Az Európai Unió adatvédelmi reformja keretében elfogadott általános adatvédelmi rendelet (GDPR) következtében felértékelődik a személyes adatok védelméhez való jog fontossága - amely alól a munka világa sem képez kivételt. Az EU-s szabályoknak való megfelelés hazánk munkajogi szabályozását is érintette. A munkaviszony létrejövetele, teljesítése és megszűnése során szükségszerű a személyes adatok munkáltató általi kezelése. A különféle adatkezelések közül a tanulmány a munkavállalók elektronikus ellenőrzésére, valamint a személyes adatok közlésére fókuszál, a Kúria döntéseinek tükrében bemutatva a felmerülő adatvédelmi-munkajogi kérdéseket.
The General Data Protection Regulation (GDPR), adopted in the context of the European Union's data protection reform, made data protection a significant and topical question - whereas the world of work is not an exception. Compliance with the EU rules also affected Hungary's labour law regulations. The establishment, performance and termination of the employment relationship necessarily comes with the processing of employees' personal data. Of the various data processing scenarios, the article focuses on the electronic control of employees as well as the disclosure of personal data, through presenting the Curia's decisions and the arising data protection and labour law challenges.
A személyes adatok védelmének jelentőségét jól érzékelteti, hogy a világon a három legnagyobb (tárgyi) érték az arany, az olaj és az adat.[1] A jelenleg is zajló negyedik ipari forradalom (Ipar 4.0) alapja a digitalizáció, mesterséges intelligencia, a dolgok internete, melyek következtében felértékelődik a személyes adatok fontossága és ezzel párhuzamosan a megfelelő védelmük biztosítása. A negyedik ipari forradalom jelentős változásokat hozhat az élet minden területén, beleértve a munka világát is.
A felmerülő kihívásokra az Európai Unió is reagált: az adatvédelmi reform keretében elfogadott általános adatvédelmi rendeletnek (a továbbiakban: GDPR)[2] köszönhetően immár szigorúbb szabályozással bír a személyes adatok védelme. Ugyan az uniós jogalkotó a korábbi irányelv[3] helyett a rendeleti szabályozási forma mellett döntött, egységesítve a tagállamok adatvédelmi szabályozását, kivételek is találhatók a közvetlen hatály alól. Ilyen kivételnek minősül a GDPR 88. cikke, amely lehetővé teszi a tagállamok számára, hogy a foglalkoztatás terén, pontosabban megállapított szabályokat fogadjanak el, teret adva a tagállami specifikációnak. Ezek a szabályok a Munka Törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) 9-11/A. §-ban kaptak helyet. Ennek keretében a magyar jogalkotó bővítette a már korábban is létező adatvédelmi szabályokat,[4] továbbá kiegészítette azokat a biometrikus adatokra és bűnügyi személyes adatokra vonatkozó szakasszal.[5]
A munkaviszony létrejövetele, teljesítése és megszűnése során szükségszerű a személyes adatok munkáltató általi kezelése. A tanulmány a vonatkozó jogszabályok, kúriai joggyakorlat, adatvédelmi hatósági gyakorlat, valamint a szakirodalom elemzésére épül.[6] Jelen tanulmány célja annak vizsgálata - a munkaviszony teljesítésének kérdésére fókuszálva -, hogy miként jelenik meg a munkavállalók személyes adatai védelmének kérdése a Kúria joggyakorlatában, különös tekintettel a munkavállalók elektronikus eszközzel történő ellenőrzésére, valamint a munkavállalók által közlendő személyes adatok körére.
- 1852/1853 -
A munkaviszony alanyait terhelő jogokból és kötelezettségekből[7] levezethető a munkáltatót megillető ellenőrzéshez való jog (és kötelezettség) léte,[8] melyhez a munkáltató technikai eszközt is használhat.[9] Az ellenőrzés ugyanakkor nem lehet korlátlan, tekintettel kell lennie a munkavállalót megillető jogokra, különös tekintettel a személyes adatok védelméhez való jogra. A továbbiakban kúriai ítéletek tükrében tárgyalom ezeket a követelményeket.
A vizsgált ügyben a Kúriának a munkavállaló telefonjának ellenőrzése tárgyában kellett állást foglalnia. A felperes munkavállaló on-trade területi vezető munkakörben állt az alperes munkáltató alkalmazásában. A munkáltató egy belső vizsgálat során elkérte több alkalmazott, közöttük a felperes mobiltelefonját és céges laptopját vizsgálat céljából. A felperes a saját tulajdonú, de céges SIM-kártyát tartalmazó mobiltelefonját is rendelkezésre bocsátotta a vizsgálathoz. A feltételezett visszaélés kapcsán a munkáltató meghallgatta a felperest két üzenetváltás tárgyában, valamint a felperes a magánéletével összefüggő kérdésekre (büntetőeljárás folyamatban léte, anyagi helyzet) válaszolt. Ezt követően a felek közös megegyezéssel megszüntették a munkaviszonyt.
A munkavállaló írásban megtámadta a közös megegyezéses megállapodást tévedésre hivatkozással. Az utóbb fenntartott keresetében a közös megegyezéses megállapodás érvénytelenségére hivatkozva kérte, hogy a bíróság állítsa helyre a munkaviszonyát, és kötelezze a munkáltatót elmaradt munkabér és az ellenőrzéssel összefüggésben megvalósított személyiségi jogsértés miatt sérelemdíj megfizetésére. Az alperes ellenkérelmében a kereset elutasítását kérte. Az első fokon eljáró közigazgatási és munkaügyi bíróság ítéletével a keresetet elutasította, melyet a másodfokon eljáró törvényszék helybenhagyott. A munkavállaló felülvizsgálati kérelmében elsődlegesen a jogerős ítélet hatályon kívül helyezése mellett a munkáltató sérelemdíjban való marasztalását, másodlagosan az elsőfokú bíróság új eljárás lefolytatására utasítását kérte. A munkáltató felülvizsgálati ellenkérelmében a jogerős ítélet hatályában fenntartását kérte.
