Labirintus – a GDPR útvesztőjében
Az Európai Parlament és a Tanács (EU) 2016/679 rendeletét vagyis Általános Adatvédelmi Rendeletet mindannyian ismerjük, mint a kedvelt és gyakran hivatkozott GDPR, azonban számos pontosítandó részletszabálya már talán kevésbé ismert és fontos kérdéseket vet fel.
Általánosan ismert, hogy a személyes adatok bármely kezelésének meg kell felelnie az általános adatvédelmi rendeletben foglalt adatkezelésre vonatkozó elveknek[1] és teljesítenie kell az adatkezelés jogszerűségére vonatkozó kritériumok valamelyikét, vagyis az GDPR 6. cikkében foglalt jogalap valamelyikével kell rendelkeznie. Ugyanakkor a GDPR már preambulumbekezdéseiben lehetőséget biztosít arra, hogy a tagállamok a rendeletben foglalt „személyes adatok kezelésének jogszerűségére vonatkozó általános feltételeit ezen túlmenően ezek pontosíthatják [...]”[2]. Illetve a (10) preambulumbekezdés is kimondja, hogy „a rendelet a tagállamok számára mozgásteret biztosít ahhoz, hogy pontosítsák a benne meghatározott szabályokat, ideértve a személyes adatok különleges kategóriáira vonatkozókat is”. Vagyis a GDPR ún. „engedő rendelkezése” lehetőséget biztosít a tagállamok számára olyan szabályok elfogadására, amelyek a szabályok pontosítását célozzák, amennyiben az vagy a koherencia biztosításához szükséges vagy annak érdekében történik, hogy a rendelkezés hatálya alá tartozó személyek számára érthetőek legyenek[3], azonban mérlegelési mozgásterükkel kizárólag csak a rendelet rendelkezésein belül élhetnek (a rendeletben meghatározott feltételek és korlátok között)[4].
Ehhez kapcsolódnak a GDPR IX. Fejezetében nevesített „Az adatkezelés különös eseteire vonatkozó rendelkezések”, amelyek egyes kiemelt területek érint. Az itt kiemelt egyes szabályozási területek specialitására tekintettel az előbb említett „engedő rendelkezések” útján lehetőséget biztosítva további, szigorúbb, eltérő nemzeti szabályok megalkotására. Ilyen terület a 88. cikkben foglalt foglalkozással összefüggő adatkezelés, amely kimondja, hogy „a tagállamok jogszabályban vagy kollektív szerződésben pontosabban meghatározott szabályokat állapíthatnak meg annak érdekében, hogy biztosítsák a jogok és szabadságok védelmét a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében, [...] ”.[5]
Az itt röviden ismertetett kérdéskörrel kapcsolatban merült fel előzetes döntéshozatalra bocsátott kérdés az alábbi ügyben:
A Covid-19 világjárvány alatt Hessen tartomány oktatási és kulturális minisztere egy jogi aktussal meghatározta az iskolai oktatás jogi és szervezeti kereteit, amelynek keretében a tanulók számára lehetővé tette, hogy személyes jelenlét helyett, élőben közvetített videókonferencia útján is részt vehessenek a tanórákon.[6] A tanulók személyes adatainak védelme érdekében előírták, hogy a videókonferenciához való csatlakozás csak a tanuló (kiskorú gyermek esetén szülői) hozzájárulással engedélyezett. Ezzel szemben az érintett tanárok kapcsán a hozzájárulásról tartományi szabályozás nem rendelkezett.
Ezért a minisztérium mellett működő „tanári személyzeti főtanács” keresetet nyújtott be a wiesbadeni közigazgatási bírósághoz.[7] Hessen tartomány minisztere azzal érvelt, hogy a tanórák videókonferencián történő közvetítése a „Hessen tartomány adatvédelemről és információszabadságról szóló törvénye [továbbiakban: HDSIG]” hatálya alá tartozik, ezért az érintett tanárok hozzájárulása nélkül is sor kerülhet a közvetítésre. Hiszen a HDSIG kimondja, hogy „a munkavállalók személyes adatai a munkaviszony céljából akkor kezelhetők, ha ezen adatkezelés [...] a munkaviszony létesítése után annak végrehajtásához, [...], tervezés, szervezeti, szociális és személyi jellegű belső intézkedések végrehajtásához szükséges. [...]”[8].
A wiesdabeni közigazgatási bíróság ezzel kapcsolatban kifejtette, hogy a jogalkotó szándéka szerint ez a fentebb idézett „pontosabban meghatározott szabályok” kategóriájába tartozik, azonban a bíróságnak kétségei merültek fel a GDPR 88. cikkének (1), de különösképpen a (2) bekezdésben előírt követelményekkel való összeegyeztethetőséget illetően, ezért előzetes döntéshozatal céljából az Európai Unió Bíróságához fordultak.
A GDPR 88. cikk (1) bekezdésében foglalt „pontosabban meghatározott szabálynak” meg kell felelnie a 88. cikk (2) bekezdésében előírt feltételeknek is.
