A tanárok személyes adatainak kezelése videóoktatás során

Egy német, a Covid-járvány idejére bevezetett videóoktatással kapcsolatos adatvédelmi jogvita lehetőséget adott az EU Bíróságának arra, hogy első ízben döntsön a GDPR 88. cikkéről.

Az alábbi cikk az Európai Unió Bíróságának (EUB, Luxembourg) a tanárok és a hesseni tartományi oktatási minisztérium jogvitájában[1] született ítéletét mutatja be; a döntés az élő videóoktatás során felmerülő, a pedagógusok személyes adatainak kezelését, illetve annak kérdéskörét járta körül. Az előzetes döntéshozatal iránti kérelem alapját képező helyzet a Covid–19 elleni védekezéssel kapcsolatban állt elő. A kérelmet a wiesbadeni közigazgatási bíróság (Verwaltungsgericht Wiesbaden) terjesztette a luxembourgi taláros testület elé abban a jogvitában, mely a hesseni tartományi oktatási és kulturális minisztérium mellett működő tanári személyzeti főtanács (Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium) és a hesseni tartományi oktatási és kulturális minisztérium (Minister des Hessischen Kultusministerium) között zajlott. Annak jogszerűségét kellett eldönteni, miszerint Hessen tartomány iskoláiban az oktatás videókonferencia útján történő élő közvetítésének bevezetésekor a döntéshozók nem rendelkeztek az érintett tanárok előzetes hozzájárulásáról.

I. Bevezetés

Az ügy előzményeként rögzíteni kell, hogy a COVID–19-járvány visszaszorítására és enyhítése kapcsán a kormányok, a köz- és a magánszervezetek Európa-szerte meghozott intézkedései szükségszerűen együtt jártak a különböző típusú személyes adatok kezelésével. Bár az adatvédelmi szabályok nem akadályozták meg a koronavírus-pandémia elleni küzdelem terén hozott intézkedéseket, azonban az adatkezelőnek és -feldolgozónak még ezekben a kivételes időszakokban is biztosítania kellett az érintettek személyes adatainak védelmét. Ezért a személyes adatok jogszerű kezelésének biztosítása érdekében ügyelni kellett arra, hogy az e helyzetben hozott intézkedéseknek tiszteletben kell tartaniuk az általános jogelveket, és nem lehetnek visszafordíthatatlanok.

A veszélyhelyzet olyan jogi állapot, amely indokolttá teheti a szabadságok korlátozását, feltéve, hogy ezek a korlátozások arányosak és a veszélyhelyzet időszakára korlátozódnak. A személyes adatok kezelését illetően az általános adatvédelmi rendelet (GDPR) 6. és 9. cikke lehetővé teszi a személyes adatok kezelését, különösen, ha az összhangban van a hatóság nemzeti jogszabályokban meghatározott megbízatásával, és megfelel az általános adatvédelmi rendeletben foglalt feltételeknek. A foglalkoztatással összefüggésben a személyes adatok kezelése szükséges lehet a munkáltatót terhelő jogi kötelezettség teljesítéséhez.

Az előzetes döntéshozatali kérelem lényegében a köré összpontosult, hogy a hesseni tartományi minisztérium által foglalkoztatott tanároknak hozzájárulásukat kell-e adniuk ahhoz, miszerint oktatási tevékenységüket videokonferencia útján közvetítsék, vagy ha ehhez nem járulnak hozzá, személyes adataik kezelése – mivel a közvetítés e formája révén az adatkezelés tárgyát képező személyes adatokat is közvetítették – igazolható-e az (EU) 2016/679 rendeletben[2] említett jogos érdekkel.

Az eset kapcsán tehát a személyes adatok kezeléséről szóló 2016/679/ EK rendelet (általános adatvédelmi rendelet; GDPR)[3] értelmezése vált szükségessé.

