In most cases, the employer is the only one identified as a data controller in connection with employment relationships, even though other actors of employment such as the trade unions and the works councils also process data in relation to their activities carried out based on and in compliance with the Labour Code. Even so, while the data processing of the trade union does not raise any particular questions compared to other data controllers, issues do arise in connection with the works council. Works councils undeniably process the employees' personal data in order to carry out their activities and fulfil their tasks, though without own assets and organisation separate from the employer's, data processing of the works council could be attributed to the employer and considered as if it was the employer's data processing, which would settle most of the possibly arising questions such as liability for infringing data protection rules. However, after the General Data Protection Regulation (GDPR) of the EU came into force in 2018, the definition of the data controller changed and includes now so-called "other bodies" as well, even if these bodies lack legal personality. Thus, the works council itself shall be considered as data controller which means that it must execute the obligations set in data protection rules. Despite the fact that based on the GDPR rules the works council shall be considered as data controller independent from other data controllers including the employer, this fact seems to be unknown for all relevant bodies, even for the data protection authority. Possibly because the works council is still thought to be a part of the employer's organization and thus it is not obvious that the transfer of data between the employer and the works council is limited and conditional as they are two independent data controller, obliged to guard the employee's relevant data even from one another. Hence, it is important to emphasize that the works council itself is an independent data controller in order to ensure a high level of protection for the employees. The aim of this paper therefore is to prove that the works council is clearly an independent data controller by analysing the relevant Hungarian and EU rules.
A munkaviszonyokban jellemzően és elsősorban a munkáltató tekinthető adatkezelőnek. Azonban számtalan olyan helyzet adódik, amikor a munkajog egyéb szereplői maguk is azzá válnak, hiszen nem egy esetben a munkáltatóhoz hasonló mennyiségű adat megismerésére és kezelésére jogosult a szakszervezet, valamint az üzemi tanács. A jelen tanulmányban azonban kizárólag az üzemi tanács adatkezelői minőségével kapcsolatosan felmerülő kérdések vizsgálatára kerül sor, mivel az egy olyan speciális jogintézmény, amely a munkáltató részeként és költségén működik, de attól független,[2] neutrális testület,[3] ezért indokolt külön is megvizsgálni az adatvédelem terén betöltött szerepét. Ennek során figyelemmel kell lenni arra, hogy a 2016/679/EU rendelet (GDPR) mellett az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) rendelkezései is irányadók.
Hangsúlyozni szükséges, hogy az adatkezelésnek minősülő tevékenységek köre igen tág, így adatkezelésnek kell tekinteni a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely műveletet vagy műveletek összességét, így a gyűjtést, rögzítést, rendszerezést, tagolást, tárolást, átalakítást vagy megváltoztatást, lekérdezést, betekintést, felhasználást, közlés továbbítást, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolást vagy összekapcsolást, korlátozást, törlést, illetve megsemmisítést.[4] Tartalmilag szinte azonos az Infotv. szerinti definíció,[5] azzal, hogy az külön kiemeli adatkezelési tevékenységként a fénykép-, hang- és képfelvétel készítését, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítését.
Amikor az üzemi tanács, illetőleg üzemi tanács hiányában a választási bizottság megszervezi az üzemi tanácsi választásokat, akkor kérésére a munkáltató átadja a munkavállalók ehhez szükséges adatai közül azokat, amelyek az aktív és passzív választójogi jogosultság megállapításához szükségesek, valamint amelyeket a választás érvényességének és eredményességének megállapításakor a számítás során figyelembe szükséges venni (pl. keresőképtelen a munkavállaló).[6] Így például a munkáltató tájékoztatni köteles az üzemi tanácsot a választás napján keresőképtelen, valamint a fizetés nélküli szabadságon lévő munkavállalókról (azonosító adataikkal együtt), hiszen a választás érvényességének megállapítása során ők a munkavállalói létszámba nem számítandók bele.[7] Ebből következően - természetesen attól is függően, hogy a munkáltató milyen formában, illetőleg részletességgel adja át a szükséges adatokat - az üzemi tanács adott esetben tudomást szerezhet például az adott munkavállaló egészségi állapotáról, esetleges betegségéről, valamint adott esetben a munkavállaló szakszervezeti tagságáról, amelyek a GDPR szerint a személyes adatok különleges kategóriájába tartoznak,[8] és az Infotv. is különleges adatnak minősíti ezeket.[9] A szakszervezeti tagságra vonatkozó személyes adatot kezel maga az üzemi tanács saját elnöke vonatkozásában is, ugyanis amennyiben az üzemi tanács elnökét szakszervezeti tisztsége folytán illeti meg a munkajogi védelem, úgy az üzemi tanács elnökének minőségében az már nem illeti meg, vagyis az üzemi tanács hozzájárulására nincs szükség a felmondás jogszerűségéhez.[10] Mindezeken túl a részvételi jogok gyakorlása során is egy vagy több munkavállaló személyes adatainak megismerésére kerülhet sor, szintén attól függően, hogy a munkáltató milyen formában, illetőleg részletességgel adja át a szükséges információkat ahhoz, hogy az üzemi tanács jogát gyakorolni tudja.[11] Említésre méltó továbbá, hogy a jogalkotó az üzemi tanács feladatává tette a munkaviszonyra vonatkozó szabályok megtartásának figyelemmel kísérését,[12] amely a megfogalmazás alapján lehet általános és egyedi esetekre kiterjedő ellenőrzés is, amely során szintén elkerülhetetlen munkavállalói személyes adatok megismerésre. A gyakorlatban ennek a jogosultságnak azonban - a kikényszerítését lehetővé tevő jogkörök és jogkövetkezmények hiányában - egyelőre csekély relevanciája van, az lex imperfecta marad.
