével, párkapcsolatával, családi életével, tervezett gyermekvállalásával, anyagi helyzetével, korábbi jövedelmével, tetoválásával vagy dohányzási szokásaival kapcsolatban.[22]

Alapjogvédelem tekintetében kiemelendő, hogy a személyes jelenlétből adódóan szintén védelemben kell részesíteni a pályázó emberi méltóságát. Nem jó gyakorlat a csoportos meghallgatás (jogosulatlanok számára megismerhetővé válnak adatok), illetve az interjúról hang és/vagy képfelvétel készítése.[23]

Az alkalmazható jogalap változatlanul a b) pont második fordulata, mivel jogszerű gyakorlat esetén nem kerül sor más minőségű adat kezelésére, mint amilyen a pályázati anyagban egyébként is szerepelt.

1.4. Negyedik lépés: alkalmassági vizsgálatok

Az Mt. 10. § (2) bekezdése szerint a munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet jogszabály ír elő - tehát kötelező - vagy amely a munkavégzés szempontjából különösen releváns képesség vagy készség meglétét képes igazolni.[24] Utóbbi esetben tehát a munkáltató mérlegelheti melyek lehetnek azok a vizsgálatok, amelyek a munka jellegéből adódóan ilyen jelentőséggel bírhatnak. E tekintetben természetesen továbbra is rendkívüli körültekintéssel kell eljárnia annak érdekében, hogy az adatkezelés célhoz kötött, valamint szükséges és arányos maradjon. Szintén fontos, hogy a vizsgálat nem lehet titkos, továbbá nem járhat a munkavállaló emberi méltóságának sérelmével, így különösen nem lehet megalázó vagy félelmet keltő.[25]

Számtalan speciális alkalmassági vizsgálat tipizálása meghaladja jelen tanulmány kereteit, így a három legjellemzőbbre szorítkozok, ezek az orvosi alkalmassági és a pszichológiai alkalmassági vizsgálat, valamint az erkölcsi bizonyítvány bekérésének gyakorlata.

Orvosi alkalmassági vizsgálat a kötelezően elvégzendők kategóriájába tartozik, ugyanis meglétét a munkavédelemről szóló törvény[26] írja elő, részletes szabályait végrehajtási rendelete (továbbiakban: NM rendelet) állapítja meg.[27] A jogszerűen elvégzett alkalmassági vizsgálat eredményébe a munkáltató betekintést nem szerezhet, ugyanis kötelességét a vizsgálatra utalással teljesítette, egyéb adat kezelésére felha-

- 23/24 -

talmazása nincs. A szabály alóli kivétel az NM rendelet 15. számú mellékletében található un. "megfelelt/nem felelt meg" adatlap, amelyet a szakellátó hely orvosa állít ki a vizsgálaton részt vett munkavállalóról. Ahogy megnevezése is mutatja csak a legszükségesebb információ szerezhető meg belőle.

Második kiemelt teszt a pszichológiai alkalmassági vizsgálat vagy személyiségteszt. Változatos formában fordulhat elő, azonban közös vonás mindegyikben, hogy az egyszerű orvosi értelemben vett alkalmassági vizsgálaton túlterjeszkedik, így a jogszabályi kötelezettség erre nem vonatkozhat. A tesztek két csoportra bonthatók, enyhébb formájuk egyszerű és egyértelmű, "megfelelt/nem felelt meg" választ eredményeznek, ennek megismerésére jogosult lehet a munkáltató, amennyiben maga a teszt jogszerűen került elvégzésre. Az összetett és részletes eredménnyel záródó tesztek a másik típusba tartoznak, ezek sorsával azonban kizárólag a vizsgált személy rendelkezhet. Megjegyzendő, hogy hasonló tesztek a jogviszony fennállása alatt is elvégzésre kerülhetnek, ezek azonban lényegesen magasabb kockázatot jelentenek, mivel a hozzájárulás jogalapja nem alkalmazható megfelelően munkavállalók esetén,[28] így csak a jogos érdek mérlegelése vagy a teszt tényleges és valós anonimizálása jöhet számításba.[29] Mivel a pszichológiai tesztek sajátosságaikból adódóan képesek lehetnek a vizsgálat eredeti céljával össze nem függő eredmények (megállapítások) rögzítésére is, ezért különösen fontos, hogy a vizsgálatot végző az ilyen adatokat törölje és az értékeléskor azokat semmilyen módon ne használja fel.[30]

A harmadik általánosan előforduló alkalmasságot alátámasztó vizsgálat az erkölcsi bizonyítvány bekérése. Az un. GDPR-salátatörvény[31] hatására okiratoknak kizárólag bemutatása várható a munkavállalótól. Az okirat bemutatásának követelésére csak előzetesen megjelölt okokból van lehetőség, amely okok egy különös kategóriáját alkotják az Mt. 44/A. §-ban leírtak, mint a gyermekek nevelésével, felügyeletével, gondozásával, gyógykezelésével foglalkozó munkáltató biztonsági igénye.[32]

A különböző alkalmassági vizsgálatokról általánosságban elmondható, hogy ha jogszabály nem teszi kötelezővé az adat kezelését, akkor az érintett hozzájárulása mellett vagy az adatkezelő jogos érdekének mérlegelése esetén lehetséges azt megtenni. Az orvosi alkalmassági vizsgálat vonatkozásában már említésre került, hogy az egészségügyi adatok kezelője csak az egészségügyi szolgáltató lehet, a munkáltató nem. A munkáltató által megismerhető alkalmassági véleményben szereplő adatok jogalapját munkavédelmi törvény adja, így az jogi kötelezettség teljesítése lesz. Pszichológiai teszt kitöltését rendkívüli körültekintés mellett, a munkáltató saját belátása szerint kérheti a jelentkezőktől. Egyszerűbb (egészségügyi adatot nem tartalmazó) teszt esetén elképzelhető lehet a jogos érdek jogalap használata, az összetett eredményre vezető tesztek személyhez kötött alkalmazása azonban inkább kerülendő, főként már felvett munkavállalók esetén. Erkölcsi bizonyítvány bemutatását csak alapos átgondolást

- 24/25 -

követően érdemes megkövetelni, tehát az ilyen esetekben érdekmérlegelési tesztet javasolt lefolytatni arról, hogy az adott munkakör betöltéséhez miért szükséges az erkölcsi bizonyítványban szereplő adatok kezelése (ez alól kivételt jelenthet az Mt. 44/A. §-ban szereplő esetkör vagy számos más szakma számára előírt hasonló követelmény, mint például a bíróra, ügyészre, közjegyzőre vonatkozó előírások). Az egyéb lehetséges vizsgálatokkal kapcsolatban le kell szögezni, hogy a megbízhatóság mérése céljából írástesztet, poligráfot, rejtett kamerás viselkedéselemzést vagy a bűnügyi nyilvántartó rendszerből történő adatkérést semmilyen munkáltatói érdek nem tud igazolni, így azok jogszerűen nem alkalmazhatók.[33]

1.5. Ötödik lépés: előzetes ellenőrzések

A szerződéskötést megelőző utolsó lépés lehet a jelentkező állításainak ellenőrzésére irányuló munkáltatói magatartás, amelynek két alaptípusát emelném ki. Az ajánlólevél ellenőrzését - vagy általánosságban a volt munkáltatónál történő információszerzést - és a közösségi média felületeinek ellenőrzését.

Amennyiben a munkavállaló referenciákkal érkezik akkor azok tartalma természetesen kezelhető, azonban könnyű elkövetni azt a hibát, hogy a dokumentumban szereplő információkkal kapcsolatban további felvilágosítást kér az új munkáltató a régitől. A beszélgetés során nem elképzelhetetlen, hogy más kérdések is felmerülhetnek, amelyeknek adott esetben semmi köze a munkavállaló munkavégzéséhez, növelve ezzel a jogsértés mértékét. Gyakran megtörténhet a fenti eset, amikor az azonos területen tevékenykedő munkáltatók között megy végbe a foglalkoztatóváltás, hiszen az ilyen cégek tulajdonosai és dolgozói sok esetben ismerik egymást, így gyakorlatilag egy informális hívás keretében (sokszor teljesen természetes, rutinszerű módon) kerül sor az információcserére.

A második eset, mikor a munkaügyes kolléga ösztönösen vizsgálja át a jelentkezők közösségi média oldalait. Először mindössze talán azért, hogy arcot tudjon társítani a pályázati anyaghoz, de ez könnyen vezethet olyan többlet információkhoz, amelyek egyrészt befolyásolni fogják a kiválasztási folyamatot, másrészt mindenfajta jogalapot nélkülöznek. Ilyen adatkezelés lehet különösen a jelentkező Facebook oldalára feltöltött képek, hozzászólások, bejegyzések kedvelt oldalak megismerése (szabadidős tevékenység, családi állapot, politikai, vallási nézetek, szexuális irányultság stb.) és azokból következtetések levonása. Megjegyzendő, hogy a NAIH 2016. évi állásfoglalásában a munkáltatói háttérvizsgálatokkal kapcsolatban egy megengedő álláspontra helyezkedett, így a jelentkezők közösségi média felületeinek vizsgálata nem minősül alapértelmezetten jogellenes magatartásnak. Álláspontom szerint azonban egy alacsony bírságkockázatú megoldás lehet a szakmai jellegű közösségi oldalaktra szorítani az ellenőrzéseket (pl.: LinkedIn).

