A munkavállaló személyes okmányairól készíthet-e másolatot a HR-munkatárs? A válasz röviden: nem. A korábbi gyakorlatot megváltoztató ezen válasz mögött azonban számos jogszabályi rendelkezés, illetve hatósági értelmezés és döntés áll, amelyet jelen írásunkban bemutatunk.
A GDPR fogalommeghatározásai alapján egy természetes személy személyazonosításra alkalmas okmánya, illetőleg annak adattartalma személyes adatnak, a személyes adatról másolat készítése, valamint a személyes adaton elvégzett bármely művelet adatkezelésnek minősül. A GDPR 88. cikke megadja a felhatalmazást a tagállamoknak, hogy jogszabályban vagy kollektív szerződésben a foglalkoztatás területén pontosító, kiegészítő szabályokat alkossanak annak érdekében, hogy biztosítsák a jogok és szabadságok védelmét a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében.
A munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) 10. § (1)-(3) bekezdései ilyen pontosító rendelkezéseket tartalmaznak, amikor megállapítják, hogy a munkáltató a munkavállalótól olyan nyilatkozat megtételét vagy személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy e törvényből származó igény érvényesítése szempontjából lényeges, és ennek során az okirat bemutatását követelhetik. Tehát csak megtekintésre kérheti el a munkáltató az okiratot, arról másolatot nem készíthet, azt nem tárolhatja. Az okirat alatt pedig nemcsak a személyazonosító okmányokra kell gondolnunk, hanem például bizonyítványra.
A NAIH döntése
A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) is foglalkozott már az okmánymásolás kérdésével egy 2023-as határozatában. A kérelem más adatkezelési műveleteket sérelmezett, azonban a Hatóság hivatalból kiterjesztette az okmányok másolásának vizsgálatára is eljárását. A kérelmező amiatt indított eljárást, mert munkajogviszony-létesítési eljárás során, még mielőtt aláírták volna a szerződést, olyan nyilatkozatok kitöltésére kötelezték, amelyekkel ahhoz járult hozzá, hogy róla a munkavégzés során – hatósági előadói munkakörben – fénykép, hang-, és videofelvétel készüljön, melyek a sajtóban külön díjazás nélkül közzétehetők. Ezen kívül a kérelmező szerint olyan hozzájáruló nyilatkozatot is kitöltettek vele, amellyel ahhoz járult hozzá, hogy a hatósági okmányairól fénymásolat készüljön. A kérelmező ezeket a nyilatkozatokat akként töltötte ki, hogy a hozzájárulás szót áthúzta, így szándéka szerint nem járult hozzá az adatkezelésekhez. Ezt követően nem jött létre a jogviszony kérelmező és kérelmezett között. A kérelmező az egyéni jogsérelem megállapítását, az önkéntes hozzájárulás hiányának megállapítását kérte, valamint azt, hogy marasztalja a hatóság a kérelmezettet azért, mert a hozzájárulás meg nem adása miatt hiúsult meg a jogviszony létesítése.
A NAIH döntésének ismertetése során az okmányok másolásának vizsgálatára koncentrálunk, de a Hatóság által elemzett többi kérdésről röviden összefoglalva elmondható, hogy a NAIH a hozzájárulás önkéntességének hiányát nem állapította meg, mivel bizonyítékok voltak arra nézve, hogy a hozzájárulás megtagadása esetén is létesített a kérelmezett foglalkoztatási jogviszonyt, illetve előfordult olyan eset is, hogy végleges személyazonosító igazolvány hiányában – amely gyártás alatt volt – létrejött a jogviszony, a későbbi bemutatás azt nem akadályozta meg. Tehát a NAIH nem találta igazoltnak a kérelmező azon állítását, hogy azért nem létesített vele jogviszonyt a kérelmezett, mert nem járult hozzá az adatkezelésekhez, illetve azokat kifogásolta. Az eljárás tárgyát képező adatkezelések tekintetében azonban megállapította a NAIH a nem megfelelő tájékoztatást, a jogalapokat jogszerűnek találta.