Az előzetes döntéshozatal iránti kérelem lehetőséget adott az EUB-nak arra, hogy első ízben döntsön a GDPR 88. cikkéről. E rendelkezés értelmében a tagállamok jogszabályban vagy kollektív szerződésekben pontosabban meghatározott szabályokat állapíthatnak meg annak érdekében, hogy biztosítsák a jogok és szabadságok védelmét a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében[4].

Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló 2016/679/EK rendelet 88. cikke (1) és (2) bekezdésének értelmezésére vonatkozott.

A rendelet 88. cikke az „Adatkezelés a foglalkoztatással összefüggően” a következőképpen rendelkezik:

• „(1) A tagállamok jogszabályban vagy kollektív szerződésekben pontosabban meghatározott szabályokat állapíthatnak meg annak érdekében, hogy biztosítsák a jogok és szabadságok védelmét a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében, különösen a munkaerő‑felvétel, a munkaszerződés teljesítése céljából, ideértve a jogszabályban vagy kollektív szerződésben meghatározott kötelezettségek teljesítését, a munka irányítását, tervezését és szervezését, a munkahelyi egyenlőséget és sokféleséget, a munkahelyi egészségvédelmet és biztonságot, a munkáltató vagy a fogyasztó tulajdonának védelmét is, továbbá a foglalkoztatáshoz kapcsolódó jogok és juttatások egyéni vagy kollektív gyakorlása és élvezete céljából, valamint a munkaviszony megszüntetése céljából.
• (2) E szabályok olyan megfelelő és egyedi intézkedéseket foglalnak magukban, amelyek alkalmasak az érintett emberi méltóságának, jogos érdekeinek és alapvető jogainak megóvására, különösen az adatkezelés átláthatósága, vállalkozáscsoporton vagy a közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adattovábbítás, valamint a munkahelyi ellenőrzési rendszerek tekintetében.

II. Az eset előzményei, a tényállás[5]

Hessen tartomány oktatási és kulturális minisztere két, 2020-ban elfogadott jogi aktussal meghatározta az iskolai oktatásnak a Covid–19-világjárvány alatt érvényes jogi és szervezeti keretét. Ez lehetővé tette azoknak a tanulóknak, akik nem tudtak az osztályteremben személyesen jelen lenni, hogy élőben, videókonferencia útján vegyenek részt a tanórákon. A diákok jogainak a személyesadat-védelemhez fűződő megóvása érdekében előírták, hogy a videókonferencia-szolgáltatáshoz való csatlakozás kizárólag maguk a tanulók, vagy azok kiskorúsága esetén szüleik hozzájárulásával engedélyezett. Ezzel szemben az érintett tanárok e szolgáltatásban való részvételéhez való hozzájárulásáról nem rendelkeztek.

A hesseni tartományi oktatási és kulturális minisztérium mellett működő tanári személyzeti főtanács keresetet indított a wiesbadeni közigazgatási bíróság (Verwaltungsgericht Wiesbaden) előtt arra hivatkozva, hogy a tanórák élő videóközvetítésének feltételeként nem írták elő az érintett tanárok hozzájárulását. Hessen tartomány oktatási és kulturális minisztere úgy érvelt, hogy a személyes adatoknak a tanórák videóközvetítésével megvalósuló kezelése a HDSIG[6] 23. §-a (1) bekezdése első mondatának hatálya alá tartozik, így arra az érintett tanár hozzájárulása nélkül is sor kerülhet.

A wiesbadeni közigazgatási bíróság szerint Hessen tartomány jogalkotójának szándéka szerint a HDSIG 23. §-a és a HBG[7] 86. §-a azon „pontosabban meghatározott szabályok” kategóriájába tartozik, amelyeket az általános adatvédelmi rendelet 88. cikkének (1) bekezdése értelmében a tagállamok a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelésével kapcsolatos jogok és szabadságok védelmének biztosítása érdekében megállapíthatnak. Mindazonáltal e bíróságnak kétségei voltak a HDSIG 23. §-a (1) bekezdése első mondatának és a HBG 86. §-a (4) bekezdésének az általános adatvédelmi rendelet 88. cikkének (2) bekezdésében előírt követelményekkel való összeegyeztethetőségét illetően.