A referenciák és a közösségi médiafelületek ellenőrzésével kapcsolatos

- 25/26 -

legnagyobb aggályt az adatkezelés formális jogszerűségi feltételeinek hiánya jelentheti,[34] így ezek megléte esetén azok akár jogszerűen folytathatók is lehetnek. A Munkacsoport álláspontja szerint egyébiránt a közösségi média felületeinek munkáltató általi áttekintése önálló adatkezelésnek minősül, így szükséges az érvényes jogalap megléte (ez lehet például a munkáltató jogos érdeke), továbbá vizsgálni célszerű olyan körülményeket is, mint a közösségi média felületein található információk szükségességét a kiválasztási folyamatban. Szintén fontos - mint minden adatkezelés vonatkozásában -hogy az érintett tájékoztatásának meg kell történnie.[35]

Összességében kijelenthető, hogy alacsony kockázat mellet akkor lehet tisztességes és jogszerű az eljárás, ha minden adat forrása az érintett, tehát a munkavállaló.[36] Így a fenti gyakorlatok általánosságban kerülendők, a referenciákkal kapcsolatban az új munkáltató legfeljebb azok hitelességét ellenőrizheti a volt munkáltatónál (vagyis, hogy ténylegesen tőle származnak-e).[37]

A folyamat zárásaként fontos még azt az esetet is áttekinteni, amikor a jelentkezők bekerülnek a kiválasztási folyamatba, de a döntés nem rájuk esik. Ilyenkor ugyanis sokszor fordul elő, hogy az adataik további tárolását tervezi az adatkezelő, például arra az esetre, ha a kiválasztott új munkavállaló mégsem váltja be a hozzá fűzött reményeket. Az ilyen adatok kezelésének jogalapja a b) pont második fordulata egyértelműen nem lehet, hiszen a szerződéskötés időpontja rendkívül távoli és e mellet még bizonytalan is, így a kézenfekvő megoldásként az érintett hozzájárulásának bekérése mutatkozik. Mivel egy esetleges törlési kérelem túlzottan nagy sérelmet nem okozhat az adatkezelő számára, az önkéntesség pedig igazolható, így alacsony kockázat mellett alkalmazható a hozzájárulás.[38] A nyilatkozatot természetesen be kell kérni - álláspontom szerint az elutasításról szóló tájékoztató levélben a legcélszerűbb - valamint annak végső pontját érdemes jól átgondolni. Nincs kizárva a visszavonásig történő tárolás, de a korlátozott tárolhatóság alapelve[39] értelmében véleményem szerint jobb gyakorlatnak mutatkozik egy ésszerű határidő kitűzése, amikor vagy a végleges törlést, vagy a hozzájárulás újbóli bekérését kell elvégezni. A legbiztonságosabb a kiválasztási eljárás során felvételt nyert személyre irányadó próbaidő idejére való tárolás lenne, de az adott munkakörre jellemző fluktuációt is figyelembevéve 1-2 évig még indokolható lehet az adattárolás.[40]

2. Munkajogviszony teljesítése

A munkajogviszony teljesítéséhez értelemszerűen előbb létre kell azt hozni a felek által. A jogviszony létrehozásának és teljesítésének határterületén található maga a szerződéskötés eseménye, amely egyúttal összeköti és el is választja a két állapotot egymástól. Tematika szempontjából vizsgálható lett volna ezáltal az előző pontban is, azonban én helyesebbnek tartom a munkajogviszony teljesítése kapcsán tárgyalni, mivel a teljesítés során kezelt személyes adatok jelentős része a szerződés megkötésekor kerül felvétel-

- 26/27 -

re, továbbá az érintett is ezen a ponton kerül új minőségben meghatározásra, hiszen jelentkezőből a szerződés aláírásával munkavállalóvá válik. A továbbiakban az eddigi metodológiát követve igyekszem a munkaviszonyok teljesítését is vizsgálni, az általános és különös adatkezelési célok szerint csoportosítva az egyes területeket.

2.1. Ügyviteli és nyilvántartási célú adatkezelések

Az ügyviteli és nyilvántartási célú adatok kezelését az esetek egy részében nehéz lenne különválasztani, mivel az alapszerződés hiányában a tisztán nyilvántartási célú adatkezelések sem történhetnek meg. Az általános cél mellett számos egyedi cél különíthető el, hiszen a munkaviszonyok adatkezeléseinek jelentős része ebben a fázisban valósul meg, így nem is törekszek teljes körű ismertetésükre.

2.1.1. A munkaszerződés és a kapcsolódó dokumentáció

Első állomásként természetesen a munkaszerződést és mellékleteit kell áttekinteni, hiszen ez lesz minden későbbi adatkezelés kiindulópontja. Bár a munkaszerződés csak "egy szerződés" hozzá számos más folyamat is társul, amelyek attól valamelyest elkülönülnek, de önállónak mégsem nevezhetők.

Az Mt. szerint a munkaszerződést írásba kell foglalni,[41] a benne szereplő minden munkavállalói információ személyes adat. Ez a kötelezettség a munkáltatót, vagyis az adatkezelőt terheli.[42]

Az Mt. 23. § (2) bekezdése és a 45. § szerinti tartalmi elemek felvétele, a szerződés alakszerűségére, valamint annak módosításaira vonatkozó szabályok kógensek, a vonatkozó jogszabály[43] szerint meglétük munkaügyi hatóság által ellenőrizhető. Külön említést érdemel az Mt. 45. § (1) bekezdésében említett munkaköri adat (munkaköri leírás), ami lehet a szerződés része, annak melléklete vagy akár más formátumú is (pl.: munkáltatói utasítás).[44] A szerződés és mellékleteinek adattartalmára nagy hatással van továbbá az adójogi szabályok[45] által előírt, adóhatóság felé történő munkáltatói bejelentési kötelezettség.[46] A bejelentéshez szükséges adattovábbítás jogalapja az adatkezelőre vonatkozó jogi kötelezettség lehet.

A szerződéskötéssel szoros kapcsolatban lehetnek egyéb megállapodások is, amelyek a munkaköri leíráshoz hasonlóan változatos formában létezhetnek, de eltérő céljuk miatt feltétlenül önálló adatkezelésnek minősülnek. Fontos, hogy ezek megkötése a felek szerződéses akaratán múlik elsősorban. A teljesség igénye nélkül ilyen megállapodások lehetnek a leltárfelelősségi megállapodás,[47] a munkavállalói biztosítékról szóló megállapodás,[48] a versenytilalmi megállapodás,[49] és a tanulmányi szerződés.[50] Közös vonásuk, hogy a szerződés megkötéséhez ügyviteli jelleggel kapcsolódnak, elsősorban az együttműködés kereteit jelölik ki, másodsorban szolgálják az adatok adminisztrációját.

Szerződéskötéskor kerül sor a korábban bemutatott végzettségi és képzettségi igazolásoknak nyilvántartásba vételére, amelyre jógyakorlat lehet, ha jegyzőkönyves hitelesítéssel kerül sor.

- 27/28 -

Az adatok származhatnak különböző szintű iskolai végzettséget és nyelvismeretet igazoló bizonyítványokból, oklevelekből, szakképzésekről kiállított igazolásokból, de ide sorolható a jogosítvány vagy PÁV[51] vizsga eredményének bemutatása is. Ezen adatok felhasználási céljai változatosak lehetnek, említést érdemel a munkaköri alkalmasság megállapítása, a garantált bérminimum megállapítása,[52] a munkáltató állásfelajánlási kötelezettsége,[53] valamint a kutatók után járó adókedvezmény érvényesítése,[54] vállalati vezetői engedély kiadása vagy különböző munkagépek kezelésének engedélyezése.[55]

A végzettségi és képzettségi adatok mellett szintén a munkáltatói adminisztrációba kerül az orvosi alkalmassági vélemény,[56] valamint indokolt esetben az erkölcsi bizonyítvány bemutatásáról készült feljegyzés vagy jegyzőkönyv. Az igazolások gyűjtésének meglátásom szerint a célja az adatok nyilvántartásba vétele, mivel az adatok nem hivatottak a szerződés teljesítésére befolyással lenni, sokkal inkább annak megkötésének és fenntartásának előfeltételei.

Az alkalmazható jogalapok tekintetében megállapítható, hogy mindegyik fenti - az orvosi alkalmassági vélemény és az erkölcsi bizonyítvány kivételével - adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés b) pontja, tehát a (mun-ka)szerződés teljesítése. Bár a kiemelt folyamatok jelentős része kifejezett jogszabályi felhatalmazással rendelkezik, ez nem azt jelenti, hogy a felek akarata ne érvényesülhetne az adatok kezelésével kapcsolatban. Az erkölcsi bizonyítványokra a már korábban kifejtett okokból a GDPR 6.cikk (1) bekezdés f) pontja szerinti jogos érdek jogalapja alkalmazandó, - amennyiben az érdekmérlegelési teszt ennek fennállását igazolja - az orvosi véleményre pedig a munkavédelmi törvény előírásai alapján az adatkezelőre vonatkozó jogi kötelezettség teljesítése.

