Munkajog
Főoldal > Jogmagyarázat > Új adatvédelmi szabályok a munkaviszonnyal összefüggésben

Új adatvédelmi szabályok a munkaviszonnyal összefüggésben

Közel egy év telt azóta, hogy az általános adatvédelmi rendelet[1] (a továbbiakban: általános adatvédelmi rendelet vagy GDPR) kötelezően alkalmazandó az Európai Unió tagállamai­ban, így hazánkban is.[2] Általános jellegénél fogva a GDPR a munkáltatói adatkezelés tekintetében is alkalmazandó. Ugyanakkor az általános adatvédelmi rendelet lehetőséget biztosít a tagállamok részére a „finomhangolásra”: a 88. cikk értelmében a tagállamok jogszabályban vagy kollektív szerződésekben pontosabban meghatározott szabályokat állapíthatnak meg annak érdekében, hogy biztosítsák a jogok és szabadságok védelmét a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében, különösen a munkaerő-felvétel, a munkaszerződés teljesítése céljából, ideértve a jogszabályban vagy kollektív szerződésben meghatározott kötelezettségek teljesítését, a munka irányítását, tervezését és szervezését, a munkahelyi egyenlőséget és sokféleséget, a munkahelyi egészségvédelmet és biztonságot, a munkáltató vagy a fogyasztó tulajdonának védelmét is, továbbá a foglalkoztatáshoz kapcsolódó jogok és juttatások egyéni vagy kollektív gyakorlása és élvezete céljából, valamint a munkaviszony megszüntetése céljából.

  1. A törvénymódosítás lépései
  2. Az Mt. módosítása
    2.1. A munkavállaló személyiségi jogainak korlátozása
    2.2. A munkavállaló adatainak kezelése
    2.3. A különleges adatok kezelése (biometrikus adatok, bűn­ügyi személyes adatok)
    2.4. A munkavállaló ellenőrzése
  3. Egyéb, a foglalkoztatást érintő módosítások
    3.1. A kamerás megfigyelés új szabályai
    3.2. Elektronikus beléptető rendszerek használata

1. A törvénymódosítás lépései

2018 októberében került nyilvánosságra – többek között – a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) adatvédelmi célú módosítására vonatkozó első előterjesztés, a közkeletű elnevezéssel „GDPR-salátaként” illetett, számos ágazati jogszabályt érintő előterjesztés részeként (Előterjesztés az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról).[3] Figyelemmel arra, hogy az előterjesztés szövegezése a kodifikációs folyamat során változott, ezen első szövegváltozatról röviden szükséges csak szót ejtenünk, súlyt helyezve azon pontokra, amelyek a 2019. április 1-jén megszavazott törvénymódosításba – ekképpen a 2019. április 26. napján hatályba lépett, az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról szóló 2019. évi XXXIV. törvénynek (a továbbiakban: Módtv.) az Mt.-t érintő (módosító) rendelkezéseibe – már nem kerültek be.

Az első előterjesztés szerint az Mt. módosítása alapvetően három területet érintett volna (hasonlóan egyébként az utóbb elfogadott módosításhoz). Egyrészt generális jelleggel meghatározta a munkahelyi adatkezelés célját (az adatkezelési jogalapok[4] érintése nélkül); az adatkezelés ekképpen meghatározott célja körében pedig lehetővé tette volna, hogy mind a munkáltató, mind az üzemi tanács, illetve a szakszervezet adatkezelése során okirat bemutatását követelhesse és ennek másolatát kezelhesse.

Másrészt a különleges adatok meghatározott típusai tekintetében tartalmazott rendelkezéseket, miszerint a munkáltató a munkavállaló egyedi azonosítását célzó biometrikus adatát kezelheti, ha ez az egészség, a különleges adat, a munkáltató jelentős vagyoni érdekének védelme, a törvény által védett titok megőrzése, az adat- és információbiztonsági szabályok megtartása, veszélyes anyag őrzése és a munkavállaló kétséget kizáró azonosítása érdekében szükséges. A munkáltató az egyedi azonosítást szolgáló biometrikus adatkezelés során keletkezett adatot munkaidő-nyilvántartás céljából is kezelhette volna az első előterjesztés értelmében (feltéve, hogy az adat a munkaidő-nyilvántartás céljára alkalmas). Az első előterjesztés az erkölcsi bizonyítvány kéréséhez, illetve kezeléséhez fűződő aggályokat is igyekezett eloszlatni, miszerint bűnügyi személyes adat akkor kezelhető, ha ez az egészség, a különleges adat, a munkáltató jelentős vagyoni érdekének védelme, a törvény által védett titok megőrzése, az adat- és információbiztonsági szabályok megtartása, veszélyes anyag őrzése miatt szükséges.