A GDPR 88. cikk (1) bekezdése értelmében a tagállamoknak lehetőségük van ún. „pontosabban meghatározott” olyan szabályok elfogadására, amelyek a szabályozott területre jellemzőek és az általános szabályoktól eltérő normatív tartalommal rendelkeznek.[9]
Azonban ezen eltérő szabályoknak meg kell felelniük a 88. cikk (2) bekezdésében foglalt feltételeknek, vagyis „az (1) bekezdés alapján elfogadott szabályok olyan megfelelő és egyedi intézkedéseket foglalnak magukban, amelyek alkalmasak az érintett emberi méltóságának, jogos érdekeinek és alapvető jogainak megóvására [...]”[10]. Ennek értelmében a (2) bekezdés behatárolja a tagállamok mérlegelési mozgásterét és kimondja, hogy az ún. „pontosabb meghatározás”
- nem lehet a rendelkezések megismétlése;
- egyedi és megfelelő intézkedési formában kell történnie; és
- a munkavállalók jogainak és szabadságának a védelmét kell szolgálnia.[11]
Amennyiben a nemzeti rendelkezések nem tartják tiszteletben a GDPR 88. cikk (1) és (2) bekezdésében előírt feltételeket és korlátokat, abban az esetben mellőzni kell a nemzeti rendelkezések alkalmazását a munkavállalók – személyes adataik foglalkozással összefüggő kezelése tekintetében – jogai és szabadságai védelmének biztosítása érdekében. Kivéve, ha a GDPR 6. cikkének (3) bekezdésében szereplő jogalapot képeznek, amely megfelel a követelményeknek.
A bíróság a második kérdésére adott válaszában kifejtette, hogy a rendelet egy teljes egészében kötelező és követlenül alkalmazandó jogforrás valamennyi tagállamban, mindenféle további tagállami intézkedés nélkül is az EUMSZ értelmében. Vagyis az uniós jog elsőbbségének az elvéből következően, a GDPR 88. cikkében előírt feltételeket és korlátozásokat figyelmen kívül hagyó „pontosabban meghatározott szabályok” alkalmazását mellőzni kell. Így ilyen esetben mind a közszférában, mind a magánszférában történő foglalkozással összefüggő adatkezelés közvetlenül a GDPR rendelkezéseinek hatálya alá tartozik.[12]
Ugyanakkor a Bíróság azt is kimondja, hogy amennyiben a nemzeti rendelkezések nem tartják tiszteletben a 88. cikkben előírt feltételeket és korlátokat, szükséges megvizsgálni a GDPR 6. cikkének (3) bekezdésében szereplő jogalapot. Hiszen amennyiben megfelel a 6. cikk (3) bekezdésében foglalt jogalapnak, a nemzeti rendelkezés alkalmazását nem szabad mellőzni.[13]
Az GDPR 6. cikke „az adatkezelés jogszerűségére” vonatkozó rendelkezéseket tartalmazza, amelynek (3) bekezdése a meghatározott jogalapok közül kiemelve a „közérdekű adatkezelést” és az „adatkezelő közhatalmi jogosítványának gyakorlása keretében végzett adatkezelést” kimondja, hogy az adatlekezelésnek e jogalapra hivatkozáskor szükségesnek kell lennie. Továbbá azt is kimondja a (3) bekezdés, hogy „ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, [...], ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan”[14].
Így összességében azt láthatjuk, hogy a Bíróság kimondja, hogy a nemzeti rendelkezéseknek tiszteletben kell tartania a GDPR 88. cikk (1) és (2) bekezdésében foglaltakat, ugyanakkor a személyes adatok kezelése akkor is jogszerű – így a nemzeti szabályokat kell alkalmazni –, ha
- az adatkezelés uniós jogon vagy az adatkezelőre vonatkozó tagállami jogon alapul; és
- az adatkezelés célját e jogalapra hivatkozva meg lehet állapítani; illetve
- az adatkezelésnek szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához.[15]
Készítette: Hegedűs Sára Örzse, joghallgató DE ÁJK
Források jegyzéke:
[1] Európai Parlament és a Tanács (EU) 2016/679 rendelet II. Fejezet 5. cikk (https://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:32016R0679)
[2] i.m. (EU) 2016/679 rendelet (45) preambulumbekezdés
[3] i.m. (EU) 2016/679 rendelet (8) preambulumbekezdés
[4] Európai Unió Bírósága C-34/21. sz. ügy [59] és [79] bekezdés (https://curia.europa.eu/juris/document/document.jsf;jsessionid=E3F58E8FCCED11AA0441BC8C1C093237?text=&docid=272066&pageIndex=0&doclang=HU&mode=req&dir=&occ=first&part=1&cid=3003669)
[5] i.m. (EU) 2016/679 rendelet 88. cikk (1) bekezdés
[6] Európai Unió Bírósága 54/23. sz. sajtóközlemény (https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-03/cp230054hu.pdf)
[7] i.m. C-34/21. sz. ügy [15] bekezdés
[8] i.m. C-34/21. sz. ügy [12] bekezdés
[9] i.m. C-34/21. sz. ügy [61] bekezdés
[10] i.m. (EU) 2016/679 rendelet 88. cikk (2) bekezdés
[11] i.m. C-34/21. sz. ügy [65] és [74] bekezdés
[12] i.m. C-34/21. sz. ügy [84] bekezdés
[13] i.m. C-34/21. sz. ügy [88] bekezdés
[14] i.m. (EU) 2016/679 rendelet 6. cikk (3) bekezdés
[15] i.m. 54/23. sz. sajtóközlemény 3. oldal