Tekintettel arra, hogy 2018. május 25. napjától alkalmazandó a 2016/679/EU rendelet (GDPR), megkerülhetetlen egyes adatkezelők szerepének és kötelezettségeinek alapos vizsgálata, illetve újragondolása. A kollektív munkajog intézményei ugyan sokszor látókörön kívül esnek e téma vonatkozásában, azonban az üzemi tanács, illetőleg az üzemi tanácsi választásokat lebonyolító választási bizottság feladatai ellátása érdekében személyes adatokat gyűjt be a munkáltatótól, és kezeli azokat a választások időtartama alatt, illetőleg az üzemi tanács tevékenységének tartama alatt, már csak konzultációs joga folytán is. Előrebocsátom, hogy e tanulmányban személyes adat alatt elsősorban a személyes adatok különleges kategóriáit értem, mivel elsősorban ezek kezeléséhez rendel a GDPR, valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) szigorúbb követelményeket, és a felvetett kérdések éppen ezen szigorúbb követelmények kapcsán merülnek fel. A GDPR 9. cikk (1) bekezdése szerint ilyennek kell tekinteni a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatokat, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatokat, az egészségügyi adatokat és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatokat.
Miután tevékenysége a munkavállalók személyes adatainak kezelését is jelentős részben magában foglalja, az üzemi tanács is köteles megtartani az adatvédelmi szabályokat tevékenysége során. Ám e kötelezettségek elmulasztása, illetőleg adatvédelmi incidens esetén számtalan kérdés merül fel. Az üzemi tanács nem jogi személy, nincs saját vagyona, így kérdés, hogy bírság egyáltalán kiszabható-e a testületre, és ha igen, kinek kell azt ténylegesen megfizetnie. Ugyanígy kérdéseket vet fel a kárfelelősség, hiszen bár az új Pp. perképességet biztosít az üzemi tanács
- 146/147 -
számára, azonban nincs vagyona, amelyből egy esetleges kártérítést ki tudna fizetni. A tanulmányban ezen kérdésekre igyekszek választ adni - amennyiben a jelenlegi jogszabályi környezet alapján erre van lehetőség -, azonban ennek előfeltétele az üzemi tanács adatkezelői minőségének körbejárása.
A jelen tanulmányban felvetett kérdések elemzése során - figyelemmel a terjedelmi korlátokra, valamint arra, hogy elsősorban az önálló adatkezelőként eljáró üzemi tanács vonatkozásában felmerülő gyakorlati problémákra kívánok fókuszálni - tényként fogadtam el, hogy az üzemi tanács önálló adatkezelőnek minősül.
A GDPR - és ezzel együtt az Infotv. is - megköveteli az adatkezelőktől, hogy megtegyék a megfelelő technikai és szervezési intézkedéseket az adatok védelme érdekében.[1] Az üzemi tanács az ehhez szükséges anyagi - és adott esetben emberi - erőforrással saját maga nem rendelkezik, hiszen ahogy arra már korábban utaltam, sem saját szervezete, sem saját vagyona nincs. Miután azonban jogszabályi kötelezettség teljesítéséről van szó, az adatvédelem körében szükséges intézkedések megtétele mindenképpen olyan indokolt költségnek tekinthető, amelyet a munkáltató köteles állni, hiszen e nélkül az üzemi tanács jogszerű működése, ekként a munkavállalók részvételi jogának jogszerű, rendeltetésszerű gyakorlása nem lenne biztosítható. Az viszont, hogy adott esetben milyen mértékű intézkedés megtétele indokolt, már mindenképpen vitákra adhat okot a munkáltató és az üzemi tanács között, amelyben az Mt. 293. § (2) bekezdése alapján döntőbíró dönt. Azonban az, hogy milyen intézkedés megtétele szükséges, de elégséges a személyes adatok védelme érdekében, szakkérdésnek minősül, és a döntőbírói eljárás szabályozottságának hiánya[2] miatt nem egyértelmű, hogy a döntőbíró maga foglalna-e állást ezen szakkérdésben, vagy szakértő (adatvédelmi szakember) bevonására kerülne sor, legalább a technikai megvalósítás tisztázása érdekében. És még a döntés megszületése esetén sincs garancia arra, hogy a munkáltató a döntőbírói döntésnek megfelelően jár el, így az üzemi tanács számára csak a hosszadalmas és költséges peres út marad. Mivel az üzemi tanácsnak nincs vagyona, amelyből megfizethetné a költségeket, és nem várható el a tagoktól, hogy saját vagyonukból előlegezzék azt, egy ilyen esetben az üzemi tanács hetekig vagy akár hónapokig is folyamatosan jogsértést követhet el pusztán azzal, hogy a munkáltató mulasztása folytán nem tudja biztosítani a szükséges védelmi szintet a személyes adatok vonatkozásában.