Végül kitért a munkáltatói ellenőrzés vonatkozásaira is: a munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető, ennek keretében a munkáltató technikai eszközt is alkalmazhat, erről a munkavállalót előzetesen írásban köteles tájékoztatni. Az első előterjesztés szerint a munkavállaló a munkáltató által a munkavégzéshez biztosított információtechnológiai vagy számítástechnikai eszközt – eltérő megállapodás hiányában – kizárólag a munkaviszony teljesítése érdekében használhatja; a munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be; az ellenőrzési jogosultság szempontjából munkaviszonnyal összefüggő adatnak minősül a használat (munkaviszonyhoz kapcsolódó vagy magáncélú) korlátozása betartásának ellenőrzéséhez szükséges adat is.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) az első előterjesztés tekintetében kritikákat fogalmazott meg az Igazságügyi Minisztérium közigazgatási államtitkárához intézett levelében.[5] A NAIH álláspontja szerint az első előterjesztés koncepcióját tekintve nem állt összhangban a GDPR rendelkezéseivel, ugyanis a 88. cikk a tagállami jogalkotónak a munkaviszonnyal kapcsolatos adatkezelések feltételeinek „pontosabb” meghatározására ad lehetőséget, ekképpen a munkahelyi adatkezelés szabályai az általános adatvédelmi rendelettel nem lehetnek ellentétesek, azokat nem ronthatják le. A NAIH aggályosnak tartotta, hogy a különleges és bűnügyi személyes adatok kezelésére vonatkozó rendelkezések a munkáltatót mint adatkezelőt az általános adatvédelmi rendelet alapján terhelő elszámoltathatóság alapelvi követelményéből fakadó felelőssége és az általános adatvédelmi rendeletben ehhez kapcsolódóan előírt kötelezettségek (adatvédelmi hatásvizsgálat, jogos érdek mérlegelése stb.) alól részben mentesítené és számára törvényi felhatalmazást adna meghatározott adatkezelési műveletek elvégzésére. Általános jelleggel arra is rámutatott a NAIH, hogy a tagállam nem alkothat olyan jogszabályt, amely előírja, hogy az adatkezelő és az érintett közötti szerződéses jogviszony[6] vagy az adatkezelő jogos érdeke[7] tekintetében mely személyes adatok kezelése szükséges és lehetséges, hiszen – az elszámoltathatóság elvével[8] összhangban – az adatkezelő joga, kötelezettsége és felelőssége az adatkezelés céljához szükséges, annak elérésére alkalmas adatkör és érintetti kör meghatározása.

Ilyen előzmények után került sor az előterjesztés szövegszerű módosítására, amely 2019. február 7-én benyújtásra került az Országgyűlés részére.[9] A törvényjavaslatnak az Mt.-t érintő módosítását módosító indítvány elfogadása nélkül szavazta meg az Országgyűlés.

2. Az Mt. módosítása

E rövid bevezető után az alábbiakban az Mt. – Módtv. alapján – módosított, illetve új szabályai kerülnek ismertetésre.

2.1. A munkavállaló személyiségi jogainak korlátozása

Az Mt. módosítás előtti 9. §-a rendelkezett a munkavál­laló személyiségi jogaival kapcsolatos munkáltatói jogokról és kötelezettségekről, azzal, hogy – mintegy főszabályként – ahol az Mt. eltérően nem rendelkezik, úgy a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.) 2:42–2:54. §-át kell alkalmazni (meghatározott kivétellel[10]). Ezen túlmenően az Mt. 9. § (2) bekezdése lehetővé tette a munkavállaló személyiségi jogának korlátozását abban az esetben, ha a korlátozás a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos; garanciális elemként az Mt. előírta, hogy a személyiségi jog korlátozásának módjáról, feltételeiről és várható tartamáról a munkavállalót előzetesen tájékoztatni kell. Az Mt. korábbi 9. § (3) bekezdése értelmében a munkavállaló a személyiségi jogáról általános jelleggel előre nem mondhat le, illetve a munkavállaló személyiségi jogáról rendelkező jognyilatkozatot érvényesen csak írásban tehet.

A Módtv. a fenti törvényszakasz (2) bekezdését, azaz a munkavállaló személyiségi jogának korlátozását érinti [az (1) és a (3) bekezdés változatlan marad]. A módosítás szerint a munkavállaló személyiségi joga akkor korlátozható, ha a korlátozás a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos. A személyiségi jog korlátozásának módjáról, feltételeiről és várható tartamáról, továbbá szükségességét és arányosságát alátámasztó körülményekről a munkavállalót előzetesen írásban tájékoztatni kell.

Az Mt. fenti rendelkezését figyelmesen olvasva látható, hogy a munkavállaló személyiségi joga korlátozásának előfeltételét tekintve nincsen változás, azaz a személyiségi jog korlátozásnak akkor van létjogosultsága, ha az a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos. A törvénymódosítás ugyanakkor bővíti a személyiségi jog korlátozásával összefüggő, írásbeli munkáltatói tájékoztatási kötelezettség tartalmát: nemcsak a személyiségi jog korlátozásának módjáról, feltételeiről és várható tartamáról kell a munkavállalót tájékoztatni, hanem a korlátozás szükségességét és arányosságát alátámasztó körülményekről is. Itt szükséges megjegyezni, hogy az Mt. 22. § (2) bekezdésének (a Módtv.-nek köszönhető) módosítása révén a személyiségi jog korlátozására vonatkozó írásbeli munkáltatói tájékoztató a helyben szokásos és általában ismert módon is közzé tehető: például intranet vagy faliújság útján.