Az üzemi tanács adatkezelői minőségére sokáig a hazai jogszabályok hatályos szövegei kifejezetten nem utaltak, legfeljebb az Infotv. és a GDPR adatkezelőt, illetőleg adatkezelést meghatározó rendelkezéseinek értelmezése révén lehetett azt kikövetkeztetni.[13] Talán ennek oka az is, hogy maga az adatvédelmi hatóság sem tér ki az üzemi tanács adatkezelésével kapcsolatos kérdésekre a munkahelyi adatkezelésekről szóló tájékoztatójában.[14] Mindettől függetlenül azonban jogszabályi deklaráció hiányában is megállapítható volt adott esetben a kifejezett jogi illetékességből eredő adatkezelés, ennek hiányában a beleértett illetékességből eredő adatkezelés elve, illetőleg a tényleges befolyás elve mentén az, hogy az üzemi tanács az adatkezelő.[15] Éppen ezért az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról szóló 2019. évi XXXIV. törvény (Mód.tv.) által módosított Mt. 10. § megszövegezése, amely 2019. április 26-án lépett hatályba, kifejezetten előremutató abban a tekintetben, hogy explicit módon adatkezelőként nevesíti az üzemi tanácsot és a szakszerveztet is a munkáltató mellett.[16] A törvény Mt.-t módosító további rendelkezései azonban elhibázottak, a GDPR rendelkezéseivel és fő céljával ellentétesek, és a jogszabály ezen részével kapcsolatos koncepcionális aggályait a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke is kiemelte már a tervezet véleményezése során, rámutatva, hogy a módosítás a munkáltatót mint adatkezelőt a GDPR alapján terhelő elszámoltathatóság alapelvi követelményéből fakadó felelőssége és a GDPR-ban ehhez kapcsolódóan előírt kötelezettségek alól részben mentesítené, és számára törvényi felhatalmazást adna meghatározott adatkezelési műveletek elvégzésére,[17] amelyek egyébként az adatvédelmi szabályokból nem következnének.
Miután az Mt. adatvédelmi szabályainak módosítása ily módon igencsak újnak mondható, annak gyakorlati hatása még messze nem egyértelmű, ezért az elemzést elsősorban a Mód.tv. hatályba lépését megelőzően irányadó szabályok alapján végzem el, és csak ezt követően térek rá, milyen lehetséges hatásai vannak, illetőleg lehetnek a jogszabályi változásoknak. Ily módon kívánom szemléltetni azt a jogalkotási hiátust, amely az üzemi tanács adatkezelésével kapcsolatosan fennállt, és amely meglátásom szerint továbbra is meglévő probléma, ahogy az üzemi tanács adatkezelői mivoltának megítélése is ellentmondásos maradt a hazai jogi környezetben, a változások ellenére.
Az üzemi tanács adatkezelői minősége az üzemi tanács speciális jogállása következtében a gyakorlatban több kérdést is felvet, szemben a szakszervezettel. A szakszervezet ugyanis a polgári jog szabályai alapján kerül létrehozásra, és egyesületi minőségében jogi személyiséggel, saját szervezettel és elkülönült vagyonnal rendelkezik,[18] ekként jogképességgel, valamint képviselőin keresztül cselekvőképességgel rendelkezik, azaz jogok és kötelezettségek alanya lehet, perelhet és perelhető,[19] így az adatvédelmi szabályok megtartása során, valamint azok esetleges megszegése esetén a jogkövetkezmények kiszabása körében nincs eltérés a gazdasági társaság vagy természetes személy adatkezelőkhöz képest. Ezzel szemben az üzemi tanács inkább a munkajog közjogias elemekkel történő kibővülésének egyik megjelenési formája,[20] az üzem munkavállalói által választott olyan testület, amely a munkáltató szervezetén belül helyezkedik el, nincs saját vagyona, sem elkülönült szervezete,[21] továbbá nem jogi személy, ezért csak igen korlátozott jog- és cselekvőképességgel rendelkezik, az Mt. által megszabott keretek között.[22] Saját vagyon hiányában az üzemi tanács működésével felmerülő indokolt költségek a munkáltatót terhelik,[23] valamint az üzemi tanács működése során a munkáltató szervezetét és erőforrásait veszi igénybe.[24] Jogi személyiség hiányában csupán korlátozottan lehet jogok és kötelezettségek alanya, és szerződéskötési képessége is kizárólag az Mt. által biztosított mértékben, (normatív) üzemi megállapodás megkötésének erejéig áll fenn. Éppen ezen sajátosságai miatt a GDPR, valamint az Infotv. rendelkezéseinek alkalmazása, illetőleg gyakorlati alkalmazhatósága nem minden esetben egyértelmű.
Az első megválaszolandó kérdés az, hogy egyáltalán önálló adatkezelőnek tekinthető-e az üzemi tanács. Jóri András korábbi adatvédelmi biztos szerint a munkáltatótól történő személyi, szervezeti és anyagi elkülönülés hiánya miatt nem minősülhet önálló adatkezelőnek, szemben a szakszervezettel,[25] amely egyesületi formája révén egyértelműen önálló adatkezelőként jelenik meg a jogviszonyokban. Eszerint az üzemi tanács által kezelt adatok vonatkozásában lényegében a munkáltatót kellene adatkezelőnek tekinteni, és a felelősségi szempontokat eszerint vizsgálni.