- 147/148 -
Kétségtelen tény, hogy az üzemi tanács főtevékenysége során személyes adatok különleges kategóriáit nagy számban kezeli, amely esetben a GDPR rendelkezése folytán az adatvédelem feltételeinek biztosítása körében adatvédelmi tisztviselőt köteles igénybe venni.[3] A korábban leírt sajátosságaiból fakadóan azonban az nem teljesen egyértelmű, hogy az üzemi tanács saját adatvédelmi tisztviselőt köteles-e foglalkoztatni, vagy a munkáltató adatvédelmi tisztviselője lesz egyben az üzemi tanácsa adatvédelmi tisztviselője. Annak ellenére, hogy az üzemi tanács nem rendelkezik a munkáltatótól elkülönült szervezettel, funkciója és az általa gyakorolt jogok miatt meg kell őrizze neutrális jellegét[4] mind az általa képviselt munkavállalók, mind a munkáltató irányába, valamint a munkavállalók érdekeit képviselő testületként a munkáltatóval szemben is köteles biztosítani a munkavállalói adatok biztonságos kezelését. Azonban a GDPR szerint adatvédelmi tisztviselő vagy az adatkezelő (adatfeldolgozó) - jelen esetben a munkáltató -alkalmazottja lehet, vagy olyan harmadik személy, aki szolgáltatási szerződés keretében látja el ezen feladatot.[5] A munkáltató által munkaviszonyban foglalkoztatott adatvédelmi tisztviselő felett azonban a munkáltató gyakorolja az Mt. által biztosított valamennyi jogosultságát, így az utasítási és ellenőrzési jogot,[6] de szolgáltatási szerződés esetén is van megbízóként utasítási joga, bár az kétségtelenül gyengébb, mint munkaviszony esetében.[7] E mellett maga a GDPR is úgy rendelkezik, hogy az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel,[8] így szigorú függőségi helyzetet teremtve az adatvédelmi tisztviselő és az őt foglalkoztató adatkezelő (munkáltató) között. Az Mt., az Infotv. és a GDPR által is előírt szigorú titoktartási kötelezettség[9] ellenére azonban ez a fajta függőségi helyzet - akár munkaviszonyban, akár szolgáltatási szerződés keretében kerül sor az adatvédelmi tisztviselő alkalmazására - legalábbis kétségessé teszi, hogy az adatvédelmi tisztviselő semleges és pártatlan tud maradni az üzemi tanáccsal kapcsolatos adatvédelmi feladatok kapcsán. Bár az összeférhetetlenség elkerülése érdekében
- 148/149 -
adekvát intézkedéseket szükséges tenni,[10] a munkáltatót megillető szigorú utasítási és felelősségrevonási jog olyan erős jogosultságoknak tekinthetők, amelyeket álláspontom szerint nem lehet ellensúlyozni. Különösen azért, mert ebben a különleges helyzetben az egyébként egyértelműnek látszó jogszabályok értelmezése is nehézségekbe ütközik. Hiába rendelkezik a GDPR ugyanis arról, hogy az adatvédelmi tisztviselő kizárólag az adatkezelőtől, illetőleg az adatfeldolgozótól fogadhat el utasítást,[11] ami a jelen tanulmány szempontjából az üzemi tanácsot jelenti, hiszen egyébként a munkáltató alkalmazza és fizeti díjazását. Erre tekintettel a munkáltatóval közös adatvédelmi tisztviselő esetében nem zárható ki, hogy azt a munkáltató adott esetben felhasználja az üzemi tanáccsal szemben, az adatvédelmi tisztviselő révén akadályozza, illetőleg meggátolja az üzemi tanácsot munkája végzésében és a részvételi jogok hatékony gyakorlásában.
Ezért a potenciális visszaélések és az összeférhetetlenség elkerülése érdekében az lenne az ideális, ha a munkáltatóétól elkülönült, saját adatvédelmi tisztviselője lenne az üzemi tanácsnak. Ezen a ponton azonban egy másik problémába ütközünk, nevezetesen abba, hogy az üzemi tanács nem jogi személy, alapvetően nem rendelkezik jogképességgel, ekként szerződéskötési képességgel sem, kizárólag az Mt. által meghatározott körben, ami azonban leszűkíti azt az üzemi megállapodás megkötésének jogosultságára,[12] jogképessége ekként csupán relatív.[13] Abszolút jogképesség hiányában azonban ezen túlmenően nem lehet jogok és kötelezettségek alanya az üzemi tanács, nem köthet szerződést, így sem munkaszerződés, sem szolgálati szerződés keretében nem foglalkoztathat még adatvédelmi tisztviselőt sem, ugyanis erre felhatalmazást a jogszabályok nem tartalmaznak. De még ha volna is ilyen felhatalmazás, ismételten a saját vagyon hiányának problematikájába ütköznénk, hiszen annak hiányában nem tudja az üzemi tanács megfizetni az adatvédelmi tisztviselő munkabérét, illetőleg megbízási díját. Elkülönült vagyon hiányában a jogi személy szervezeti egysége sem nyerhet jogi személyiséget, az ún. belső jogalanyiságnak is feltétele az elkülönült vagyon és a saját szervezet.[14]
Megoldás lehetne egy háromoldalú szerződés megkötése - ha az ehhez szükséges jogszabályi felhatalmazás megszületne - akként, hogy az üzemi tanács és az adatvédelmi tisztviselő mellé belép harmadik félként a munkáltató, akinek egyetlen jogosultsága, illetőleg kötelezettsége az adatvédelmi tisztviselő részére járó díjazás megfizetése lenne, hiszen az egyértelműen az Mt. 236. § (4) bekezdése szerinti indokolt költség fogalmába tartozik. Azonban egy ilyen konstrukció is számtalan kérdést és problémát vetne fel, továbbra is az üzemi tanács sajátos jogalanyisága következtében, valamint arra tekintettel, hogy a tisztviselő díjának visszatartásával a munkáltató ismételten meg tudná akasztani az