A munkavállaló személyiségi joga korlátozására vonatkozó módosítással kapcsolatosan az alábbiakra érdemes rámutatni. Egyrészt, ezen szabálymódosítás az Mt.-módosítással kapcsolatos első, 2018. októberi előterjesztésben nem szerepelt, tehát az a jogalkotási folyamat során került a Módtv. szövegébe. Másrészt, kérdésként merülhet fel, hogy a „személyiségi jog” e rendelkezés kapcsán miként értelmezendő. A személyiségi jogok körében általános értelemben, az alapjogokat tekintve az Alaptörvényhez, szűkebb értelemben a Ptk. 2:43. §-ához kell visszanyúlnunk: ennek értelmében a személyiségi jogok sérelmét jelenti különösen az élet, a testi épség és az egészség megsértése; a személyes szabadság, a magánélet, a magánlakás megsértése; a személy hátrányos megkülönböztetése; a becsület és a jóhírnév megsértése; a magántitokhoz és a személyes adatok védelméhez való jog megsértése; a névviseléshez való jog megsértése, valamint a képmáshoz és a hangfelvételhez való jog megsértése. Azaz a „személyes adatok védelméhez való jog” nem más, mint az egyik nevesített személyiségi jog [ne feledjük, hogy az Mt. 9. § (1) bekezdése e Ptk.-beli szakaszt a munkaviszonyban is alkalmazni rendeli]. Különösebb dogmatikai kétségek nélkül is könnyen kijelenthető, hogy napjainkban a magánélet, vagy éppen a képmáshoz és a hangfelvételhez való jog összemosódik a személyes adat[11]fogalmával, viszont messzire vezető vita forrása lehet, hogy célszerű-e ezeket külön-külön szabályozni.

Az Mt. 9. § (2) bekezdésének módosított szövege több kérdést is felvethet a gyakorlati jogalkalmazás számára. Szükséges-e a személyiségi jog korlátozásának szükségességét és arányosságát alátámasztó körülményekről tájékoztatni a munkavállalót abban az esetben, ha a személyiségi jog korlátozása jogszabályi rendelkezésen vagy jogszabályban biztosított munkáltatói jogon alapul (például a munkáltató védőeszköz viselését rendeli el munkavédelmi előírások alapján, amely akár a munkavállaló magánszférájának megsértéseként is értelmezhető; vagy a munkáltató a munkavállaló heti pihenőnapjára rendkívüli munkavégzést rendel el valamely előre nem látható körülmény miatt, amelynek okán sérül a munkavállaló pihenéshez való joga) vagy ez a tájékoztatási kötelezettség kizárólag akkor irányadó, ha azt a munkáltató valamely jogos (gazdasági) érdeke alapozza meg? A törvényszövegből az utóbbi – szűkebb értelmezés – nem feltétlenül következtethető ki. Ha a tágabb értelmezést fogadjuk el, akkor viszont belátható, hogy e szabály például jogszabályi kötelezettség munkáltatói teljesítése esetén nehézkes és indokolatlan többletterhet alapít a munkáltató terhére.

Másrészt felvetődhet a kérdés, hogy értelmezhető-e a munkavállaló személyiségi joga korlátozásaként a munkáltatói adatkezelés vagy az Mt. 9. §-a „minden más” személyiségi jogra vonatkozik csupán? A bírósági (adott esetben a hatósági) gyakorlat bizonyosan választ fog adni ezen kérdésekre.

A fenti, dogmatikai jellegű fejtegetést követően lássuk, hogy mi a gyakorlati követendő eljárás a munkáltatók számára. A módosítás hatálybalépésével összefüggésben szükséges lesz olyan tájékoztató(k) készítése a munkavállalók részére, amely kifejezetten részletezi(k) a személyiségi jog korlátozásának szükségességét és arányosságát alátámasztó körülményeket. Amennyiben a munkáltatónál volt korábban tájékoztatás a személyiségi jogok korlátozása vonatkozásában (és az nem tartalmazta a szükségesség-arányosság kritériumainak leírását), annak kiegészítése lesz indokolt.

2.2. A munkavállaló adatainak kezelése

A jogalkotó az adatkezeléssel kapcsolatban egy új, 5/A. alcímmel (Adatkezelés) egészíti ki az Mt.-t, érintve annak 10. és 11. §-ait, valamint új szabályként megalkotva a 11/A. §-t. E jogszabályhelyekben kerülnek meghatározásra a munkáltató személyes adatkezeléssel és a különleges adatok kezelésével összefüggő jogai és kötelezettségei, figyelemmel a GDPR 88. cikkében kapott felhatalmazásra.

Az Mt. korábban hatályos 10. §-a is rendelkezett a munkavállaló személyes adatainak kezeléséről: egyrészt előírta, hogy a munkavállalótól csak olyan nyilatkozat megtétele vagy adat közlése kérhető, amely személyiségi jogát nem sérti, és a munkaviszony létesítése, teljesítése vagy megszűnése szempontjából lényeges. A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. Másrészt tájékoztatási kötelezettséget fogalmazott meg a munkáltató részére a munkavállalói adatok kezelése tekintetében. Harmadrészt felhatalmazta a munkáltatót arra, hogy a munkavállaló személyes adatait – az adatszolgáltatás céljának megjelölésével, törvényben meghatározottak szerint – adatfeldolgozó számára átadhassa. Negyedrészt lehetővé tette a munkavállalói adatok anonim módon való, statisztikai célú felhasználását, továbbítását.

Az Mt. korábbi 11. §-a a munkavállaló munkáltató általi ellenőrzésének szabályait tartalmazta, miszerint a munkavállaló csak a munkaviszonnyal összefüggő magatartása körében ellenőrizhető, ez nem járhat az emberi méltóság megsértésével és a munkavállaló magánélete nem ellenőrizhető, továbbá a munkáltatónak az ellenőrzés technikai eszközeivel, módszereivel kapcsolatos tájékoztatási kötelezettségét is e szakaszban találhattuk.

Kétségtelen, hogy az Mt. korábbi 10. §-ának egyes elemeit maga a GDPR is tartalmazza, ezért e körben dereguláció volt kívánatos.