Ez az álláspont azonban véleményem szerint több okból sem helytálló. Egyfelől teljes mértékben figyelmen kívül hagyja a GDPR terminológiáját. A GDPR angol szövegének vizsgálata révén megállapítható, hogy adatkezelőnek tekinthető az ún. "other body" is, ami nem kizárólag az önálló szervezeteket jelenti, hanem személyek olyan szervezett csoportját, akiknek közös célja vagy feladata van,[26] illetőleg egyének olyan csoportja, amely jogalanyként elismerésre kerül,[27] akár egy szervezeten belül. Tehát nem csak egy szervezet, hanem annak egy elkülönült szervezeti egysége is ide sorolható adott esetben. Tény, hogy az üzemi tanács mint testület jogalanyisága - a jogszabály által meghatározott körben - elismerésre kerül a magyar jogrendszerben. Ennek egyik megtestesülése például a normatív üzemi megállapodás megkötésére vonatkozó szerződéskötési jogosultság törvényi lehetővé tétele, ekként a munkaviszonyok alakítójává válhat. De a munkaviszonyból fakadó igények bíróság előtti érvényesítése esetében maga a polgári perrendtartás[28] biztosítja az üzemi tanács perképességét,[29] azaz a munkaügyi perek kapcsán a törvény által jogalanyiságot nyer. Jogalanyisága pedig lehetővé teszi, hogy önálló adatkezelőnek minősüljön, hiszen tevékenysége, különösen az adatkezelés terén, jól körülhatárolható, és a munkáltató működésétől kifejezetten elkülönül. Másfelől az üzemi tanács érdekképviseleti funkciója,[30],[31] amely bár a munkáltatóval történő kooperációra épül,[32] azonban érdekütközések - például az együttdöntési jog kapcsán - így is felmerülhetnek,[33] kifejezetten megköveteli, hogy adatkezelési tevékenysége ne a munkáltató részeként, hanem attól elkülönülten váljon vizsgálat és ellenőrzés tárgyává, így biztosítható az üzemi tanács függetlensége és neutralitása, illetőleg jelenleg meglévő függése némiképp csökkenne. Ráadásul az üzemi tanácsot a munkáltató nem irányít(hat)ja, működését nem befolyásolhatja, ebből következően - szervezeti elkülönülés hiányában is - a munkáltatótól független, önálló testületként értelmezendő, amelyet nem befolyásol, hogy működésének feltételeit a munkáltató köteles megteremteni és finanszírozni. Mindehhez hozzá kell tenni azt is, hogy az uniós jog célja a tényleges adatkezelő személyének megállapítása, valamint adott esetben annak szankcionálása. Márpedig az üzemi tanács által kezelt adatok tekintetében - éppen az üzemi tanács már hivatkozott semlegessége és autonómiája miatt - a munkáltató sem a jogszabály alapján, sem ténylegesen nem tekinthető adatkezelőnek, a kezelt adatok körére és a feldolgozás módjára sem jogi, sem tényleges ráhatása nincs, márpedig ebben az esetben nem minősülhet adatkezelőnek.[34]
Mindezeken túlmenően éppen az uniós adatvédelmi szabályok értelmezéséhez iránymutatást nyújtó munkacsoport - egyébként az Európai Adatvédelmi Testület által is átvett - véleményével ellentétes lenne, ha pusztán munkajogi és társasági jogi, illetőleg egyéb jogterületek fogalmainak és szabályainak alkalmazásával jól körülhatárolható adatkezelőket kizárnánk ebből a személyi körből, miközben az adatvédelem szabályai alapján egyértelműen megítélhető a helyzet.[35] Az adatkezelők körének meghatározása ugyanis az adatvédelmi szabályok megtartásáért fennálló felelősség elosztását szolgálja,[36] ekként nyújtva védelmet az érintetteknek jogaik érvényesítése során. A túlzott formalizmus, az adatkezelő fogalmának kifejezetten megszorító jellegű értelmezése lehetőséget teremtene a GDPR rendelkezéseinek megkerülésére,[37] miközben éppen az lenne az uniós szabályozás célja, hogy a felelősség elosztásán keresztül mindig megállapítható legyen az adatvédelmi szabályok megtartásáért, illetőleg megszegéséért felelős személye, és ne léphessen érvénybe a casus nocet domino elve. A munkajog ezért kizárólag a nem egyértelmű helyzetek tisztázását segítheti elő, de nem írhatja felül az adatvédelmi szabályokat, valamint a tényleges helyzetet, amely a határesetek eldöntésének alapja.[38]
Mindenképpen ki kell térni az üzemi tanács önálló adatkezelői minőségével kapcsolatosan arra is, hogy az üzemi tanács a választáson aktív és passzív választójoggal rendelkező munkavállalók személyes adatai vonatkozásában mindenképpen önálló adatkezelővé válik. Ekkor ugyanis a munkáltató saját nyilvántartásából összegyűjti az üzemi tanács, illetőleg a választási bizottság számára a választói névsor összeállításához szükséges adatokat, amellyel lényegében egy új nyilvántartás jön létre. Amennyiben nem az üzemi tanácsot, hanem a munkáltatót kellene ezen új nyilvántartás vonatkozásában adatkezelőnek tekinteni, úgy lényegében az üzemi tanács kérésének teljesítésével ab ovo adatvédelmi szabályt sértene. Ugyanis ebben az esetben az adatkezelőnek, azaz a munkáltatónak kellene megőriznie és tárolnia az adatokat a szükséges ideig, ez pedig, mivel az új nyilvántartás előállításával az adatokat duplikálta, nem megengedett az átláthatóság és az adattakarékosság elveiből következően.[39] Amennyiben pedig a munkáltató az így előállított nyilvántartást átadja az üzemi tanács részére, és azt maga nem is őrzi meg, úgy a tényleges helyzet alapján kizárólag az üzemi tanács tekinthető adatkezelőnek. Így ebből is következik az üzemi tanács önálló adatkezelői minőségének elismerése iránti igény.