- 149/150 -
üzemi tanács jogszerű működését. A szerződéskötési képességen túlmenően azonban egyéb, a munkáltatót, illetőleg a megbízót rendszerint megillető jogosultságok, illetőleg terhelő kötelezettségek esetében további anyagi jogi és eljárásjogi jogosultságokat is biztosítani kellene az üzemi tanács részére, egyfelől annak érdekében, hogy az üzemi tanács kikényszeríthesse az adatvédelmi tisztviselőtől kötelezettségei teljesítését, másrészről azért, hogy az adatvédelmi tisztviselő számára is nyitva álljon ennek a lehetősége az üzem tanáccsal szemben. Egy ilyen háromoldalú szerződés esetében ugyanis a munkáltatónak magának önálló döntési jogosultsága nem lenne az adatvédelmi tisztviselő díjazásának kifizetése és visszatartása vonatkozásában, álláspontom szerint kizárólag az üzemi tanács utasítása szerint járhatna el, tekintet nélkül annak jogszerűségére, illetőleg az intézkedés jogszerűségét lényegében nem vizsgálhatná. Ez eleve egy furcsa helyzetet teremtene, ismételten csak az üzemi tanács neutrális jellegét, valamint a munkáltatóval fennálló, alapvetően koordinációra épülő kapcsolatának dinamikáját változtatná meg, ha az üzemi tanács utasíthatná a munkáltatót. Processzuális szempontból pedig tovább bonyolítaná a helyzetet, többek között abban a vonatkozásban, hogy kérdés maradna, az adatvédelmi tisztviselő a díjazása kifizetése érdekében kivel szemben nyújthat be fizetési meghagyást, kinek küldhet fizetési felszólítást, illetőleg kivel szemben indíthat peres eljárást, végső soron pedig kivel szemben indíthatja meg a végrehajtási eljárást. A munkaviszonyból fakadó igények esetében ugyan biztosítja a Pp. az üzemi tanács perképességét,[15] azonban egyéb jogviszonyok, így a szolgáltatási szerződés esetében erre még nem került sor, és egyelőre nem utal semmi jel arra, hogy a jogalkotónak ilyen szándéka volna.[16] Az a kérdés pedig egyáltalán nem került rendezésre, hogy jogerős bírósági ítélet végrehajtása iránti eljárásban, szintén fennálljon az üzemi tanács jogalanyisága, különösen, ha az ítélet marasztalást is tartalmaz.
A legideálisabb az volna, ha az üzemi tanács valamely tagja látná el az adatvédelmi tisztviselői feladatokat az üzemi tanács adatkezelésével kapcsolatosan, hiszen ebben az esetben a fent kifejtett gyakorlati problémák egy jelentős része kikerülhető lenne. Bár a GDPR erről kifejezetten nem rendelkezik, az "alkalmazott", illetőleg a "staffmember" fogalmába adott esetben beleérthető az üzemi tanács
- 150/151 -
tagja is. Ezt támasztja alá az is, hogy a 29. cikk szerinti Adatvédelmi Munkacsoport szerint[17] alapvető elvként jelenik meg a munkajog és az adatvédelmi jog kölcsönhatása,[18] amely szükséges, értékes és mindazon megoldások kifejlesztését szolgálja, amelyek a munkavállalók érdekeinek tényleges védelmét segítik. Ebből következően az adatvédelmi szabályok értelmezése során azt a jelentést szükséges választani, amely révén nem csak az adatvédelem valósul meg, de összességében a munkavállalók érdekeit szolgája. Ebből következően olyan értelmezés nem fogadható el az adatvédelmi tisztviselő alkalmazása vonatkozásában, amely kiszolgáltatottá tenné az üzemi tanácsot, vagy megfosztaná semlegességétől.[19] Az az értelmezés, amely szerint az adatvédelmi tisztviselő az üzemi tanács tagja is lehet, nem áll ellentétben a jogszabályi rendelkezésekkel, ellenben ez szolgálja leginkább a munkavállalói érdekek védelmét azon keresztül, hogy a munkavállalók által választott üzemi tanács autonómiáját ily módon meg tudja őrizni. Ezen értelmezési módszerelfogadása hiányában a nemzeti jogalkotó a GDPR 88. cikk (1) bekezdésében biztosított felhatalmazás révén a vonatkozó magyar adatvédelmi szabályokat akár megfelelően módosíthatja, és lehetővé teheti az üzemi tanács vonatkozásában, hogy annak adatvédelmi tisztviselőjévé valamelyik tagja váljon. Kétségtelen azonban, hogy ilyen szándék a hazai jogalkotó oldalán jelenleg nem fedezhető fel. E tisztség betöltéséhez azonban szükséges, hogy az üzemi tanács e tagja megfelelő tudással rendelkezzen, ekként részére oktatást kell biztosítani. Ennek finanszírozása nyilvánvalóan a munkáltatót terhelné indokolt költségként, az oktatás megszervezése pedig történhetne a szakszervezeten keresztül, vagy akár a munkáltató segítségével. A szakszervezet szerepe az üzemi tanács működésében vitathatatlanul jelentős, mert bár nem törvényszerű, hogy szakszervezeti tagok kerüljenek be az üzemi tanácsba, azonban a munkáltatónál képviselettel rendelkező szakszervezet önállóan is állíthat jelöltet, és ez meghatározó az üzemi tanács személyi összetételét tekintve.[20] Az üzemi tanács és a szakszervezet közötti személyi összefonódás az esetek nagyobb részében igazolható,[21] ahol pedig ez