Az adatok jelentős részének megőrzése a társadalombiztosítási nyugellátásról szóló 1997. évi LXXXI. törvény (Tny.) 2018-as módosítása óta egyértelműbbé vált, így a jogszabály 99/A. § szerint a foglalkoztató köteles a biztosítási jogviszonnyal kapcsolatosan felmerült munkaügyi és társadalombiztosítási iratokat a biztosítottjára, volt biztosítottjára irányadó öregségi nyugdíjkorhatár betöltését követő öt évig megőrizni. Az egyéb adatok tekintetében elsődlegesen az Mt. munkajogi igényekre irányadó általános elévülési ideje vonatkozik, amely 3 év.[57]

2.1.2. A munkáltató tájékoztatási kötelezettsége és a munkavállalói nyilatkozatok

A munkaszerződés megkötésekor és a jogviszony fennállása alatt a felek között a kommunikáció hivatalos és jog által szabályozott formája a tájékoztatás és a nyilatkozattétel, különös tekintettel a munkáltató hazai[58] és Uniós[59] jogszabályokon alapuló tájékoztatási kötelezettségére. Figyelembevéve, hogy a névre szóló munkáltatói tájékoztatásokat - egy szerződés tartalmához hasonlóan - az egyén körülményeit leíró, az egyént jellemző tulajdonságokként foghatjuk fel, így

- 28/29 -

azokat személyes adatként célszerű kezelni. Ilyen tájékoztatásnak minősül a munkavállaló munkaidőn kívüli magatartásának korlátozására irányadó szabály meghatározása,[60] valamint a munkáltató személyében bekövetkező változásról,[61] a munkáltató adatairól és a munkafeltétel változásról,[62] a 15 napot meghaladó külföldön történő munkavégzésről,[63] a kifizetett munkabér elszámolásáról[64] a leltárfelelősség feltételeiről,[65] és nem utolsó sorban a munkavállaló személyiségi jogainak korlátozásáról[66] szóló tájékoztatás.[67]

A munkáltató tájékoztatásával párhuzamosan különféle típusú munkavállalói nyilatkozatok is megtételre kerülhetnek. Ezeknek egy része hasonlóan jog által szabályozott, de vannak olyanok, amelyeket a munkáltató saját elhatározásából követel meg, illetve léteznek a munkavállalóktól származó, önkéntes nyilatkozatok is. A nyilatkozatok adatvédelmi relevanciájának legfontosabb feltétele a közlés rögzítettsége, tipikusan írásbelisége. Példaként említhető az Mt. 6. § (4) bekezdése alapján tett bármely nyilatkozat, a munkavállaló képviselőjének meghatalmazása,[68] várandóssággal és emberi reprodukciós eljárással kapcsolatos nyilatkozat,[69] a fizetés nélküli szabadság igénybevételének bejelentése[70] és az Mt. 176. § szerinti jövedelmi viszonyokról kiállított igazolások.[71] Az előbbiek mellett rendszerint előfordulnak utasítások és belső szabályzatok tudomásulvételéről szóló nyilatkozatok, esetlegesen titoktartási nyilatkozatok.

A fenti tájékoztatások és nyilatkozatok egy része jogszabály által szabályozott, más része ezt nélkülözi, álláspontom szerint azonban mindre jellemző az ügyviteli célzat dominanciája, hiszen a szerződésben vállalt kötelezettségek teljesítésével és szerzett jogok gyakorlásával kapcsolatos hivatalos kommunikáció megtestesítőiként foghatók fel. Jogalapok tekintetében szintén egységes a kép, úgy gondolom mindegyik a GDPR 6. cikk b) pontjának megfelelően szerződés teljesítéséhez szükséges adat. Tárolási idejükre vonatkozó szabályok megegyeznek a szerződésnél ismertetettekkel.

2.1.3. Munkavédelem

Minden munkáltató alapvető kötelezettsége dolgozóinak védelme érdekében betartani és betartatni a munkavédelmi előírásokat. Ezen törekvések az esetek többségében adatok kezelésével nem járnak. Előbbi állítás alól kivételt jelent a munkavédelmi oktatások dokumentálása, a munkabalesetek nyilvántartásba vétele, és az olyan ellenőrzési tevékenységek, amelyek részben vagy egészben munkavédelmi célokra is felhasználhatóak (ittasság vizsgálat, kamerás megfigyelés stb.).[72]

A munkavédelmi oktatások tartását a munkavédelemről szóló törvény[73] (továbbiakban: Mvt.) írja elő, annak lényeges tartalmi elemeinek meghatározásával együtt. Ezek között szerepel az 55. § (1) bekezdésének azon előírása, amely szerint az oktatás elvégzését a tematika megjelölésével és a résztvevők aláírásával ellátva írásban kell rögzíteni.[74]

Munkavédelemmel kapcsolatos adatkezelés második esetkörét az Mvt. 64. § (1) bekezdése szabályozza, amely

- 29/30 -

szerint a munkabalesetet - amely esetében a munkavállaló több mint három munkanapon át nem volt munkaképes - a foglalkozási megbetegedést és a fokozott expozíciós esetet ki kell vizsgálni, nyilvántartásba kell venni és be kell jelenteni. A munkabalesetekkel kapcsolatos nyilvántartás elemeit a munkavédelemről szóló 1993. évi XCIII. törvény egyes rendelkezéseinek végrehajtását részletező 5/1993. (XII. 26.) MüM rendelet, míg a foglalkozási betegségek és fokozott expozíciós esetek bejelentésének és kivizsgálásának részletszabályait a foglalkozási betegségek és fokozott expozíciós esetek bejelentéséről és kivizsgálásáról szóló 27/1996. (VIII. 28.) NM rendelet rögzíti, mérlegelést nem tűrő részletességgel.[75]

Álláspontom szerint az oktatásokkal kapcsolatos adatkezelés inkább ügyviteli célú, míg a munkabelesetek nyilvántartási kötelezettsége - értelemszerűen - nyilvántartási célú. Jogalapjuk a GDPR 6. cikk c) pont szerint, az adatkezelőre vonatkozó jogi kötelezettség teljesítése. Míg az előbbi esetekben a jogszabályok a kereteket alkották meg, amiken belül a szerződő felek szabadon dönthettek az adatkezelés megkezdéséről, jelen esetben a kötelezettség mérlegelési lehetőséget nem tartalmaz, az előírások pedig kellően részletesek ahhoz, hogy az adatkezelés alapjául szolgáljanak.

2.1.4. Munka és pihenőidő

A munka és pihenőidővel kapcsolatosan elsősorban a munkaidő-nyilvántartás vezetése merül fel, amely kétségkívül ügyviteli és nyilvántartási célú adatkezelésnek mondható. Jogszabályi hátterét az Mt. 134. § adja, a nyilvántartásvezetési kötelezettséghez kapcsolódó személyes adatkezelés pedig egyértelműen kiolvasható belőle. Ezt a gondolatot erősíti az Európai Unió Bíróságának Worten ügyben[76] hozott ítélete, amely kimondta, hogy az olyan nyilvántartás, amely a munkavállalók munkaidejének kezdési és befejezési időpontját, valamint a szüneteket és a munkaidőhöz nem tartozó időszakokat rögzíti személyes adatnak minősül (függetlenül attól, hogy az adatok egy része minden munkáltatónál dolgozó személyre igaz lehet). A munkaidőnyilvántartás formájával kapcsolatban nincsenek rendelkezések, minden munkáltató maga dönthet arról. Lehetséges papír alapú jelenléti íves vagy szoftveres megoldás is, továbbá az sem feltétel, hogy a nyilvántartás egy dokumentumban legyen fellelhető.[77] Utóbbi, tehát szoftveres megoldások esetén kell körültekintően eljárni, mivel a technológia már lehetővé teszi az olyan összetett beléptető rendszerek telepítését, amelyek aránytalanul sok adatot gyűjtenek (több pontos beléptetés) az adatalanyról.[78] Ilyen esetekben felmerül, hogy az adatkör túlterjeszkedik a munkaidő-nyilvántartás elkészítésének célján és áthajlik a munkáltatói ellenőrzés területére. Ezzel kapcsolatban az adatvédelmi biztos korábban már megállapította,[79] hogy elfogadhatatlan a nyilvántartásvezetés céljából az egyéni szükségletek teljeskörű naplózása.[80]

Jogalapok vonatkozásában - ahogy az már említésre került - lehetséges a

- 30/31 -

6.cikk (1) bekezdés c) pont szerinti jogi kötelezettség teljesítése, az f) pont szerinti jogos érdek mérlegelésének jogalapja, vagy a b) pont, tehát a szerződés teljesítése. Önmagában a munkaidő meghatározása egyértelműen a szerződéshez kötődik, jelen esetben azonban a munkaidőről vezetett nyilvántartás a kérdéses adatkezelés, amely esetén a cél elképzelhető, hogy eltérő (fontos, hogy a szerződéses jogalap a kialakult gyakorlat szerint kifejezetten szűken értelmezendő). Lényeges elhatárolási pont lehet a tisztán nyilvántartásvezetési célzatú adatkezelés és erre alapuló, de azt meghaladó ellenőrzési cél. Véleményem szerint előbbi esetén alkalmazhatónak mutatkozik a b) pont szerinti jogalap, míg utóbbi esetében már nem.