Az Mt. módosított 10. § (1) bekezdése értelmében a munkáltató a munkavállalótól olyan nyilatkozat megtételét vagy személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy az Mt.-ből származó igény érvényesítése szempontjából lényeges. Ennek során okirat bemutatása követelhető, továbbá a munkáltató az adatkezeléséről az érintettet köteles írásban tájékoztatni. Az Mt. tehát meghatározza a munkáltatói adatkezelés célját: az adatkezelési cél nem más, mint a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy az Mt.-ből származó igény érvényesítése szempontjából lényeges adat kezelése. Ilyenek lehetnek (a teljesség igénye nélkül): név, lakcím, végzettség, nyugdíjas státusz, a munkavállaló munkabéréből levonás útján történő végrehajtás ténye, gyermekek száma és életkora, jelenléti adatok, munkahelyi oktatáson való részvétel ténye stb. Bár az adatkezelési cél meghatározásra került, az adatkezelés jogalapjai tekintetében nem ad (és a GDPR rendeleti minőségének megfelelően nem is adhat) az Mt. eligazítást, e körben a GDPR szabályait kell alkalmazni.

Lényeges változás az első előterjesztéshez képest, hogy a munkáltató kérheti ugyan az adatkezeléssel összefüggően okirat bemutatását, azonban másolatot nem készíthet. E változás a kodifikációs folyamat eredménye, hiszen a NAIH az iratmásolási gyakorlatot korábban sem tartotta jogszerűnek: például egy 2018-ban hozott határozata szerint „[a] bemutatott érvényes, személyazonosító okmányban szereplő személyazonosító adatokat a dokumentum közhiteles voltára tekintettel másolatkészítés nélkül is el kell fogadni. A személyazonosság igazolására alkalmas hatósági igazolványról készített másolat nem rendelkezik bizonyító erővel arról, hogy hiteles másolata egy érvényes hatósági okmánynak, és nem alkalmas a személyazonosság megállapítására sem. A fényképes igazolvány személyazonosítás céljából való bemutatása felel meg a hatályos jogszabályi rendelkezéseknek, a másolatok kezelése nem felel meg a célhoz kötöttség és az adattakarékosság követelményének.”[12] A gyakorlat számára követhető eljárás lehet az, hogy az okirat bemutatásra kerül a munkáltató munkatársa (például HR-munkatárs) részére, aki meggyőződhet annak hitelességéről, valamint a munkaviszony teljesítése szempontjából releváns adatokat feljegyzi, a HR-nyilvántartás részévé teszi (például nyelvvizsga-bizonyítvány száma, kelte, fokozata).

A munkáltatói adatkezelésről írásban tájékoztatni kell az érintettet (azaz a munkavállalót) (tegyük hozzá: a GDPR 13. cikke ezt maga is előírja). Hasonlóan a munkavállaló személyiségi jogának korlátozásánál írtakhoz, az Mt. (módosított) 22. § (2) bekezdése alapján e tájékoztatás is megadható a helyben szokásos módon való közzététel révén.

Az Mt. módosított 10. § (2) bekezdése szerint a munkáltató, az üzemi tanács, illetve a szakszervezet az Mt. Harmadik Részében (azaz a munkaügyi kapcsolatok terén) meghatározott jogának gyakorlása vagy kötelességének teljesítése céljából nyilatkozat megtételét vagy adat közlését követelheti a munkavállalótól. Ez esetben – a módosított 10. § (3) bekezdése alapján – szintén követelhető okirat bemutatása (azonban másolat szintén nem készíthető).

Bár a módosítás e vonatkozásban is előír tájékoztatási kötelezettséget, az Mt. új 10. § (5) bekezdése itt ezt kizárólag a munkáltató vonatkozásában írja kifejezetten elő (a munkáltató az adatkezeléséről az érintettet köteles írásban tájékoztatni). A törvény szövegezéséből („a munkáltató az adatkezeléséről”) levezethető, hogy a tájékoztatási kötelezettség a munkáltató tekintetében mind a 10. § (5) bekezdése, mind a GDPR 13. cikke alapján fennáll; az üzemi tanács vagy a szakszervezet – mint adatkezelők – pedig a GDPR 13. cikke alapján kötelesek tájékoztatást adni az adatkezelésről.[13] Könnyen előfordulhat ugyanis olyan, az Mt. Harmadik Részén alapuló adatkezelési szituáció, amelyben a munkáltató egyáltalán nem vesz részt: például a szakszervezet általi, eseti meghatalmazáson alapuló képviseleti tevékenység során a szakszervezet kezeli kapcsolattartási célból a munkavállaló privát e-mail-címét, amelyet a munkáltató viszont egyáltalán nem kezel, hiszen adott esetben arra nincsen megfelelő adatkezelési célja; ugyanakkor a szakszervezetnek mint önálló adatkezelőnek a GDPR 13. cikke szerinti tájékoztatási kötelezettsége vitán felül fennáll.

Tovább haladva az Mt. módosított 10. §-án, a (4) bekezdés a munkavállalót érintő alkalmassági vizsgálatokat tárgyalja, gyakorlatilag a korábbi normaszöveggel szó szerint azonos módon: a munkavállalóval szemben olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges.

E körben is irányadó, hogy a munkáltató az adatkezeléséről az érintettet köteles írásban tájékoztatni; a tájékoztatás – a már fentebb írtak szerint – megadható a helyben szokásos módon is.

2.3. A különleges adatok kezelése (biometrikus adatok, bűnügyi személyes adatok)

Az Mt. módosított 11. §-a a különleges adatok kezelésére – konkrétan a biometrikus adat[14], valamint a bűnügyi személyes adat kezelésére – vonatkozó rendelkezéseket tartalmazza.