- 151/152 -
nem jellemző, ott a szakszervezetnek nem érdeke az üzemi tanács létrehozása,[22] és az szép lassan elhal.[23] Ezért érdemes volna a szakszervezetet is érdekeltté tenni az üzemi tanács fenntartásában és megfelelő működtetésében, mert az végső soron az üzemi tanácsok számának emelkedéséhez, a tagok képzésébe történő bevonás révén pedig az üzemi tanács működésére ráhatással lehetnek (pl. annak aktivizmusa terén), miközben megfelelő képzések megszervezése révén az üzemi tanács tagok magasabb fokú képzettségéhez hozzájárulhatnak. Ezen túlmenően pedig akár az adatvédelmi hatóság is aktív szerepet játszhatna az oktatásban, hiszen a 29. cikk szerinti Adatvédelmi Munkacsoport iránymutatása szerint - amit az új Európai Adatvédelmi Testület is átvett - hasznos lenne, ha a felügyeleti hatóságok elősegítenék az adatvédelmi tisztviselők megfelelő és rendszeres képzését.[24] Ezen túlmenően azonban a hazai szabályozást további kérdések tekintetében is megfelelően módosítani kellene, hiszen ilyen minőségében a tag nem üzemi tanácsi tevékenységet lát el, így mindenképpen külön biztosítani kellene számára további munkaidő-kedvezményt, és az esetleges díjazás, valamint a munkajogi védelem kérdését is rendezni szükséges. Ez utóbbi bár a GDPR alapján is megilletné,[25] azonban az üzemi tanácsra vonatkozó, e körben igencsak vitatható magyar szabályozás[26] miatt érdemes lenne a nemzeti jog szintjén is egyértelműsíteni, hogy a munkavállalót e minőségében munkajogi védelem illeti meg, tevékenységéért hátrány nem érheti. Különösen, ha azt nem az Mt. szerint státusvédelmet[27] élvező üzemi tanács elnök, hanem az üzemi tanács egy másik, ilyen védelmet a magyar munkajog alapján nem élvező tagja látja el.
A fent kifejtettekre tekintettel meglátásom szerint az üzemi tanácsra vonatkozó hazai szabályozás hiányosságai miatt jelenleg megnyugtató válasz nem adható arra a kérdésre, hogyan alkalmazhat az üzemi tanács adatvédelmi tisztviselőt úgy, hogy egyúttal jelenlegi autonómiáját, neutralitását, valamint a munkáltatóval fennálló kapcsolatát jellemző kooperatív[28] légkört is megőrizhesse. A megfelelő jogszabály módosításokat követően azonban az üzemi tanács valamelyik tagja lenne a megfelelő személy e tisztség betöltésére az üzemi tanács adatkezelésével kapcsolatosan.
- 152/153 -
Az eddig felvetett problémákon túl további kérdésként merül fel az, hogy amennyiben a munkáltató megtagadja az üzemi tanács által tervezett adatvédelmi intézkedések finanszírozását, és az adatvédelmi hatóság emiatt bírságot szab ki az üzemi tanáccsal szemben, vagy valamely munkavállalónak az üzemi tanáccsal szembeni sérelemdíj iránti igényét a bíróság alaposnak találja, akkor a bírság, illetőleg a sérelemdíj kit terhel. Hiszen az adatvédelmi jogsértést az üzemi tanács követi el, amelynek oka azonban a munkáltató magatartására vezethető vissza. Miután ebben a relációban a munkáltató sem adatkezelői, sem adatfeldolgozói minőséggel nem bír, azonban bírság kiszabására csak az adatvédelmi szabályokat megsértő adatkezelővel és adatfeldolgozóval szemben van jogszabályi lehetőség, így kizárólag az üzemi tanács, illetőleg az üzemi tanács tagjai kötelezhetők a bírságról rendelkező határozatban. Természetesen szóba jöhetne az Infotv. által ismert közös adatkezelő fogalma, azonban a munkáltató kizárólag akkor minősülhetne ilyennek, ha az üzemi tanács a munkáltatóval közösen határozná meg az adatkezelés célját vagy eszközeit, illetőleg ha az üzemi tanács adatkezelésével kapcsolatos döntéseket - ideértve a felhasznált eszközre vonatkozó döntéseket - közösen hoznák meg, hajtanák végre, vagy az üzemi tanács a munkáltatóval hajtatná végre azokat.[29] Az üzemi tanács neutrális jellegével és a részvételi jogok vonatkozásában fennálló döntési autonómiájával nem fér meg az, hogy a munkáltató befolyásolja a részvételi jogok gyakorlásával, valamint működésével kapcsolatos döntéseit, azokba beleszóljon, még akkor sem, ha ezek költségeit állni köteles. Önmagában az, hogy a munkáltató finanszírozza az üzemi tanács működését, ideértve az adatvédelmi szabályoknak történő megfelelést, nem jelenti, hogy közösen hoznák meg a döntéseket, sőt az a fentebb leírtak alapján álláspontom szerint ellentétben is állna az üzemi tanács rendeltetésével. Ezért a munkáltató az üzemi tanácsot terhelő adatvédelmi kötelezettségek kapcsán egyfajta "csendestárs", aki finanszírozza ugyan az adatvédelmi megfelelést, azonban érdemi ráhatása ezen túlmenően - legalábbis de iure - nincs az üzemi tanács adatkezelésére és adatvédelmi döntéseire. Ez alapján a munkáltató nem válhat az üzemi tanács adatvédelmi szabálysértését megállapító és szankcionáló hatósági határozat címzettjévé, sem önállóan, sem az üzemi tanáccsal együttesen. Egyébként ezt támasztja alá a munkáltató és az üzemi tanács relációját értelmező bírói gyakorlat is, amelyből következően az üzemi tanáccsal szembeni igény nem érvényesíthető a munkáltatóval szemben, még akkor sem, ha az üzemi tanács időközben megszűnt.[30]