Az üzemi tanács tevékenységét, ezzel együtt pedig adatkezelésének jogalapját ugyan alapvetően a törvény határozza meg, azonban az adatkezelés módját, eszközeit ebben az esetben is az üzemi tanács fogja meghatározni, valamint üzemi megállapodásban olyan további jogosítványok biztosíthatók számára, amelyekkel kapcsolatos adatkezelés jogalapja már nem a törvény lesz. Ebből következően az üzemi tanács maga határozza meg az adatkezelés célját és módját,[40] és így mindenképpen önálló adatkezelőnek minősül. Ezen túlmenően a jogszabály nem tiltja, hogy az üzemi tanács az üzem munkavállalói számára jogaik és kötelezettségeik vonatkozásában tájékoztatást nyújtson, működésével kapcsolatosan, akár a működéséről történő beszámolás keretében rendezvényeket szervezzen, arra például egy közös vacsora keretében kerüljön sor, illetőleg hasonló tevékenységeket szervezzen. Ezek adott esetben szükségessé tehetik a munkavállalók meghatározott adatainak gyűjtését - hozzájárulásuk esetén - és adott esetben továbbítását. Az adatkezelői minőség megalkotásának célja egyébként is annak meghatározása, hogy ki tartozik felelősséggel az adatvédelmi szabályoknak történő megfelelésért, és az érintettek hogyan gyakorolhatják ténylegesen jogaikat.[41] Minderre tekintettel álláspontom szerint önálló adatkezelőnek kell tekinteni az üzemi tanácsot. Egyébiránt mindig a tényleges helyzet és a körülmények alapján dönthető el, hogy valamely személy vagy szerv(ezet) jogosult-e és képes-e meghatározni az adatkezelés célját és módját,[42] és a tényleges helyzetet kell vizsgálni akkor is, ha egyébként jogszabályi felhatalmazáson alapul az adatkezelés.[43]
Az is mindenképpen rögzíthető, hogy bár az üzemi tanács és a munkáltató is adatkezelő, az általuk kezelt adatok köre nem feltétlenül fedi egymást, és az adatkezelés jogalapja sem minden esetben azonos, ezért tevékenységük során egymással szemben is kötelesek a kezelt adatok védelmét megvalósítani, úgy kell tekinteni őket ebben a vonatkozásban, mintha teljesen elkülönült entitások volnának. Éppen ezért a munkáltató és az üzemi tanács közötti adattovábbítás nem lehet automatikus, még ha a köztük fennálló jó kapcsolatra tekintettel a kért adatok átadása esetleg természetesnek is tűnhet. E körben arra is figyelemmel kell lenni, hogy az üzemi tanácsot megillető jogosultságokat és kötelezettségeket mindig az adott ciklus vonatkozásában, a megbízatás időtartamára vonatkoztatva kell vizsgálni. A bírói gyakorlatból következően ugyanis - és ez következik a jogszabályból, valamint az üzemi tanács természetéből is - az üzemi tanács megbízatása akkor is csak az adott ciklusra szól, ha esetleg az üzemi tanácsot teljes egészében újraválasztják a munkavállalók a soron következő választáson.[44] Ebben az esetben az üzemi tanács által az egyik ciklusban megszerzett adatkezelési jogosultság nem feltétlenül áll majd fenn az újraválasztást követő ciklusban. De visszatérve a munkáltató és az üzemi tanács közötti adattovábbítás korlátaira: nyilvánvalóan nem adhatók ki szabadon az üzemi tanács részére például a volt munkavállalók adatai (név, lakcím, stb.) megfelelő jogalap hiányában. Amennyiben az üzemi tanács szeretné valamilyen okból megkeresni a volt munkavállalókat, akkor álláspontom szerint az a helyes eljárás, ha a munkáltató beszerzi a volt munkavállalók hozzájárulását ahhoz, hogy a megkereséshez szükséges adataik az üzemi tanács részére továbbításra kerüljenek. Éppen ezért, bár a hozzájárulás az adatkezelés jogalapjaként a munkaviszonyban főszabály szerint nem alkalmazható a felek közötti alá-fölérendeltség okán,[45] az a volt munkavállalók vonatkozásában - a hierarchia megszűnése folytán - kifejezetten jogszerűen megjelölhető az adatkezelés, illetőleg adattovábbítás jogalapjaként. Ugyanez a helyzet abban az esetben is, ha az adatkezelő a munkavállalók által megválasztott testület, hiszen ebben az esetben éppen a munkavállalók állnak a hierarchia csúcsán, amely pozíciójukat az üzemi tanáccsal szemben az Mt. által biztosított visszahívási jog is garantál.[46]
A kérdés egyáltalán nem költői, ugyanis az Mt. adatkezelési szabályainak 2019. évi módosítása bár már világossá teszi, hogy az üzemi tanács önálló adatkezelő lehet, azonban a jogszabály megfogalmazása, valamint az üzemi tanács adatkezelői minőségének kimondásával felmerülő kérdések rendezésének elmaradása inkább egyfajta konfúz helyzetet teremt a jogalkalmazók szempontjából.