A Kúria szerint a felülvizsgálati kérelem megalapozott volt. Az ítélet meghozatala során figyelemmel volt mind az adatvédelmi, mind a munkajogi követelmények érvényesülésére, valamint az Emberi Jogok Európai Bíróságának (a továbbiakban: EJEB) gyakorlatára is. Kimondta, hogy (1) a munkáltató megsérti a munkavállaló magántitokhoz és a személyes adatok védelméhez fűződő személyiségi jogát, ha ezeknek az adatoknak a kezelése a megfelelő tájékoztatást követően adandó, kifejezett írásbeli hozzájárulása hiányában történik. (2) A munkáltatónak a munkavállaló ellenőrzése előtt meg kell határoznia azokat a módszereket és intézkedéseket, amelyek útján közvetlenül hozzáférhet a munkavállaló személyes kommunikációjának tartalmához; tájékoztatni kell őt arról is, hogyha az ellenőrzés a személyes adataira is kiterjed. (3) A munkavállaló ellenőrzése akkor jogszerű, ha következményei arányban állnak a munkáltató által elérni kívánt, deklarált jogszerű céllal, és megfelelő biztosítékot nyújt a visszaélésekkel szemben.
A fenti ítéletben a Kúria hivatkozott a munkavállalók megfigyelésére vonatkozó, az adatvédelmi jogban már kikristályosodott legfőbb követelményekre, figyelembe véve az adatvédelmi jogi és a munkajogi jogszabályokat, valamint az EJEB által kimunkált - a hazánkra nézve is kötelező - követelményrendszerét.
A munkáltató jogosult arra, hogy technikai eszközzel ellenőrizze a munkavállalóit, azonban erről köteles előzetesen írásbeli tájékoztatást nyújtani.[10] Ahogy arra a Kúria is helytállóan rámutatott a fentebb bemutatott ítéletben, a tájékoztatásnak nem elég csupán az adatkezelés tényére kiterjednie, hanem magában kell foglalnia az adatkezelés valamennyi lényeges elemét, és a munkavállalókat közérthető és egyértelmű módon kell tájékoztatnia arról, hogy mely személyes adatokat kezeli a munkáltató, milyen célból, milyen jogalapon, milyen időtartamig, stb.[11] Az átláthatóság követelményét az Mt., a GDPR, az Infotv.,[12] valamint az Európa Tanács égisze alatt működő EJEB is kimondta.
A Kúria által is hivatkozott Bărbulescu kontra Románia ügyben[13] hozott ítélet is egyértelműen megállapítja, hogy az eszköz magánhasználatának puszta tiltása nem teszi önmagában jogszerűvé a tiltás ellenőrzése során felmerülő adatkezelést, így a munkáltató tiltás esetén is köteles megfelelő módon tájékoztatni a munkavállalót a személyes adatainak a kezeléséről.[14] Amennyiben a munkáltató részletesen rendezi az ellenőrzés kérdését a belső
- 1853/1854 -
szabályzatában, úgy az ellenőrzés jogszerűnek minősülhet. Utóbbi megállapítást a Libert kontra Franciaország ügyben[15] mondta ki az EJEB: a tényállás szerint a munkáltató a munkavállaló távollétében fért hozzá a számítógépéhez, majd a rajta tárolt magánjellegű adatok (hamisított dokumentumok és pornóképek- és filmek) miatt megszüntette a munkavállaló munkaviszonyát. Az ügyben jelentősége volt egyrészt annak, hogy a francia jogszabályok megfelelő egyensúlyt biztosítottak a munkáltató ellenőrzési joga és a munkavállaló jogai között,[16] és ezeket a francia bíróságok megfelelően alkalmazták. Másrészt, az EJEB tekintettel volt arra is, hogy a munkáltató a belső szabályzatában pontosan meghatározta, hogy miként kell jelölni, amennyiben egy tartalom magánjellegű, s ezen előírásnak a munkavállaló nem tett eleget. Mindezekre tekintettel nem sérült a munkavállaló magánélet tiszteletben tartásához való joga.[17]
Valamennyi adatkezelésnek rendelkeznie kell jogalappal, amely felhatalmazza az adatkezelőt a személyes adatok kezelésére. A GDPR 6. cikke hat jogalapot határoz meg.[18] A korábbi, az EU adatvédelmi irányelvén nyugvó (bírói és adatvédelmi biztosi) gyakorlat az Infotv.-t megelőzően hatályos magyar szabályozás[19] alapján - mely a hozzájárulás vagy törvény kötelező rendelkezésének kettőséből indult ki -,[20] a hozzájárulást tekintette a munkahelyi ellenőrzések során felmerülő adatkezelések jogalapjának. 2011-ben azonban az Európai Unió Bírósága olyan döntést hozott,[21] amely alapjaiban befolyásolta a magyar adatvédelmi jogot is. Eszerint ugyanis az irányelv érdekmérlegelési jogalapjáról rendelkező 7. cikk f) pontjának közvetlen hatálya van. Ennek, valamint a munkaviszony alanyai közti függőségi viszonynak köszönhetően a munkáltatói ellenőrzéshez kapcsolódó adatkezelés esetében az adatkezelés független a munkavállaló hozzájárulásától, az a munkaviszony természetéből fakad.[22]