E mellett az üzemi tanácsra vonatkozó jogszabályi környezet rendezetlensége okán nem egyértelmű az sem, hogy az üzemi tanácsot, mint testületet, vagy esetleg az egyes üzemi tanács tagokat lehet bírságolni. Az üzemi tanács funkciójából és jellegéből fakadóan alapvetően testületként értelmezhető csak, tagjai főszabály szerint nem bírnak egyéni felelősséggel üzemi tanácsi tagként történő eljárásuk vonatkozásában, hiszen döntéseiket is közösen hozzák meg, és
- 153/154 -
az üzemi megállapodás alanyává is az üzemi tanács válik, nem pedig az egyes tagok.[31] Amennyiben ennek megfelelően az adatvédelmi hatóság a jogsértés miatt az üzemi tanács egészét marasztalja és kötelezi bírság megfizetésére - ami a GDPR alapján akár milliós tétel is lehet a jogsértés súlyától függően[32] -, úgy ismét felmerül a kérdés, hogy az üzemi tanács saját vagyonának hiányában ténylegesen ki fogja helyette kifizetni a bírságot. A jogsértés jogkövetkezményeként megállapított szankció ugyanis nyilvánvalóan nem tekinthető indokolt költségnek, míg a tagok sem kötelezhetők arra, hogy saját vagyonukból fizessék meg a bírságot, hiszen egyfelől akkor még kevesebb munkavállaló vállalná e tisztség betöltését, másfelől nem ők maguk kerültek kötelezésre, hanem az üzemi tanács, mint önálló entitás, amelyen nem változtat az a tény, hogy nincs saját vagyona és a munkáltatótól elkülönült szervezete. Az Mt. 2012. évtől kezdődően egyébként egyértelműen megtörte az üzemi tanácsra vonatkozó szabályanyag egységét az üzemi tanács testületi jellege kapcsán, hiszen munkajogi védelem kizárólag az üzemi tanács elnökét védi e tevékenységével összefüggésben, a tagokat nem.[33] Ez pedig legalábbis felveti a tagok egyéni felelősségének lehetőségét. Természetesen amennyiben megállapítható, hogy valamely üzemi tanács tag e minőségét felhasználva, de nem e tevékenysége ellátásával összefüggésben sértette meg az adatvédelmi szabályokat,[34] úgy egyértelműen egyéni felelősségről van szó,[35] és az esetleges bírságot, egyéb szankciókat saját vagyonából köteles megfizetni az üzemi tanács tag. Egyéb esetekben azonban, amikor a sérelem az üzemi tanács mint testület döntése, eljárása folytán következik be, az üzemi tanács tagjainak személyes felelőssége álláspontom szerint nem vagy csak nehezen állapítható meg, hiszen az üzemi tanács döntéseit nem a tagok egyénileg, hanem közösen, testületként hozzák meg.
Az eddig kifejtettek alapján rögzíthető, hogy egy esetleges adatvédelmi hatósági eljárásnak és bírságot kiszabó határozatnak az üzemi tanács lehetne csak alanya az üzemi tanács adatkezelésével összefüggésben. Egy ilyen határozat megszületése
- 154/155 -
esetén azonban kétséges, hogy annak jogszerűségét peres eljárásban vitathatja-e az üzemi tanács, jogi személyiség hiányában ugyanis nincs perbeli jogképessége, és az Mt., valamint a Pp. is kizárólag a munkajogi perek kapcsán teszi lehetővé, hogy perképesség hiányában is peres fél legyen az üzemi tanács, és e körben a Kp. sem tartalmaz egyértelmű szabályokat, amikor azt rögzíti, hogy a munkavállalói érdekképviseleti szervezet kizárólag a közszolgálati jogviszonnyal kapcsolatos perben lehet fél közigazgatási perben.[36] A törvény szerint ugyan közigazgatási per a közigazgatási szerv közigazgatási jog által szabályozott, az azzal érintett jogalany jogi helyzetének megváltoztatására irányuló vagy azt eredményező cselekményének, vagy a cselekmény elmulasztásának jogszerűsége iránti per, valamint a közszolgálati és a közigazgatási szerződéses jogviszonnyal kapcsolatos per.[37] Azonban ebből következően az adatvédelmi hatóság határozatával szembeni közigazgatási perben, a kizárólag gazdasági munkaviszonyban létrehozható üzemi tanácsnak, valamint a csak a közalkalmazotti jogviszonyban létező közalkalmazotti tanácsnak főszabály szerint nincs perbeli jogképessége, tekintettel arra, hogy egyrészt ezek a jogviszonyok nem közszolgálati jogviszonyok, másrészt egyedi hatósági döntéssel szembeni perben a Kp. nem biztosít perképességet semmilyen munkavállalói érdekképviseleti szerv részére. Ezt a hiányosságot a jogalkotó eddig nem pótolta, ami azonban sérti az üzemi tanács Alaptörvényben foglalt bírósághoz történő forduláshoz való jogát.[38]
A munkaügyi, illetőleg polgári peres eljárások kapcsán rögzíthető, hogy az Mt. 285. § (1) bekezdése lehetővé teszi, hogy az üzemi tanács, illetőleg a munkaviszony egyéb szereplői az üzemi tanáccsal szemben a munkaviszonyból, az Mt.-ből, illetőleg az üzemi megállapodásból származó igényt bíróság előtt érvényesíthessék. E vonatkozásban érdemes megemlíteni a Kúria egy közelmúltbeli döntését, amely bár a szakszervezettel kapcsolatosan értelmezi az Mt. fenti rendelkezését, azonban az mutatis mutandis alkalmazandó az üzemi tanácsra is.
