Mint minden ágazatban, a HR-szakmában is időről időre feltűnnek olyan divatos trendek, amelyek hosszabb-rövidebb időre kihatnak a vállalati HR működésre: csak az elmúlt tíz-tizenöt évben találkozhattunk az employer branding[1] fogalmával, a bit-sized learning[2] metódusával, a generációmenedzsmenttel.[3] Természetesen ezen trendek, irányzatok kimúlási sebessége általában fordítottan arányos az adott vállalkozás pénzügyi, gazdasági helyzetével, de az is tény, hogy az újabbnál újabb divatos módszerek is képesek kiszorítani a korábbi trendeket.
Az utóbbi években szivárgott be az európai, azon belül is a magyar munkaerőpiacra a „background check”, azaz a (munkáltatói[4]) háttérellenőrzés intézménye. A munkáltatói háttérellenőrzés rövid lényege, hogy a (leendő) munkáltató megbízására az e tevékenységre szakosodott cégek, szolgáltatók részletesen átvizsgálják a jelentkező önéletrajzát és az abban szereplő adatokat ellenőrzik a megfelelő helyeken. Nem meglepő módon ennek gyökereit az Amerikai Egyesült Államokban, illetve az angolszász országokban kell keresnünk. Jelenleg a gyakorlati tapasztalatok azt mutatják, hogy egy „magára valamit is adó” multinacionális cég bizonyosan nem létesít munkaviszonyt olyan személlyel, aki a háttérellenőrzést megtagadja, vagy annak során valótlan adatot szolgáltat, illetve egyszerűen csak „megbukik”.
Bár a háttérellenőrzésre sok munkáltató esetében kifejezetten igény mutatkozik (annak ellenére, hogy korántsem egy olcsó módszerről van szó), nem mehetünk el amellett, hogy a háttérellenőrzés számos adatvédelmi, polgári jogi és munkajogi kérdést vet fel, amelyeket a gyakorlat egyelőre meglehetősen nagyvonalúan, lazán kezel. A szerző tapasztalatai szerint (amelyek értelemszerűen reprezentatívnak semmi esetre sem tekinthetőek) a háttérellenőrzésekkel kapcsolatos ügyek vagy jogviták (legalábbis Magyarországon még) nem kerültek sem a hatóságok, sem a bíróságok látókörébe. Ennek vélhetőleg korántsem az az oka, hogy a munkáltatók és a háttérellenőrzést végző megbízottjaik olyannyira szabálykövetőek lennének, hogy abban hibát nem találnánk, sokkal inkább az, hogy az állásra pályázó jelentkezők ingerküszöbét nem éri el, hogy a háttérellenőrzéssel kapcsolatban bármilyen jogi lépést tegyenek vagy már eleve nem is jelentkeznek olyan munkáltatóhoz, amelynél a kiválasztási folyamat során háttérellenőrzésen kell átesniük.
- A háttérellenőrzés tartalma
- A háttérellenőrzés időtényezői
- Önkéntes vagy kötelező?
- A magyar jogszabályi környezet
4.1. Munkajogi aspektusok
4.2. Polgári jogi meglátások
4.3. Adatvédelmi jogi vonatkozások - A gyakorlat nyelvén szólva…
5.1. Alkalmazandó-e egyáltalán a magyar és az uniós szabályozás?
5.2. Ki az adatkezelő?
5.3. Adatkezelési célok
5.4. A kezelt személyes adatok köre; a büntetőjogi felelősséggel összefüggő adatok problematikája
5.5. Az adatkezelés jogalapja
5.6. Milyen „mélységű” lehet a háttérellenőrzés?
5.7. Az adatok forrása
5.8. Automatikus döntéshozatal; profilalkotás
5.9. Megfelelő tájékoztatás
5.10. Az adatkezelés időbeli vonatkozásai
5.11. Adattovábbítás harmadik országba - Összegzés
1. A háttérellenőrzés tartalma
Elsőként tekintsük át részletesebben, hogy mi is a munkáltatói háttérellenőrzés.
A klasszikus kiválasztási folyamat úgy zajlik, hogy az állásra jelentkezők – akár konkrét hirdetésre, akár „hátha” alapon – megküldik az önéletrajzukat a munkáltatónak. Az erre a feladatra delegált HR-munkatárs az önéletrajzokat szelektálja, az állás szempontjából releváns és a cégkultúrába vélhetőleg majdan illeszkedni tudó jelöltek életrajzait kiválogatja, a jelöltekkel a munkáltató szakemberei (jellemzően a HR és a szakmai felettes) interjút vagy interjúsorozatot készítenek, majd kiválasztják a számukra megfelelő személyt. Hagyományosan ilyenkor a felek megkötik a munkaszerződést, lezajlik az előzetes munkaköri orvosi alkalmassági vizsgálat, a HR elvégzi a szükséges adminisztrációt (például bejelentés a Nemzeti Adó- és Vámhivatalhoz [a továbbiakban: NAV], munkaruha megrendelése, belépőkártya, e-mail-cím beállítása stb.) és a munkaviszony a felek között megkezdődik.
A munkáltatói háttérellenőrzés ebbe a folyamatba lép be: az interjúkat és a kiválasztásról szóló döntést követően, de még a munkaviszony létesítését megelőzően a munkáltató – jellemzően az erre szakosodott megbízott cég révén – háttérellenőrzést végez a kiválasztott jelentkező tekintetében, azaz ellenőrzi a jelentkező által megadott adatokat.
Az állásra pályázó személy hátterének ellenőrzése igen sokrétű lehet. Alapesetben a háttérellenőrzést végző cég megvizsgálja, hogy az állásra sikeresen pályázó jelölt valóban azokon a munkahelyeken és valóban azokban az időintervallumokban dolgozott-e, mint ahogyan azt állította. Ennek céljából a háttérellenőrzést végző szolgáltató megkeresi a korábbi munkáltatókat, amelyektől írásbeli igazolást kér a korábbi munkaviszony tényéről, tartamáról, a munkakörről, az ellátott feladatokról. Az is az ellenőrzés része lehet, hogy az állásra pályázó valóban azokban az oktatási intézményekben képezte-e magát, mint ami(ke)t állított, illetve valóban megszerezte-e az adott képesítést abban az időpontban, amelyet ő maga megjelölt. Ennek ellenőrzése érdekében a háttérellenőrzést végző szolgáltató felkeresi azon oktatási intézményeket, amelyek az önéletrajzban szerepelnek; ellenőrzi a végzettséget tanúsító okirat számát. Az interneten nyilvánosan elérhető közösségimédia-felületeken történő megjelenés szintén része a háttérellenőrzésnek: ilyen lehet a Facebook, a LinkedIn, az Instagram, a TikTok és hasonló platformokon való szereplés ellenőrzése. Itt szükséges megjegyezni, hogy a 2010-es évek első felében a munkáltatói zsargonban használt „háttérellenőrzés” csupán a jelölt hatósági erkölcsi bizonyítványának bekérésére, illetve a közösségi médiában való megjelenésére korlátozódott. Utóbbi kérdéskörrel annak idején mind a 29. cikk szerinti Adatvédelmi Munkacsoport,[5] mind a Nemzeti Adatvédelmi Hatóság (a továbbiakban: NAIH) foglalkozott. Az előbbi testület megállapította, hogy „[a] munkáltatók nem feltételezhetik, hogy pusztán azért, mert valaki közösségimédia-beli profilja nyilvánosan megtekinthető, ezeket az adatokat saját céljaikra kezelhetik. Az ilyen adatkezeléshez jogalap szükséges, például a jogos érdek. Ilyen esetben a munkáltatónak a közösségi médiában létrehozott profil vizsgálata előtt figyelembe kell vennie, hogy a jelentkező profilja magán- vagy munkacélú-e, mert ez fontos szempont lehet az adatok vizsgálatának jogi elfogadhatósága tekintetében. Ezenfelül a munkáltatók a jelentkezőkről csak olyan mértékben gyűjthetnek és kezelhetnek személyes adatokat, amilyen mértékben az ilyen adatok gyűjtése szükséges és releváns azon munkakör betöltése szempontjából, amelyre az illető jelentkezik.”[6] A NAIH némiképp megengedőbb álláspontra helyezkedett: „Az internetről, közösségi oldalakról történő információgyűjtéssel kapcsolatban […] önmagában a munkáltatónak az a tevékenysége, hogy a világháló, illetve a munkavállaló közösségi oldalának nyilvános, mindenki számára elérhető adatait, információit megtekinti, nem minősül jogellenes gyakorlatnak, azért sem, mert ennek általános megtiltása nem lenne életszerű. A közösségi oldalak esetében megfelelő adatvédelmi beállításokkal a közzétett személyes adatok megvédhetőek, a felhasználó be tudja állítani, hogy milyen adatkört kíván nyilvánossá tenni. […] Amennyiben az interneten elérhető adatok az értékelés részévé válnak, úgy arra is lehetőséget kell nyújtani, hogy azokat az érintett megismerhesse, vitathassa. Ellenkező esetben az adatkezelés törvényessége és tisztességessége is megkérdőjelezhető.”[7]
A háttérellenőrzés jelenlegi gyakorlata nem elégszik meg a jelentkező közösségi médiában tanúsított magatartásának vizsgálatával, hanem lényegesen mélyebb szinteken zajlik: a háttérellenőrzést végző szolgáltató megvizsgálja a korábbi munkaviszonyokat, a végzettségeket, képzettségeket, a jelentkező esetleges bűnügyi múltját: volt-e büntetve bármely bűncselekmény miatt, vagy a kiválasztási folyamat során folyik-e ellene bármilyen büntetőjogi felelősségre vonási eljárás. Az is a háttérellenőrzés részét képezheti, hogy a jelentkező milyen pénzügyi háttérrel rendelkezik: van-e vagy volt-e bármilyen adóssága, jelzáloghitele vagy más, fizetési kötelezettséggel járó vállalása, netán polgári peres eljárásban érintett-e.
A háttérellenőrzést végző szolgáltató ezeket az adatokat összegyűjti, értékeli és a megrendelő munkáltató felé továbbítja, amely így tud arról dönteni, hogy valóban munkaviszonyt létesít-e a jelentkezővel vagy sem. Arra vonatkozóan a szerző tapasztalatai szerint nincsen még kialakult gyakorlat, hogy a pályázó sikerrel vitathatja-e a háttérellenőrzés (számára hátrányos) eredményét vagy megalapozottan indíthat-e jogvitát amiatt, mert a háttérellenőrzésen nem kívánt részt venni, és emiatt az álláspályázatát a munkáltató sikertelennek nyilvánította.
2. A háttérellenőrzés időtényezői
Joggal vethetjük fel a kérdést, hogy mikor kerül sor a háttérellenőrzésre?
Azt láthattuk fentebb, hogy a gyakorlati kivitelezés úgy történik, hogy a sikeres álláspályázatot követően, de még a munkába lépést megelőzően kerül sor az ellenőrzési folyamatra. A munkáltatók ezt olyan módon hajtják végre, hogy a jelentkező részére egy munkaviszonyra vonatkozó ajánlatot adnak, ennek elfogadását követően pedig sor kerül a háttérellenőrzésre. Az ezzel kapcsolatos hazai jogi aggályokat a későbbiekben ismertetem.