Ezt a GDPR is megerősíti, kimondva, hogy a hozzájárulásnak önkéntesnek, konkrétnak és megfelelő tájékoztatáson alapulónak és egyértelműnek kell lennie.[23] A munkaviszony szempontjából különösen az önkéntesség követelménye érdemel figyelmet: az önkéntesség követelménye azt feltételezi, hogy az érintettnek, azaz a munkavállalónak valós választási lehetősége van abban a tekintetben, hogy megadja-e a hozzájárulást vagy pedig megtagadja azt.[24] Ezt az önkéntességet kérdőjelezi meg a munkáltató és a munkavállaló között fennálló hierarchikus viszony: a munkavállaló ugyanis egzisztenciálisan kiszolgáltatott helyzetben van, ami azt jelenti, hogy a hozzájárulás megadása vagy visszavonása tekintetében nincs tényleges választási lehetősége.[25] A következetes európai uniós és hazai adatvédelmi hatósági gyakorlat szerint a munkavállalók ellenőrzésének jogalapjaként az érdekmérlegelés jogalapja alkalmazható.[26] Az érdekmérlegelésre akkor lehet alapítani az adatkezelést, ha az az adatkezelő vagy harmadik fél jogos érdekének érvényesítéséhez szükséges, kivéve, ha az ilyen érdekekkel szemben elsőbbséget élveznek az érintett érdekei vagy alapvető jogai és szabadságai.[27] Annak érdekében, hogy a munkáltatói érdekek és a munkavállalói jogok közötti megfelelő egyensúlyt megtalálja, a munkáltatónak érdekmérlegelési
- 1854/1855 -
tesztet kell lefolytatnia.[28] A fentiekre tekintettel, bár az I.1. pontban ismertetett kúriai ítélet helytállóan állapította meg az adatkezelés jogellenes voltát, azonban a munkavállaló hozzájárulásának hiányára történő hivatkozás adatvédelmi jogi szempontból szükségtelennek tűnik.[29]
Az előzetes tájékoztatáson és a jogalap megfelelő meghatározásán túl egyéb követelményeknek is meg kell felelnie az adatkezelésnek. Még a jogalap meghatározását és az érdekmérlegelési teszt elvégzését megelőzően szükséges meghatározni az adatkezelés célját. A célhoz kötöttség elve[30] a legfontosabb adatkezelési alapelv,[31] amely előírja, hogy valamennyi adatkezelésnek rendelkeznie kell egy meghatározott, egyértelmű és legitim céllal, a személyes adatokat nem lehet az eredeti céllal összeegyeztethetetlen módon kezelni.[32] A célnak egyértelműnek és jogszerűnek kell lennie, a cél megváltozása pedig újabb adatkezelést fog eredményezni, a cél nélküli adatkezelés tilos. A cél meghatározása a többi alapelv érvényesülésének és magának az adatkezelésnek az előfeltétele, az adatkezelés teljes tartama alatt meghatározó jelentőséggel bír.[33]
A célhoz kötött adatkezelés követelményét az Mt. 10. § (1) bekezdése is előírja, korlátozva, hogy milyen célból kezelhetők a munkavállaló személyes adatai. Ennek értelmében a munkáltató kizárólag akkor kezelheti a munkavállalóra vonatkozó személyes adatot, ha az a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy az Mt.-ből származó igény érvényesítése szempontjából lényeges. Minden olyan adat kérése, mely nem ad lényeges tájékoztatást a munkaviszony létesítése, fenntartása, megszüntetése szempontjából, indokolatlanul korlátozza a munkavállalók magánszféráját, személyes adatok védelméhez való jogát - különösen akkor, ha a munkáltató az adatszolgáltatás megtagadása esetén hátrányos jogkövetkezmény alkalmazását helyezi kilátásba.
A munkavállalói ellenőrzések tekintetében nem elegendő pusztán a jogszerű cél és a jogalap megléte: mind az EJEB gyakorlatából[34], mind az EU-s adatvédelmi jogszabályokból következik, hogy az ellenőrzéseknek további biztosítékokkal kell
- 1855/1856 -
rendelkeznie.[35] E biztosítékok közül az adattakarékosság elve bírt különös jelentőséggel a tárgyalt ügy kapcsán. Eszerint a kezelt adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük és a szükségesre kell korlátozódniuk.[36] Az elv azt követeli meg, hogy amennyiben az adatkezelési cél elérése megvalósítható személyes adatok kezelése nélkül, akkor ne is kerüljön sor azok kezelésére, illetve amennyiben valóban szükséges az adatokat kezelni, akkor azok körét a lehető legminimálisabbra korlátozza az adatkezelő.[37] A vizsgált esetben különös jelentőséggel kellett érvényesülnie az elvnek, tekintettel arra, hogy maga az ellenőrzött mobiltelefon a munkavállaló tulajdonát képezte. Az Mt. 11/A. § (1) bekezdése kimondja, hogy a munkavállaló kizárólag a munkaviszonnyal összefüggő magatartása körében ellenőrizhető - korlátozva a kezelhető személyes adatoknak a körét. Ez a rendelkezés különösen fontos, amennyiben a munkavállaló saját tulajdonú számítástechnikai eszközt használ a munkaviszony teljesítése érdekében és a munkáltató ezt a saját tulajdonú eszközt ellenőrzi [Mt. 11/A. § (5) bekezdés]: a munkáltató az ellenőrzés során ebben az esetben is csak a munkaviszonnyal összefüggő adatokba tekinthet be [Mt. 11/A. § (3) bekezdés].