A Kúria döntésének elvi tartalma szerint amennyiben a munkáltató a kollektív szerződés mintegy végrehajtása, érvényesítése érdekében a munkáltató szabályzatban rögzít részletszabályokat, úgy annak érvénytelensége iránt a szakszervezet nem kezdeményezhet pert kereshetőségi jog hiányában. A Kúria álláspontja szerint ugyanis a munkáltatói szabályzat - mint egyoldalú munkáltatói utasítás - címzettjei a munkavállalók vagy munkavállalók meghatározott csoportja, amelynek végrehajtása számukra kötelező, ezért az abban foglalt rendelkezések alkalmazása kizárólag egyéni jogvitákban értékelhető, azzal szemben a szakszervezet (üzemi tanács) Mt. 285. § (1) bekezdésében foglalt igényérvényesítési joga nem áll fenn, mert annak nem címzettje, és az abban foglaltak a szakszervezet (üzemi tanács) jogait és kötelezettségeit nem érintik.[39] Ezért kereshetőségi joga ilyen esetben nincs sem a szakszervezetnek, sem az üzemi tanácsnak - utóbbinak nyilvánvalóan normatív hatályú üzemi megállapodás esetén van relevanciája. Azon túl, hogy álláspontom szerint ez egy kifejezetten
- 155/156 -
téves jogértelmezés, ami még kiszolgáltatottabbá teszi a munkavállalókat, a szakszervezet, illetőleg az üzemi tanács kereshetőségi jogát pedig indokolatlanul leszűkíti, komoly veszélyeket is rejthet magában a jövőben, amennyiben ez egy kialakulóban lévő gyakorlat kezdete. A GDPR 88. cikk (1) bekezdése ugyanis a jogalkotó mellett a szakszervezetek és munkáltatók számára is lehetővé teszi, hogy pontosabb adatvédelmi szabályokat állapítsanak meg kollektív szerződésben, amely alatt a GDPR preambulumának (155) bekezdése szerint az üzemi megállapodásokat is érteni kell, így adott esetben a fent idézett bírósági ítélethez hasonló esetek állhatnak elő, ha a munkáltató egyoldalú utasítással, akár szabályzatban hoz olyan részletszabályokat, amelyek ténylegesen vagy látszólag a kollektív szerződés (üzemi megállapodás) érvényesítését szolgálják, ám de facto valamilyen érvénytelenségi ok áll fenn. Ekkor ugyanis a fenti gyakorlat értelmében a szakszervezet, illetőleg az üzemi tanács nem, kizárólag az egyéni munkavállalók fordulhatnak bírósághoz az érvénytelenség megállapítása iránt. Holott egy ilyen munkáltatói utasítás ténylegesen érinti a szakszervezet (üzemi tanács) jogait és kötelezettségeit, amennyiben az érvényes és hatályos kollektív szerződés (üzemi megállapodás) rendelkezéseit kívánja megkerülni, illetve felülírni. Ez a bírói gyakorlat végső soron álláspontom szerint potenciális veszélyt jelenthet a GDPR által kialakított védelmi szintre, amelynek fő célja a munkavállalók személyes adatainak biztonsága, és az azt esetlegesen fenyegető szabályok, gyakorlatok minél gyorsabb és hatékonyabb felszámolása. Ráadásul - a GDPR alapján is -kifejezetten kívánatos annak biztosítása, hogy a munkavállalók képviselői a munkavállalók nevében eljárhassanak, adott esetben akár a meghatalmazásuk nélkül hatósági vagy bírósági eljárást kezdeményezzenek,[40] amely kívánalommal ellentétes irányt mutat a fent hivatkozott bírói gyakorlat.
Végezetül visszautalok arra, hogy a munkajogi igények kapcsán biztosítja a Pp. az üzemi tanács perképességét, azonban az üzemi tanács tevékenységével összefüggő, de más jogviszonyból fakadó (pl. adatvédelmi incidens miatti kártérítési felelősség) igények esetében erre még nem került sor, az ezekkel kapcsolatosan felmerülő kérdéseket a jogalkotó egyelőre nyitva hagyta.
Joghézag mutatkozik a tekintetben, hogy amennyiben az üzemi tanács által az adatok védelme érdekében tervezett technikai és szervezeti intézkedéseket a munkáltató nem fogadja el, azoknak költségét nem állja, úgy ki tartozik az így bekövetkező adatvédelmi szabályszegésért felelősséggel, kinek kell az esetlegesen kiszabott adatvédelmi bírságot, illetőleg adott esetben a sérelemdíjat megfizetnie az érintett részére. Az üzemi tanács adatkezelői mivoltával összefüggésben nem alakult ki hazánkban gyakorlat, sem a szakirodalom, sem a joggyakorlat nem utal arra, hogy milyen felelősséggel bír az adatvédelem terén, és az adatvédelmi hatóság is hallgat arról, hogy önálló adatkezelőnek tekinti-e vagy esetleg a
- 156/157 -
munkáltató részeként kezeli, és így a munkáltató tekinthető felelősnek a jogszabálysértésért. Ezért kizárólag a GDPR rendelkezései adhatnak iránymutatást, az egyéb adatvédelmi jogszabályok és a vonatkozó munkajogi, társasági jogi rendelkezések kontextusában értelmezve, szem előtt tartva azonban, hogy az uniós rendelkezések célja a felelősség megfelelő elosztása, kiosztása.