A jogszabály módosítás vitathatatlanul szűkszavúra sikerült. Ugyanis az Mt. új 10. § (2) és (3) bekezdése utal csupán arra, hogy az üzemi tanács adatkezelő lehet. E két bekezdés akként rendelkezik, hogy a munkáltató, az üzemi tanács, a szakszervezet az Mt. Harmadik Részében meghatározott jogának gyakorlása vagy kötelességének teljesítése céljából nyilatkozat megtételét vagy adat közlését követelheti, valamint ez alapján okirat bemutatása követelhető. Mindenképpen szükséges hangsúlyozni, hogy a törvénytervezet még explicite kimondta, hogy az üzemi tanács feladata ellátása körében adatot kezelhet.[47] A különbség látszólag elhanyagolható, valójában azonban kifejezetten érdemi. Problémát jelent(het) ugyanis, hogy az Mt. így egyáltalán nem igazodik az adatvédelmi szabályok terminológiájához, sem az adatvédelem általános megközelítéséhez, amely nem az érintettek kötelezettségeit, hanem jogosultságát hangsúlyozza. Ezzel szemben az Mt. fordított logikát követ, amikor az adatkezelő jogosultságát és az érintettek kötelezettségét emeli ki az adat közlése kapcsán. Ez éppen a munkaviszonyban, amelynek lényegi eleme a felek közötti hierarchia, legalábbis nem szerencsés.
Ezen túlmenően az sem világos, hogy az "adat közlését követelheti" fordulattal megszorítani kívánja-e a jogalkotó az adatkezelők jogosultságait, hiszen - ahogy arra a bevezetésben utaltam - az adatkezelés számtalan egyéb tevékenységet is tartalmaz. Kérdés, hogy az adat közlésének követelhetőségéből következik-e az adat rögzítésére, gyűjtésére, tárolására, stb. vonatkozó jogosultság, vagy ezen sajátos terminológia bevezetésével az adatkezelők tevékenységét kívánta a jogalkotó szűkebb korlátok közé szorítani, hiszen a munkaviszonyban a hozzájárulás az adatkezelés jogalapjaként alapvetően nem alkalmazható, az Mt. 10. § (2) bekezdése pedig a jogszabályi kötelezettséget mint jogalapot ily módon erőteljesen korlátozza az adat megismerhetőségére. Látszólag ezt az értelmezést támasztja alá a 10. § (3) bekezdése is, amely szerint okirat bemutatása követelhető, ez ugyanis egyértelművé teszi, hogy okirat átadása, arról másolat készítése, ekként az okiratban foglalt adatok kezelése már nem engedélyezett. Azonban a módosítás szellemiségéből, miszerint az adatkezelők jogosultságai, nem pedig kötelezettségei hangsúlyosak, ennek ellenkezője következik, vagyis az adatkezelők tevékenységének sokkal tágabb kereteket igyekszik a jogalkotó biztosítani. Az adatvédelmi szabályok és a munkajogi adatvédelmi szabályok terminológiájának, valamint szellemiségének ilyen különbözőségéből fakadó bizonytalanságok a gyakorlatban valóban nagyobb mozgásteret biztosíthatnak az adatkezelők számára. Kérdés marad azonban, hogy az üzemi tanács és a munkáltató, vagy éppen az üzemi tanács és a munkavállalók vonatkozásában ez miképp manifesztálódik, és milyen hatással lesz az adatkezelő felelősségének megítélésében egy esetleges adatvédelmi incidens esetén.
A fentiekből jól látható, hogy a hazai jogalkotás jelentős lépést tett előre a munkajogi adatkezelés terén, hiszen egyértelművé vált, hogy az üzemi tanács a saját jogán, önállóan kezel adatot, vagyis e vonatkozásban nem a munkáltató részeként kell rá tekinteni, attól elkülönült adatkezelő entitás. Sajnálatos módon azonban az üzemi tanács adatkezelésével kapcsolatos szabályozási hiátus megszüntetése ezen a ponton el is akadt, az üzemi tanács adatkezelői minőségéből fakadó további kérdések nem hogy megoldásra nem kerültek, hanem az igen szerencsétlen módon megfogalmazott Mt. módosítás újabb kérdéseket eredményez, még az üzemi tanács adatkezelői mivoltával összefüggésben is, tovább nehezítve a jogalkalmazók helyzetét.
Meglátásom szerint az, hogy az Mt. módosítás rövid terjedelme ellenére számtalan kérdést vet fel, alapvetően két okra vezethető vissza. Egyrészt érzékelhetően a jogalkotó, az uniós jogalkotói akarattal szembefordulva, az adatkezelőknek - vélhetően elsősorban a munkáltatóknak - kívánt kedvezni, hiszen az adatkezelők jogosultságait és az érintettek kötelezettségeit helyezi fókuszba az adatkezelők kötelezettségei és az érintettek jogai helyett, ezzel tovább erősítve a már meglévő hierarchiát. Másrészt egyértelmű, hogy a jogalkotó nem érzékelte azt a jogalkotási hiányt, hogy az üzemi tanács sajátos jogállásából, korlátozott jogalanyiságából fakadóan az adatkezeléssel kapcsolatosan több kérdés is rendezésre vár, amelynek hiányában az adatvédelem célkitűzései az üzemi tanács vonatkozásában ténylegesen nem tudnak megvalósulni, még akkor sem, ha adatkezelői minősége egyértelműsítésre került.