Ugyan a vizsgált esetben nem jelent meg a magánhasználat tiltásának/engedélyezésének a kérdése, említést érdemel, hogy az Mt. immár ezt a kérdést is expressis verbis rendezi [Mt. 11/A. § (2) bekezdés]: főszabály szerint ugyanis a munkavállaló a munkáltató által a munkavégzéshez biztosított információtechnológiai vagy számítástechnikai eszközt kizárólag a munkaviszony teljesítése érdekében használhatja. Ez alól kivételt képez, ha a magánhasználatról a felek kifejezetten megállapodtak. Szükséges ugyanakkor leszögezni, hogy a fent kifejtett, az ellenőrzéshez kapcsolódó követelményeket a munkáltatónak abban az esetben is be kell tartania, ha a munkavállaló megszegte a magánhasználatra vonatkozó szabályokat.[38]
A NAIH szerint - összhangban az adatvédelmi követelményekkel - az ellenőrzés során a fokozatosság elvét figyelembe véve, lépcsőzetes ellenőrzési rendszert kell kialakítania a munkáltatónak. Például e-mail esetében az üzenet tartalma helyett elegendő lehet az e-mail cím és az üzenet tárgyának az ellenőrzése (magánjellegű üzenet esetében nem ismerheti meg az üzenet tartalmát, csak a magánhasználat tényét), az ellenőrzés meghatározott időintervallumra történő leszűkítése; telefonhasználat esetében a két előhívó használata; számítástechnikai eszköz esetében a tárhely két partícióra osztása stb. A használt eszköztől függetlenül, a magáncélú használat esetén (akár tiltott, akár engedélyezett) annak tartalma nem ismerhető meg, csupán a magánhasználat ténye rögzíthető. Az ellenőrzés során főszabály szerint biztosítani kell a munkavállaló jelenlétét.[39]
A munkavállalók ellenőrzésén túlmenően jelentős kérdés, hogy a munkáltató milyen adat közlését kérheti a munkavállalótól. Ebben az esetben is megfelelően alkalmazni kell a fent már ismertetett követelményeket (célhoz kötöttség, jogszerűség, adattakarékosság stb.).
A felperes munkavállaló 2003. augusztus 1-jétől állt az alperes munkáltató alkalmazásában humánerőforrás igazgatói munkakörben. A felperes munkavállaló házastársa (és egyben munkatársa) a közvetlen vezetőjéhez és a munkáltató igazgatójához intézett e-mailjében arról számolt be, hogy a felperes mással képzeli el az életét, kb. egy éve minden szempontból szorosabb kapcsolata van a munkáltató egyik alkalmazottjával. Az ügyvezető egyeztetést kezdeményezett a felperessel, javasolva a jogviszony közös megegyezéssel történő megszüntetését. A központ a felperes munkavállaló igényét eltúlzottnak találta, ezért közös megegyezés a felek között nem jött létre. A munkáltató a munkavállaló munkaviszonyát felmondással szüntette meg a munkaviszonnyal kapcsolatos magatartással összefüggő okra hivatkozással, miszerint vezető munkakörben foglalkoztatott munkavállalóként egy alárendelt viszonyban lévő munkavállalóval intim jellegű, személyes viszonyt is meghaladó kapcsolatot létesített, tartott fenn hosszú időn keresztül, amelynek előzetes bejelentését a munkavállaló a munkáltató részére elmulasztotta.
- 1856/1857 -
A munkavállaló elsődleges kereseti kérelme a jogviszony-megszüntetés jogellenességének megállapítására, az egyenlő bánásmód követelményének megsértésére alapítva eredeti munkakörbe történő visszahelyezésére, másodlagosan kártérítés megfizetésére irányult. A munkáltató a kereset elutasítását kérte. Az elsőfokú bíróság ítéletével a keresetet elutasította. Az eljárt másodfokú bíróság rész-, közbenső ítéletével az elsőfokú bíróság ítéletét a munkaviszony helyreállítása és a bonusra vonatkozó kereseti kérelem elutasítása tekintetében helybenhagyta, egyebekben megváltoztatta, és megállapította, hogy a munkáltató jogellenesen szüntette meg a munkavállaló munkaviszonyát. A munkáltató felülvizsgálati kérelmében elsődlegesen a jogerős rész-, közbenső ítélet hatályon kívül helyezését és a jogszabályoknak megfelelő új határozat hozatalát kérte a kereset teljes elutasítása mellett.
A felülvizsgálati kérelem nem megalapozott. A Kúria szerint a munkavállaló párkapcsolata személyiségi joga, így tőle erre nézve csak olyan nyilatkozat megtétele vagy adat közlése kérhető, amely személyhez fűződő jogát nem sérti, és a munkaviszony létesítése, teljesítése vagy megszűnése szempontjából lényeges. Ezen joga legfeljebb akkor korlátozható, ha az a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos.