Az üzemi tanácsra vonatkozó hazai szabályanyag azonban rendkívül tömör, számtalan kérdés vonatkozásában pedig hallgat, így akár önálló adatkezelőként tekintünk az üzemi tanácsra, akár a munkáltató részeként határozzuk meg adatkezelési feladatait, mindenképpen jogszabályi hiányosságokba, ekként tisztázatlan helyzetekbe botlunk a jogalkalmazás során. A felmerülő problémákra a jogszabályok értelmezése révén kínált válaszok azonban - szintén a jelentős számú joghézagra tekintettel - további kérdéseket vetnek fel. Amennyiben hazánk meg kíván felelni az uniós adatvédelmi szabályozásnak, és ennek megfelelően világos helyzetet teremteni minden egyes adatkezelés vonatkozásában, úgy az üzemi tanács adatkezelésével kapcsolatosan felmerülő főbb hiányosságokat célszerű lenne pótolni. Ezt követeli meg az érintettek, a munkavállalók védelme is, akik kiszolgáltatott helyzetüknél fogva még nehezebben tudják a munkaviszony egyéb alanyai által kezelt adataikkal kapcsolatosan felmerülő igényeiket érvényesíteni. ■
JEGYZETEK
* Az Emberi Erőforrások Minisztériuma UNKP-18-3-IV-DE-222 kódszámú Új Νemzeti Kiválóság Programjának támogatásával készült"
[1] GDPR 24. cikk (1) bek.,Infotv. 4. § (4a) bek.
[2] Kártyás Gábor: Szabályozott is, meg nem is: kollektív érdekviták a Munka Törvénykönyvében. Elérhető: https://ado.hu/munkaugyek/szabalyozott-is-meg-nem-is-kollektiv-erdekvitak-a-munka-torvenykonyveben/ (Utolsó letöltés: 2019. január 06.)
[3] GDPR 37. cikk (1) bek. c) pont.
[4] Kiss György: Alapjogok kollíziója a munkajogban, Pécs, JUSTIS, 2010, 518. o. 3. sz. lábjegyzet.
[6] Mt. 11. § (1) bek. és 52. § (1) bek. c) pont.
[7] Megbízási szerződés esetén a megbízott köteles a megbízó utasításait követni (Polgári Törvénykönyvről szóló 2013. évi V. törvény, a továbbiakban: Ptk.), azonban a megbízó célszerűtlen vagy szakszerűtlen utasítása esetén a megbízott választása szerint a szerződéstől elállhat vagy az utasítást a megbízó kockázatára elláthatja, kivéve, ha az jogszabály vagy hatósági határozat megsértésére vezetne, vagy veszélyeztetné mások személyét vagy vagyonát, mert az ilyen utasítás teljesítését meg kell tagadni (Ptk. 6:273. §). Ha a felek vállalkozási szerződést kötnek, mert az eredmény is fontos a megrendelő számára, akkor a vállalkozó a megrendelő utasítása szerint köteles eljárni, azonban az utasítás nem terjedhet ki a tevékenység megszervezésére, és nem teheti a teljesítést terhesebbé. Célszerűtlen vagy szakszerűtlen utasítás esetén a vállalkozó jogai azonosak a megbízottéval, és ugyanabban az esetben köteles megtagadni az utasítás teljesítését (Ptk. 6:240. §).
[8] GDPR 38. cikk (3) bek. utolsó mondat.
[9] GDPR 38. § (5) bek., Infotv. 25/M. § (2) bek., Mt. 8. § (4) bek.
[11] GDPR 38. cikk (3) bek. 1. mondat.
[12] Mt. 268. §
[13] Bíró György (szerk.): Általános tanok és személyek joga. Új magyar polgári jog tankönyv (I-VIII.) - I. kötet, Miskolc, Novotni Alapítvány, 2014, 313. o.
[14] Bíró: i.m. 315. o.
[15] Pp. 514. §
[16] A fizetési meghagyásos eljárásról szóló 2009. évi L. törvény - amelynek háttérszabálya a Pp. - a fizetési meghagyás kibocsátása iránti kérelem vizsgálata során kizárólag arra utal, hogy a közjegyző megállapítja a kötelezett szervezet jogképességét a jogképességgel rendelkező szervezetek elektronikus nyilvántartásába történő betekintés révén, illetőleg megállapítja, hogy helye van-e a kötelezettel szemben fizetési meghagyás kibocsátásának (23. § (1)-(2) bek.). Ebből arra lehet következtetni, hogy amennyiben a Pp. nem rendel a fizetési meghagyásból kialakuló perben jogképességet az üzemi tanács részére, úgy fizetési meghagyás sem bocsátható ki az üzemi tanáccsal szemben. Márpedig az üzemi tanács - jogképesség hiányában - sem a jogképes szervezetek nyilvántartásában nem szerepel, sem perbeli jogképességet nem kapott a fizetési meghagyásos eljárás vonatkozásában, így kötelezettként fizetési meghagyás kibocsátása iránti kérelemben nem lehet megjelölni, az ilyen kérelmet a közjegyző - a törvényi feltételek fennállásának hiányában - köteles visszautasítani (24. § (1) bek.). A bírósági végrehajtásról szóló 1994. évi LIII. törvénynek is a Pp. szolgál háttérszabályául, így amely peres eljárásban a Pp. nem biztosít az üzemi tanács részére perbeli jogképességet, úgy azon eljárásokban végrehajtási eljárás sem indítható vele szemben. Ennek megfelelően, még amennyiben adatvédelmi bírság kiszabásra is kerülne az üzemi tanáccsal szemben, az nem feltétlenül lesz végrehajtható, nem csak vagyon, hanem jogi lehetőség hiányában sem.