A másik kérdés, hogy a munkáltatói háttérellenőrzésre milyen időtartamra vonatkozóan kerülhet sor: van-e relevanciája például egy ötvenhárom éves jelölt esetében annak, hogy negyvennégy éves korában egy görbe estén garázdaságba keveredett, vagy annak, hogy negyvennyolc éves korában olyan munkát végzett, amely a (leendő) munkáltatónál betölteni kívánt munkakör szempontjából irreleváns tapasztalatszerzéssel járt (például a mérnök egy ideig gyorsétteremben szolgált ki). A gyakorlati tapasztalatok azt mutatják, hogy a háttérellenőrzés általában az utóbbi öt-tíz év időtartamot öleli fel, bár éppen a tanulmányok ellenőrzése miatt nem kizárt, hogy a szolgáltató akár húsz-harminc éve bekövetkezett tényeket is ellenőriz (például egyetemi diploma kiállításának dátuma, diploma száma).
További felvetés, hogy a munkáltatói háttérellenőrzés milyen időt vesz igénybe: jellemzően több hét is lehet egy ilyen folyamat, amely azért lehet munkáltatói szempontból releváns, mert bizonyos, speciális szaktudást igénylő vagy egyéb szempontból meghatározó jelentőségű munkakörök esetén egyáltalán nem biztos, hogy a nehezen „levadászott” jelölt kivárja az akár egy-két hónapos háttérellenőrzési időtartamot.
Összefoglalóan elmondható, hogy a munkáltatói háttérellenőrzés egy olyan folyamat, amely során a munkáltató (az erre szakosodott szolgáltató révén) különböző információkat gyűjt az állásra jelentkezőtől annak érdekében, hogy megbizonyosodjon a jelölt megbízhatóságáról, kompetenciáiról, alkalmasságáról. A háttérellenőrzés célja tehát, hogy csökkentse a leendő munkavállalóval kapcsolatos kockázatokat, és biztosítsa, hogy az adott személy megfeleljen a (leendő) munkáltatói követelményeknek.
Természetesen ez így kellőképpen „jól hangzik” ahhoz, hogy a munkáltatók háttérellenőrzési szolgáltatást rendeljenek, a valódi kérdés azonban az, hogy mindezt milyen jogszabályi követelmények és korlátok között teheti meg egy magyar munkáltató. Ezért a jelen tanulmányban a magyar jogszabályi környezet alapján vizsgálom a munkáltatói háttérellenőrzés kialakult gyakorlatát, különösen a munka törvénykönyvéről szóló 2012. évi I. törvényre (a továbbiakban: Mt.), a Polgári Törvénykönyvről szóló 2013. évi V. törvényre (a továbbiakban: Ptk.), valamint az általános adatvédelmi rendeletre tekintettel.
3. Önkéntes vagy kötelező?
Bár a jelen tanulmány a versenypiaci gyakorlatot helyezi fókuszba, meg kell említeni azt is, hogy bizonyos helyzetekben (munkáltatók vagy munkakörök esetén) egyfajta háttérellenőrzést jogszabály is előírhat.
Ilyenek például a légi közlekedésben foglalkoztatottak tekintetében előírt, úgynevezett védelmi háttérellenőrzés, illetve a foglalkoztatást megelőző ellenőrzés: a Bizottság (EU) 2015/1998. végrehajtási rendelete (2015. november 5.) a közös légiközlekedés-védelmi alapkövetelmények végrehajtásához szükséges részletes intézkedések meghatározásáról (a továbbiakban: 2015/1998. végrehajtási rendelet) értelmében az uniós légi fuvarozók által foglalkoztatott repülőszemélyzet tagjainak repülőszemélyzeti azonosító kártyája és a repülőtéri azonosító kártya kizárólag olyan személynek bocsátható ki, akinek védelmi háttérellenőrzése sikeres volt.[8] Azon munkavállalók, akik azonosítható légi áruhoz vagy légipostai küldeményekhez férnek hozzá, a foglalkoztatást megelőző ellenőrzésen kell, hogy átessenek.[9]
Az uniós és a nemzeti előírásokkal összhangban a védelmi háttérellenőrzés keretében okirati bizonyítékok alapján meg kell állapítani az adott személy személyazonosságát; az elmúlt öt évben előfordult tartózkodási helyek szerinti valamennyi államban ellenőrizni kell a bűnügyi nyilvántartást; valamint legalább öt évre visszamenően ellenőrizni kell az adott személy munkahelyeire és tanulmányaira vonatkozó adatokat, továbbá az ezek közötti inaktív időszakokat. Az uniós és a nemzeti előírásokkal összhangban a foglalkoztatást megelőző ellenőrzés keretében okirati bizonyítékok alapján meg kell állapítani az adott személy személyazonosságát; legalább öt évre visszamenően ellenőrizni kell az adott személy munkahelyeire és tanulmányaira vonatkozó adatokat, valamint az ezek közötti inaktív időszakokat, továbbá az adott személynek nyilatkozatot kell aláírnia legalább az elmúlt öt évben előfordult tartózkodási helyei szerinti valamennyi államban rá vonatkozó esetleges bűnügyi nyilvántartási adatokról.[10] Nyilván nem vitatható, hogy ezen ellenőrzési metódusokra a légügyi biztonság érdekében van szükség.
Az Mt. értelmében[11] a tizennyolcadik életévét be nem töltött személy nevelését, felügyeletét, gondozását, gyógykezelését végző, illetve tizennyolcadik életévét be nem töltött személy részére szabadidővel, szórakozással, sportolással összefüggő szolgáltatást nyújtó munkáltató nem létesíthet munkaviszonyt olyan személlyel, aki bizonyos bűncselekmények tekintetében a bűntettesek nyilvántartásában szerepel vagy büntetőeljárás hatálya alatt, illetve foglalkozástól eltiltás hatálya alatt vagy kényszergyógykezelés alatt áll. Azt a tényt, hogy munkaviszonyt létesíteni kívánó személy e feltételeket teljesíti (azaz az Mt.-ben megjelölt bűncselekményeket miatt nem volt büntetve, illetve vele szemben kényszerintézkedés nem történt), a jelentkező a munkaviszony létrejötte előtt hatósági bizonyítvánnyal (azaz hatósági erkölcsi bizonyítvánnyal) köteles igazolni.
A közalkalmazottak jogállásáról szóló 1992. évi XXXIII. törvény szerint közalkalmazotti jogviszony – többek között – büntetlen előéletű, illetve egyes bűncselekmények miatt indult büntetőeljárás hatálya alatt nem álló személlyel létesíthető. A közalkalmazotti jogviszonyt létesíteni szándékozó személy szintén hatósági bizonyítvánnyal igazolja, hogy büntetlen előéletű, továbbá, hogy nem áll a fentiek szerinti büntetőeljárás hatálya alatt.[12]
A fent említett (taxatív felsorolásnak nyilvánvalóan nem tekinthető) esetekben tehát jogszabály írja elő azt, hogy a foglalkoztatási jogviszonyt létesíteni kívánó személyt egyfajta ellenőrzésnek kell alávetni.
Mi a helyzet azonban azzal, ha egy munkáltató kizárólag saját indíttatásból (jogszabályi kötelezés vagy felhatalmazás nélkül) kívánja ellenőrizni/ellenőriztetni leendő munkavállalóját? Az alábbiakban azt vizsgálom, hogy ennek milyen jogszabályi követelményei és korlátai vannak, elsőként a háttérellenőrzés egyes részeit a magyar jogi kontextusba helyezve, majd a gyakorlati problémákra fókuszálva.
4. A magyar jogszabályi környezet
4.1. Munkajogi aspektusok
Az Mt. szerint[13] a munkáltató a munkavállalótól olyan nyilatkozat megtételét vagy személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy az Mt.-ből származó igény érvényesítése szempontjából lényeges. Ennek során okirat bemutatása követelhető, illetve a munkáltató köteles ezen adatkezeléséről az érintettet írásban tájékoztatni. Bár az Mt. a „munkáltató” és a „munkavállaló” kifejezéseket használja, a szövegkörnyezet egyéb elemeiből („a munkaviszony létesítése […] szempontjából lényeges”) megítélésem szerint kikövetkeztethető, hogy adott esetben a leendő munkaviszony-alanyok tekintetében is alkalmazható e rendelkezés. Hiszen például a munkaviszonyt létesíteni szándékozó személy neve és egyes személyes adatai hiányában aligha lehetne számára munkaszerződést készíteni.
Az Mt. másik, témánk szempontjából releváns szabálya értelmében[14] a munkáltató a munkavállaló vagy a munkáltatóval munkaviszonyt létesíteni szándékozó személy bűnügyi személyes adatát annak vizsgálata céljából kezelheti, hogy törvény vagy a munkáltató a betölteni kívánt vagy a betöltött munkakörben nem korlátozza vagy nem zárja-e ki a foglalkoztatást. Utóbbi esetben a foglalkoztatást korlátozó vagy kizáró feltételt a munkáltató akkor határozhat meg, ha az adott munkakörben az érintett személy foglalkoztatása a munkáltató jelentős vagyoni érdeke, törvény által védett titok vagy egyes, törvény által védett érdekek (a lőfegyver, lőszer, robbanóanyag őrzéséhez, a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez, illetve a nukleáris anyagok őrzéséhez fűződő érdek) sérelmének veszélyével járna. A munkáltató a bűnügyi személyes adat kezelését megalapozó, a foglalkoztatást korlátozó vagy kizáró feltételt, és a bűnügyi személyes adat kezelésének feltételeit előzetesen írásban meghatározza.
Mind az „általános” munkajogi adatkezelés, mind a bűnügyi személyes adat kezelése kapcsán írásbeli tájékoztatást köteles a munkáltató adni, amely a helyben szokásos és általában ismert módon történő közzététel útján is megvalósítható.[15]
A munkajogi szabályoknál maradva, szót kell ejtenünk a köznyelvben „munkahelyi referenciaként” hivatkozott iratra: az Mt. szerint a munkáltató a munkavállaló kérelmére, ha a munkaviszony legalább egy évig fennállt, a munkaviszony megszüntetésekor (megszűnésekor) vagy legfeljebb az ezt követő egy éven belül a munkavállaló munkájáról írásban értékelést köteles adni. (A volt munkavállaló természetesen rövidebb munkaviszonyt követően vagy egy év elteltével is kérhet ilyen értékelést, de azt a munkáltató nem köteles teljesíteni.) Az értékelés valótlan ténymegállapításainak megsemmisítését vagy módosítását a munkavállaló bíróságtól kérheti.[16]
4.2. Polgári jogi meglátások
Fentebb szó volt arról, hogy a munkáltatói háttérellenőrzésre abban az időpontban kerül sor, amikor a pályázat sikerrel zárul, és a munkáltató a munkaviszony létesítésére vonatkozó ajánlatot ad a jelentkező számára. Az ajánlat jellemzően tartalmazza a munkáltató megnevezését, adatait, a pályázó azonosítására alkalmas adatait, a munkaviszony létesítésének szándékát, kezdőnapját, időtartamát, a betöltendő munkakört és a munkabér (valamint egyéb juttatások) összegét. Ezt a munkáltatók nagy része elektronikusan (e-mailben) közli, és kéri a jelöltet a pozitív válasz – szintén írásbeli (e-mail útján közölt) – megtételére.
A háttérellenőrzés hiánya vagy annak sikertelen teljesítése ugyanakkor azt is jelenti, hogy a munkáltató nem létesít munkaviszonyt a jelentkezővel. A gyakorlatban meglepően lazán kezelik a munkáltatók ezt, vélhetőleg azért, mert nincsenek teljesen tisztában a jogi értelemben vett ajánlat mibenlétével.