Az Mt. 11. § (1) bekezdése rendelkezik a biometrikus adatok munkáltató által történő kezeléséről. A jelen tanulmány elején említésre került, hogy az első előterjesztésben szereplő szövegezés szerint a munkáltató a munkavállaló egyedi azonosítását célzó biometrikus adatát abban az esetben kezelhette volna, ha ez az egészség, a különleges adat, a munkáltató jelentős vagyoni érdekének védelme, a törvény által védett titok megőrzése, az adat- és információbiztonsági szabályok megtartása, veszélyes anyag őrzése, és a munkavállaló kétséget kizáró azonosítása érdekében szükséges. A munkáltató az egyedi azonosítást szolgáló biometrikus adatkezelés során keletkezett adatot munkaidő-nyilvántartás céljából is kezelhette volna az első előterjesztés értelmében (feltéve, hogy az adat a munkaidő-nyilvántartás céljára alkalmas).

A kodifikációs folyamat eredményeképpen az Mt. végül akként került módosításra, hogy a jogszabály kizárólagos célként jelöli meg a munkavállaló azonosítását, valamint többletkövetelményként meghatározza azon eseteket, amikor a biometrikus adat kezelhető: ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely vagy a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy törvényben védett jelentős érdek súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna. A módosítás – nem taxatív módon – meghatározza, hogy mi minősül jelentős védett érdeknek. Ilyen a legalább „Bizalmas!” minősítésiszintű minősített adatok védelméhez; a lőfegyver, lőszer, robbanóanyag őrzéséhez; a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez; a nukleáris anyagok őrzéséhez, valamint a Büntető Törvénykönyv szerint legalább különösen nagy vagyoni érték (legalább ötvenmillió-egy forint vagy a fölötti érték[15]) védelméhez fűződő érdek.

Látható, hogy az első előterjesztéshez képest elfogadott törvényszöveg konkretizálta, leszűkítette a biometrikus adatok kezelésének lehetőségeit (például „munkáltató jelentős vagyoni érdekének védelme” helyett egzakt módon megjelölésre került a Btk. értékhatára), valamint a jogalkotási folyamat során kikerült a biometrikus adat munkaidő-nyilvántartás céljából történő kezelésének lehetősége.

A különleges adatok tekintetében fontos módosítás, hogy sor került a bűnügyi személyes adatok (azaz az erkölcsi bizonyítvány) munkáltató által történő kezelhetőségének jogszabályi rendezésére. Az erkölcsi bizonyítvány munkaviszonnyal összefüggő kezelése korábban ugyanis erős aggályokat vetett fel: a NAIH 2016 októberében (azaz a GDPR kötelező alkalmazása előtt) még azt az álláspontot képviselte, hogy az „súlyosan sérti az érintett személyes adatai védelméhez való jogát, jogellenesen diszkriminálhatja és ellentétes a hátrányos jogkövetkezmények alóli mentesüléshez fűződő közérdekkel”.[16]

A GDPR 10. cikke értelmében a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatoknak a GDPR-ban meghatározott, általános jogalapokon[17] történő kezelésére kizárólag abban az esetben kerülhet sor, ha az közhatalmi szerv felügyelete alatt történik, vagy ha az adatkezelést az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújtó uniós vagy tagállami jog lehetővé teszi.

Emellett az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) – 2018. július 26. napjától hatályos – 5. § (7) bekezdése úgy rendelkezik, hogy bűnügyi személyes adatok kezelése esetén – ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa ettől eltérően nem rendelkezik – a különleges adatok kezelésének feltételeire vonatkozó szabályokat kell alkalmazni. E jogszabályhely 2018. évi módosításának indokolása szerint az Infotv. a bűnügyi személyes adatok kezelése esetén főszabályként a különleges adatok kezelésére vonatkozó feltételrendszert rendeli alkalmazni, mely főszabálytól – megfelelő garanciák biztosításának követelménye figyelembevételével – az ágazati uniós vagy magyar jogi rendelkezések eltérést állapíthatnak meg. Érdekességképpen meg kell jegyezni, hogy – még az Mt.-módosítás előtt – 2019 januárjában a NAIH egy konkrét megkeresésre adott válaszában kifejtette, hogy „[a] Hatóság álláspontja szerint törvényi felhatalmazás hiányában a munkáltatók a munkavállalók bűncselekményre, illetve a kapcsolódó biztonsági intézkedésre, a büntetlen előélet megállapítására vonatkozó személyes adatait az általános adatvédelmi rendelet 6. cikk (1) bekezdés f) pontja szerinti jogos érdek alapján és a 9. cikk (2) bekezdés b) pontja[18] szerinti feltétel teljesülése esetén kezelhetik.”[19]

Ilyen előzmények után tekintsük át, hogy miként került sor az Mt. módosítására. Az Mt. 11. § (3) bekezdése értelmében a munkáltató a munkavállaló vagy a munkáltatóval munkaviszonyt létesíteni szándékozó személy bűnügyi személyes adatát annak vizsgálata céljából kezelheti, hogy törvény vagy az Mt. 11. § (4) bekezdésében foglaltak szerint a munkáltató a betölteni kívánt vagy a betöltött munkakörben nem korlátozza vagy nem zárja-e ki a foglalkoztatást. A hivatkozott Mt. 11. § (4) bekezdése szerint ilyen korlátozó vagy kizáró feltételt a munkáltató akkor határozhat meg, ha az adott munkakörben az érintett személy foglalkoztatása a munkáltató jelentős vagyoni érdeke; törvény által védett titok, vagy lőfegyver, lőszer, robbanóanyag őrzéséhez; mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez; nukleáris anyagok őrzéséhez fűződő, törvény által védett érdek sérelmének veszélyével járna. A munkáltató a bűnügyi személyes adat kezelését megalapozó, a fentiek szerinti korlátozó vagy kizáró feltételt és a bűnügyi személyes adat kezelésének feltételeit előzetesen írásban köteles meghatározni és azt – az Mt. már korábban ismertetett, módosított 22. § (2) bekezdése alapján – a helyben szokásos módon szükséges közzétenni.