2.1.5. A munka díjazása

Mivel a hagyományos magyar munkajogi felfogás szerint a munkaszerződés kizárólag visszterhes szerződésként köthető meg érvényesen,[81] ezért a munkavállaló által elvégzett munka díjának megfizetése a munkáltató egyik fő- és elkerülhetetlen kötelezettsége,[82] így már előrevetíthető, hogy a kapcsolódó adatkezelések általános célja ügyviteli típusú lesz. Az elszámolás elkészítéséhez figyelembe kell venni minden lényeges körülményt, így a munkaszerződés alapján járó alapbért, a bérformát, a munkában töltött időt, az esetleges bérpótlékokat, prémiumot, jutalmat és jutalékot, valamint mindazt a terhet, amit a kifizetőnek le kell vonnia.[83] A munkabér kifizetése alapvetően a szerződés teljesítéséhez szükséges, a munkaszerződés adattartalmához hasonlóan azonban több jogszabály is hatással van a kezelt személyes adatokra. Amíg a munkaszerződés megkötésekor a felek teljes mértékben gyakorolhatták szabad akaratukat (amelynek kereteit szabta csak meg a jogszabály) jelen esetben döntési autonómiájuk bizonyos mértékben megszűnt. Az Art. pontosan meghatározza milyen adatokat kell a munkáltatónak gyűjtenie ahhoz, hogy eleget tegyen a havi adó- és járulékbevallási kötelezettségeknek.[84] A folyamat hiába kapcsolódik szorosan a munkáltató szerződéses kötelezettségeinek teljesítéséhez, annak elmulasztása nem csak szerződésszegést valósít meg, hanem adójogsértést is. Így véleményem szerint a bér mértékével, elemeivel és annak kifizetésével kapcsolatos adatok a szerződés teljesítése alapján kezelhetők, míg a megfelelő jogalap a c) pont szerinti jogi kötelezettség teljesítése a bér megállapítása során a levonásokkal, letiltásokkal és társadalombiztosítási ellátásokkal kapcsolatban.

2.1.6. A munkáltató jogos gazdasági érdekeinek védelme (az ellenőrzések kivételével)

A munkáltató jogos gazdasági érdekeinek védelmét az Mt. 8.§ (1) bekezdése teszi lehetővé, amely mindenekelőtt a munkavállaló által gyakorolható magatartásokra tartalmaz korlátozást. Ennek megfelelően a törvény kimondja (a joggyakorlattal összhangban[85]), hogy a munkavállaló a munkaviszony fennállása alatt nem tanúsíthat olyan magatartást, amellyel munkáltatója jogos gazdasági érdekeit veszélyeztetné. A

- 31/32 -

8. § (2) bekezdése bizonyos esetekben a korlátozást kiterjeszti a munkavállaló munkaidején kívüli magatartására is. Az alábbi kiemelt esetkörök mindegyike szorosan kapcsolódik a szerződés teljesítéséhez, így alapvetően ügyviteli típusú adatkezelésnek nevezhetőek.

2.1.6.1. Összeférhetetlenségi vizsgálat

Az összeférhetetlenségi vizsgálat alapját az Mt. 211. §-a adja - a Ptk. 3:115. § mellett - mivel kimondja, hogy a vezető további munkavégzésre irányuló jogviszonyt nem létesíthet, nem szerezhet részesedést a munkáltatóéval azonos vagy ahhoz hasonló tevékenységet is végző, vagy a munkáltatóval rendszeres gazdasági kapcsolatban álló más gazdálkodó szervezetben, nem köthet a saját nevében vagy javára a munkáltató tevékenységi körébe tartozó ügyletet, továbbá köteles bejelenteni, ha a hozzátartozója tagja a munkáltatóéval azonos vagy ahhoz hasonló tevékenységet is folytató vagy a munkáltatóval rendszeres gazdasági kapcsolatban álló gazdasági társaságnak, vagy vezetőként munkavégzésre irányuló jogviszonyt létesített az ilyen tevékenységet is folytató munkáltatónál. Az adatkezelés különösen fontos, mivel a kialakult bírósági gyakorlat szerint a munkavállaló kötelezettségének megszegése esetén munkáltatói rendkívüli felmondásnak lehet helye.[86] Adatok kezelésére általában az adatalany által adott nyilatkozattal kapcsolatban kerül sor, amelynek adattartalmát - a fentiek tükrében - jogszabály határozza meg. A törvényi rendelkezéstől függetlenül az alkalmazható jogalap a 6. cikk (1) bekezdés f) pont szerinti munkáltatói jogos érdek lehet, mivel az Mt. a munkavállaló számára olyan magatartási szabályt ír elő, amit a munkáltató pusztán ellenőrizhet. A jogos érdek mérlegelése mellett felmerülhet még a szerződéses jogalap alkalmazhatósága is. Amennyiben a nyilatkozattételre a szerződésben vagy azzal összefüggésben, annak egyfajta feltételeként kerül sor, elképzelhető a helytállósága, hiszen a szerződési szabadság alapján a felek olyan - a munkaviszonnyal összefüggő[87] - nyilatkozat megtételét követelhetik meg egymástól, amit jogszabály nem tilt. Figyelembevéve az Mt. 211. §-át a kikötés úgy vélem jogszerű lenne, feltéve, hogy a munkáltató semmiféle ellenőrzést nem végez a nyilatkozat valóságtartalmával kapcsolatban.

2.1.6.2. Teljesítményértékelés

A szakirodalom álláspontja szerint a munkáltatót megilleti a munka feletti felügyeleti jog gyakorlása. A felügyelet tág értelmezése szerint kiterjed az összes fő és mellékkötelezettség teljesítésének értékelésére is. Tagadhatatlan, hogy minden munkáltató törekszik munkaerejének értékelésére, annak érdekében, hogy a számára legmegfelelőbb munkavállalókat foglalkoztathassa. A formális értelemben vett teljesítményértékelés fogalma szerint olyan tevékenység, amely során végbemegy egy szervezet valamennyi dolgozójának adott időszakra vonatkozó teljesítményének módszeres felmérése, megítélése és értékelése. Másként megfogalmazva a teljesítményértékelés eredményeképpen megállapítható, hogy egy dolgozó milyen mértékben

- 32/33 -

felel meg munkaköri elvárásainak.[88] Bár a magánszektorban nem rendelkezik jogi szabályozással, a közszférában általános gyakorlatnak mondható az eljárás. A technológia adta lehetőségeket vizsgálva fontos az értékeléskor felmérni a felhasznált eszközökben rejlő kockázatokat is, ilyenek lehetnek a tisztán szoftveres - humán-közrehatás nélküli - megoldások, amelyek automatizált döntéshozatalhoz vezethetnek. Függetlenül az alkalmazott eljárástól minden esetben a legfontosabb szempont, hogy az értékelés ne haladja meg a szükségesnél több adat gyűjtését vagy létrehozását. Célszerű alaposan megvizsgálni az olyan részletes értékelési rendszer használatát, ami profilalkotást tesz lehetővé, hiszen a GDPR 22. cikke alapján az érintett bármikor tiltakozhat az ilyen adatkezeléssel szemben. Az értékeléskor különösen fontos, hogy kizárólag az érintettől származó és a munkavégzéssel összefüggő információkra lehet azt alapozni, valamint a munkateljesítmény értékeléséhez szükségesnél több megállapítás kialakítására ne irányuljon. A jogalapok vizsgálata során kettő lehetőség mutatkozik. Az egyszerűbb értékelési mechanizmusok, ha a szerződésben kerültek kikötésre és aktív munkáltatói ellenőrzéssel nem párosulnak, úgy gondolom a 6. cikk (1) bekezdés b) pont szerinti szerződés teljesítéséhez kapcsolódó jogalappal alkalmazhatóak (pl. adott hónapban értékesített termékek száma). Ezzel szemben az olyan bonyolult, adott esetben szoftveres értékelési rendszerek, amelyek aktív ellenőrzési tevékenységgel, profilalkotással és/vagy automatizált döntéshozatallal kapcsolódnak össze csak az f) pont szerint, a munkáltató jogos érdekének fennállása esetén lehetségesek.

2.1.6.3. Fegyelmi eljárás

A munkavállalóval szemben a munkáltató az Mt. 56. § (1) bekezdése szerint a munkaviszonyból származó kötelezettség vétkes megszegése esetére kollektív szerződés vagy munkaszerződés a kötelezettségszegés súlyával arányos hátrányos jogkövetkezményeket állapíthat meg. Ahogy a törvény szövege is jól mutatja szintén ügyviteli típusúnak nevezhető az adatkezelés, mivel szerződési kikötés esetén az ott meghatározott jogával él az egyik fél.[89] A fegyelmi eljárással kapcsolatos adatok - tekintettel az 56. § (5) bekezdés írásba foglalási kötelezettségére - a 6. cikk (1) bekezdés b) pontjának megfelelően szerződés teljesítéséhez kapcsolódnak. Fontos azonban elhatárolni a fenti adatkezeléstől a fegyelmi eljárásnak szintén részét képező vizsgálatokat és ellenőrzéseket, amelyek jogalapjaként a b) pont nem alkalmazható.