Az Mt. értelmében a jognyilatkozatra egyebekben, ha maga az Mt. eltérően nem rendelkezik, többek között a Ptk. 6:63. § (1)–(3) bekezdése, valamint 6:64–6:70. §-ok szabályait kell megfelelően alkalmazni.[17] A Ptk. nevezett szakaszai rendelkeznek a szerződés létrejöttéről, illetve az ajánlati kötöttségről. Ezen rendelkezések értelmében a szerződés a felek akaratának kölcsönös és egybehangzó kifejezésével jön létre. A szerződés létrejöttéhez a feleknek a lényeges, illetve bármelyikük által lényegesnek minősített kérdésekben való megállapodása szükséges. A lényegesnek minősített kérdésben való megállapodás akkor feltétele a szerződés létrejöttének, ha a fél egyértelműen kifejezésre juttatja, hogy az adott kérdésben való megállapodás hiányában a szerződést nem kívánja megkötni.[18] Aki szerződés megkötésére irányuló szándékát egyértelműen kifejező és a lényeges kérdésekre kiterjedő jognyilatkozatot tesz, nyilatkozatához kötve marad.[19] Az ajánlatot az azzal való egyetértést kifejező jognyilatkozattal lehet elfogadni.[20] A szerződés akkor jön létre, amikor az elfogadó jognyilatkozat hatályossá válik.[21] Írásbeli alakhoz kötött szerződés megkötésére ajánlatot és elfogadó nyilatkozatot írásban kell megtenni. A szerződést írásba foglaltnak kell tekinteni akkor is, ha nem ugyanaz az okirat tartalmazza valamennyi fél jognyilatkozatát, hanem a szerződő felek külön okiratba foglalt jognyilatkozatai tartalmazzák a felek kölcsönös és egybehangzó akaratnyilvánítását.[22]
A gyakorlatban tehát abban az esetben, ha a munkáltató egy írásbeli ajánlatot juttat el a pályázóhoz, amely tulajdonképpen tartalmazza az összes, a munkaviszony létesítése szempontjából lényeges körülményt, és ezt a pályázó írásban elfogadja, úgy a munkaszerződés létrejöttnek tekinthető. Ekképpen nincs sok értelme annak, hogy a háttérellenőrzésre az ajánlat elfogadását követően kerüljön sor, hiszen a fentiek szerint létrejött munkaszerződésből már sokkal nehezebb kihátrálni a felek bármelyikének. Igaz ugyan, hogy az Mt. lehetővé teszi a munkaszerződéstől történő elállást a munkaszerződés megkötése és a munkaviszony kezdetének napja közötti időszakban, ennek azonban az a feltétele, hogy a félnél a munkaszerződés megkötését követően körülményeiben olyan lényeges változás következzen be, amely a munkaviszony teljesítését lehetetlenné tenné vagy aránytalan sérelemmel járna.[23] Kérdéses, hogy miként lehet megítélni a gyakorlatban egy olyan helyzetet, ha például a pénzügyi vezetői munkakörbe jelentkező személyről – a munkaszerződés megkötését követően – a háttérellenőrzés során kiderül, hogy az általános iskolát sem fejezte be vagy sikkasztás miatt büntetve volt, az a munkáltatónál bekövetkező körülmény-e? Jogosult-e vajon a munkáltató a már megkötött munkaszerződéstől elállni vagy nem [hiszen a munkaviszony teljesítése tulajdonképpen a jelentkező (munkavállaló) személyében bekövetkező ok miatt lehetetlenül el]?
Ha már a munkáltató mindenáron ragaszkodik az írásbeli ajánlat megtételéhez, akkor javasolt olyan szövegezés alkalmazása, miszerint a munkáltató egyértelműen kifejezésre juttatja, hogy az adott kérdésben való megállapodás (azaz a háttérellenőrzés végrehajtásában való megállapodás, illetve a háttérellenőrzés pozitív végkimenetele) hiányában a munkaszerződést nem kívánja majd megkötni.[24] Ezzel a mintegy „feltételes” ajánlattal elkerülhető az a helyzet, hogy a háttérellenőrzés eredménye miatt kelljen a munkáltatónak egy, már megkötött munkaszerződést valamilyen módon felszámolnia.
4.3. Adatvédelmi jogi vonatkozások
Az adatvédelem legfőbb hazai (és uniós) jogforrása a GDPR, azaz az általános adatvédelmi rendelet. Ennek különös jelentősége van a jelen tanulmány szempontjából, hiszen a munkáltatói háttérellenőrzésnek éppen az a lényege, hogy a jelentkező által megadott adatokat valaki(k) kezeli(k), azokat „visszaellenőrzi(k)”, és ezen ellenőrzési folyamatot követően – a beszerzett adatok alapján – a munkaviszony „létesíthetőségéről” döntést hoz(nak).
A háttérellenőrzéssel kapcsolatos adatvédelmi jogi aggályokat a későbbiekben vizsgálom; e helyt elöljáróban érdemes áttekinteni, hogy – röviden – milyen esetben tekinthető jogszerűnek az adatkezelés:
a) az adatkezelés minden fázisában be kell tartani bizonyos, generális jellegű alapelveket;[25]
b) az adatok kezelésének célhoz kötöttnek kell lennie;[26]
c) az adatok kezelése tekintetében megfelelő jogalappal kell rendelkeznie az adatkezelőnek;[27]
d) különleges adatok, illetve bűnügyi személyes adatok kezelése esetén többletjogalappal kell rendelkeznie az adatkezelőnek;
e) az adatkezelő köteles az érintett részére megfelelő tájékoztatást nyújtani;
f) intézkedni kell az adatbiztonság és az adatvédelmi jog érvényesíthetősége felől, ideértve azt az esetet is, ha az adatkezelés (vagy annak egy része) az Európai Unión kívüli országban történik;
g) biztosítani kell, hogy az érintettek (például a munkavállalók, pályázatra jelentkezők, volt munkavállalók, kölcsönzöttek stb.) élni tudjanak a GDPR által biztosított jogaikkal.
5. A gyakorlat nyelvén szólva…
A jogszabályi háttér rövid ismertetését követően elérkeztünk ahhoz a ponthoz, ahol már a gyakorlatban felmerülő kérdésekre kereshetjük a válaszokat.
5.1. Alkalmazandó-e egyáltalán a magyar és az uniós szabályozás?
A mostanában teret hódító munkáltatói háttérellenőrzési szolgáltatás fő célcsoportja a multinacionális cégcsoportok; jellemzően a külföldi anyacég dönt arról, hogy ilyen ellenőrzésen át kell esnie a cégcsoport bármely tagjánál (így a magyar leányvállalatnál is) munkaviszonyt létesítő jelöltnek, és az e tevékenységet végző szolgáltatók is jellemzően külföldiek (tipikusan angolszász országokban honos cégek).
Az első felvetés tehát, hogy alkalmazandó-e egyáltalán a magyar (illetve az uniós) jog, így különösen az Mt., illetve GDPR olyan esetben, ha a munkáltató egy nagyobb cégcsoport tagja és e külföldi cégcsoport egy, az Európai Unión kívüli vállalkozása (például egy kínai cég) egy másik, szintén az Unión kívüli (például az Amerikai Egyesült Államokban székelő) háttérellenőrzési szolgáltatót bíz meg azzal, hogy háttérellenőrzést végezzen a cégcsoport magyar tagjánál munkaviszonyt létesíteni szándékozó magyar munkavállalóval. Látható, hogy sem a megbízó, sem a megbízott nem az Európai Unióban működik, így adott esetben könnyen kijátszhatóak lennének a magyar, illetve az uniós jogszabályok.
A választ megadja egyrészt az Mt.: a törvényt – eltérő rendelkezés hiányában – akkor kell alkalmazni, ha a munkavállaló a munkát rendszerint Magyarországon végzi,[28] márpedig – ahogyan fentebb láttuk – mind az Mt., mind a Ptk. egyes rendelkezései irányadóak a munkaviszony létesítését megelőző szakaszra. Másrészt választ találunk az általános adatvédelmi rendeletben is: ennek területi hatálya szerint[29] ugyanis a GDPR-t kell alkalmazni az Unióban tartózkodó érintettek személyes adatainak az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett kezelésére, ha az adatkezelési tevékenységek az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve, hogy az Unió területén belül tanúsított viselkedésükről van szó. Megítélésem szerint tehát a fentiek szerinti háttérellenőrzés tekintetében mind az Mt., mind az annak alapján alkalmazandó egyes polgári jogi szabályok, mind pedig a GDPR rendelkezései irányadók, azaz az adatkezelési felelősség nem csökken vagy szűnik meg azzal, ha a háttérellenőrzési szolgáltatást egy harmadik országbeli anyacég rendeli meg egy harmadik országbeli szolgáltatótól.
5.2. Ki az adatkezelő?
Lényeges kérdés, hogy – adatkezelési szempontból – ki minősül adatkezelőnek és ki adatfeldolgozónak, illetve megvalósul-e valamiféle közös adatkezelés? Az egyes szerepek közötti különbségtétel – bár első látásra céltalan elméleti jogászkodásnak tűnhet – azért lényeges, mert „adatkezelőnek” az a természetes vagy jogi személy vagy bármely egyéb szerv minősül, amely a személyes adatok kezelésének céljait és eszközeit önállóan (vagy másokkal együtt) meghatározza,[30] márpedig az adatkezelés jogszerűségéért az adatkezelő felelős, és képesnek kell lennie e megfelelés igazolására is (úgynevezett „elszámoltathatóság elve”[31]). Az adatkezelő státusza olyannyira meghatározó, hogy az adatkezelői minőség megállapításához az sem szükséges, hogy az adatkezelő fizikailag hozzáférjen az adatokhoz (azokat tárolja vagy egyéb adatkezelési műveletet végezzen).[32] Az elmúlt években kialakult gyakorlat szerint egy munkáltató mindenképpen és szükségszerűen adatkezelőnek minősül, hiszen számos adatot kezel a munkaviszonnyal összefüggésben, de már a megfelelő munkaerő kiválasztása során is.
Az „adatfeldolgozó” ezzel szemben az a természetes vagy jogi személy, vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.[33] Lényeges, hogy az adatfeldolgozó sokkal szűkebb körben rendelkezhet az adatokkal, mint az adatkezelő, hiszen sokszor csupán technikai, végrehajtó jellegű műveleteket végez az adatkezelő megbízásából.
„Közös adatkezelőkről” akkor beszélünk, ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg.[34] A munkahelyi adatkezelés kapcsán tipikusan közös adatkezelőkről beszélhetünk például a multinacionális cégcsoport vállalatai által közösen fenntartott online toborzási rendszerek tekintetében.
A munkáltatói háttérellenőrzés kapcsán tehát kérdéses, hogy ki az „adatkezelő”: vajon a munkáltató, aki e szolgáltatást megrendeli vagy maga a háttérellenőrzést végző szolgáltató? Utóbbi tekinthető-e csupán adatfeldolgozónak? Esetleg a megrendelő és a szolgáltató együttesen határozzák meg az adatkezelés céljait és eszközeit? A kérdés már csak azért is fontos, mert nem mindegy, hogy az érintett (jelesül az állásra pályázó) kivel szemben tud igényt érvényesíteni jogellenes adatkezelés esetén.