Az Mt. 11. § (3) és (4) bekezdése tehát meghatározza az adatkezelés célját: eszerint a munkavállaló bűnügyi személyes adata annak vizsgálata céljából kezelhető, hogy törvény vagy a munkáltató a betölteni kívánt vagy a betöltött munkakörben nem korlátozza vagy nem zárja-e ki a foglalkoztatást. Az Mt. megjelöli az adatkezelés feltételeit is azzal, hogy mely esetekben határozhat meg a munkáltató a foglalkoztatást korlátozó vagy kizáró feltételt.

Látható, hogy e vonatkozásban a szabályozás megengedőbb, mint a biometrikus adatok kezelése körében: például számszerűen meghatározott vagyoni érték helyett elegendő a munkáltató „jelentős” vagyoni érdekének megléte. A „törvény által védett titok” mint a foglalkoztatást kizáró vagy korlátozó feltétel – ekképpen az erkölcsi bizonyítvány kezelésének megalapozottságát igazoló körülmény – tekintetében utalni kell arra, hogy voltaképpen bármely gazdálkodó szervezet kezelheti ez alapján a bűnügyi személyes adatokat (azaz az erkölcsi bizonyítványt), hiszen a jog generális jelleggel védi például az üzleti titok[20] intézményét. Szükséges azonban megjegyezni, hogy önmagában az üzleti titokra hivatkozás nem elegendő, hiszen az is lényeges, hogy a betölteni kívánt vagy a betöltött munkakör bírjon e körben relevanciával.

2.4. A munkavállaló ellenőrzése

Az Mt. korábbi 11. §-a tette a munkáltató számára lehetővé, hogy a munkavállalót – a munkaviszonnyal összefüggő magatartása körében – ellenőrizhesse, amely azonban nem járhat az emberi méltóság megsértésével, valamint a munkavállaló magánélete nem ellenőrizhető.

A munkavállaló ellenőrzésére vonatkozó szabályokat az Mt. módosítással bevezetett, új 11/A. §-a határozza meg. Ennek értelmében a munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető. Ennek keretében a munkáltató technikai eszközt is alkalmazhat, erről a munkavállalót előzetesen írásban köteles tájékoztatni. Utóbbi módja a már hivatkozott, helyben szokásos módon történő közzététel is lehet.

Bár első látásra úgy tűnik, hogy azon szabály, miszerint a munkáltató ellenőrzése és az annak során alkalmazott eszközök, módszerek nem járhatnak az emberi méltóság megsértésével, az Mt.-ből kikerült, ez semmiképpen sem jelenti, hogy az emberi méltóság megsérthető lenne. Ez pusztán egy deregulációs célú módosítás, ugyanis nemcsak a munkáltatói ellenőrzések során, hanem a munkaviszony egészében, minden mozzanatában védeni kell az emberi méltóságot[21], tehát annak a munkáltatói ellenőrzéssel kapcsolatos külön kiemelése nem indokolt.

A munkáltató által biztosított számítástechnikai eszközökkel összefüggésben a korábbi rendelkezésekhez képest a változás abban mutatkozik meg, hogy a munkavállaló a rendelkezésére bocsátott számítástechnikai eszközt (ez információtechnológiai vagy számítástechnikai eszközt, rendszert jelent) kizárólag a munkaviszony teljesítése érdekében használhatja (ettől eltérő megállapodás lehetséges a felek között). Azaz – a Módtv. indokolása szerint – a magánélet ellenőrzésének kizárása helyett a hangsúly arra került, hogy – főszabályként – fel se merüljön az említett eszközök magáncélú használata.

A módosítás értelmében a munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt a munkaviszonnyal összefüggő adatokba tekinthet be (a munkáltatói ellenőrzés ezen szabályát alkalmazni kell abban az esetben is, ha a felek megállapodása alapján a munkavállaló a munkaviszony teljesítése érdekében saját számítástechnikai eszközt használ). Ilyen, „a munkaviszonnyal összefüggő adatnak” minősül a használat korlátozása betartásának ellenőrzéséhez szükséges adat. Azaz a munkáltató az átadott számítástechnikai eszközön tárolt adatba az ellenőrzés során addig tekinthet be, ameddig el nem tudja dönteni, hogy az adat magáncélú adat-e.

A gyakorlat számára a fenti módosítás a következőket jelenti. Egyrészt, a munkavállaló a munkáltató által rendelkezésre bocsátott számítástechnikai eszközt a munkaviszonytól eltérő célra nem alkalmazhatja (kivéve, ha a felek eltérő megállapodást kötnek). Idetartozhat például a magáncélú e-mailezés tilalma (a szerző álláspontja szerint ide sorolható az az eset is, ha a munkavállaló a munkáltató működési körében keletkezett e-mailt saját, magán e-mail-címére, vagy a munkáltató működésével össze nem függő e-mail-címre továbbítja), a munkahelyi számítógépen közösségi média vagy csevegőfelületek használatának tilalma[22], magánjellegű dokumentumok, fényképek tárolásának tilalma.