A személyazonosító igazolvány másolásáról a kérelmezett úgy nyilatkozott, hogy az a GDPR 6. cikk (1) bekezdés a) pontja szerinti hozzájárulás alapján készül. Hivatkozott továbbá a kérelmezett a közszolgálati tisztviselőkről szóló 2011. évi CXCIX. törvényre (a továbbiakban: Kttv.), miszerint az alapján kerül személyi anyagba a személyazonosító igazolvány másolata, amelyet a törvény alapján 50 évig kell megőrizni. Az okmánymásolás szükségességét az igazolja, hogy a humánszolgálati osztály munkavégzése során a számfejtési feladatokat a Magyar Államkincstárral (a továbbiakban: MÁK) együttműködve látja el, amelyhez szükséges a hiteles és valóságnak megfelelő adatok – nem az okmánymásolatok – továbbítása a MÁK felé. A kérelmezett nyilatkozata szerint továbbá számos más intézménnyel való kapcsolattartás indokolja, hogy igazolni tudja, hogy a számára rendelkezésre álló, és valóságnak megfelelő személyes adatokkal dolgozik. A hozzájáruló nyilatkozatot a felvételi eljárás megindítását követően, de a jogviszony létrejöttét megelőzően kérik, hogy a jogviszony létrejöttéhez szükséges dokumentumokat előkészíthessék.
Ha nem jön létre a jogviszony, a nyilatkozat jegyzőkönyvvel igazoltan megsemmisítésre kerül. Így történt ez kérelmező esetén is, amelyről tájékoztatva lett, és a kérelmezett a megsemmisítésről szóló jegyzőkönyvet is megküldte részére.
Az okmánymásolás tekintetében a NAIH kiemelte, hogy figyelembe kell venni, hogy az adattakarékosság elve szavatolja, hogy az adatkezelés céljára tekintettel csupán a legszűkebb, indokolt adatkör kezelésére kerüljön sor, tehát nem gyűjthetők olyan személyes adatok, amelyek az adatkezelés céljának elérésére nincsenek hatással. A konkrét ügyben a foglalkoztatási jogviszonyokkal összefüggésben kezelhető személyes adatok körét a Kttv. határozza meg, az azonban nem tartalmazza nyilvántartandó adatként a személyazonosító igazolványon található okmányazonosítót, a lakcímet igazoló hatósági igazolványon található okmányazonosítót, és a személyi azonosítót, illetőleg mindezen okmány másolatát. A Kttv. a személyi anyagban tárolandó iratok felsorolása során sem határozza meg az okmányok másolatát. A kérelmezett tehát az okmányok másolásával olyan személyes adatokat és a személyes adatokat tartalmazó okmányokat is másol, amelyek kezelését a Kttv. nem írja elő, ezért a jogviszony létesítéséhez, fenntartásához nem szükségesek.
A NAIH szerint az jogszerű érdek, hogy a jogviszony létesítéséhez, fenntartásához szükséges személyes adatok hitelességéről meggyőződjön a kérelmezett, azonban ehhez alapvetően az okmány bemutatása felel meg, a másolatok kezeléséhez vizsgálni szükséges, hogy az mennyiben felel meg a célhoz kötött adatkezelés és az adattakarékosság követelményének.
Az adategyeztetés ellenőrzése érdekében a Hatóság álláspontja szerint – másolás helyett – az okmányokkal végzett jogszerű többletintézkedés lehet például az, ha a kérelmezett személyzeti ügyekkel foglalkozó munkatársa egy nyilatkozat kitöltését kéri az érintettől arról, hogy bemutatta a jogviszony létesítéséhez, fenntartásához szükséges személyes adatait tartalmazó okmányát. Továbbá alkalmazható az ún. „négy szem elve” is, amikor a kérelmezett két, személyzeti ügyekkel foglalkozó munkatársa megtekinti az érintett által bemutatott okmányt és mindketten megerősítik a rögzített személyes adatok pontosságát.
A Hatóság tehát megállapította, hogy az okmányok teljes másolatának kezelése az adattakarékosság elvét sérti. Megállapította továbbá, hogy az okmányok alapján a közszolgálati és munkaügyi nyilvántartásban rögzített személyes adatok kezelésének jogalapja nem az érintett hozzájárulása, mivel azt a Kttv. írja elő, tehát a kérelmezett közérdekű, illetőleg közhatalmi jogosítványának gyakorlása keretében végzett feladata végrehajtásához szükséges. Továbbá a Kttv. a személyes adatok kezelését teszi kötelezővé, nem az okmány másolatának kezelését.