Álláspontom szerint a munkáltatói háttérellenőrzés kapcsán az adatvédelmi jog szerepköreinek beazonosítása nagyban függ attól, hogy pontosan milyen módon végzik az egyes felek (jelesül a munkáltató és az általa megbízott háttérellenőrzési szolgáltató) a tevékenységüket. A munkáltató – megítélésem szerint – szükségszerűen adatkezelőnek minősül a háttérellenőrzés vonatkozásában, hiszen a munkáltató az, aki meghatározza az ellenőrzéssel kapcsolatos célt (nevezetesen az állásra pályázó személy „leinformálását”, megbízhatóságának, feddhetetlenségének ellenőrzését) és annak eszközét (azaz magát a háttérellenőrzést).
A háttérellenőrzési szolgáltató szerepe ehhez képest kérdéses. Ha a tevékenysége kizárólag abban merül ki, hogy a munkáltató által a pályázótól begyűjtött adatokat (például volt-e adott időszakban munkaviszonyban) csupán ellenőrzi – tegyük fel, a Nemzeti Adó- és Vámhivatal – rendszerében[35] és ennek eredményét közli a munkáltatóval, akár adatfeldolgozói státuszban lévőnek is tekinthető. Ugyanakkor a gyakorlati tapasztalatok azt mutatják, hogy a háttérellenőrzést végző cégek eljárása ennél sokkal komplexebb (nyilvánvalóan szolgáltatásuk jobb „eladhatósága” okán): kérdőíveket állítanak össze a jelentkezők részére, az így beérkezett adatokat tárolják, a háttérellenőrzés szintjéhez képest adatbázisokban végeznek ellenőrzést, volt munkáltatókat és oktatási intézményeket keresnek meg stb. Ebből viszont az is következik, hogy jó eséllyel adatkezelőnek tekinthetjük e szolgáltatókat, hiszen nem kizárólag a munkáltató által begyűjtött adatok feldolgozását vagy archiválását végzik, hanem saját eszközrendszerük segítségével végeznek kutatásokat, majd ezek eredményét megosztják a munkáltatóval, ekképpen az adatkezelés célját és eszközét is maguk a szolgáltatók határozzák meg. Ettől függetlenül a munkáltató továbbra is adatkezelő marad értelemszerűen, tehát mindkét vállalkozás külön-külön adatkezelőnek tekinthető.
Bár elméletileg felvetődhet még a közös adatkezelés lehetősége is, azonban a gyakorlatban jellemzően nem együttesen határozzák meg a felek sem az adatkezelés célját, sem annak eszközét. A gyakorlatban két adatkezelő, bár egymással összefüggő, ám a kezelt személyes adatok körét és az adatkezelés eszközeit tekintve más-más típusú adatkezelése zajlik. E helyzetet ahhoz lehetne hasonlítani, mint amikor a munkavállaló munkaköri alkalmassági vizsgálata történik: ehhez kezel bizonyos adatokat a munkáltató, de más vonatkozásban maga a munkaköri alkalmassági vizsgálatot végző foglalkozás-egészaégügyi orvos is: kettejük adatkezelése között az egyetlen közös pont a munkavállaló személye, azonban mind a munkáltató, mind az üzemorvos külön-külön adatkezelőnek tekintendő.
5.3. Adatkezelési célok
Az adatkezelés célja szintén sarkalatos kérdés. A GDPR egyik alapelve a célhoz kötöttség:[36] a személyes adatok gyűjtése és kezelése csak meghatározott, egyértelmű és jogszerű célból történhet. A cél(ok)nak egyértelműen megfogalmazottaknak és jogszerűeknek, továbbá már a személyes adatok gyűjtésének időpontjában meghatározottaknak kell lenniük.
Fentebb láthattuk, hogy az Mt. generális jelleggel meghatározza a munkahelyi adatkezelés célját: a munkáltató a munkavállalótól olyan nyilatkozat megtételét vagy személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy az Mt.-ből származó igény érvényesítése szempontjából lényeges. Témánk szempontjából a háttérellenőrzés általános célja lehet a munkaviszony létesítése szempontjából lényeges személyes adatok hitelességének visszaigazol(tat)ása, feltéve, hogy a kezelt adatok valóban kötődnek a munkaviszonyhoz, a betöltendő munkakörhöz.
Az általános adatvédelmi rendelet szerint a személyes adatkezelés konkrét céljainak mindenekelőtt explicit módon megfogalmazottaknak és jogszerűeknek, továbbá már a személyes adatok gyűjtésének időpontjában meghatározottaknak kell lenniük. Személyes adatok csak abban az esetben kezelhetők, ha az adatkezelés célját egyéb eszközzel észszerű módon nem lehetséges elérni.[37] A célhoz kötöttség elvének megfelelően tehát az adatkezelőnek már az adatok gyűjtése előtt tudnia kell, hogy mi a célja az adatkezeléssel, hiszen az „[a]datkezelés – az adatalany hozzájárulásával végzett adatkezelés is – csak akkor lehet törvényes, ha a célhoz kötöttség követelménye érvényesül”.[38] Ha az adatkezelő a célt nem tudja meghatározni vagy az túl általános, akkor azt mondhatjuk, hogy valójában nincs cél, ekképpen a háttérellenőrzéssel kapcsolatos adatkezelés szükségszerűen jogellenes. A gyakorlatban tipikus a háttérellenőrzés kapcsán azon megjelölés, miszerint a pályázó „munkára való alkalmasságának ellenőrzése” az adatkezelési cél. Kérdés, hogy levonható-e a majdani munkaviszonyra vonatkozóan bármilyen érdemi következtetés abból, hogy a jelölt például öt évvel korábban három hónapon át munkanélküli volt? Megítélésem szerint az ilyen és hasonló adatkezelési célmegfogalmazások egyszerűen túl általánosak, a leendő munkaviszonnyal kapcsolatos viszonyuk megkérdőjelezhető.
A célhoz kötöttség dilemmája nem csak általánosságban vethető fel a háttérellenőrzés kapcsán; azt is vizsgálni kell álláspontom szerint, hogy a háttérellenőrzés során kezelt egyes adatok tekintetében van-e megfelelő adatkezelői cél.
Fentebb láttuk, hogy az Mt. értelmében a munkáltató a munkavállalótól olyan nyilatkozat megtételét vagy személyes adat közlését követelheti, amely – többek között – a munkaviszony létesítése, teljesítése szempontjából lényeges.[39] Következésképpen a háttérellenőrzésnek és az annak során kezelt adatoknak olyannak kell lenniük, amelyek valódi és releváns adatkezelési cél megvalósítását szolgálják.
Nyilvánvaló, hogy bizonyos esetekben lehetséges a megfelelő adatkezelési cél meghatározása: gondoljunk arra az esetre, ha a munkáltató előre kizárja olyan személy foglalkoztatását pénzügyi munkakörben, akit vagyon elleni bűncselekmény miatt elítéltek vagy valamely pénzügyi foglalkozástól eltiltottak. Ilyen esetben természetesen megfelelő cél lehet a munkavállaló bűnügyi személyes adatainak ellenőrzése annak céljából, hogy a munkáltató ellenőrizni tudja, hogy a jelölt nem esik-e a foglalkoztatást kizáró körülmény hatálya alá.
Az adatkezelési cél témakörébe illeszkedik az a kérdés, hogy vajon kiterjeszthető-e az adatkezelés célja a háttérellenőrzés során, például, ha az ellenőrzés célja egy korábbi munkaviszony/betöltött munkakör tényének ellenőrzése, kiterjeszthető-e az ellenőrzés ezen korábbi munkavégzés minőségére?
A GDPR erre választ ad: a személyes adatoknak a gyűjtésük eredeti céljától eltérő egyéb célból történő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető az adatkezelés eredeti céljaival. Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, akkor annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal az eredeti adatgyűjtési céllal, az adatkezelőnek az alábbi tényezőket kell figyelembe vennie: az eredeti cél és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat, a személyes adatok gyűjtésének körülményeit, a személyes adatok jellegét, illetve azt, hogy az érintettre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése, valamint a megfelelő garanciák meglétét.[40] Jól látható, hogy e körben is komoly felelőssége van az adatkezelőnek, hiszen az eredeti adatkezelési cél és annak kiterjesztése közötti összeegyeztethetőség mérlegelését az adatkezelő köteles elvégezni. Ráadásul a „kiterjesztett” célból történő, nem az érintettől származó adat kezelése tekintetében szintén tájékoztatást kell adni az érintett részére.[41]
5.4. A kezelt személyes adatok köre; a büntetőjogi felelősséggel összefüggő adatok problematikája
A gyakorlati tapasztalatok szerint rendkívül széles azon személyes adatok köre, amelyeket a háttérellenőrzés során a munkáltatók, illetve az e szolgáltatást végző cégek a jelentkezőktől kérnek: név, lakcím, születési idő és hely, családi állapot, állampolgárság, nem, járművezetői jogosítvány adatai, bankszámlaadatok, e-mail-cím, telefonszám, személyi azonosító okmányok adatai, végzettség(ek), szakmai referenciák, tudományos fokozatok, szakmai engedélyek, korábbi munkaviszony(ok)ra vonatkozó információk (beleértve az azokban kapott juttatásokat), versenytilalmi megállapodások, korábbi tanulmányi szerződések, titoktartásra vonatkozó kötelezettségvállalások, a korábbi jogviszonyokat megszüntető dokumentumok, hozzátartozókra vonatkozó adatok, büntetőjogi felelősségre vonatkozó és polgári perben való érintettségre vonatkozó adatok, banki kölcsönökre és egyéb tartozásokra vonatkozó adatok, közösségi médiában történő szereplésre vonatkozó adatok.
Jól látható, hogy a munkáltató és a háttérellenőrzést végző szolgáltató közel ugyanannyi (ha nem több) adatot kezel, mint amennyit a munkaviszonyban egyébként a munkáltató szokott.
A GDPR szerint a személyes adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük és a szükségesre kell korlátozódniuk (úgynevezett „adattakarékosság elve”).[42] Másképpen fogalmazva, jogszerűen nem lehetséges olyan adat kezelése, amely nem áll összefüggésben az adatkezelői céllal. Ez alapján erősen vitatható például annak az adatnak a kezelése, hogy milyen módokon szűntek meg a potenciális jelölt korábbi munkaviszonyai (a gyakorlatból jól tudjuk, hogy a munkáltatók még bizonyítható kötelezettségszegés esetén is előszeretettel választják a közös megegyezést mint megszüntetési jogcímet – ebből pedig az égvilágon semmiféle jövőbeni következtetést nem lehet levonni a jelölt képességeire, munkavégzésére vonatkozóan) vagy például a korábbi munkabérének és egyéb juttatásainak mértéke vonatkozó adatok kezelése (amelyből szintén nem lehet levonni olyan következtetést, hogy miként fog a jelölt helytállni az új munkáltatónál). További felvetések, hogy valóban szükséges-e a háttérellenőrzési adatkezelés egy adott volt munkáltató tekintetében, ha a munkavállaló az adott munkáltatótól írásbeli értékeléssel[43] rendelkezik (megítélésem szerint: nem), vagy például van-e jogszerű célja azon adat kezelésének, hogy a munkavállaló a három évvel korábban megszűnt munkaviszonyát követően hat hónapig versenytilalmi megállapodás hatálya alatt állt (a válasz valószínűleg ismét a nem).