A vizsgálat kiindulópontját az Mt. 10. § (1) bekezdése képezi, mely kimondja, hogy a munkáltató a munkavállalótól olyan személyes adat közlését (vagy nyilatkozat megtételét) követelheti, amely a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy az Mt.-ből származó igény érvényesítése szempontjából lényeges. Ez a bekezdés konkretizálja a célhoz kötöttség elvét a munkaviszony tekintetében. A lényegesség (vagy adatvédelmi terminológiával élve szükségesség) kritériuma abban az esetben teljesül, amennyiben a nyilatkozat vagy személyes adat közlése szükséges az Mt.-ben meghatározott célok (munkaviszony létesítése, teljesítése, megszűnése, megszüntetése vagy az Mt.-ből származó igény érvényesítése) eléréséhez.[40]
A fent ismertetett ügyben az merült fel kérdésként, hogy a munkáltató összeférhetetlenségi szabályzata előírhatta-e, hogy a szerelmi kapcsolatot jelentse be a munkavállaló? A Kúria - osztva a törvényszék álláspontját - megállapította, hogy a munkavállaló párkapcsolata a személyiségi joga és személyes adat, amely a munkavállaló magánéletébe tartozik, így a kezelésének meg kellett felelnie többek között a szükségesség-arányosság követelményének. Az Mt. 9. § (1) bekezdése deklarálja a feleket megillető személyiségi jogok védelmét, valamint rendelkezik a munkavállalót megillető személyiségi jogok korlátozásának feltételeiről. Eszerint a munkavállaló személyiségi joga akkor korlátozható, ha a korlátozás a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos. A személyiségi jog korlátozásának módjáról, feltételeiről és várható tartamáról, továbbá szükségességét és arányosságát alátámasztó körülményekről a munkavállalót előzetesen írásban tájékoztatni kell.[41] A felek jogaiból és kötelezettségeiből levezethető, hogy a munkajogviszony rendeltetése a munkáltató gazdasági céljainak elérése érdekében történő foglalkoztatás.[42]
Az Mt. a szerelmi kapcsolat létesítésének bejelentését nem szabályozza, a munkáltató azt az Összeférhetetlenségi szabályzatára alapította, amely rendelkezéseket tartalmazott a bejelentést illetően. Elképzelhető olyan eset, amikor a munkáltató jogszerűen előírhatja a bejelentés megtételét, amennyiben az igazolhatóan összefügg a munkaviszony rendeltetésével, feltétlenül szükséges és az elérendő célhoz képest arányos, emellett további feltétel, hogy a munkáltató ezekről a követelményekről megfelelő tájékoztatást nyújtson.[43] A vizsgált ügyben a munkáltatói szabályzat kötelező bejelentési esetként szabályozta a családtag alkalmazását, nevezetesen azt, ha a munkatárs a családtaggal alá-fölérendeltségi vagy ellenőrzési viszonyban áll. Meghatározta a családtag fogalmát is, melybe azonban a szerelmi kapcsolat nem tartozott bele. A családtagtól eltérő viszonyok esetében "tanácsos" volt a bejelentés megtétele.
A "tanácsos" kifejezés alkalmazása nem felelt meg a szükségesség követelményének, a munkavállalót pedig nem terhelhette bejelentési kötelezettség olyan módon, hogy az személyiségi joga sérelmével járjon. A szerelmi kapcsolat nem tartozott a kötelezően bejelentendő esetek közé, ennek a bejelentése a munkavállaló mérlegelésére volt bízva: a Kúria szerint pedig egy ajánlott cselekmény nem teljesítése nem szolgálhat a munkáltatói felmondás indokául.
A személyes adatok védelmének kérdése a munka világában is megkerülhetetlen. A GDPR következtében a hazai munkahelyi adatvédelmi jog is változásokon ment át: bár magától értetődően ezek az "új" rendelkezések nem azonnal jelennek meg a legfelsőbb bírói fórum ítélkezési gyakorlatában. A GDPR-nak, valamint a növekvő adatvédelmi tudatosságnak köszönhetően várhatóan növekedni fog a személyes adatok védelmével kapcsolatos jogesetek száma - beleértve a munka világát is.[44] Emiatt is örvendetes, hogy az Mt. módosításnak
- 1857/1858 -
köszönhetően expressis verbis megjelentek olyan rendelkezések, amelyek az ellenőrzés terén a leggyakrabban felmerülő kérdésekre választ adnak (pl. magánhasználat kérdése, ellenőrzés terjedelme, saját eszköz munkavégzésre történő használata). Ugyanakkor ezek a kérdések a módosítást megelőzően is megjelentek a bírói gyakorlatban, amely alapvetően a hatályos adatvédelmi követelményekkel egyező megállapításokat tett.
[1] A GDPR magyarázata (szerk.: Jóri András), HVG-ORAC Lap- és Könyvkiadó Kft., Budapest, 2018.
[2] Bankó Zoltán et al. : Nagykommentár a munka törvénykönyvéről szóló 2012. évi I. törvényhez, Wolters Kluwer Hungary, Budapest, 2019.
[3] Fürjes Annamária-Guba Veronika Rita: Elektronikus eszközök használata a munkaviszonyban, In: Visegrád 15.0: A XV. Magyar Munkajogi Konferencia szerkesztett előadásai (szerk.: Pál Lajos-Petrovics Zoltán), Wolters Kluwer Kft., Budapest, 2018.
[4] Horváth István-Szladovnyik Krisztina: Az EU adatvédelmi rendeletének alkalmazása a munkaviszony tekintetében - 2. rész, Adó szaklap, 2018/8-9, 139-144.
[5] Józan Flóra: Gondolatok az adatvédelmi tisztviselőről, Jura, 2018/2, 394-413.
[6] Kulisity Mária: A munkáltató jogellenes munkahelyi ellenőrzésével és adatkezelésével kapcsolatos bírói gyakorlat. In: Quid juris? Ünnepi kötet a Munkaügyi Bírák Országos Egyesülete megalakulásának 20. évfordulójára (szerk.: Bankó Zoltán-Berke Gyula-Tálné Molnár Erika) Kúria-Pécsi Tudományegyetem Állam- és Jogtudományi Kar-Munkaügyi Bírák Országos Egyesülete, Budapest, Pécs, 2018, 235-255.