A NAIH utalt rá, hogy – szűk körben – kizárólag az érintettek hozzájárulása alapján abban az esetben fogadható el másolatok készítése, ha az adatkezelő olyan gyakorlatot alakít ki, amelynek során kizárólag azon személyes adatokról készít másolatot, amelyek kezelésére a foglalkoztatási jogviszonyt szabályozó jogszabály – a konkrét esetben a Kttv. – alapján egyébként jogosult, és addig, amíg az adatok megegyezőségének ellenőrzése megtörtént. Ebben az esetben az okmányon található személyes adat lemásolása ugyan adatkezelési művelet, de nem új adatkezelési cél az adatgyűjtés eredeti céljához képest, hanem az eredeti adatkezelési céllal és ahhoz kapcsolódó jogalappal történő adatgyűjtés egy olyan módja, amely egyébként segít az adatok pontosságának biztosításában. Mindez akként valósulhat meg, hogy az okmány másolatán csak az ellenőrizendő, a Kttv. szerinti alapnyilvántartásban tárolandó személyes adatok látszódhatnak, a további, szükségtelen és a Kttv. szerint nem kezelendő személyes adatokat azonban ki kell takarni. Az okmányok másolatát az adatok megegyezőségének ellenőrzését követően törölni szükséges.
A jogsértések miatt a Hatóság 200 000 Ft adatvédelmi bírságot szabott ki.
A NAIH állásfoglalása
Az előző pontban ismertetett határozathozatalt követő rövid időn belül a NAIH egy hozzá beérkezett értelmezési kérdés kapcsán állásfoglalást is kiadott a munkavállalók végzettségét igazoló dokumentumok másolatának elkészítése, megőrzése tárgyában.
A kérdés az ISO minőségirányítási rendszerszabványban foglaltaknak való megfelelés érdekében a munkavállalók végzettségét igazoló dokumentumokról történő másolatkészítésre irányult.
A NAIH mindenekelőtt rögzítette, hogy kizárólag az Mt. hatálya alá tartozó jogviszonyokra kiterjedően vizsgálta a kérdéseket.
Azon kérdés tekintetében, hogy egy társaság jogos érdekre alapozva védett szerveren és korlátozott elérhetőség mellett tárolhatja-e a munkavállaló iskolai végzettségét igazoló okmányok másolatát, a Hatóság az adatkezelés alapelveinek betartását és az adatkezelés jogszerűségét alátámasztó jogalap meghatározását hangsúlyozta. Az alapelvek közül a Hatóság kiemelte a célhoz kötöttség elvét, azaz személyes adatot kezelni csak pontosan meghatározott és jogszerű célból lehet, az adattakarékosság elvét, azaz csak olyan személyes adat kezelhető, amely feltétlenül szükséges és alkalmas az adott cél eléréséhez. A korlátozott tárolhatóság elve értelmében a kezelt személyes adatok megőrzésének időtartama nem lehet korlátlan, a feltétlenül szükséges időtartamra kell szűkíteni azok megőrzését, a bizalmasság és integritás alapelvének értelmében pedig a személyes adatok tárolása kapcsán biztosítani kell, hogy az adatokhoz jogosulatlan személy ne férhessen hozzá. Továbbá az adatkezelő kötelezettsége az is, hogy az adatkezelés körülményeinek, illetve kockázatának figyelembevételével megfelelő intézkedéseket hajtson végre annak érdekében, hogy az adatkezelés a GDPR rendelkezései szerint történjen. Annak megítélésére azonban, hogy a GDPR által támasztott követelményeknek való megfeleléshez konkrét esetben milyen technikai és szervezési intézkedések szükségesek, elsősorban az adatkezelő képes, miután ahhoz figyelembe kell venni az adatkezelés valamennyi jellemzőjét; ezek az információk pedig kizárólag az adatkezelőnél állnak rendelkezésre.
Vizsgálta a Hatóság a GDPR 88. cikk felhatalmazása alapján született Mt. 10-11. §-okat is, amely rendelkezéseket a munkaviszonyokkal összefüggő adatkezelések során minden esetben figyelembe szükséges venni. A fent már kifejtett Mt. 10. § (1)-(3) bekezdései pedig egyértelműen kimondják, hogy amennyiben a munkáltató a munkavállalótól személyes adat közlését vagy nyilatkozat megtételét követeli meg az Mt.-ben meghatározott célokból, ehhez a munkavállalótól csak az okirat bemutatását követelheti meg. Ez az Mt.-ben foglalt szabály a GDPR rendelkezéseit (a szükségesség és arányosság elveit követve) szűkíti, ugyanis a törvény a munkáltató adatkezelési tevékenységének módját az okiratok megtekintésére korlátozza.
Mindazonáltal a Hatóság álláspontja szerint a munkáltatók vezethetnek saját, belső nyilvántartást az egyes munkavállalók végzettségéről, a végzettség igazolásának időpontjáról, módjáról (pl. érettségi bizonyítvánnyal, diplomával szakképesítést igazoló okirat bemutatásával).