Az adattakarékosság elvéből további következtetés is levonható, ez pedig a háttérellenőrzéssel érintett időtartam kérdése, hiszen a kezelt adatnak „megfelelőnek” kell lennie. A gyakorlati tapasztalatok azt mutatják, hogy a legtöbb háttérellenőrzési szolgáltató öt, nyolc vagy tíz évre visszamenően ellenőrzi a jelölt által megadott adatokat, ráadásul nem tesz különbséget egyes adatok visszamenőleges időbeliségével kapcsolatban. Ez azért nem jó gyakorlat, mert egy negyvenhat éves jelentkező tekintetében ugyan releváns lehet, hogy a jelentkezést közvetlenül megelőző években hol dolgozott, de az már kevésbé, hogy harminchat éves korában milyen munkáltatónál állt munkaviszonyban, főleg, ha az adott munkakör jellemzően erősen technológia által befolyásolt vagy gyakran változó szabályanyag ismeretét jelentő feladatkört takar (gondoljunk például egy informatikusra vagy egy jogászra). Ugyanakkor ez a jelölt valószínűleg huszonhárom-huszonnégy éves kora körül szerzett felsőoktatási oklevelet, tehát az adatkezelés e körben máris nem öt vagy tíz évre, hanem huszonkét-huszonhárom évre tekint vissza. Az is elképzelhető, hogy a huszonhárom éves, egyetemi közgazdasági mesterképzési oklevéllel rendelkező jelentkező korábban, az egyetemi évei alatt újságkihordóként dolgozott. Esetében nyilvánvaló, hogy nem sok jelentősége van e ténynek a majdani munkaviszony szempontjából, noha a visszamenőleges ellenőrzés ezen időszakot is magában foglalja. Ezen visszásságokat – a szerző tapasztalatai szerint – meglehetősen nagyvonalúan kezeli a gyakorlat.
Különösen hangsúlyos annak vizsgálata, hogy a háttérellenőrzés jellemzően kezeli a jelentkező büntetőjogi felelősségére (vagy annak hiányára) vonatkozó adatokat. Fentebb láthattuk, hogy ilyen tartalmú vizsgálatot jogszabály is elrendelhet, illetve az Mt. alapján arra is van lehetőség, hogy a munkáltató munkakörönként a foglalkoztatást kizáró vagy korlátozó feltételeket állapítson meg, és e vonatkozásban a munkáltató jogosult a munkaviszonyt létesíteni szándékozó személy bűnügyi személyes adatait kezelni.[44]
Nem mindegy azonban, hogy ez a fajta adatkezelés pontosan milyen formában valósul meg. A gyakorlatban a munkáltató hatósági erkölcsi bizonyítványt kér a leendő munkavállalótól, bár tegyük hozzá, hogy önmagában egy büntetlen előéletet tanúsító erkölcsi bizonyítvány értelme erősen kétséges, hiszen a hatósági erkölcsi bizonyítvány nem tartalmaz bejegyzést akkor sem (köznyelven szólva: „tiszta”), ha az elkövető már mentesült a büntetőjogi hátrányok alól, illetve a jövőre nézve sem vonható le belőle semmiféle bizonyosnak tekinthető következtetés (azaz abból a tényből, hogy az illető korábban nem követett el bűncselekményt, még nem következik, hogy a jövőben sem fog elkövetni). A hatósági erkölcsi bizonyítvány igazából akkor tölt(het)i be rendeltetését a munkaviszony létesítése kapcsán, ha valamely foglalkozástól eltiltás jelöl vagy a pályázó büntetett előéletére utal, feltéve, hogy ezek összefüggésben állnak a munkaviszony tartalmával.
A bűnügyi személyes adatok kapcsán a GDPR meglehetősen szűkszavúan rendelkezik: a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatok megfelelő jogalapon történő kezelésére kizárólag abban az esetben kerülhet sor, ha az közhatalmi szerv felügyelete alatt történik, vagy ha az adatkezelést az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújtó uniós vagy tagállami jog lehetővé teszi. A büntetőjogi felelősség megállapítására vonatkozó határozatok teljes körű nyilvántartása csak közhatalmi szerv által végzett adatkezelés keretében történhet.[45] Ennek kapcsán az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) akként rendelkezik, hogy kizárólag állami vagy önkormányzati szerv kezelheti az állam bűncselekmények megelőzésére, felderítésére és üldözésére irányuló, valamint közigazgatási és igazságszolgáltatási feladatainak ellátása céljából kezelt bűnügyi személyes adatokat, valamint a szabálysértési, a polgári peres és nemperes ügyekre, valamint a közigazgatási peres és nemperes ügyekre vonatkozó adatokat tartalmazó nyilvántartásokat.[46] (Az Infotv. szerint „bűnügyi személyes adat” a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat.[47])
A fentiekből tehát az a következtetés vonható le, hogy a „közhatalmi” szerepkörön kívül bármely egyéb személy (jelesül a munkáltató) csak kifejezett törvényi felhatalmazás alapján kezelhet bűnügyi személyes adatot. A vonatkozó szakirodalom szerint értelmezési kérdés e körben, hogy a hatósági erkölcsi bizonyítvány adatainak kezelésére bármely munkáltató jogosult-e, vagy csak azok, amelyek tekintetében kifejezetten és munkakörhöz kötötten engedi ezt meg jogszabály.[48] Megítélésem szerint az Mt. hatályos szabályozásából az a következtetés vonható le, hogy a munkáltató csak akkor kezelhet bűnügyi személyes adatot a kiválasztási folyamat során, ha előzetesen, munkakörönként a foglalkoztatást kizáró vagy korlátozó feltételeket állapított meg és erről tájékoztatást nyújtott,[49] vagy ha azt jogszabály kifejezetten előírja.[50] Ennélfogva a háttérellenőrzés is csak e vonatkozásokban terjedhet ki a pályázó bűnügyi múltjának vizsgálatára, ráadásul ezen adatokat kizárólag a munkáltató kezelheti és nem bármilyen piaci háttérellenőrzési szolgáltató.
Itt szükséges még megjegyezni, hogy az Infotv. értelmében a bűnügyi személyes adatok kezelése esetén – ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa ettől eltérően nem rendelkezik – a különleges adatok kezelésének feltételeire vonatkozó szabályokat kell alkalmazni.[51] Ennek talán legfontosabb velejárója, hogy a GDPR-ban megjelölt jogalapok mellett alkalmazni kell a különleges adatok kezelésének jogalapjai valamelyikét is.[52]
5.5. Az adatkezelés jogalapja
Az adatkezelés jogalapja tekintetében a gyakorlati tapasztalatok azt mutatják, hogy mind a munkáltatók, mind a háttérellenőrzést végző szolgáltatók hozzájárulást kérnek az állásra pályázótól a háttérellenőrzési folyamat kapcsán, és ezzel „le is tudják” a GDPR-nak is megfelelő jogalap kérdését (többnyire azon a – téves – alapon, hogy „ha az illető hozzájárult, akkor mindent lehet”).
Megítélésem szerint azonban a „hozzájárulás” – mint adatkezelési jogalap – a háttérellenőrzés kapcsán jogszerűnek nem tekinthető, az alábbiakra figyelemmel. Az általános adatvédelmi rendelet értelmében az adatkezelés jogszerű, ha az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez.[53] A „hozzájárulás” nem más, mint az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.[54] A hozzájárulás jogszabályi kritériumai tekintetében a GDPR előírja,[55] hogy annak önkéntesnek kell lennie; annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni egyebek mellett azt a tényt, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez. Hozzájárulási jogalapon az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett – vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez. Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult. Az érintett hozzájárulását tartalmazó nyilatkozat bármely olyan része, amely sérti az általános adatvédelmi rendeletet, kötelező erővel nem bírhat (magyar jogi terminológia szerint: érvénytelen). Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja (a hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét), és erről a hozzájárulás megadása előtt az érintettet tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
A hozzájárulással mint adatkezelési jogalappal részletesen foglalkozik az Európai Adatvédelmi Testület 5/2020. számú Iránymutatása.[56] Eszerint a hozzájárulás általában csak akkor lehet megfelelő jogalap, ha az érintett számára felajánlja az adatkezelő, hogy az érintett maga rendelkezzen az adatok felett, és valódi választási lehetőséget biztosítanak számára a felajánlott feltételek elfogadásához vagy elutasításához, illetve azok – bármiféle hátrány okozása – nélküli elutasításához. A hozzájárulás olyan eszköz, amely biztosítja az érintettek számára, hogy maguk rendelkezzenek a rájuk vonatkozó személyes adatok kezelése felett; ellenkező esetben az érintett rendelkezési joga látszólagossá válik, és a hozzájárulás az adatkezelés érvénytelen alapjává válik, ezáltal az adatkezelési tevékenységet jogellenessé teszi.[57]
Az önkéntesség (mint a hozzájárulás fogalmi eleme) azt feltételezi, hogy az érintett valódi választási lehetőséggel és rendelkezési joggal rendelkezik. Fő szabályként az általános adatvédelmi rendelet előírja, hogy amennyiben az érintettnek nincsen valódi választási lehetősége, hozzájárulásra kényszerítve érzi magát, vagy negatív következményei lesznek, ha nem adja hozzájárulását, akkor a hozzájárulás nem tekinthető érvényesnek. Az általános adatvédelmi rendelet az adatkezelő és az érintett közötti egyenlőtlen viszony fogalmát is figyelembe veszi: általában véve az érintettre (sokféleképpen megnyilvánuló) nem megfelelő nyomást vagy befolyást gyakorló bármely olyan elem, amely megakadályozza, hogy az érintett a szabad akaratát gyakorolja, érvénytelenné teszi a hozzájárulást.[58]
Márpedig egyenlőtlen „hatalmi” viszonyok a foglalkoztatással összefüggésben is előfordulnak, hiszen a munkáltató és a munkavállaló közötti jogviszonyból fakadó függőség miatt valószínűtlen, hogy az érintett meg tudná tagadni a munkáltatótól az adatkezelést anélkül, hogy az elutasításból fakadóan ne tapasztalná a káros hatások bekövetkezésétől való félelmet vagy azok tényleges kockázatát. Ezért az Európai Adatvédelmi Testület megítélése szerint a munkáltatók számára problémás a jelenlegi vagy a jövőbeli munkavállalók személyes adatainak hozzájárulás alapján történő kezelése, mivel nem valószínű, hogy az érintett azt valóban önkéntesen adta meg.[59]
A gyakorlatban a munkáltatói háttérellenőrzés megtagadása azzal a következménnyel jár, hogy a leendő munkáltató bizonyosan nem létesít munkaviszonyt az állásra pályázó személlyel. Márpedig ez afféle hátrány, negatív jogkövetkezmény, amelytől reálisan tart a pályázó, azaz az általa meg is adott hozzájárulás önkéntessége súlyosan aggályos. Ennélfogva ezen jogalap alkalmazhatósága a háttérellenőrzés tekintetében erősen vitatható.
Ha viszont a hozzájárulás nem megfelelő, akkor milyen jogalapon kezelheti a munkáltató/a szolgáltató a háttérellenőrzés adatait?