Az üzemi tanács adatkezelői minősége hazánkban egészen eddig nem merült fel kérdésként, egyszerűen nem volt magától értetődő, hogy az üzemi tanács ilyen tevékenységet végez feladatai ellátása során. Az adatvédelmi hatóságnak a munkahelyi adatkezeléssel kapcsolatos tájékoztatója is kifejezetten hallgat a kérdésről, lényegében kizárólag a munkáltató adatkezelésére koncentrál. Az Infotv. adatkezelő fogalma ugyan már korábban is utalt arra, hogy akár jogi személyiséggel nem rendelkező szervezetek is adatkezelőnek minősülhetnek, azonban vélhetően ez alatt az 1959. évi Ptk. által ezen összefoglaló megnevezés alá tartozó közkereseti társaságot és betéti társaságot érthették a jogalkalmazók. Miután azonban a 2013. évi V. törvény szerint e két társasági forma jogi személyiséggel rendelkezik, érdemes lett volna az adatvédelmi hatóság részéről is újra gondolni az adatkezelő fogalmát, kifejezetten a munkaviszony alanyai vonatkozásában. Ez azért is indokolt, mert ha maga a felügyeleti szerv nem emeli ki, hogy a munkáltató mellett a munkaviszony további szereplői, így a szakszervezet és az üzemi tanács is adatkezelőnek minősül, úgy életszerűtlen elvárni, hogy az üzemi tanács, valamint a munkavállalók tisztán lássanak, ki felel adott esetben az adatvédelmi szabályok megtartásáért, kivel szemben kezdeményezhetnek hatósági vagy bírósági eljárást.
A GDPR által bevezetett adatkezelő fogalom, valamint az adatkezelő megállapításával kapcsolatos rendelkezések megalkotásának célja éppen az, hogy az ilyen kérdéses helyzetek tisztázásra kerüljenek, és minden egyes, a munkaviszonnyal összefüggésben elvégzett adatkezelési tevékenység vonatkozásában kiosztásra kerüljön a felelősség. Miután ebben az esetben a főszabály szerinti megszorító értelmezés helyett inkább a kiterjesztő értelmezés felel meg az uniós szabályoknak, feltétlenül iránymutatást kellene nyújtania a munkáltatók és az üzemi tanácsok részére, miként kívánja az üzemi tanács adatkezelői tevékenységét vizsgálni a jövőben, e jogalkalmazók miként felelhetnek meg teljes mértékben az uniós és a hazai adatvédelmi szabályoknak. Az üzemi tanács saját szervezetének hiánya olyan hiányként[48] jelentkezik, ami a napi működés, így az adatkezelés vonatkozásában kifejezetten akadályként jelentkezik, mivel egyébként egyértelmű helyzeteket is bizonytalanná tesz. Álláspontom szerint előremutató az üzemi tanács önálló adatkezelői mivoltának elismerése és deklarálása, ezzel összefüggésben a jogalkotó jogalkotási kötelezettségének eleget tett. Azonban az üzemi tanács sajátos helyzete, korlátozott jogalanyisága számtalan olyan felelősségi és kapcsolódó kérdés megválaszolását bizonytalanná teszi, ami jogképességgel rendelkező szervezetek esetében nem merül fel, és pusztán jogértelmezés révén ezek a kérdések nem válaszolhatók meg, valamint a válaszok kidolgozása során felmerülő ellentmondások nem oldhatók fel. Ezen nem változtat az Mt. adatkezelési szabályainak 2019. évi módosítása sem, hiszen ahogy az elemzésből is kiderült, az a meglévő problémák rendezése helyett inkább csak további kérdéseket vet fel a gyakorlatban. Éppen ezért sokkal tovább mutató volna, ha - a francia joghoz hasonlóan[49] - az üzemi tanácsot a jogalkotó jogi személyiséggel ruházná fel, hiszen ez számtalan, főleg perjogi kérdést egy csapásra rendezne. Egyelőre ilyen jogalkotási szándék ugyan nem mutatkozik, így rövidtávon mindenképpen az adatvédelmi hatóság és a bíróság feladata lesz egy egységes értelmezés és joggyakorlat kialakítása.
Ásvány Zsófia: A munkáltatói hatalom és annak korlátai a munkavállalói részvételi intézmények vonatkozásában. In: Bankó Zoltán (szerk.): A munkáltatói hatalom aspektusai. PTE-ÁJK Összehasonlító és Európai Munkajogi Kutatóintézet, Pécs, 2016.
Michel Despax-Jacques Rojot-Jean-Pierre Laborde: Labour Law in France. Wolters Kluwer, Alphen aan den Rijn, The Netherlands, 2011.
Handbook on European data protection law. 2018 edition. European Union Agency for Fundamental Rights and Council of Europe, Publications Office of the European Union, Luxembourg, 2018.
Jóri András - Soós Andrea Klára - Bártfai Zsolt - Hári Anita: A GDPR magyarázata. HVG-ORAC, Budapest, 2018.
Kiss György: Alapjogok kollíziója a munkajogban. JUSTIS, Pécs, 2010.
Lehoczkyné Kollonay Csilla: A magyar munkajog. II. kötet. Vince Kiadó, Budapest, 2004.
Prugberger Tamás-Nádas György: Európai és magyar összehasonlító munka- és közszolgálati jog. CompLex, Budapest, 2014.
A 29. cikk szerinti Adatvédelmi Munkacsoport 2/2017. sz. véleménye a munkahelyi adatkezelőséről, 17/HU WP 249.
A NAIH elnökének NAIH/2018/6123/2/J. sz. állásfoglalása.
A Nemzeti Adatvédelmi és Információszabadság Hatóság tájékoztatója a munkahelyi adatkezelések alapvető követelményeiről. Elérhető: https://www.naih.hu/files/2016_11_15_Tajekoztato_munkahelyi_adatkezelesek.pdf (Letöltés: 2019. január 13.)