2.2. Munkavállaló ellenőrzésével kapcsolatos adatkezelések

A munkáltató ellenőrzési tevékenységének kialakulása hosszú folyamat eredménye és szoros kapcsolatban áll a technológia adta lehetőségek minél nagyobb szintű kihasználásának igényével.[90] A személy, valamint a vagyonvédelmi igénye a mindennapi életviszonyok keretei között jól értelmezhető, általánosan elfogadott törekvés, ennél fogva a munkáltató jogszerűen várja el az együttműködést a

- 33/34 -

védelemhez szükséges intézkedések betartásában. Fontos azonban annak a kérdésnek a vizsgálata is, hogy a személyi és vagyoni biztonság elméleti igénye mennyiben egyeztethető össze az egyéb érintett személyek magánszférájának védelmével.[91] Aggályos lenne például a korábban jogszerű célból, törvényes keretek között telepített megfigyelőrendszert eltérő célra felhasználni, például a vagyonvédelem érdekében kihelyezett kamerákat a gyakorlatban a munkavállalók magatartásának befolyásolására alkalmazni.[92]

Tapasztalatom szerint a jelenlegi gyakorlat a munkavállalók folyamatos és költséghatékony megfigyelését helyezi előtérbe, függetlenül attól, hogy azt indokolja-e bármilyen vélt vagy valós munkáltatói érdek. Jelen tanulmány írásakor élenjáró technológia a zártláncú televíziós megfigyelés (CCTV megfigyelés), a gépjárművekben GPS nyomkövető működtetése és a különféle struktúrájú beléptető rendszerek telepítése. Bizonyos szektorokban (pl.: mezőgazdaság) az előbbi három megfigyelési formát kiegészítheti a klasszikusabbnak mondható ittasság-vizsgálat, öltözőszekrény, ruházat vagy csomagátvizsgálás is. Az ellenőrzések gyűjtőfogalmaként funkcionáló "belső ellenőrzési rendszer" vagy "belső kontroll" területek vonatkozhatnak az elektronikus postafiókok, céges informatikai eszközök (telefon, laptop, PC) tartalmának, internethasználatnak, illetve céges előfizetések híváslistáinak vizsgálatára is. Tekintve, hogy ezek mind hordozói lehetnek személyes adatoknak, és a GDPR alapján az adatokon végzett bármely művelet adatkezelésnek minősül, a munkavállalók fentebb leírt módokon történő ellenőrzésére a Rendelet feltétlenül alkalmazandó.[93]

Figyelembe véve, hogy jelen tanulmány elsődleges tárgya az alkalmazható jogalapok vizsgálata, az ellenőrzési célú adatkezelések esetén pedig csak egy jogalap alkalmazható, így az ezzel kapcsolatos folyamatok részletes leírásától eltekintek.

Az ellenőrzések megengedhetőségének különös aktualitása volt a COVID-19 járvány idején, hiszen a potenciális fertőzésveszély megelőzésében nagy szerepe lehet bizonyos személyes adatoknak (pl.: kontaktkutatás). Dolgozókkal kapcsolatban elsődlegesen a mozgási adatoknak (fertőzésveszélyes hely látogatása) és az egészségügyi adatoknak (tünetek szűrése, pl.: testhőmérsékletmérés, védettség) van megkülönböztetett szerepe.

2.3. Az egyéb kategóriába tartozó adatkezelések

Tekintve, hogy az egyéb típusú adatkezelésekbe minden beletartozhat, ami nem a fentiek valamelyikébe került, a lehetőségek meglehetősen sokfélék. Az alábbiakban néhány tipikusnak mondható példát szeretnék kiemelni a kategória szemléltetése érdekében.

2.3.1. Kapcsolattartás

Az alapértelmezetten a szerződő felek között zajlik, a szerződés teljesítése érdekében, így a megfelelő jogalap ebben az esetben a b) pont szerinti szerződés

- 34/35 -

teljesítése lesz. A kapcsolattartás egy másik formája, amelyet sok munkáltató alkalmaz a "vészhelyzetben értesítendő" személy elérhetőségének bekérése, amely esetén a különbség, hogy a harmadik fél (pl.: házastárs) nincs kapcsolatban a munkáltatóval, így ő az adatainak továbbításához külön hozzá kell járuljon.

2.3.2. Kép- és hangfelvétel készítése (az ellenőrzések kivételével)

A dolgozó képmása eltérő célokból és módokon kerülhet a munkáltatóhoz. A belső használatra szánt képek gyűjtőfogalma alá tartozhat a vállalati eseményen, tréningen, csapatépítő rendezvényen[94] történő képkészítés. A jogalap az érintett hozzájárulása lehet,[95] és jelen esetben alkalmazhatónak is tűnik, hiszen a képen való nem szereplés egy karácsonyi céges vacsorán várhatóan nem fog munkajogi szankciót maga után vonni. Képek készülhetnek üzleti céllal is, például a vállalat weboldalának bemutatkozó felületére, ahol névvel, beosztással vagy megjelölés nélkül is közzé tehetők. A jogalap ismét a hozzájárulás, azonban ebben az esetben nem elég csak a képkészítéshez bekérni, szükség van egy második hozzájárulásra a közzétételhez.[96] Ugyanez a szabály vonatkozik arra az esetre, ha nem weboldalra, hanem közösségi média felületére kerül a kép feltöltésre.

2.3.3. Elégedettségi kérdőívek kitöltése

A munkavállalók visszajelzésének gyűjtése a munkakörnyezet javítása érdekében megvalósulhat névvel ellátott és név nélküli formában is. Előbbi egyértelműen személyes adatot tartalmaz, a jogalap pedig az érintett hozzájárulása vagy az adatkezelő jogos érdeke lehet (a kérdések jellegétől függően). Utóbbi esetén merülhet fel az azonosíthatóság hiánya a kérdőív kitöltésének kötelezővé tétele céljából. Ennek elméletben akadálya nincs, hiszen a GDPR rendelkezései csak személyes adatokra vonatkoznak. Fontos azonban alaposan átgondolni az állítás megalapozottságát, a név hiánya ugyanis nem jelent azonosíthatatlanságot. Egy szervezeten belül több más - egyéb okból fontosnak ítélt - adat vezethet a személy azonosításához (pl. nem, kor stb.).[97]

3. A munkajogviszony megszűnése

A munkavállalói adatok életciklusának utolsó állomása a munkajogviszony megszűnésekor, illetve megszüntetésekor érkezik el. A munkaviszony megszűnésének eseteit az Mt. 63. § (1) bekezdése rendezi, közös jellemzőjük adatkezelési szempontból, hogy a megszűnés ténye a felek akaratától független, ezáltal csak annak bekövetkezésének következményeivel kapcsolatban találhatók adatvédelmi kötelezettségek. Azonban ezek a kötelezettségek megegyeznek a megszüntetés következményeivel, így a két esetkör külön tárgyalása nem indokolt. Ebből kifolyólag jelen fejezetben csak a megszüntetés típusaival kapcsolatos adatkezelések kerülnek elemzésre, ezek közül is csak az egyoldalú aktusok, mivel a közös megegyezéssel történő megszüntetésre alkalmazhatók a szerződés módosítására vonatkozó szabályok.

- 35/36 -

3.1. A felmondás

A felek részéről aktív magatartást feltételező megszüntetés eseteit az Mt. 64. §-a tartalmazza, adatvédelmi relevanciával pedig elsődlegesen a munkáltató általi felmondás rendelkezik. Egyfelől fontos, hogy a munkaviszony megszüntetésére irányuló nyilatkozat, illetve megállapodás érvényességi kelléke annak írásba foglalása,[98] továbbá az, hogy a munkáltató felmondását köteles megindokolni,[99] így a jognyilatkozat megtétele szükségképpen személyes adatok kezelésével kell együtt járjon. Az adatkezelés célja ügyviteli típusú, hiszen a szerződéshez szorosan kapcsolódó, azt befolyásoló cselekményről van szó. Ezen a gondolaton tovább haladva egyértelmű, hogy a felmondó jognyilatkozat megtételével összefüggő adatkezelés jogalapja a b) pont szerinti szerződés teljesítése, hiszen a teljesítéstől a polgári jog és a munkajog szerint is elválaszthatatlan a szerződés megszüntetési képesség.[100] A jogalap természetesen nem vonatkozik a felmondás megtételének alapjául szolgáló tények megszerzésére és birtoklására, az kifejezetten a nyilatkozatban és az indokolásban szereplő adatokra vonatkozik (előbbiek ugyanis nagy valószínűséggel egy munkáltatói ellenőrzés során kerültek begyűjtésre, így a jogalap a jogos érdek lesz).

Fontos szempont tehát, hogy milyen adat kerül be a szóban forgó nyilatkozatba. Az Mt. 66. § (2) bekezdése a felhasználható adatok körét leszűkíti a munkavállaló munkaviszonnyal kapcsolatos magatartásával, képességével vagy a munkáltató működésével összefüggő körülményekre, ezen a területen belül azonban az indokolás szabadon megtehető. Mint minden adatkezelés esetén itt is folyamatosan figyelembe kell venni a Rendelet alapelveit. Az adatoknak pontosnak kell lenniük, különben a felmondási ok valódisága és egyértelműsége[101] (okszerűsége[102]) kétségessé válik. Ahogy a GDPR úgy az Mt. 6. § (1) bekezdése és 7. §-a is megköveteli a felektől a tisztességes és rendeltetésszerű joggyakorlást, így figyelemmel kell lenni az adatok szükségességére az elérendő cél viszonylatában, valamint az adatok bizalmasságára is (az okok megismerésére csak a felek jogosultak). Ezen a ponton is fontos az egyenlő bánásmód elve, a diszkriminatív adatokra alapozott felmondás jogellenes adatkezelést is eredményez.[103] Szintén nem szabad figyelmen kívül hagyni az érintett személyiségi jogait sem, a felmondás módja nem sértheti a dolgozó emberi méltóságát.