A GDPR hat „általános” jogalapot határoz meg az adatkezelés vonatkozásában,[60] a különleges adatok tekintetében pedig további jogalapok valamelyikének is fenn kell állnia.[61] Versenypiaci munkáltató esetén az „általános” jogalapok közül – mint láttuk – a hozzájárulás nem jöhet szóba; szintén kiesik az a jogalap, amely szerint az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges,[62] és az is bizton állítható, hogy az adatkezelés nem az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.[63] Bizonyos esetekben alkalmazható az adatkezelőre vonatkozó jogi kötelezettség teljesítése mint jogalap,[64] azonban az esetek túlnyomó többségében ez nem jellemző. A fentiek alapján két jogalap közül választhat a munkáltató, illetve az ellenőrzést végző szolgáltató: egyrészt, ha az adatkezelés a felek közötti szerződéses kapcsolat miatt szükséges, amelyben az érintett az egyik fél;[65] másrészt, ha az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.[66]
Tekintsük át elsőként a „szerződéses” jogalapot: a GDPR értelmében jogszerű az adatkezelés, ha az olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.[67] Látható, hogy e jogalap két fordulatot tartalmaz. Az első fordulatban a kiindulási pont, hogy a felek között van szerződés és az adatkezelésre azért van szükség, hogy azt az adatkezelő teljesíteni tudja (tipikus példa erre a munkabér átutalására szolgáló fizetési számla adatainak kezelése a munkaviszonyban). Ugyanakkor fentebb láthattuk, hogy a gyakorlatban kivitelezett háttérellenőrzések kapcsán a felek között még nincs munkaszerződés (vesd össze még az ajánlati kötöttségről írtakat), tehát a „szerződéses” jogalap első fordulatának alkalmazása aggályos. Itt szükséges megjegyezni, hogy az Európai Adatvédelmi Testület rámutat arra, hogy „[h]a az adatkezelők nem tudják bizonyítani, hogy a) a szerződés fennáll, b) a szerződés az alkalmazandó nemzeti szerződési jog szerint érvényes, és c) az adatkezelés objektíve szükséges a szerződés teljesítéséhez, az adatkezelőnek meg kell fontolnia az adatkezelés egyéb jogalapját.”[68] Egyébiránt álláspontom szerint az állásra pályázó személy háttérellenőrzés során történő „profilozása” aligha igazolható azzal, hogy az a munkaviszony létesítésével vagy teljesítésével összefügg, kivéve természetesen azokat a speciális eseteket, amikor például a munkáltató büntetlen előélethez köti bizonyos munkakörök ellátását, és e körben bűnügyi személyes adatokat kezel.
A „szerződéses” jogalap második fordulata szerint jogszerű az adatkezelés, ha az a szerződés megkötését megelőzően, az érintett kérésére történő lépések megtételéhez szükséges. Ennek lényege tehát, hogy a felek között még nincs szerződés, és nem is biztos, hogy egyáltalán kötnek-e szerződést egymással (ez inkább azonosítható a jelenlegi háttérellenőrzési gyakorlattal). Mindazonáltal a háttérellenőrzés soha nem a pályázó (azaz az érintett) kezdeményezésére történik, hiszen ez a munkáltató érdekeit szolgálja, és a munkáltató az, aki ezen szolgáltatást a munkaviszony-létesítés feltételévé teszi. A „szerződéses” jogalap ezen fordulata „mindenesetre nem terjed ki a kizárólag az adatkezelő kezdeményezésére vagy harmadik fél kérésére végzett, kéretlen marketingre vagy egyéb adatkezelésre.”[69] Ennek megfelelően a pályázóra „erőltetett” háttérellenőrzés kapcsán aligha alkalmazható a „szerződéses” jogalap.
A másik, szóba jöhető „általános” adatkezelési jogalap az úgynevezett „jogos érdek”: a GDPR szerint jogszerű az adatkezelés, ha az az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.[70] A GDPR értelmében jogos érdekről lehet szó akkor, ha releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például, ha az érintett az adatkezelő alkalmazásában áll. Ugyanakkor az érintett érdekei és alapvető jogai elsőbbséget élvezhetnek az adatkezelő érdekével szemben, ha a személyes adatokat olyan körülmények között kezelik, amelyek közepette az érintettek nem számítanak további adatkezelésre. Személyes adatoknak például csalások megelőzése céljából feltétlenül szükséges kezelése az adatkezelő jogos érdekének minősül.[71] A hazai bírói gyakorlat is rámutat, hogy „[a] GDPR 6. cikk (1) bekezdés f) pontja alapján három feltétel együttes teljesülése szükséges a természetes személyek személyes adatainak jogszerű kezeléséhez: 1. az adatkezelő vagy egy harmadik fél jogos érdekének érvényesítése; 2. a személyes adatok kezelése valamely jogos érdek érvényesítéséhez szükséges; 3. az adatvédelemmel érintett személy alapvető jogai és szabadságai nem magasabb rendűek.”[72]
Az általános adatvédelmi rendelet kapcsán az elmúlt években kialakult gyakorlat szerint a munkahelyi adatkezelésben minden, a munkáltató ellenőrzési, vagyonmegőrzési, az üzleti működéshez szükséges adatkezelése ezen jogalapon nyugszik (tipikus példák erre a kamerás megfigyelés, a céges autóba épített GPS nyomkövető adatainak kezelése, a munkavállaló mint kijelölt kapcsolattartó adatainak átadása a partner cégek számára stb.). Meglátásom szerint a munkáltatói háttérellenőrzés is ezen jogalapon folytatható le jogszerűen, feltéve, hogy az érintett alapvető jogai nem sérülnek. Utóbbit a munkáltató csak úgy tudja felmérni, hogy elkészíti az úgynevezett érdekmérlegelési tesztet, azaz összeveti saját jogos érdekeit és azokat az érintetti alapvető jogokat, amelyek potenciálisan sérülhetnek az adatkezeléssel összefüggésben.[73] Az érdekmérlegelés nem lehet túl általános vagy absztrakt; mindig az adott adatkezelés típusa, eszköze, időtartama és az azzal összefüggő alapjogok mérlegelése a tárgya.
Ha a háttérellenőrzés kapcsán különleges adatok kezelése is zajlik (ilyenek a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, a genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok),[74] ideértve a bűnügyi személyes adatok kezelését is, amely tekintetben a különleges adatokra vonatkozó adatkezelési szabályok szerint kell eljárni, úgy a munkáltató avagy a háttérellenőrzést végző szolgáltató nem hagyatkozhat csupán az „általános” adatkezelési jogalapokra, hanem a különleges adatok tekintetében is kell rendelkeznie megfelelő jogalappal.
A személyes adatok különleges kategóriáinak kezelése fő szabályként tilos; erre csak az általános adatvédelmi rendeletben meghatározott esetekben van jogszerű lehetőség: például ha az érintett kifejezett hozzájárulását adta az említett személyes adatok kezeléséhez; ha az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges (feltéve, hogy az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog ezt lehetővé teszi; ha az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges vagy például, ha az adatkezelés egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása érdekében szükséges.
A fentiekből kitűnik, hogy reálisan két „különleges” jogalap áll(na) a munkáltató rendelkezésére a háttérellenőrzés során kezelt különleges adatok, illetve az ugyanezen elbírálás alá eső bűnügyi személyes adatok kapcsán: ezek pedig az érintett hozzájárulása (amely – a fentiekben kifejtettek szerint érvénytelen jogalap lenne) és a munkáltató azon jogának gyakorlása, amelyet a tagállami jog (azaz az Mt.) lehetővé tesz, jelesül az előzetesen megfogalmazott és közölt, az egyes munkakörök tekintetében előírt, a foglalkoztatást korlátozó vagy kizáró feltételeknek való megfelelés. Természetesen a jelenlegi gyakorlat ezen aspektust is rendkívül lazán kezeli: egyazon iratban kérik a jelentkező hozzájárulását a teljes háttérellenőrzési folyamat tekintetében, anélkül, hogy bármiféle megkülönböztetése lenne az adatkezelési jogalapok „általános” és „különleges” voltának.
5.6. Milyen „mélységű” lehet a háttérellenőrzés?
Mind az adatkezelési célhoz, mind az adattakarékosság alapelvi szintű követelményéhez kapcsolódik a kérdés, hogy megfelelő-e az a gyakorlat, ha a háttérellenőrzés mindenre kiterjed vagy a betöltendő munkakörhöz képest differenciáltan kell eljárni az adatkezelés során?
Megítélésem szerint az utóbbi megoldás tekinthető csak jogszerűnek. Vannak ugyanis olyan általános ellenőrzési szintek, amelyek jó eséllyel a legtöbb munkaviszonyban relevánsak lehetnek (például végzettség, képzettség, szakmai tapasztalat). Az is nyilvánvaló, hogy szinte az összes munkáltató ellenőrzi a jelöltet a közösségimédia-felületeken (mindamellett, hogy bár erről előzetesen tájékoztatást kellene adni és e körben is megfelelő adatkezelési céllal és jogalappal kellene rendelkeznie az adatkezelőnek, ezek jellemzően hiányoznak a napi gyakorlatban) és ennek tiltása nem is lenne életszerű.
Ugyanakkor közel sem ennyire egyértelmű a helyzet például a jelölt vagyoni viszonyaira vonatkozóan (esetleges banki hitelek, egyéb tartozások). Utóbbiaknak lehet relevanciája egyes, feddhetetlenséget kívánó munkakörökben (például pénzügyi területen), de például egy recepciós esetében már aligha. A bűnügyi múlt vizsgálata – összhangban az Mt.-vel – csak akkor lehetséges, ha a munkáltató a törvényben meghatározottak szerint, bizonyos védett érdekekre figyelemmel egyes munkakörökben a foglalkoztatást kizáró vagy korlátozó feltételeket szabott meg.[75]
Megítélésem szerint rendkívül helytelen az a gyakorlat, hogy a munkáltató minden, nála a kiválasztási folyamatban részt vevő jelöltet teljes körű háttérellenőrzésnek vet alá, ugyanis ez sérti mind az Mt., mind az általános adatvédelmi rendelet szabályait (nincs összefüggés a munkaviszony létesítésével, illetve teljesítésével; hiányzik a megfelelő cél és jogalap stb.).
5.7. Az adatok forrása
További kérdés a háttérellenőrzéssel kapcsolatban, hogy mi vagy ki az adatok forrása: kizárólag az állásra pályázó nyilatkozata vagy egyéb nyilvántartások (bankok, oktatási intézmények stb.)? Ennek már csak azért is van jelentősége, mert az adatkezeléssel kapcsolatos tájékoztatás módja és tartalma eltérő, ha az érintettől vagy más forrásból szerzi be az adatkezelő az adatokat.[76]
A háttérellenőrzés gyakorlati kivitelezése meglehetősen homályos, hiszen az ilyen szolgáltatást végző cégek védett know-how-ja az, hogy miként, milyen eszközökkel tudják e szolgáltatást nyújtani. Fő szabályként úgy zajlik a folyamat, hogy a jelölt megadja a tőle kért személyes adatokat, becsatol iratokat, nyilatkozatokat tesz; a háttérellenőrzést végző szolgáltató pedig meggyőződik ezek valóságtartalmáról: felveszi a kapcsolatot a korábbi munkáltatókkal: a megadott kontaktszemélyt nyilatkozattételre szólítja fel, amelynek az „köteles” eleget tenni (kérdés, hogy milyen alapon kötelez egy piaci szolgáltató bárkit nyilatkozattételre), ellenőrzi a referenciákat (a már hivatkozott, az Mt. alapján elkészített írásbeli értékelés adatait is). A szolgáltató a képzettségek, végzettségek tekintetében megkeresi az oktatási intézményeket, egyéb, bizonyítás kiállítására jogosult szerveket (például nyelvvizsga-központok) annak ellenőrzése végett, hogy adott oklevélszámhoz adott személy kapcsolódik-e. (Megjegyzendő, hogy az „Oktatási Mérföldkövek” program tekintetében, az Oktatási Hivatal honlapjáról ezt a jelentkező – ügyfélkapuja segítségével – maga is le tudja kérni.) Ezen túlmenően a szolgáltató – sejthetően – informálódik olyan hitelintézeti és állami adatbázisokban, amelyek a jelölt által megadott bűnügyi múltat (vagy annak hiányát), a jelölt pénzügyi helyzetét, esetleges peres eljárásait igazolják vissza. (Utóbbiak jogszerűségének boncolgatása egy külön tanulmányt is megérdemelne.)