Article 29 Data Protection Working Party: Opinion 1/2010 on the concepts of "controller" and "processor", 00264/10/EN WP 169.
Paolo Mengozzi főtanácsnoknak az Európai Unió Bírósága C-25/17. sz. Tietosuojavaltuutettu kontra Jehovan todistajat - uskonnollinen yhdyskunta ügyéhez fűzött főtanácsnoki indítványa, ECLI:EU:C:2018:57. ■
JEGYZETEK
[1] "AZ EMBERI ERŐFORRÁSOK MINISZTÉRIUMA ÚNKP-18-3-IV-DE-222 KÓDSZÁMÚ ÚJ NEMZETI KIVÁLÓSÁG PROGRAMJÁNAK TÁMOGATÁSÁVAL KÉSZÜLT."
[2] Lehoczkyné Kollonay Csilla szerint az üzemi tanácsnak nem csak a szakszervezethez hasonló önálló, a munkáltatón kívüli szervezte nincs, de a munkáltatón belül sem szervezetként létezik, pusztán a munkáltató szervezeti struktúrájához igazodva alkot testületet, illetőleg szervet. Lehoczkyné Kollonay Csilla szerint ez különbözteti meg alapvetően a szakszervezettől, és önálló szervezet létrehozása esetén az üzemi tanács lényegében szakszervezetté válna. [Lehoczkyné Kollonay Csilla: A magyar munkajog. II. kötet. Vince Kiadó, Budapest, 2004, 155.]. Visszautalva az üzemi tanács "szerv"-ként történő definiálására, az az adatvédelem kapcsán különös jelentőséget nyer, hiszen a GDPR értelmezésében egy szerv is önálló adatkezelőként azonosítható.
[3] Kiss György: Alapjogok kollíziója a munkajogban. JUSTIS, Pécs, 2010, 518. 3. sz. lábjegyzet.
[4] GDPR 4. cikk 2. pont.
[9] Infotv. 3. § 3. pont.
[10] Mt. 260. § (3) és (5) bek.
[11] A konzultációs jog körébe tartozó témakörök közül több is magában hordozza munkavállalók személyes adatainak akár véletlenszerű, nem szándékolt megismerését, amely önmagában nem jogellenes, hiszen az üzemi tanács tevékenysége jogszerű végzése folytán ismerte meg azokat. Ilyen témakör pl. a munkajogi védelem gyakorlása, a munkavállalóra vonatkozó személyes adatok kezelése és védelme, a munkavállaló ellenőrzésére szolgáló technikai eszköz alkalmazása, az új munkaszervezési módszer, valamint a teljesítménykövetelmény bevezetése, módosítása, az egészségkárosodást szenvedett vagy a megváltozott munkaképességű munkavállalók rehabilitációjára vonatkozó intézkedések tervezete, az egyenlő bánásmód követelményének megtartására és az esélyegyenlőség biztosítására irányuló intézkedés, stb.
[12] Mt. 262. § (1) bek.
[13] A GDPR 4. cikk 7. pontja szerint adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja. Az Infotv. 3. § (9) bekezdése szerint pedig adatkezelő az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között - önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.
[14] A Nemzeti Adatvédelmi és Információszabadság Hatóság tájékoztatója a munkahelyi adatkezelések alapvető követelményeiről. Elérhető: https://www.naih.hu/files/2016_11_15_Tajekoztato_munkahelyi_adatkezelesek.pdf (Letöltés: 2019. január 13.)
[15] Kifejezett jogi illetékességből eredő adatkezelésről beszélünk, amikor az adatkezelőt vagy a kinevezésére vonatkozó konkrét kritériumokat a nemzeti jog/közösségi jog jelöli ki, illetőleg ilyen kijelölés hiányában a nemzeti jog/közösségi jog olyan feladatot állapít meg vagy olyan kötelezettséget ró valamely személyre vagy szerv(ezet)re, hogy bizonyos adatokat kell gyűjtenie és feldolgoznia. Beleértett illetékességből eredő adatkezelésről akkor van szó, amikor a különböző területekre (polgári jog, kereskedelmi jog, munkajog stb.) vonatkozó közös jogi rendelkezésekből vagy a bevett joggyakorlatból ered az adatkezelő illetékessége, akit ebben az esetben az általában bizonyos felelősséggel járó, meglévő hagyományos szerepek segítenek azonosítani. A tényleges befolyás szerint adatkezelőnek azt kell tekinteni, aki a tényleges körülmények értékelése alapján ilyennek minősül. Article 29 Data Protection Working Party: Opinion 1/2010 on the concepts of "controller" and "processor", 00264/10/EN WP 169., 10-11.
[16] Az Mt. 10. § (2) bekezdése helyébe a tervezet szerint a következő szöveg lépett: "A munkáltató, az üzemi tanács, a szakszervezet e törvény Harmadik Részében meghatározott jogának gyakorlása vagy kötelességének teljesítése céljából nyilatkozat megtételét vagy adat közlését követelheti.".
[17] A NAIH elnökének NAIH/2018/6123/2/J. sz. állásfoglalása, 45.) pont.
[18] Ptk. 3:1. § (5) bek. és 3:63. §
[19] Ptk. 3:1. § (1) bek. és 3:29. §
[20] Kiss György: Alapjogok kollíziója a munkajogban. JUSTIS, Pécs, 2010, 220-221.
[21] Lehoczkyné Kollonay Csilla: A magyar munkajog. II. kötet. Vince Kiadó, Budapest, 2004, 155.