Megjegyezte továbbá a NAIH, hogy a képzettséget, végzettséget igazoló okiratról készített másolat nem rendelkezik bizonyító erővel arról, hogy hiteles másolata egy érvényes közokiratnak, tehát a másolat nem alkalmas a benne szereplő adatok hiteles voltának megállapítására sem.
A Hatóság kiegészítésként rögzítette az előző döntésében is megjelenő azon álláspontját, miszerint elfogadható az okiratokról másolat készítése, ha a munkáltató mint adatkezelő olyan gyakorlatot alakít ki, amelynek során kizárólag azon személyes adatokról készít másolatot, amelynek kezelésére egyébként jogosult, az adatok megegyezőségének ellenőrzésére.
A technológia semlegesség elve alapján adatvédelmi szempontból nincs jelentősége annak, hogy az egyébként jogszerűen kezelt, illetve kezelhető személyes adatok kezelése technikailag hogyan, milyen formában valósul meg (pl. az adatokat beírják egy Excel / Word dokumentumba, vagy a jogszerűen nem kezelhető adatokat kitakarva lemásolják, vagy beszkennelik a dokumentumot).
Mindezek alapján tehát a Hatóság álláspontja szerint az adatkezelők abban az esetben másolhatják le jogszerűen a munkavállalók képzettségéről, végzettségéről szóló dokumentumokat, amennyiben kizárólag azon személyes adatokról készítenek másolatot, amelyek kezelésére a munkaviszonnyal összefüggésben egyébként is jogosultak, vagyis a másolat nem tartalmaz többletadatot az egyébként jogszerűen kezelhető adatokon túl.
A konkrét esetben az ISO minőségirányítási rendszerszabvány követelményét vizsgálva, amely azt írja elő, hogy az adott szervezetnek „a felkészültség bizonyítékaként megfelelő dokumentált információt kell megőriznie”, a Hatóság megállapította, hogy a rendszerszabvány taxatíve nem határozza meg a dokumentumok körét, amelyeket a szervezetnek be kell tudnia mutatni; tehát ezen dokumentumokat az adott szervezetnek önállóan kell tudnia meghatároznia. Továbbá ezen bizonyítékoknak nem kell objektívnak lennie, azt csak dokumentált információval szükséges alátámasztani, amely a rendszerszabvány meghatározása szerint magában foglalhatja az adott szervezet által létrehozott információt is. Így a
Hatóság szerint a legjobb gyakorlat az lehet, ha a szervezet az egyes munkavállalók foglalkoztatásának megkezdésekor feljegyzést, jegyzőkönyvet készít arról, hogy az adott foglalkoztatott bemutatta a végzettségét igazoló eredeti dokumentumokat, amelynek releváns adatait a szervezet rögzíti (például: okirat sorszáma, képzettség megszerzésének dátuma). Annak érdekében, hogy a dokumentum tartalmának valódiságát a szervezet alátámassza, ezen dokumentum előállításakor a szervezet használhatja a „négy szem” elvét, vagy azt közokiratba, vagy teljes bizonyító erejű magánokiratba foglalhatja. Megjegyezte továbbá a NAIH, hogy egy szabványnak való megfelelés nem kötelezettsége az egyes szervezeteknek, ugyanakkor az Mt. szabályait minden munkáltató köteles betartani.
A másolatok folyamatos megőrzésének lehetősége tekintetében a NAIH kiemelte, hogy az adatkezelés tartama elsősorban az adatkezelés céljához kötődik: mindaddig, amíg a személyes adatok gyűjtése céljának eléréséhez szükség van a személyes adatok kezelésére és az adatkezelő megfelelő jogalappal rendelkezik az adatok kezelése tekintetében, a GDPR-ban foglalt kötelezettségek teljesítése mellett a személyes adatok tárolhatóak.
Így, amennyiben a végzettségre vonatkozóan gyűjtött adatokat olyan formában tárolja az adatkezelő, hogy azok az okiratok kivonatolt változatai, úgy ezen dokumentumokat addig kezelheti, tárolhatja, amíg a képzettséget, végzettséget igazoló személyes adatok kezelését az annak alapjául szolgáló munkavégzésre irányuló jogviszony fennállása miatt azt végeznie szükséges. Amennyiben a képzettség, végzettség vonatkozásában valamely jogszabály kötelező adatkezelési tartamot ír elő, úgy az adatkezelő addig köteles ezen adatokat kezelni.