5.8. Automatikus döntéshozatal; profilalkotás
A modern technológiáknak, a mesterséges intelligenciának köszönhetően a háttérellenőrzés gyakran jár automatikus döntéshozatallal, illetve profilalkotással. Utóbbi fogalmát az általános adatvédelmi rendelet akként határozza meg, hogy ez a személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.[77] Az automatikus döntéshozatal (ideértve a profilalkotást is) tényéről, alkalmazott logikájáról és arról, hogy ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír, az adatkezelő köteles az érintettet előzetesen tájékoztatni.[78]
Az érintett ez ellen tiltakozhat, azaz kérheti, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené, kivéve, ha az automatizált döntéshozatal az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges, az érintett kifejezett hozzájárulásán alapszik, illetve ha az ilyen típusú döntést tagállami vagy uniós jog lehetővé teszi.[79] A 29. cikk szerinti Adatvédelmi Munkacsoport az automatizált döntéshozatallal kapcsolatban aggályát fejezte ki a foglalkoztatás területén potenciálisan bekövetkező hátrányok kapcsán: „[n]ehéz pontosan meghatározni, hogy mit kell kellően jelentős mértékűnek tekinteni ahhoz, hogy elérje a küszöböt, azonban […] ebbe a kategóriába tartozhatnak […] olyan döntések, amikor megtagadnak valakitől egy foglalkoztatási lehetőséget.”[80]
A gyakorlati tapasztalatok szerint a háttérellenőrzés során ténylegesen működik az automatizált döntéshozatal, jelenleg nyilván azon az (erősen vitatható) alapon, hogy ahhoz az állásra pályázó hozzájárult. Azonban ahogy fentebb láthattuk, a hozzájárulás érvényessége e körben bizonyosan vitatható. Másrészt az automatizált rendszerek nem feltétlenül annyira „okosak”, hogy az emberi tévedésből, elírásból eredő hibákat orvosolják: tegyük fel, hogy a jelentkező által megadott adat szerint adott munkahelyen 2023. július 15. napjáig dolgozott, azonban a valóságban június 15-e volt a munkaviszony megszűnésének dátuma. Egy automatizált rendszer itt már bizonyosan hibát észlelne, levonva azt a (téves) következtetést, hogy a pályázó a munkaviszony hosszáról valótlanságot állított, tehát a pályázó nem tekinthető megbízhatónak. Könnyen belátható, hogy akár egyszerű tévedésről, akár elírásról van szó, méltánytalan azt a jelöltet kizárni a kiválasztási folyamatból, aki egy hónapnyi munkaviszony tekintetében tévedett.
Érdekes azon elmélkedni, hogy vajon milyen következménnyel járna az, ha az állásra pályázó tiltakozását fejezné ki az automatizált döntéshozatallal kapcsolatban. Ne legyünk naivak: valószínűleg elsők között esne ki a szóba jöhető jelöltek közül.
5.9. Megfelelő tájékoztatás
Az általános adatvédelmi rendelet értelmében a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság” elve).[81] Az adatkezelő megfelelő intézkedéseket köteles hozni annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a GDPR-ban megjelölt valamennyi információt tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa. A tájékoztatást írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni.[82] Ezzel összhangban az Mt. is úgy rendelkezik, hogy a munkáltató a munkaviszonnyal összefüggő adatkezeléséről az érintettet írásban tájékoztatja,[83] illetve a bűnügyi személyes adat kezelését megalapozó, a munkáltató által előírt, a foglalkoztatást korlátozó vagy kizáró feltételt, és a bűnügyi személyes adat kezelésének feltételeit előzetesen írásban meghatározza.[84]
Az érintett tekintetében nyújtandó tájékoztatás széles körű:[85]
a) az adatkezelő (munkáltató) és – ha van ilyen – az adatkezelő képviselőjének személye és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d) a munkáltató jogos érdekén alapuló adatkezelés esetén az adatkezelő (munkáltató) vagy harmadik fél jogos érdekei;[86]
e) adott esetben a személyes adatok címzettjei (azok a személyek, akik vagy amelyek részére a munkáltató személyes adatot továbbít), illetve a címzettek kategóriái, ha van ilyen;
f) annak ténye, hogy az adatkezelő harmadik országba kívánja továbbítani a személyes adatokat; itt fel kell tüntetni azt is, hogy milyen megfelelőségi garanciák vannak;
g) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
h) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
i) hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
j) a felügyeleti hatósághoz címzett panasz benyújtásának joga;
k) a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul-e vagy szerződés kötésének előfeltétele-e, valamint, hogy az érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása;
l) az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel és az érintettre nézve milyen várható következményekkel bír.
Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, ezt megelőzően erről és minden releváns kiegészítő információról tájékoztatnia kell az érintettet.
A gyakorlati tapasztalatok szerint a háttérellenőrzéssel kapcsolatos adatkezelési tájékoztatók meglehetősen elnagyoltak és a fenti listából alig-alig köszön valami vissza. A szerző tapasztalatai szerint a jelenlegi gyakorlat az, hogy a tájékoztatás legfeljebb a kezelt adatok körére (azokra is csak elnagyolt módon), annak a háttérellenőrzésben való felhasználására (mint adatkezelési célra) és az érintetti hozzájárulás kérésére terjed ki, hangsúlyozva, hogy a jelentkező vállalja, hogy kizárólag valós adatokat ad meg, mert ha nem, ez azzal jár, hogy a felvételi eljárásból kiesik, illetve arra is felhívják a figyelmet, hogy amennyiben a háttérellenőrzésben nem vesz részt, úgy szintén kiesik a pályáztatási folyamatból. Az általam látott tájékoztatók nem utalnak sem arra, hogy az adatkezelés során kinek és hova kerülnek továbbításra az adatok (harmadik ország esetén van-e bármiféle megfelelőségi garancia), sem arra, hogy azokat ki és mennyi ideig fogja kezelni, sem arra, hogy az automatizált döntéshozatal (profilalkotás) milyen logika mentén zajlik, sem arra, hogy a hozzájárulást az érintett visszavonhatja, és arra sem terjednek ki, hogy az érintettet, azaz a jelentkezőt milyen jogorvoslati utak illetik meg. E gyakorlat semmiképpen nem fenntartható. Ha a munkáltató mindenáron ragaszkodik a háttérellenőrzés elvégzéséhez, a legkevesebb, hogy a jelöltet legalább a GDPR szerinti adattartalmú tájékoztatással látja el (természetesen megfelelő adatkezelési cél[oka]t és jogalapot feltüntetve).
5.10. Az adatkezelés időbeli vonatkozásai
Az adatkezelés időtartama két vonatkozásban is fontos szempont. Mint azt fentebb láthattuk, tisztázandó először is, hogy milyen időszakot ölel fel egyáltalán a háttérellenőrzés: visszamenőlegesen öt vagy éppen tíz évet? A GDPR egyik alapelve az „adattakarékosság”,[87] azaz, hogy a kezelt személyes adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük, illetve a szükséges mértékre kell korlátozódniuk. Egyáltalán nem biztos, hogy a háttérellenőrzés időpontjában van bármiféle relevanciája annak, hogy a jelölt mondjuk nyolc évvel korábban milyen munkáltatónál, milyen munkakört töltött be, hiszen azóta változhattak a piaci viszonyok, fejlődhetett a technológia stb. Ugyanakkor a háttérellenőrzés érinthet hosszabb időszakot is: 2025-ben például lehet releváns adat az, hogy a pályázó 1997-ben valóban azon oktatási intézményben és valóban olyan szakon szerzett-e oklevelet, mint amit állított magáról.
Még az időtényezőnél maradva meg kell említeni egy másik adatvédelmi alapelvet, ez pedig a „korlátozott tárolhatóság” elve:[88] ennek értelmében a kezelt személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. Ennek megfelelően a háttérellenőrzés során kezelt adatokat is (legalábbis e célból) csak az adatkezelési cél megvalósulásáig lehet kezelni (amely praktikusan az, hogy a jelölt kellően megbízható-e ahhoz, hogy a munkáltató vele munkaviszonyt létesítsen). Ugyanakkor nem szabad elfeledkeznünk arról sem, hogy bizonyos igények előterjesztésére három vagy akár öt év áll rendelkezésre, amely eljárásokban döntő jelentősége lehet a háttérellenőrzés során kezelt adatok fellelhetőségének.
5.11. Adattovábbítás harmadik országba
További problémát jelent a munkáltatói háttérellenőrzések kapcsán, hogy az ilyen típusú szolgáltatást végző cégek jellemzően az Európai Unión kívül, úgynevezett harmadik országokban tevékenykednek. Ennélfogva az a jelölt, aki az ellenőrzéshez szükséges adatokat a szolgáltató szerverére feltölti vagy az a munkáltató, amely az által bekért adatokat a szolgáltató részére továbbítja, azzal a helyzettel szembesül, hogy a személyes adatok harmadik országban landolnak.
A harmadik országba történő adattovábbítás problémája tehát adott, a kérdés, hogy ezt hogyan kezeli a GDPR. Az adattovábbítás kapcsán alapelv, hogy az adatkezelésnek eleve mindenképpen jogszerűnek kell lennie (megfelelő cél, megfelelő jogalap stb.), az adattovábbítás csak a következő lépés a jogszerűség megítélésében. A GDPR értelmében személyes adatok harmadik országba történő továbbítására egyrészt akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély.[89] Jelenleg nem túl nagy azon országok száma, amelyek „engedélymentesek” (például Svájc, Andorra, Izrael, Új-Zéland). Az Amerikai Egyesült Államokba történő adattovábbítás pedig csak akkor tekinthető ilyennek, ha az ottani adatkezelő alávetette magát az úgynevezett Privacy Shield (Adatvédelmi Pajzs) rendszernek: regisztrálnia kell magát az Egyesült Államok Kereskedelmi Minisztériumánál, és kötelezettséget kell vállalnia arra, hogy az adatvédelem terén – a hazai jogához képest – többletkövetelményeket teljesít.[90]
A GDPR alapján harmadik országba történhet az adattovábbítás bizottsági megfelelőségi határozat hiányában is, azonban az adatkezelő (vagy adatfeldolgozó) csak abban az esetben továbbíthat személyes adatokat harmadik országba, ha a (harmadik országbeli) adatkezelő (vagy adatfeldolgozó) megfelelő garanciákat nyújtott, és csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.[91] Ilyen garanciák lehetnek például a közhatalmi vagy egyéb, közfeladatot ellátó szervek közötti, jogilag kötelező erejű, kikényszeríthető jogi eszközök, a kötelező erejű vállalati szabályok vagy a GDPR 40. cikke szerinti, jóváhagyott magatartási kódexek, amelyek tartalmazzák a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalását, hogy alkalmazza a megfelelő adatvédelmi garanciákat, ideértve az érintettek jogainak biztosítását is.[92]
Jól látható, hogy a háttérellenőrzés során korántsem olyan egyszerű a jelentkező személyes adatait az Unión kívülre továbbítani, legalábbis, ha a munkáltató jogszerűen kíván eljárni.