[7] Magyarázat a GDPR-ról (szerk.: Péterfalvi Attila-Révész Balázs-Buzás Péter), Wolters Kluwer Hungary, Budapest, 2021.
[8] Munkajog (szerk.: Gyulavári Tamás), ELTE Eötvös Kiadó, Budapest, 2013.
[9] Nemzeti Adatvédelmi és Információszabadság Hatóság: A Nemzeti Adatvédelmi és Információszabadság Hatóság ajánlása a munkahelyen alkalmazott elektronikus megfigyelőrendszer alapvető követelményeiről, NAIH-4001-6/2012/V, 2013.
[10] Nemzeti Adatvédelmi és Információszabadság Hatóság: A Nemzeti Adatvédelmi és Információszabadság Hatóság tájékoztatója a munkahelyi adatkezelések alapvető követelményeiről, 2016.
[11] Rátkai Ildikó: A munkahelyi párkapcsolat megítélése egy kúriai döntés alapján, Munkajog, 2020/1, 57-60.
[1] 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról.
[2] 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról.
[3] 2012. évi I. törvény a Munka Törvénykönyvéről.
[4] 2019. évi XXXIV. törvény az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról.
[5] Article 29 Data Protection Working Party: Opinion 03/2013 on purpose limitation, 00569/13/EN WP 203. 2013.
[6] Article 29 Data Protection Working Party: Opinion 2/2017 on data processing at work, 17/EN WP 249., 2017.
[7] Article 29 Data Protection Working Party: Opinion 8/2001 on the processing of personal data in the employment context, 5062/01/EN/Final WP 48., 2001.
[8] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet).
[9] Európai Adatvédelmi Testület: 3/2019. számú iránymutatás a személyes adatok videoeszközökkel történő kezeléséről, 2.0 változat, 2020. január 29.
[1] Emberi Jogok Európai Bírósága: Bărbulescu kontra Románia, no. 61496/08, 2017.
[2] Emberi Jogok Európai Bírósága: Libert kontra Franciaország, 588/13, 2018.
[3] Európai Unió Bírósága: C-468/10. és C-469/10. sz. egyesített ügyek, 2011.
[4] Kúria Mfv.I.10.016/2013/7. számú ítélet.
[5] Mfv.I.10.077/2013/7. számú ítélet.
[6] Kúria Mfv.I10.423/2015/7. számú ítélet.
[7] Kúria Mfv.III.10.082/2013/5. számú ítélet.
[8] Kúria Mfv.IV.10.098/2021/7. számú ítélet.
[9] Kúria Mfv.IV.10.098/2021/7. számú ítélet. ■
JEGYZETEK
[1] Józan Flóra: Gondolatok az adatvédelmi tisztviselőről, Jura, 2018/2, 412.
[2] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (a továbbiakban: GDPR).
[3] Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról.
[4] Megállapította az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról szóló 2019. évi XXXIV. törvény 100. § (1) bekezdése.
[5] A törvénymódosításról lásd bővebben Rátkai Ildikó: Új adatvédelmi szabályok a munkaviszonnyal összefüggésben, Munkajog, 2019/2, 69-75.; Lukács Adrienn: A GDPR által okozott kihívások a munkajogban In: Társadalmi fenntarthatóság (szerk.: Smuk Péter), Ludovika Egyetemi Kiadó, Budapest, 2020, 1769-1777.
[6] Ugyan a hivatkozott ítéletek a GDPR következtében elfogadott jogszabály-módosításokat megelőző időben keletkeztek, célszerű azoknak a jelenleg hatályos jogszabályi környezet tükrében történő vizsgálata.
[7] A munkáltató szervezi meg a munkavégzést, felel elsősorban a munkahelyi biztonságért, munkavédelmi követelmények megvalósításáért, utasításokat ad, fegyelmezi a munkavállalókat, miközben a munkavállaló kötelezettsége a munkavégzés és rendelkezésre állás, a munkáltatói utasításoknak a teljesítse (Mt. 51-57. §).
[8] Munkajog (szerk.: Gyulavári Tamás), ELTE Eötvös Kiadó, Budapest, 2013, 248-249.
[10] Mt. 11/A. § (1) bekezdés, GDPR 5. cikk (1) bekezdés a) pont.
[11] Horváth István-Szladovnyik Krisztina: Az EU adatvédelmi rendeletének alkalmazása a munkaviszony tekintetében, 2. rész, Adó, 2018/8-9, 139.
[12] 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról.
[13] Emberi Jogok Európai Bírósága: Bărbulescu kontra Románia, no. 61496/08, 2017.
[14] Fürjes Annamária-Guba Veronika Rita: Elektronikus eszközök használata a munkaviszonyban, In: Visegrád 15.0: A XV. Magyar Munkajogi Konferencia szerkesztett előadásai (szerk.: Pál Lajos-Petrovics Zoltán), Wolters Kluwer Kft., Budapest, 2018, 369.
[15] Emberi Jogok Európai Bírósága: Libert kontra Franciaország, 588/13, 2018.
[16] Franciaországban a bírói joggyakorlat munkálta ki azokat a szabályokat, melyek mentén ellenőrizhető a munkavállaló internetes tevékenysége: eszerint a munkáltató által biztosított eszközökön tárolt munkavállalói dokumentumok szakmai jellegűnek minősülnek, amely lehetővé teszi a munkáltató számára a hozzáférést. Ez alól kivételt képez, ha a munkavállaló kifejezetten személyesként jelöli meg őket. A személyes dokumentumok megnyitása csak kockázatos vagy meghatározott esemény bekövetkezése esetén, a munkavállaló jelenléte vagy megfelelő értesítése esetén lehetséges. Lásd bővebben Lukács Adrienn: Employees' Right to Privacy and Right to Data Protection on Social Network Sites: with Special Regard to France and Hungary, Iurisperitus Kiadó, Szeged, 2021, 214219; Sipka Péter-Zaccaria Márton Leó: A munkáltató ellenőrzési joga a munkavállaló munkahelyi számítógépén tárolt magánadatai fölött, Munkajog, 2018/2, 45-49.