3.2. Munkáltatói jogutódlás

A munkáltató személyében bekövetkező változás természetesen az adatkezelő személyében bekövetkező változást is eredményez. A jogügyleten alapuló átvétel időpontjában a fennálló munkaviszonyból származó jogok és kötelezettségek az átadóról az átvevő munkáltatóra szállnak át.[104] A törvényszöveg (és gyakorlat)[105] automatizmusa[106] adatvédelmi szempontból is lényeges, hiszen a munkavállaló beleegyezésére nincs szükség a jogszerű átadáshoz. Ezáltal a munka-

- 36/37 -

viszonyból eredő adatkezelések - kiemelten az ügyviteli és nyilvántartási célú adatkezelések - a munkaszerződéssel együtt szállnak át az új munkáltatóra, e tekintetben az érintett ismételt jóváhagyása nem szükséges. Nem feltétlenül vonatkozik a fenti kijelentés az ellenőrzési célú és az egyéb kategóriába tartozó adatkezelésekre. Lehetséges, hogy a munkavállaló bizalma a korábbi munkáltatóban elég erős volt ahhoz, hogy jogos érdekének fennállását elfogadja, az új munkáltató esetén azonban ez nem feltétlenül kell, hogy így legyen. Az sem kizárt, hogy a munkavállalónak ellenérzései vannak az új munkáltatójával kapcsolatban és a továbbiakban nem kíván a cég weboldalán nevével és fényképével szerepelni.

Jelentősége lehet a korábbi munkáltató magatartásának a jogügyletet megelőzően is, mivel az Mt. az adatátadás jogszabályi alapját az átvétel időpontjától biztosítja csak. A jogügylet létrejöttének feltétele lehet az átvevő fél tájékozódása az átadó gazdasági, szervezeti, pénzügyi hátteréről, amelybe adott esetben a munkavállalókra vonatkozó adatokra is szükség lehet.[107] Attól függetlenül, hogy a jogügylet beteljesülése esetén a teljes adathalmaz az átvevőhöz kerül, ezen a ponton még az adattovábbítás jogszerűsége nem megalapozott. Adatvédelmi szempontból semmilyen kapcsolat nem fűzi az átadó munkáltató munkavállalóit az átvevőhöz, így az adattovábbításhoz nincs érvényes jogalap. Felmerülhet az érintett hozzájárulása és az adatkezelő jogos érdekének bizonyítása, de álláspontom szerint nagyszámú érzékeny adat tömeges továbbítására egyik sem alkalmas. Jelen esetben a hozzájárulás önkéntessége a teljes állományra nyilvánvalóan kizárt, a jogos érdek fennállása bár lehetséges, nem tartom valószínűnek, hogy az elsőbbséget élvezne a munkavállalók jogaival és szabadságaival szemben. Mivel a Rendelet szellemisége szerint, ha létezik adatkezelés nélküli megoldás, akkor azt kell választani, úgy gondolom a helyes eljárás a munkavállalókra vonatkozó összesített statisztikák és lehetőleg anonimizált, de legalább álnevesített adatbázisok készítése. Ha feltétlenül szükséges ez kiegészíthető kis számú, önként jelentkező munkavállaló személyes adatát is tartalmazó dokumentációjával. Az előbbi példával szemben az átvételi szándék fennállását követően, de a munkáltató váltás előtt már jogszerű lehet - akár a teljes adatállomány - átadása, a jogviszony létrehozásának előkészítése vagy nyilvántartásba vétel céljából.

3.3. A kilépő papírok (igazolási lap) és a referencia (ajánlólevél vagy működési bizonyítvány)

Az alábbi területek egyaránt vonatkoznak a megszűnés (passzív) és a megszüntetés (aktív) eseteire is.

A munkaviszony megszűnésekor a munkáltató iratkiadási kötelezettségének eleget téve különböző igazolásokat és adatlapokat ad át a munkavállalónak, a későbbi jogérvényesítésének elősegítése érdekében.[108] A jelenlegi Mt. nem részletezi, hogy mit kell tartalmaznia az iratoknak, e tekintetben

- 37/38 -

külön jogszabályban meghatározott előírásokat kell alkalmazni, amelyek elsősorban az adó- és társadalombiztosítási igazolásokat jelentik.[109] Ezek között szerepel a biztosítási jogviszonyról és az egészségbiztosítási ellátásokról kiállított igazolvány, a munkáltatótól származó jövedelemről, az adó és adóelőleg levonásáról szóló adatlap, a levont egyéni és munkáltatói járulékalapot képező juttatásokról kiállított igazolás, az álláskeresési járadék és az álláskeresési segély megállapítását segítő igazolólap, valamint a munkáltatói igazolás a munkabért terhelő tartozásokról. Az adatkezelés jogalapja bár a szerződés teljesítésének utolsó mozzanata, a 6. cikk (1) bekezdés c) pontja szerinti jogi kötelezettség teljesítése lehet.[110] Az adatkezelés célja független a szerződő felek akaratától (ha nem kéri a volt munkavállaló akkor is ki kell azokat állítani), a kötelezettség pedig elég egyértelmű és pontos.

A munkáltató a munkavállaló kérelmére munkaviszony megszüntetésekor (megszűnésekor) vagy legfeljebb az ezt követő egy éven belül a munkavállaló munkájáról írásban értékelést ad (feltéve, hogy a munkaviszony legalább 1 évig fennállt).[111] Az értékelésbe csak valós ténymegállapítások kerülhetnek, ellenkező esetben a munkavállaló az értékelés megsemmisítését vagy módosítását bíróságtól kérheti.[112] Megjegyzendő, hogy valós tényállítások esetén is figyelemmel kell lenni a volt munkavállaló személyiségi jogaira.[113] Jogalap szempontjából alkalmazható az érintett hozzájárulása, egyfelől azért, mert az alá-fölé rendeltségi viszony a munkaviszonnyal megszűnik, másfelől azért, mert egyébként is csak az érintett kérésére köteles a munkáltató az értékelés kiállítására. A hozzájárulás mellett a munkáltatót kötelező jogszabályi előírás miatt alkalmazható lehet a 6. cikk (1) bekezdés f) pont szerinti az Mt. előírásainak való megfeleléshez fűződő jogos érdek is, mint jogalap. Érdekes helyzet alakul ki ezen a ponton, mert az értékelésben szereplő, esetleges munkáltatói személyes adatok (pl.: képviselő neve, aláírása) tekintetében a munkavállaló és leendő munkáltatója válhatnak adatkezelőkké.

3.4. Eljárás a munkaviszonyok megszűnésekor

E tekintetben a munkakör átadására és a munkáltató kezelésében maradó munkavállalói adatok sorsára kell feltétlenül kitérni.

Törvény megköveteli a munkavállalótól, hogy a munkáltató által előírt rendben munkakörét átadja.[114] Adatvédelmi szempontból különös jelentősége lehet a céges eszközök visszaadásának és a céges postafiók átadásának. Lényeges eltéréseket okozhat az, ha a belső gyakorlat megengedi a munkavállalók számára az említett eszközök és hozzáférések vegyes (magán és céges) használatát. Az Mt. 2019. évi módosítása óta ehhez külön megállapodást kell kötni, hiszen alapértelmezés szerint a céges eszközök csak munkavégzésre használhatók.[115] Függetlenül a belső szabályozástól a munkavállaló munkavégzéssel össze nem kapcsolható személyes adatait a munkáltató nem kezelheti, így az e-mailek, az eszközökön lokálisan és a vállalat által

- 38/39 -

biztosított saját szerveren vagy felhőtárhelyen tárolt adatok ellenőrzésének végrehajtása során a fokozatosság elvét mindvégig szem előtt kell tartani,[116] az adatkezelés jogalapja pedig a munkáltatói jogos érdek lehet.

Az esetek döntő többségében jogszabály által előírt tárolási kötelezettség írja elő vagy a jogos érdeke indokolhatja a munkáltató számára volt munkavállalója adatainak tovább tárolását, de előfordulhatnak egyedi megállapodások is. A jogviszonyt túlélő tárolás időtartama alapvetően többféle lehet, a legjellemzőbb eset, amikor a volt munkavállalóra irányadó öregségi nyugdíjkorhatár betöltését követő 5 évig tart a megőrzés, amelyet a Tny. ír elő az (új) Tbj. 66. § (1)-(2) bekezdésében meghatározott adatkör tekintetében. Egy másik esetben az Mt. elévülési ideje szerint az adatfelvételt vagy a jogviszony megszűnését követő 3 évvel törölhetők azok az adatok, amelyek esetlegesen a munkáltató saját jogainak védelméhez vagy azok érvényesítéséhez szükségesek lehetnek. A továbbtárolás jogszerűségi feltételeivel nem rendelkező adatot a munkáltató visszaállíthatatlan módon köteles törölni minden rendszeréből.

III. Összegzés és következtetések

Tanulmányom írása során kísérletet tettem az adatvédelmi jog és a munkajog metszéspontjainak feltérképezésére, hogy a munkavállalói adatok életciklusának áttekintése során a megfelelő jogalapok azonosíthatóak lehessenek. Az eredmények vizsgálatakor zsinórmértékként vettem figyelembe az adatvédelmi jog általános célkitűzéseit is.

Saját meglátásaimat is figyelembe véve az 1. ábrán látható megoszlásban találtam a különböző jogalapokat alkalmazhatónak (azokat az eseteket is beleszámolva, mikor egynél több jogalap lehetséges).

Az 1. ábrán a - vizsgált adatkezelések vonatkozásában - a következő számokat vettem figyelembe:

- 6 esetben találtam alkalmazhatónak a hozzájárulást (GDPR 6. cikk (1) bek. a) pont),

- 10 esetben a szerződés teljesítését (GDPR 6. cikk (1) bek. b) pont),

- 8 esetben jogi kötelezettség teljesítését (GDPR 6. cikk (1) bek. c) pont),

- 12 esetben a jogos érdeket (GDPR 6. cikk (1) bek. f) pont).