6. Összegzés
E hosszas elemzés lezárásaként érdemes néhány mondatban összefoglalni a munkáltatói háttérellenőrzés hazai megvalósíthatóságának ismérveit.
Mindenekelőtt – félretéve az aktuálisan divatos trendek kritika nélküli követését – célszerű a munkáltatóknak önmérsékletet tanúsítaniuk, és feltenni maguknak azt a kérdést, hogy vajon mennyivel lesz sikeresebb a létesítendő munkaviszony, ha teljes körű háttérellenőrzést végeztetnek a pályázó tekintetében? Célszerű azt meghatározni, hogy milyen munkakörben, milyen típusú háttérellenőrzés segíti a munkáltatói működést, figyelemmel a munkaviszony céljára is: feltétlenül szükség van-e arra, hogy például egy beosztott adminisztrátorról beszerezzük az anyagi helyzetére vonatkozó adatokat vagy elegendő, ha arról győződünk meg, hogy ismeri a szövegszerkesztő szoftvereket vagy az adott cégnél használatos vállalatirányítási rendszereket? Azt is fel kell mérni, hogy vannak-e olyan munkakörök, ahol mindenképpen aggályos a büntetett előélet, ehhez szükséges a foglalkoztatást korlátozó/kizáró feltételek egyértelmű megfogalmazása.
Ha valóban szükséges a háttérellenőrzés bizonyos munkakörökben, úgy meg kell jelölni ennek a valódi célját, adatkezelési jogalapját, az érintett részére megfelelő tájékoztatást kell nyújtani, intézkedni kell az adatbiztonság felől. A háttérellenőrzési szolgáltató kiválasztása kapcsán érdemes meggyőződni arról, hogy vajon tud-e a szolgáltató bármilyen pluszinformációt nyújtani a jelölt tekintetében ahhoz képest, amelyet a jelölt egyébként okirattal igazol (korábbi munkahelyek, végzettségek). Azt is figyelembe kell venni a szolgáltató kiválasztása kapcsán, hogy az adatkezelés hol zajlik: ha harmadik országban, akkor illik meggyőződni arról, hogy az adott ország megfelelő adatvédelmi jogi garanciákat nyújt-e az adatkezeléssel összefüggésben.
Az automatikus döntéshozatal (illetve profilalkotás) kapcsán pedig azt is biztosítani kell, hogy azt humán erőforrás is ellenőrizze, elkerülve az automatizmus által esetlegesen tévesen „kiszórt” pályázókat.
[1] Magyarul munkáltatói márkaépítés – ez magában foglalja a vállalati értékeket, a munkakultúrát és a munkaerőpiaci hírnevet. A pozitív munkáltatói márka befolyásolja az álláskeresők és a munkavállalók döntéseit, hozzáállását.
[2] Olyan módszertan, amely az e-learning tananyagot mikrorészekre bontja, így a munkavállalónak mindig csak egy kisebb egységet kell elsajátítania.
[3] Az egyazon munkahelyen dolgozó, különböző generációkhoz (Baby-boomer, X, Y, Z, Alfa) tartozó, emiatt különböző attitűdökkel rendelkező munkavállalók közötti összhang tudatos megteremtését célozza e módszertan.
[4] Valójában „leendő” munkáltatóról van itt szó elsősorban, hiszen a háttérellenőrzés a kiválasztási folyamat szerves része.
[5] E szervet az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (a továbbiakban: GDPR vagy általános adatvédelmi rendelet) alkalmazásának napjától felváltotta az Európai Adatvédelmi Testület.
[6] 2/2017. számú vélemény a munkahelyi adatkezelésről. A 29. cikk szerinti Adatvédelmi Munkacsoport, 17/HU WP 249, Elfogadás időpontja: 2017. június 8. 12. o. https://www.naih.hu/files/wp249_hu_munkahelyi_adatkezelesek.pdf (2025. február 8.).
[7] NAIH/2016/4386/2/V. https://naih.hu/files/Adatved_allasfoglalas_Munkaltatoi-hattervizsgalat.pdf (2025. február 8.).
[8] 2015/1998. végrehajtási rendelet 1.2.3.1. pont.
[9] 2015/1998. végrehajtási rendelet 6.1.3. pont.
[10] 2015/1998. végrehajtási rendelet 11.1.3.–11.1.5. pont.
[12] A közalkalmazottak jogállásáról szóló 1992. évi XXXIII. törvény 20. § (2) és (4) bekezdés.
[13] Mt. 10. § (1), (3) és (5) bekezdés.
[14] Mt. 11. § (3)–(5) bekezdés.
[15] Mt. 22. § (2) bekezdés b) pont.
[18] Ptk. 6:63. § (1)–(2) bekezdés.
[19] Ptk. 6:64. § (1) bekezdés.
[21] Ptk. 6:69. § (1) bekezdés.
[22] Ptk. 6:70. § (1)–(2) bekezdés.
[24] Ptk. 6:63. § (2) bekezdés.
[26] GDPR 5. cikk (1) bekezdés b) pont.
[29] GDPR 3. cikk (2) bekezdés b) pont.
[31] GDPR 5. cikk (2) bekezdés.
[32] „[A]z adatokhoz való hozzáférés nem elengedhetetlen feltétele az adatkezelői minőség megállapításának. Önmagában tehát az a felperesi beavatkozói hivatkozás, amely szerint az adatokhoz nem fér hozzá, tárhelyet nem üzemeltet, nem zárja ki az adatkezelői minőséget [Fővárosi Közigazgatási és Munkaügyi Bíróság 11.K.33.918/2013/8.]”. Idézi: Jóri András: Adatkezelő, közös adatkezelők, adatvédelmi vállalatcsoport. In: Jóri András (szerk.): A GDPR magyarázata. HVG-ORAC, Budapest, 2018. 92. o.
[35] A szerző számára erősen kétséges, hogy bármilyen versenypiaci szolgáltató cégnek lehet-e bármiféle betekintési jogosultsága a NAV rendszereibe magánszemélyek ellenőrzése céljából.
[36] GDPR 5. cikk (1) bekezdés b) pont.
[37] GDPR (3) preambulumbekezdés.
[38] Az adatvédelmi biztos beszámolója 1999. 327. o. Idézi: Jóri András: Az adatvédelem alapelvei. In: Jóri (szerk.): i. m. 201. o.
[40] GDPR 6. cikk (4) bekezdés és (50) preambulumbekezdés.
[42] GDPR 5. cikk (1) bekezdés c) pont.
[44] Mt. 11. § (3)–(5) bekezdés.
[46] Infotv. 5. § (4) bekezdés.
[48] Vö. Mt. 44/A. §. Jóri András: Az adatkezelés jogalapja. In: Jóri (szerk.): i. m. 190–191. o.
[49] Mt. 11. § (3)–(5) bekezdés.
[51] Infotv. 5. § (7) bekezdés.
[52] A GDPR 9. cikk szerinti jogalapok.
[53] GDPR 6. cikk (1) bekezdés a) pont.
[55] GDPR 7. cikk, illetve GDPR 32. preambulumbekezdés.
[56] 5/2020. számú Iránymutatás az (EU) 2016/679 rendelet szerinti hozzájárulásról. 1.1 verzió. Európai Adatvédelmi Testület. Elfogadás időpontja: 2020. május 4. https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_hu.pdf (2025. február 9.).
[57] Uo. 5. o.
[58] Uo. 8. o.
[59] Uo. 10. o.
[62] GDPR 6. cikk (1) bekezdés e) pont.
[63] GDPR 6. cikk (1) bekezdés d) pont.
[64] GDPR 6. cikk (1) bekezdés c) pont, pl. Mt. 44/A. §, 2015/1998. végrehajtási rendelet 1.2.3.1. pont.
[65] GDPR 6. cikk (1) bekezdés b) pont.
[66] GDPR 6. cikk (1) bekezdés f) pont.
[67] GDPR 6. cikk (1) bekezdés b) pont
[68] 2/2019. számú iránymutatás a személyes adatoknak az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b) pontja szerinti kezeléséről az érintettek részére nyújtott online szolgáltatások összefüggésében. 2.0 változat, Európai Adatvédelmi Testület, 2019. október 8. 9. o. https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_hu.pdf (2025. február 9.).
[69] Uo. 14. o.
[70] GDPR 6. cikk (1) bekezdés f) pont.
[71] GDPR (47) preambulumbekezdés.
[72] BH 2025.13 (Kúria Pfv.IV.20.387/2024/5.). Az Európai Unió Bíróságának hasonló döntései még: Neunte Immobilien Portfolio geschlossene Investment UG & Co. KG és a Müller Rechtsanwaltsgesellschaft mbH, valamint Ökorenta Neue Energien Ökostabil IV geschlossene Investment GmbH & Co. KG és a WealthCap Photovoltaik 1 GmbH Co.KG, a WealthCap PEIA Komplementär GmbH, a WealthCap Investorenbetreuung GmbH (C-17/22. és C-18/22. sz. egyesített ügyekben 2024. szeptember 12-én hozott ítélet), Meta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] (C-252/21. sz. ügyben 2023. július 4-én hozott ítélet).
[73] Az érdekmérlegelési teszt tekintetében a GDPR hallgat, azonban az elszámoltathatóságból és egyéb alapelvekből levezethető ennek szükségessége, illetve a NAIH minden, jogos érdeken alapuló adatkezelés kapcsán elvárja az érdekmérlegelés elkészítését, dokumentálását.
[74] GDPR 9. cikk (1) bekezdés.
[75] Mt. 11. § (3)–(5) bekezdés.
[78] GDPR 13. cikk (2) bekezdés f) pont és 14. cikk (2) bekezdés g) pont.
[79] GDPR 22. cikk (1)–(2) bekezdés.
[80] Iránymutatás az automatizált döntéshozatallal és a profilalkotással kapcsolatban a 2016/679 rendelet alkalmazásához. A 29. cikk szerinti Adatvédelmi Munkacsoport, 17/HU WP251rev.01, Elfogadás időpontja: 2017. október 3. A legutóbbi felülvizsgálat és elfogadás időpontja: 2018. február 6., 23. o. https://www.naih.hu/files/wp251rev01_hu.pdf (2025. február 9.).
[81] GDPR 5. cikk (1) bekezdés a) pont.
[82] GDPR 12. cikk (1) bekezdés.
[86] A NAIH gyakorlata szerint az érdekmérlegelési teszt eredményéről is szükséges tájékoztatást adni.
[87] GDPR 5. cikk (1) bekezdés c) pont.
[88] GDPR 5. cikk (1) bekezdés e) pont.
[89] GDPR 45. cikk (1) bekezdés.
[90] Ld. még Útmutató az EU–USA Adatvédelmi pajzshoz. Európai Bizottság https://ec.europa.eu/newsroom/just/redirection/document/47792 (2025. február 9.).