[17] Fürjes-Guba i. m. 371-372.
[18] A lehetséges jogalapok: érintett hozzájárulása, szerződéses jogalap, jogi kötelezettség, érintett létfontosságú érdeke, közérdekű feladat ellátása és közhatalom gyakorlása, valamint érdekmérlegelés.
[19] 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról (a továbbiakban: Avtv.)
[20] Avtv. 3. § (1) bekezdés.
[21] Európai Unió Bírósága: C-468/10. és C-469/10. sz. egyesített ügyek, 2011.
[22] Nemzeti Adatvédelmi és Információszabadság Hatóság: A Nemzeti Adatvédelmi és Információszabadság Hatóság ajánlása a munkahelyen alkalmazott elektronikus megfigyelőrendszer alapvető követelményeiről, NAIH-4001-6/2012/V, 2013, 3.; Article 29 Data Protection Working Party: Opinion 8/2001 on the processing of personal data in the employment context, 5062/01/EN/Final WP 48., 2001, 23., Article 29 Data Protection Working Party: Opinion 2/2017 on data processing at work, 17/EN WP 249., 2017, 23.
[23] GDPR 4. cikk 11. pont.
[24] GDPR (42) preambulumbekezdés.
[25] Magyarázat a GDPR-ról (szerk.: Péterfalvi Attila-Révész Balázs-Buzás Péter), Wolters Kluwer Hungary, Budapest, 2021,126.
[26] Nemzeti Adatvédelmi és Információszabadság Hatóság: A Nemzeti Adatvédelmi és Információszabadság Hatóság tájékoztatója a munkahelyi adatkezelések alapvető követelményeiről, 2016; Magyarázat a GDPR-ról. i. m. 148. Bankó Zoltán et al.: Nagykommentár a munka törvénykönyvéről szóló 2012. évi I. törvényhez, Wolters Kluwer Hungary, Budapest, 2019, 84. Horváth-Szladovnyik i. m. 140.
[27] GDPR 6. cikk (1) bekezdés f) pont.
[28] A munkáltatónak először azonosítania kell, hogy pontosan mely törvényes, egyértelmű jogos érdeke(i) az(ok), amely(ek) miatt felmerül az adatkezelés szükségessége, majd vizsgálnia kell a szükségesség elvének érvényesülését. Ezt követően meg kell vizsgálnia, hogy az adatkezelés egyrészt milyen mértékben érinti a megfigyelt egyének alapvető jogait és szabadságait, másrészt az érintett jogainak sérelmével vagy e jogokra nézve hátrányos következményekkel jár-e, tulajdonképpen egyensúlyt kell teremtenie az érintett jogai és a munkáltató jogos érdekei között. Európai Adatvédelmi Testület: 3/2019. számú iránymutatás a személyes adatok videoeszközökkel történő kezeléséről, 2.0 változat, 2020. január 29, 12.
[29] Hasonló megállapítást tartalmazott az Mfv.IV.10.098/2021/7. számú ítélet is. Az ügyben a munkáltató egy elektronikus kereskedési és információ rendszert működtetett, melynek magánhasználatát a munkáltató eltűrte, majd főigazgatói utasítást bocsátott ki arról, hogy egy általa meghatározott időpontig távolítsák el vagy töröljék a rendszerből a munkavállalók a magánhasználat során keletkezett adataikat, személyes üzeneteiket. A volt munkavállaló jogviszonya a főigazgatói utasítás kibocsátást megelőzően szűnt meg, továbbá sem felszólítást nem kapott adatai törlésére, illetve a felmondás közlését követően nem használhatta a számítógépét, az adatokhoz nem fért hozzá, így nem is tudta azokat elmenteni, törölni. A munkáltató a volt munkavállaló üzeneteibe betekintett, azokat átolvasta. A Kúria szerint - az Infotv. GDPR előtti időállapotára hivatkozva - többek között a hozzájárulás hiányában jogellenesnek minősült az adatkezelés.
A jogalap tekintetében említést érdemel még az Mfv.III.10.082/2013/5. számú ítélet, ahol a munkavállaló ráutaló magatartással adta hozzájárulását a kamerás megfigyeléshez. Szükséges felhívni a figyelmet arra, hogy az ítéletet a Kúria a ma már hatálytalan jogszabályok (korábbi Mt., az Avtv. és a korábbi Polgári Törvénykönyv) alapján hozta meg, valamint nem adatvédelmi jogi szemszögből, hanem polgári jogi szemszögből bírálta el az ügyet. Az Mfv.I.10.077/2013/7. számú ügyben a Kúriának abban a kérdésben kellett állást foglalnia, hogy a munkavállaló mobiltelefonján hozzájárulása nélkül a munkáltató általi flotta nyomkövető rendszer aktiválása megalapozza-e jogszerűen a munkavállaló azonnali hatályú munkaviszony megszüntetéséről hozott döntését. A Kúria - szintén a korábbi Mt.-re és az Avtv.-re hivatkozva - megállapította, hogy a munkáltató megszegte az együttműködési és tájékoztatási kötelezettségét, azzal, hogy nem kérte a munkavállaló hozzájárulását és nem tájékoztatta a rendszerről és a helymeghatározás korlátozásának módjairól. Továbbá megerősítette azt a - napjainkban hatályos Mt.-ben is kodifikált - elvet, miszerint a munkavállaló megfigyelésére csak a munkaviszonnyal összefüggő magatartása körében kerülhet sor - mely a perbeli esetben nem valósult meg.