[22] A normatív tartalmú üzemi megállapodás megkötéséhez biztosít szerződéskötési képességet az Mt. 268. §-a.
[23] Mt. 236. § (4) bek.
[24] Pl. az Mt. 261. §-a szerint a munkáltató biztosítja annak lehetőségét, hogy az üzemi tanács a tevékenységével kapcsolatos tájékoztatást közzétegye.
[25] Jóri András álláspontja bővebb kifejtésre nem kerül, véleményét kizárólag az üzemi tanács sajátos helyzetére, a munkáltatótól történő szervezeti elkülönülés hiányára alapítja. Jóri András - Soós Andrea Klára - Bártfai Zsolt - Hári Anita: A GDPR magyarázata. HVG-ORAC, Budapest, 2018, 92.
[26] https://en.oxforddictionaries.com/definition/body
[27] https://www.thefreedictionary.com/body
[28] Polgári perrendtartásról szóló 2016. évi CXXX. törvény (Pp.)
[29] Pp. 514. §
[30] Prugberger Tamás-Nádas György: Európai és magyar összehasonlító munka- és közszolgálati jog. CompLex, Budapest, 2014, 639.
[31] Ásvány Zsófia szerint azonban nem a klasszikus értelemben vett érdekképviseletről van szó, mivel nem rendelkezik az üzemi tanács a munkavállalói érdekek tényleges képviseletét lehetővé tevő nyomásgyakorló eszközökkel. Szerinte ezért célszerűbb lenne inkább egyszerűen csak képviseletnek nevezni őket. Ásvány Zsófia: A munkáltatói hatalom és annak korlátai a munkavállalói részvételi intézmények vonatkozásában. In: Bankó Zoltán (szerk.): A munkáltatói hatalom aspektusai. PTE-ÁJK Összehasonlító és Európai Munkajogi Kutatóintézet, Pécs, 2016, 104.
[32] Lehoczkyné Kollonay Csilla (szerk.): A magyar munkajog. II. kötet. Vince Kiadó, Budapest, 2004, 174.
[33] Lehoczkyné (2004), i.m. 155.
[34] 00264/10/EN WP 169., 12.
[35] 00264/10/EN WP 169., 9-10.
[36] 00264/10/EN WP 169., 7.
[37] Paolo Mengozzi főtanácsnok az Európai Unió Bírósága C-25/17. sz. ügyéhez fűzött indítványában ugyan még a GDPR-t megelőző 95/46/EK irányelv kapcsán fejtette ki gondolatait, de az mutatis mutandis alkalmazható a GDPR rendelkezéseire is. Ugyan a Bíróság végül nem a főtanácsnoki indítvány értelmezését emelte át ítéletében, azonban álláspontom szerint a főtanácsnok érvelése felel meg az uniós adatvédelmi szabályozás szellemének és céljának. Továbbá ez a fajta értelmezés adhatna alapot az üzemi tanács és az ehhez hasonló szervek adatkezelői minőségének megállapításához. C-25/17. sz. Tietosuojavaltuutettu kontra Jehovan todistajat - uskonnollinen yhdyskunta ügyhöz fűzött főtanácsnoki indítvány, ECLI:EU:C:2018:57, 68. pont.
[38] Uo.
[39] GDPR 5. cikk (1) bek. a) és c) pontja.
[40] Jóri András - a GDPR angol szövegére hivatkozva ("purposes and means") - arra az álláspontra helyezkedik, hoagy a rendelet valójában az adatkezelés céljának és módjának, nem pedig az eszközeinek meghatározására utal. Jóri - Soós - Bártfai- Hári (2018), i.m. 92. Ezt támasztja alá az uniós joggal kapcsolatos szakirodalom is, amely szerint az adatkezelő döntésén múlik, miért és hogyan kerül sor az adatok kezelésére. Handbook on European data protection law. 2018 edition. European Union Agency for Fundamental Rights and Council of Europe, Publications Office of the European Union, Luxembourg, 2018, 104.
[41] 00264/10/EN WP 169., 4.
[42] Handbook on European data protection law (2018), 102.
[43] 00264/10/EN WP 169., 9.
[44] Ez következik az Mt. 244. § (4) bekezdésének és 252. § c) pontjának együttes értelmezéséből.
[45] A 29. cikk szerinti Adatvédelmi Munkacsoport 2/2017. sz. véleménye a munkahelyi adatkezelőséről, 17/HU WP 249., 26.
[46] Mt. 252. § e) pont és 253. §
[47] "(2) A munkáltató, az üzemi tanács, a szakszervezet e törvény Harmadik Részében meghatározott jogának gyakorlása vagy kötelességének teljesítése céljából nyilatkozat megtételét vagy adat közlését követelheti, ezzel összefüggésben adatot kezelhet.". Az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról, 76. § (1) bek. Elérhető:
http://www.kormany.hu/download/6/49/71000/GDPR_sal%C3%A1ta_eloterjesztes_180926.pdf#!DocumentBrowse(Utolsó letöltés: 2019. január 06.)
[48] Lehoczkyné Kollonay Csilla: A magyar munkajog. II. kötet. Vince Kiadó, Budapest, 2004, 155.
[49] Michel Despax-Jacques Rojot-Jean-Pierre Laborde: Labour Law in France. Wolters Kluwer, Alphen aan den Rijn, The Netherlands, 2011, 255.
Lábjegyzetek:
[1] A szerző Doktorjelölt, Debreceni Egyetem Marton Géza Állam- és Jogtudományi Iskola, Debreceni Egyetem, Állam- és Jogtudományi Kar. Elérhetőség: bagdi.katalin31@gmail.com..
Visszaugrás