[17] Opinion 8/2001 on the processing of personal data in the employment context (Article 29 - Data Protection Working Party), 5062/01/EN/Final WP 48, 4. o.
[18] Paul De Hert-Hans Lammerant: Protection of Personal Data in Work-related Relations,Brussels, European Parliament, 2013, 68. o.
[19] Kozma Anna-Lőrincz György-Pál Lajos-Pethő Róbert: A munka törvénykönyvének magyarázata, Második, hatályosított kiadás,Budapest, HVG-ORAC, 2014, 469. o.
[20] Benyó Béla kutatásában szakszervezeti vezetők azon a véleményen voltak, miszerint az üzemi tanács tagjainak kiválasztódásában az egyik meghatározó tényező éppen az, hogy a szakszervezet jelöli őket. Ez az üzemi tanács személyi összetételében is megmutatkozik: az üzemi tanácsok 30%-ában teljesen szakszervezeti jelölésű tagok kerültek, további 40%-ukban pedig többségében szakszervezeti kötődésű tagok voltak. Benyó Béla: A munkavállalói részvétel intézménye: az üzemi tanácsok helyzete a mai Magyarországon Budapest, Budapesti Közgazdaságtudományi és Államigazgatási Egyetem, 2004, 86. o. és 90. o.
[21] Benyó Béla-Neumann László-Kelemen Melinda: A munkavállalói részvétel magyarországi gyakorlata. In: Koltay Jenő-Neumann László (szerk.): Közelkép - Munkaügyi kapcsolatok Magyarországon, MTA Közgazdaságtudományi Intézet, Országos Foglalkoztatási Közalapítvány, 2005,173. o. Egy 2010. évi kutatás szerint pedig az üzemi tanács tagjainak 56%-a szakszervezeti tag. Neumann László (kutatásvezető): "Munkahelyi foglalkoztatási viszonyok 2010" kutatás, Budapest, Emóció Bt., 2010, 246. o.
[22] Laki Mihály-Nacsa Beáta-Neumann László: Az új Munka Törvénykönyvének hatása a munkavállalók és a munkáltatók közötti kapcsolatokra. Kutatási zárójelentés. Műhelytanulmányok, MT-DP -2013/2,Budapest, MTA KRTK KTI, 2013, 20. o.
[23] Miután nagyobb valószínűséggel kerül sor üzemi tanács létrehozására ott, ahol szakszervezet is működik [Benyó Béla: Tekinthetjük-e jelentéktelennek a munkavállalói részvételt Magyarországon? Munkaügyi szemle, 2003 január, 20.], valamint aktívabbak azok az üzemi tanácsok, amelyek tagjai kötődnek a szakszervezethez [Benyó Béla: Tekinthetjük-e jelentéktelennek a munkavállalói részvételt Magyarországon? Munkaügyi szemle, 2003. február, 21.], így a szakszervezet támogatásának hiányában, valamint amennyiben a szakszervezet kifejezetten meggátolni igyekszik az üzemi tanács megválasztását, ott nagy az esély rá, hogy az üzemi tanács véglegesen megszűnik.
[24] 29. cikk szerinti Adatvédelmi Munkacsoport Iránymutatása az adatvédelmi tisztviselőkkel kapcsolatban, WP 243 rev.01, 14.
[25] GDPR 38. § (3) bek. második mondat.
[26] Jelenleg az Mt. 260. § (3) bekezdése szerint kizárólag az üzemi tanács elnökét illeti meg munkajogi védelem, az üzemi tanács többi tagját nem.
[27] Kiss György: Munkajog, Budapest, Osiris, 2005, 367. o.
[28] Lehoczkyné Kollonay Csilla: A magyar munkajog. II. kötet Budapest, Vince Kiadó, 2004, 174. o.
[30] Mfv.IU0.033/2014.
[31] Mt. 267. § (1) bek.
[32] A GDPR szerint adatvédelmi szabálysértés 10.000.000 EUR vagy az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%-át kitevő összeggel sújtható (a kettő közül a magasabb összeget kell kiszabni), illetőleg 20.000.000 EUR vagy az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő összeggel sújtható (83. cikk (4)-(6) bek.). Az Infotv. a GDPR hatálya alá tartozó adatkezelések vonatkozásában a GDPR bírsággal kapcsolatos rendelkezéseit rendeli alkalmazni (61. § (1) bek. a) pont).
[33] Mt. 260. § (3) bek.
[34] Ilyen eset lehet, amikor az üzemi tanács választása során tudomására jutott személyes adatokat tesz harmadik személyek számára hozzáférhetővé a tag, pl. személyes sértettség okán bosszúból valamelyik munkavállalót a személyes adatai felhasználásával és nyilvánossá tételével felteszi egy társkereső oldalra, stb.
[35] Article 29 Data Protection Working Party: Opinion 1/2010 on the concepts of "controller" and "processor", 00264/10/EN WP 169., 16.
[36] Kp. 16. § (2) bek.
[37] Kp. 4. § (1)-(2) bek.
[38] Alaptörvény, Szabadság és felelősség, XXVIII. cikk (1) bek.
[39] Mfv.II.10.027/2018.
[40] De Hert-Lammerant: i.m. 69. o.
Lábjegyzetek:
[1] A szerző doktorjelölt, Debreceni Egyetem Marton Géza Állam- és Jogtudományi Iskola, Debreceni Egyetem, Állam- és Jogtudományi Kar.
Visszaugrás