Másrészt, mint láthattuk, a számítástechnikai eszközök magáncélú használathoz külön megállapodás szükséges. E megállapodásban célszerű tisztázni a magáncélú használat pontos feltételeit is: például a magáncélú használat csak a munkaközi szünetben vagy a munkáltató által elrendelt munkaidőn túl engedélyezett. A szerző álláspontja szerint a tartalmi korlátok felállításának sincsen akadálya: még ha lehetőség is van a magáncélú használatra, e körben a munkáltató megtilthatja például az illegális filmletöltést, az online játékokat vagy a szexuális/obszcén tartalmú weboldalak látogatását.

A munkáltatók számára fontos lehet az a módosítás is, miszerint a munkáltatói ellenőrzés szabályát alkalmazni kell abban az esetben is, ha a felek megállapodása alapján a munkavállaló a munkaviszony teljesítése érdekében saját számítástechnikai eszközt használ: ez az úgynevezett „Bring Your Own Device” eseteiben merülhet fel, amikor is a munkavállaló a munkavégzéshez saját eszközét használja. Annak érdekében, hogy a munkáltató valóban csak a munkaviszonnyal összefüggésben ellenőrizhesse a munkáltatót, célszerű ilyen esetben a munkáltatói adatokat (dokumentumok, belső rendszerek, e-mailek) egy külön, akár távolról is vezérelhető applikációban tárolni, amelyhez a munkáltató hozzáférhet, azt ellenőrizheti, azonban az eszközön tárolt egyéb (privát jellegű) tartalmak nem láthatók a munkáltató számára.

A számítástechnikai eszközök használatával függ össze az Mt.-nek a távmunkát érintő módosítása: a 196. § (1) bekezdése – azaz a távmunka fogalmi meghatározása – akként módosult, hogy a távmunkavégzés a munkáltató telephelyétől elkülönült helyen rendszeresen folytatott olyan tevékenység, amelyet számítástechnikai eszközzel végeznek, és eredményét elektronikusan továbbítják. E változás jogtechnikai jellegű: mivel a 11/A. § (2) bekezdése a „számítástechnikai eszköz” fogalmát meghatározza, ezért indokolatlan azt a távmunka kapcsán ismét meghatározni.

3. Egyéb, a foglalkoztatást érintő módosítások

3.1. A kamerás megfigyelés új szabályai

A GDPR-ral összefüggő törvénymódosításokban találunk több olyan rendelkezést, amelyek érintik ugyan a foglalkoztatást, de nem az Mt.-ben szerepelnek: az egyik ilyen módosítás a (munka­helyi) kamerás megfigyelés témakörében született. Ezzel kapcsolatban érdemes utalni arra, hogy az Mt. rendelkezései önmagukban nem adnak felhatalmazást az elektronikus megfigyelőrendszerek alkalmazására, de általános felhatalmazást nyújtanak a munkáltatói ellenőrzéshez kapcsolódó adatkezelésre. A kamerás megfigyelés részletszabályai a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvényben (a továbbiakban: Szvmtv.) kerülnek rögzítésre, amely törvény szintén módosítása került.

Ennek értelmében a vagyonőr elektronikus megfigyelőrendszert kizárólag magánterületen alkalmazhat. Az elektronikus megfigyelőrendszer működése útján rögzített kép-, hang-, valamint kép- és hangfelvétel megismerésének okát és idejét, valamint a megismerő személyét jegyzőkönyvben kell rögzíteni; az ezen adatokat igazolható módon tartalmazó elektronikus nyilvántartás is jegyzőkönyvnek minősül.[23]

A jogalkotó – a munkáltatók bizonyosan nagy megkönnyebbülésére – hatályon kívül helyezte azon, kissé rugalmatlan szabályt, amely szerint a rögzített kép-, hang-, valamint kép- és hangfelvételt felhasználás hiányában legfeljebb a rögzítéstől számított három munkanap elteltével meg kellett semmisíteni, illetve törölni kellett. Ez nem jelenti azt, hogy a felvételek korlátlan ideig tárolhatók, hiszen e körben is teljesíteni kell a GDPR előírásait: például a célhozkötöttség elvét vagy az adattakarékosság kritériumát. Az elszámoltathatóság elvével összhangban az adatkezelő felelőssége az, hogy a felvételeket milyen célból és mennyi ideig tárolja. Ezért a gyakorlat számára javasolható annak felmérése, hogy meghatározza a kamerás megfigyeléssel mint adatkezeléssel kapcsolatos jogos érdekeit (a szükségesség-arányosság követelményére is figyelemmel), az adatkezelés célját, és észszerű, valamint a célhozkötöttség elvét is szem előtt tartó tárolási határidőt szabjon meg a felvételek tekintetében.

3.2. Elektronikus beléptető rendszerek használata

Szintén az Szvmtv.-t érinti az elektronikus beléptetőrendszerekre vonatkozó törvénymódosítás. A korábbi normaszöveg szerint elektronikus beléptetőrendszer az erre vonatkozó megbízási szerződés alapján akkor volt alkalmazható, ha a védett területre jogszabály vagy a terület használatára jogosult rendelkezése szerint csak arra jogosultak léphetnek be, illetőleg tartózkodhatnak ott. Az elektronikus beléptetőrendszer működtetése során keletkezett adatokat (például a belépés időpontja) rendszeres belépés esetén a belépésre való jogosultság megszűnésekor, de legkésőbb az adat keletkezésétől számított hat hónap elteltével, míg alkalmi belépés esetén a távozástól számított huszonnégy óra elteltével meg kellett semmisíteni.[24]