1. ábra: Lehetséges jogalapok megoszlása

- 39/40 -

1. táblázat: Az adatkezelési folyamatok és a jogalapok összegzése

Megnevezése	Lehetséges jogalapja
Álláshirdetés kiírása, beérkező pályázati anya- gok kezelése	GDPR 6. cikk b) pont második fordulata[117] VAGY GDPR 6. cikk a) pont
Kiválasztási eljárás	GDPR 6. cikk b) pont második fordulata[118]
Alkalmassági vizsgálatok: Orvosi alkalmassági	GDPR 6. cikk c) pont[119]
Alkalmassági vizsgálatok: Pszichológiai teszt	GDPR 6. cikk f) pont
Alkalmassági vizsgálatok: Erkölcsi bizonyítvány	GDPR 6. cikk f) pont[120]
Pályázók előzetes ellenőrzése (volt munkáltató, közösségi média)	GDPR 6. cikk f) pont
Pályázati anyagok tovább tárolása	GDPR 6. cikk a) pont
Munkaszerződés és kapcsolódó dokumentációja	GDPR 6. cikk b) pont[121]
Munkavállaló bejelentése (adattovábbítás)	GDPR 6. cikk c) pont[122]
A munkáltató tájékoztatási kötelezettsége és a munkavállaló nyilatkozatai	GDPR 6. cikk b) pont[123]
Munkavédelem	GDPR 6. cikk c) pont[124]
Munka és pihenőidő	GDPR 6. cikk f) pont VAGY GDPR 6. cikk c) pont VAGY GDPR 6. cikk b) pont[125]
Munka díjazása	A bér mértékével, elemeivel és annak kifizetésé- vel kapcsolatos adatok: GDPR 6. cikk b) pont[126]
Munka díjazása	A levonásokkal, letiltásokkal és társadalombiztosítási ellátásokkal kapcsolatban és bevallással kapcsolatban: GDPR 6. cikk c) pont[127]
A munkáltató jogos gazdasági érdeke: összeférhetetlenségi vizsgálat	GDPR 6. cikk f) pont VAGY GDPR 6. cikk b) pont[128]
A munkáltató jogos gazdasági érdeke: teljesítményértékelés	GDPR 6. cikk b) pont VAGY GDPR 6. cikk f) pont[129]
A munkáltató jogos gazdasági érdeke: fegyelmi eljárás	GDPR 6. cikk b) pont[130]
Munkavállaló ellenőrzése (CCTV megfigyelés, GPS nyomkövetés, beléptető rendszerek, ittasság vizsgálat, csomag-ruházat átvizsgálás, levelezés, eszközök vizsgálata stb.)	GDPR 6. cikk f) pont[131]
Kapcsolattartás	GDPR 6. cikk f) pont (hozzátartozó elérhetősége esetén az adattovábbítás jogalapja a GDPR 6. cikk a) pont lehet)
Kép és hangfelvétel	GDPR 6. cikk a) pont
Elégedettségi kérdőívek	GDPR 6. cikk a) pont VAGY GDPR 6. cikk f) pont
Felmondás	GDPR 6. cikk b) pont[132]
Munkáltatói jogutódlás (adatátadás a jogutódnak)	GDPR 6. cikk c) pont[133]
Kilépő papírok kiállítása	GDPR 6. cikk c) pont[134]
Referencia és ajánlólevél	GDPR 6. cikk a) pont VAGY GDPR 6. cikk f) pont[135]
Megszüntetési eljárás: munkakör átadása	GDPR 6. cikk f) pont[136]
Megszüntetési eljárás: irattárolás	GDPR 6. cikk c) pont társadalombiztosítási nyugellátásról szóló 1997. évi LXXXI. törvény 99/A. § VAGY GDPR 6. cikk f) pont[137]

- 40/41 -

Az adatkezelésekkel kapcsolatos eredményt némileg torzítja, hogy az ellenőrzéseket egy adatkezelési folyamatnak vettem, nem vitás, hogy külön-külön vizsgálva egyértelműen a jogos érdek kerülne messze a legtöbbet alkalmazott jogalap helyére. Azonban úgy gondolom, hogy a valóban eltérő adatkezelési folyamatok során alkalmazható jogalapok típusai így jobban felismerhetők.

A munkavállalói adatok vizsgálata során megállapítható, hogy számos jogszabályi rendelkezés van a kezelésükre hatással, vagy kötelező adatkezelést, illetve adatkezelési tilalmat megállapítva vagy felhatalmazást biztosítva. Figyelembevéve azonban az összes jogszabályon alapuló adatkezelést, továbbra sem jelenthető ki, hogy a felek autonómiája ne érvényesülhetne.

Látható, hogy az esetek mindössze kb. egynegyedét (22%) rendezi kifejezetten jogszabály, egyébként kiteljesülhet valamelyik fél döntési kompetenciája. Saját vizsgálatom alapján elmondható az is, hogy a hozzájárulásos jogalap alkalmazása visszaszorult az új jogalapok hatására. Tapasztalatom szerint jelenleg még nem tart ott minden munkáltató tudatossága, hogy a szerződésekben/tájékoztatókban a megfelelő jogalap kerülne meghatározásra (az esetek jelentős részében maradt a "hozzájárulok az adataim kezeléséhez" kitétel), de a jövőben úgy gondolom a fent ismertetett arányok fognak nagyjából rögzülni.

A fenti adatok tükrében számomra igazolást nyert az új jogalapok létjogosultsága. Látható, hogy - csak a magánszféra "menetrendszerű" adatkezeléseit alapul véve - elenyésző számban szorulnak rá a felek a bizonytalan és sokszor visszaélésekre is alkalmas hozzájárulásos jogalap használatára. A szerződés teljesítéséhez és a jogos érdek mérlegeléséhez kapcsolódó jogalapok megszüntették a jogszabályi felhatalmazások keresésének kényszerét, jelen körülmények között a felek határozhatnak a saját adatkezelésük részleteiről.

Összességében úgy vélem kijelenthető, hogy a korábbi két-jogalapos rendszer helyébe lépő, új és kibővült jogalapok életszerűbb és a jogkövetők számára praktikusabb alkalmazhatósági feltételeket biztosítanak. Az előbbi kijelentésemet alátámasztani látszanak a jogalapok alkalmazhatóságának arányszámai, hiszen látható, hogy a jogalapok kibővült köre az adatkezelő számára kiegyensúlyozott választási lehetőséget biztosítanak. A szélső értéket a jogos érdekhez képest a hozzájárulás jelenti, aminek jelentősége idővel valószínűleg tovább fog csökkenni. Következtetésként úgy gondolom levonható, hogy amennyiben ekkora szükség és igény volt/van kétszer annyi jogalap használatára, akkor ma már nehéz reálisan alkalmazhatónak nevezni az ennél kevesebb választási lehetőséget nyújtó rendszereket.

Tanulmányom zárásaként az 1. táblázat összegzi a feltárt adatkezelési folyamatokat és az általam megfelelőnek ítélt jogalapot. ■

JEGYZETEK

[1] Heiner Lasi, Peter Fettke, Hans-Georg Kemper, Thomas Feld, Michael Hoffmann: Industry 4.0. Business & Information Systems Engineering 6., (2014). 239 o.

[2] Zoltán Bankó, Gergely László Szőke: Issues of digital workplace - the situation in Hungary. Pécs, Jurinfo Bt., 2016. 33-36. o.

- 41/42 -

[3] A 2011-ig hatályos adatvédelmi törvény (a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról 1992. évi LXIII. törvény) mindössze két adatvédelmi jogalapot, az érintett hozzájárulását és a törvényi felhatalmazást ismerte. Mivel a munkajog területén részletes törvényi szabályozás nem volt, sok esetben csak a hozzájárulás szolgálhatott az adatkezelés jogalapjául, amely azonban számos problémát vetett fel. Balogh Zsolt György, Polyák Gábor, Rátai Balázs, Szőke, Gergely László: Munkahelyi adatvédelem a gyakorlatban. Infokommunikáció és jog 2012/3. 96-97. o.

[4] Nemzeti Adatvédelmi és Információszabadság Hatóság (továbbiakban: NAIH, hatóság) tájékoztatója a munkahelyi adatkezelések alapvető követelményeiről (2016). 7 o.

[5] Osztopáni Krisztián: Jogalapok. In (Péterfalvi Attila, Révész Balázs, Buzás Péter szerk.): Magyarázat a GDPR-ról. Wolters Kluwer Hungary, Budapest, 2018. 111 o. (Továbbiakban: Osztopáni: Magyarázat a GDPR-ról.)

[6] Az Európai Unió Alapjogi Ügynöksége és az Európa Tanács: Európai adatvédelmi jogi kézikönyv. Luxembourg, Az Európai Unió kiadóhivatala, 2019. 158 o. (Továbbiakban: Alapjogi Ügynökség: Európai adatvédelmi jogi kézikönyv.)

[7] Osztopáni: Magyarázat a GDPR-ról. 111 o.

[8] A 29. cikk szerinti munkacsoport 03/2013 számú véleménye a célhoz kötöttségről (WP203), 15-16. o.