[30] GDPR 5. cikk (1) bekezdés b) pont, Infotv. 4. § (1) bekezdés.
[31] Magyarázat a GDPR-ról... i. m. 105.
[32] Article 29 Data Protection Working Party [2001] i. m. 20.; A GDPR magyarázata (szerk.: Jóri András), HVG-ORAC Lap- és Könyvkiadó Kft., Budapest, 2018, 195.
[33] Magyarázat a GDPR-ról. i. m. 105.; Article 29 Data Protection Working Party: Opinion 03/2013 on purpose limitation, 00569/13/EN WP 203. 2013, 4.
[34] Az EJEB - a Kúria által is hivatkozott -Bărbulescu-ügyben határozta meg azt a hat kritériumot, aminek a munkáltatói ellenőrzéseknek meg kell felelnie (lásd Bărbulescu kontra Románia i. m. 121. pont). Ide tartozik (1) az előzetes tájékoztatás, (2) az ellenőrzés terjedelmének korlátozása, (3) az ellenőrzésnek volt-e megfelelő, jogszerű indoka, (4) a kitűzött cél elérése lehetséges lett volna-e a munkavállaló jogait kevésbé korlátozó rendszer bevezetése által, (5) az ellenőrzés következményei arányosak-e az elérni kívánt céllal, (6) a munkavállaló számára megfelelő biztosítékot nyújtottak-e a visszaélésekkel szemben.
[35] Ide tartozik például a tisztességesség elve, az adattakarékosság elve, a pontosság elve, a korlátozott tárolhatóság elve és az integritás és bizalmas jelleg elve. Lásd bővebben: Magyarázat a GDPR-ról... i. m. 103-121.
[36] GDPR 5. cikk (1) bekezdés c) pont.
[37] Magyarázat a GDPR-ról. i. m. 110.
[38] A már említett Mfv.IV.10.098/2021/7. számú ítéletben is megjelent a magánhasználat engedélyezésének a problematikája: az alperes munkáltató, egy meghatározott időponttól elrendelte az informatikai rendszer magánhasználatának a tilalmát és a korábban elküldött magáncélú üzenetek törlését, mivel egy informatikai alkalmazásra kötött szerződés miatt lehetővé vált a munkáltató számára a rendszerben küldött üzenetek ellenőrzése és keresése. Azonban a felperes munkavállaló az időközben megszűnt jogviszonyára tekintettel nem rendelkezett többé hozzáféréssel a rendszerhez, emiatt nem tudta törölni a magánjellegű üzeneteit, a munkáltató pedig hozzáfért azokhoz. Felülvizsgálati kérelmében a munkáltató arra hivatkozott, hogy a magánhasználat tiltott volt, így nem feltételezte, hogy a keresés elvégzésekor magánjellegű levelezéseket is feldobhat a rendszer, emiatt jogszerűen kezelte a munkavállaló személyes adatait. A Kúria szerint a rendelkezésre álló adatok alapján ítéleti bizonyossággal megállapítható volt, hogy az alperes korábban nem tiltotta a munkavállalóknak, hogy a rendszerben személyes üzeneteket váltsanak, a munkavállaló a munkáltatói felmondást követően nem kapott lehetőséget arra, hogy a főigazgatói utasításnak eleget téve személyes adatait, üzeneteit törölje, arra a munkáltatótól nem kapott felszólítást sem, a tanúvallomásokból pedig megállapítható volt, hogy a munkáltató jogellenesen kezelte a munkavállaló személyes adatait.
[39] Nemzeti Adatvédelmi és Információszabadság Hatóság [2016] i. m. 25-32.
[40] Bankó i. m. 67.
[41] Az Mfv.I.10.423/2015/7. számú ítéletben a Kúria megállapította, hogy a munkavállaló nem köteles tájékoztatni a munkáltatót álláskeresési szándékáról és ennek okairól, mert az a magánszférájába tartozó, döntési szabadságát érintő kérdés, az Mfv.I.10.016/2013/7. számú ítéletben pedig a reprodukciós eljárással kapcsolatos vizsgálatok, azok kezdő- és végső időpontjáról szóló tájékoztatás körében mondta ki, hogy erre nem kötelezhető a munkavállaló.
[42] Bankó i. m. 62.
[43] Rátkai Ildikó: A munkahelyi párkapcsolat megítélése egy kúriai döntés alapján, Munkajog, 2020/1, 59.
[44] Kulisity Mária: A munkáltató jogellenes munkahelyi ellenőrzésével és adatkezelésével kapcsolatos bírói gyakorlat. In: Quid juris? Ünnepi kötet a Munkaügyi Bírák Országos Egyesülete megalakulásának 20. évfordulójára (szerk.: Bankó Zoltán-Berke Gyula-Tálné Molnár Erika) Kúria-Pécsi Tudományegyetem Állam- és Jogtudományi Kar-Munkaügyi Bírák Országos Egyesülete, Budapest, Pécs, 2018, 255.
Lábjegyzetek:
[1] A szerző LL.M., PhD; főtanácsadó, Kúria; adjunktus, Szegedi Tudományegyetem Állam- és Jogtudományi Kar. Az írás a szerző álláspontját tartalmazza, az nem értelmezhető az őt foglalkoztató intézmények állásfoglalásaként.
Visszaugrás