A jogszabály-változás deregulációs célú: a módosítás hatálybalépésétől kezdődően elektronikus beléptetőrendszer az erre vonatkozó megbízási szerződés alapján és akkor alkalmazható, ha jogszabály vagy a terület használatára jogosult rendelkezése szerint a védett területre csak az arra jogosultak léphetnek be. Látható, hogy az adattörlési határidők hatályon kívül helyezése kerültek; e dereguláció azonban nem a törlési kötelezettség megszűnését jelenti, hanem azt, hogy e kötelezettség a továbbiakban a közvetlenül alkalmazandó uniós jogból – azaz az általános adatvédelmi rendeletből – fakad: a kamerás megfigyelésnél említettek szerint a GDPR előírásait – például a célhozkötöttség elvét vagy az adattakarékosság kritériumát – meg kell tartani, illetve az elszámoltathatóság elvével összhangban az adatkezelő felelőssége az, hogy a belépési adatokat milyen célból és mennyi ideig tárolja.

 


[1]   Az Európai Parlament és a Tanács (EU) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i 2016/679 rendelet (általános adatvédelmi rendelet), General Data Protection Regulation, általános rövidítés szerint: GDPR.

[2]   A GDPR kötelező alkalmazásának kezdete 2018. május 25. napja volt.

[3]   Ld. https://www.kormany.hu/hu/dok?page=3&source=5&type=302&year=2018#!DocumentBrowse
(2019. április 24.).

[4]   GDPR 6. cikk.

[5]   NAIH/2018/6123/2/J., 2018. október 9. https://www.naih.hu/files/NAIH_2018_6123_2_J_2018-10-09.pdf
(2019. április 24.).

[6]   A GDPR 6. cikk (1) bekezdés b) pontjában megjelölt adatkezelési jog­alap.

[7]   A GDPR 6. cikk (1) bekezdés f) pontjában megjelölt adatkezelési jog­alap.

[8]   GDPR 5. cikk (2) bekezdés.

[9]   T/4479. számú törvényjavaslat. https://www.parlament.hu/folyamatban-levo-torvenyjavaslatok?p_auth=BFS5rgLH&p_p_id=pairproxy_WAR_pairproxyportlet_INSTANCE_9xd2Wc9jP4z8&p_p_lifecycle
=1&p_p_state=normal&p_p_mode=view&p_p_col_id=column-1&p_p_col_count=1&_pairproxy_WAR_pairproxyportlet_INSTANCE_9xd2Wc9jP4z8_pairAction
=%2Finternet%2Fcplsql%2Fogy_irom.irom_adat%3Fp_ckl%3D41%26p_izon%3D4479
(2019. április 24.).

[10]  A Ptk. 2:52. § (2) és (3) bekezdése, valamint 2:53. §-a alkalmazásakor az Mt. kártérítési felelősségre vonatkozó szabályai az irányadók.

[11]  A GDPR 4. cikk 1. pontja szerint személyes adat: azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

[12]  NAIH/2018/3654/2/V., 2018. szeptember 28. https://www.naih.hu/files/Adatved_allasfoglalas_2018-3654-2-V-okmanymasolas.pdf (2019. április 24.).

[13]  GDPR 4. cikk 7. pont.

[14]  A GDPR 4. cikk 14. pontja szerint biometrikus adat egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat. A GDPR 51. preambulumbekezdése értelmében fényképekre csak azokban az esetekben vonatkozik a biometrikus adat fogalommeghatározása, ha a természetes személy egyedi azonosítását vagy hitelesítését lehetővé tevő speciális eszközzel kezelik őket.

[15]  A Büntető Törvénykönyvről  szóló 2012. évi C. törvény (a továbbiakban: Btk.) 459. § (6) bekezdés.

[16]  A Nemzeti Adatvédelmi és Információszabadság Hatóság tájékoztatója a munkahelyi adatkezelések alapvető követelményeiről. Budapest, 2016. október 28. https://www.naih.hu/files/2016_11_15_Tajekoztato_munkahelyi_adatkezelesek.pdf (2019. április 24.).

[17]  A GDPR 6. cikk (1) bekezdésében foglalt jogalapok.

[18]  A különleges adatok kezelésének tilalma nem érvényesül, ha az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, amennyiben az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi.

[19]  NAIH/2019/1073. 2019. január 22. https://www.naih.hu/files/NAIH_2019_1073_erkolcsi_biz.pdf (2019. április 24.).

[20]  Az üzleti titok fogalmát korábban a Ptk. határozta meg. 2018. augusztus 8-án hatályba lépett az üzleti titok védelméről szóló 2018. évi LIV. törvény, amelynek 1. § (1) bekezdése szerint üzleti titok a gazdasági tevékenységhez kapcsolódó, titkos – egészben, vagy elemeinek összességeként nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető –, ennélfogva vagyoni értékkel bíró olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek a titokban tartása érdekében a titok jogosultja az adott helyzetben általában elvárható magatartást tanúsítja.

[21]  Ez következik az Alaptörvény II. cikkéből és a Ptk. személyiségi jogot védő rendelkezéseiből is.

[22]  Természetesen nem tartozik ebbe a körbe, ha a munkavállaló munkaköri feladatát képezi a közösségi média kezelése: például a munkavállaló a munkáltatói Facebook-oldal adminisztrátora. Ilyen esetben azonban nem is magáncélú használatról van szó, hiszen a munkavál­laló e felületet munkaviszonya teljesítéséhez használja.

[23]  Szvmtv. 30. § (2) bekezdés és 31. §.

[24]  Szvmtv. korábbi 32. §-a.