[9] Freidler Gábor: A munkaviszonnyal összefüggő adatkezelések = Adatvédelem és információszabadság a mindennapokban, Szerk. Péterfalvi Attila. Budapest, HVG-ORAC Lap- és Könyvkiadó Kft., 2012. 284 o. (Továbbiakban: Friedler: A munkaviszonnyal összefüggő adatkezelések.)

[10] Glázer Noémi: GDPR gyakorlati kézikönyv. Bokod, Dr. Glázer Noémi e.v. 2018. 250 o. (Továbbiakban: Glázer: GDPR gyakorlati kézikönyv)

[11] Uo. 250 o.

[12] Arany-Tóth Mariann: A munkavállalók személyes adatainak védelme a magyar munkajogban. Szeged, Bába Kiadó, 2008. 111 o. (Továbbiakban: Arany-Tóth: A munkavállalók személyes adatainak védelme a magyar munkajogban.)

[13] 2012. évi I. törvény a munka törvénykönyvéről (Továbbiakban: Mt.) 6. § (2) bekezdés

[14] Mt. 12. §

[15] Mt. 10. § (1) bekezdés

[16] Ebktv. 21. §

[17] GDPR 5. cikk (1) bekezdés c) pont

[18] GDPR. 12. cikk

[19] ABI 167/A/2006

[20] Sepsi Tibor: GDPR útikalauz adatkezelőknek. Budapest, Wolters Kluwer Hungary, 2019. 312 o. (Továbbiakban: Sepsi: GDPR útikalauz adatkezelőknek.)

[21] GDPR 12. cikk

[22] Ebktv. 8. §

[23] GDPR. 5. cikk (1) bekezdés c) pont, Polgári Törvénykönyv (továbbiakban: Ptk.) 2:48. §

[24] A NAIH tájékoztatója a munkahelyi adatkezelések alapvető követelményeiről (2016) 21 o.

[25] Freidler: A munkaviszonnyal összefüggő adatkezelések. 298-299 o.

[26] A munkavédelemről szóló 1993. évi XCIII. törvény

[27] A munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről szóló 33/1998. (VI. 24.) NM rendelet

[28] Európai Adatvédelmi Testület, Guidelines 05/2020 on consent under Regulation 2016/679, Version 1.1, 2020. 9 o.

[29] A NAIH tájékoztatója a munkahelyi adatkezelések alapvető követelményeiről (2016) 22 o.

[30] Freidler: A munkaviszonnyal összefüggő adatkezelések. 299 o.

[31] Az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról szóló 2019. évi XXXIV. törvény

[32] A NAIH tájékoztatója a munkahelyi adatkezelések alapvető követelményeiről (2016) 22-23 o.

[33] Kulisity Mária munkahelyi adatvédelem és személyiségi jogok c. előadása. 2018. április 9.; EBH 2013.M.9

[34] GDPR 6., 12. cikk

[35] A 29. cikk szerinti munkacsoport 02/2017. számú véleménye a munkahelyi adatkezelésről (WP249), 12-13. o.

[36] GDPR 5. cikk (1) bekezdés a) pont

[37] NAIH/2016/4386/2/V

[38] Kulcsár Zoltán: Privacy Policy Online Services, A hozzájárulás fogalmának kiegészítése az Európai Adatvédelmi Testület 5/2020 iránymutatásában, 2020. Elérhető: https://www.adatvedelmirendelet.hu/uncategorized/a-hozzajarulas-fogalmanak-kiegeszitese-az-europai-adatvedelmi-testulet-5-2020-iranymutatasaban/

[39] GDPR 5. cikk (1) bekezdés e) pont

[40] A NAIH tájékoztatója a munkahelyi adatkezelések alapvető követelményeiről (2016) 19-20 o.

[41] Mt. 44. §

[42] Mt. 23. §

[43] A munkaügyi ellenőrzésről szóló 1996. évi LXXV. törvény 3. § a) pont

- 42/43 -

[44] Arany-Tóth Mariann: Személyes adatok kezelése a munkaviszonyban. Budapest, Wolters Kluwer, 2016. 51 o. (Továbbiakban: Arany-Tóth: Személyes adatok kezelése a munkaviszonyban.)

[45] Az adózás rendjéről szóló 2017. évi CL. törvény (Továbbiakban Art.)

[46] Art. 1. számú melléklet 3. pont

[47] Mt. 184. §

[48] Mt. 189. §

[49] Mt. 228. §

[50] Mt. 229. §; Arany-Tóth: Személyes adatok kezelése a munkaviszonyban. 51-52 o.

[51] Pályaalkalmassági vizsg

[52] 367/2019 (XII. 30.) Korm. rendelet a kötelező legkisebb munkabér (minimálbér) és a garantált bérminimum megállapításáról

[53] Mt. 66. §

[54] A szociális hozzájárulásról szóló 2018. évi LII. törvény 15. §

[55] Arany-Tóth: Személyes adatok kezelése a munkaviszonyban. 52-54 o.

[56] 33/1998. (VI. 24.) NM rendelet 15. számú melléklete

[57] Mt. 286. §

[58] Mt. 6. § (4) bekezdés

[59] Az Európai Parlament és a Tanács 2002. március 2002/14/EK irányelve az Európai Közösség munkavállalóinak tájékoztatása és a velük folytatott konzultáció általános keretének létrehozásáról

[60] Mt. 8. § (2) bekezdése

[61] Mt. 38. §

[62] Mt. 46. §

[63] Mt. 47. §

[64] Mt. 155. § (2) bekezdése

[65] Mt. 185. § (2) bekezdés

[66] Mt. 9. § (2) bekezdése

[67] Arany-Tóth: Személyes adatok kezelése a munkaviszonyban. 56 o.

[68] Mt. 21. §

[69] Mt. 65. § (5) bekezdés

[70] Mt. 133. § (2) bekezdés

[71] Arany-Tóth: Személyes adatok kezelése a munkaviszonyban. 57-58 o.

[72] Megjegyzendő, hogy a munkavédelmi célú ellenőrzések jogalapja is az adatkezelő jogos érdeke lesz, jelen tanulmány 2.2. pontjában leírtaknak megfelelően

[73] A munkavédelemről szóló 1993. évi XCIII. törvény

[74] Arany-Tóth: Személyes adatok kezelése a munkaviszonyban. 63 o.

[75] Arany-Tóth: Személyes adatok kezelése a munkaviszonyban. 62-63 o.

[76] C-342/12. sz. ügy

[77] Kúria Mfv.10.636/2015/8.

[78] A 29. cikk szerinti munkacsoport 02/2017. számú véleménye a munkahelyi adatkezelésről (WP249), 22 o.

[79] ABI-19532/2011/P

[80] Arany-Tóth: Személyes adatok kezelése a munkaviszonyban. 68 o.

[81] Bankó Zoltán, Berke Gyula, Kiss György, Szőke Gergely László: Nagykommentár a munka törvénykönyvéhez. Budapest, Wolters Kluwer Hungary, 2021.

[82] Mt. 42. §

[83] Arany-Tóth: Személyes adatok kezelése a munkaviszonyban. 69-72 o.

[84] Art. 50. §

[85] BH 1996.64.

[86] BH 1996.450.

[87] Mt. 10. §

[88] Juhász Csilla: Teljesítményértékelés a gyakorlatban. Jelenkori Társadalmi és Gazdasági Folyamatok. 3, 1 (2008).

[89] Bankó Zoltán, Berke Gyula, Kiss György, Szőke Gergely László: Nagykommentár a munka törvénykönyvéhez. Budapest, Wolters Kluwer Hungary, 2021.

[90] Kirstie Ball: Workplace surveillance: an overview. Labor History, 51:1 (2021) 87-106 o.

[91] Szabó Endre Győző: A személy- és vagyonvédelem adatvédelmi gyakorlata = Információvédelem, Szerk. Christián László. Budapest, NKE Szolgáltató Kft, 2015. 31 o.

[92] Lilian Edwards, Laura Martin, Tristan Henderson: Employee Surveillance: The Road to Surveillance is Paved with Good Intentions (2018).

[93] NAIH/2019/769/

[94] Ptk. 2:48. §

[95] NAIH/2019/3406/2

[96] Pályázati forrásból megvalósuló eseményeken készülő képek/videók nem ebbe a kategóriában tartoznak, mivel az elszámolás érdekében bizonyos esetekben kötelező a képek készítése, így bár a hozzájárulás, mint jogalap alapvetően továbbra is alkalmazható, az önkéntesség vizsgálata nagyobb hangsúlyt kell kapjon.

[97] A NAIH közleménye az Erzsébet-táborokban a táborozó gyermekek részére készített, "Véleményed kincs!" című kérdőívhez kapcsolódó adatkezelést illetően (2020)

[98] Mt. 22. (2) bekezdés, BH 1999.331.

- 43/44 -

[99] Mt. 66. §

[100] Ptk. 6:212. §, 6:213. §

[101] BH 1998.195.

[102] MK 95. számú állásfoglalás

[103] 4/2017. (XI. 28.) KMK vélemény

[104] Mt. 36. § (1) bekezdése

[105] MK 154. számú állásfoglalás

[106] Bankó Zoltán, Berke Gyula, Kiss György, Szőke Gergely László: Nagykommentár a munka törvénykönyvéhez. Budapest, Wolters Kluwer Hungary, 2021.

[107] Arany-Tóth: A munkavállalók személyes adatainak védelme a magyar munkajogban. 319 o.

[108] Arany-Tóth: A munkavállalók személyes adatainak védelme a magyar munkajogban. 325 o.