E körülményekből fakadó kétségeire tekintettel eljárását felfüggesztette, és előzetes döntéshozatal céljából kérdéseket terjesztett az EUB elé.

III. Az eset értékelése

III.1. Az előzetes döntéshozatalra előterjesztett kérdések a GDPR 88. cikke (1) és (2) bekezdésének értelmezésére vonatkoztak.

A EUB ítélkezési gyakorlata szerint a GDPR tárgyi hatályának a 2. cikk (1) bekezdésében szereplő meghatározása igen tág, és hogy az e hatály alóli, a 2. cikk (2) bekezdésében előírt kivételeket szigorúan kell értelmezni[8]. A rendelet nem alkalmazandó a személyes adatok olyan „tevékenységekkel kapcsolatos [kezelésére], amelyek az uniós jog hatályán kívül esnek, mint például a nemzetbiztonsággal kapcsolatos tevékenységek”, valamint „amelyeket […] az Unió közös kül- és biztonságpolitikájával összefüggésben végeznek”[9].

Az EUB ebből következő megállapításai szerint a tanárok személyes adatainak – az iskolai oktatás keretében általuk tartott tanórák élő videóközvetítésével összefüggő – jelen esetbeli kezelése a GDPR tárgyi hatálya alá tartozik[10].

III.2. Erre tekintettel a tanárok, akik személyes adatainak kezelése az eljárás tárgyát képezi, akár munkavállalóként, akár köztisztviselőként az eset tényállása szerint a közszolgálat körébe tartozó tevékenységet végeztek Hessen tartomány részére. Ebből következően az EUB-nak mindenekelőtt azt is meg kellett határoznia, hogy a személyes adatok olyan kezelése, amely „a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelésére” vonatkozik, egyáltalán a GDPR 88. cikkének hatálya alá tartozik‑e.

Miként korábbi ítéletében már rögzítette, a GDPR nem határozza meg a „munkavállalók” és a „foglalkoztatás” fogalmát, és a tagállamok jogára sem utal e fogalmak meghatározása céljából. Ilyen utalás hiányában emlékeztetni kell arra, hogy amint az az uniós jog egységes alkalmazásának követelményéből és az egyenlőség elvéből következik, hogy a jelentésének és hatályának meghatározása érdekében a tagállami jogokra kifejezett utalást nem tartalmazó uniós jogi rendelkezést az egész Unióban önállóan és egységesen kell értelmezni[11].

A „munkavállaló” kifejezés olyan személyt jelöl, aki munkáját a munkáltatójával fennálló alárendeltségi viszony keretében, tehát az irányítása alatt végzi[12]. Alapvető jellemzője az a körülmény, hogy valamely személy meghatározott ideig, más javára és irányítása alatt díjazás ellenében szolgáltatást nyújt[13]. Mivel ez mind a közszférában, mind a magánszektorban alkalmazott munkavállalókra és foglalkoztatásra jellemző, ezért a „munkavállaló” és a „foglalkoztatás” kifejezések – a szokásos jelentésükben értve – nem zárják ki azokat a személyeket, akik szakmai tevékenységüket a közszférában gyakorolják.

A GDPR 88. cikke (1) bekezdésének nem lehet a munkavállaló és a munkáltató között fennálló jogviszony jellegétől függően meghatározni.

Ama személyek, például a tisztviselők vonatkozásában, akiknek a munkaviszonya nem munkaszerződésen alapul, a GDPR 88. cikke az (1) bekezdésében a „munkaszerződés teljesítésére” utal. Ugyanakkor ez az utalás a személyes adatok foglalkoztatással összefüggésben történő kezelésére vonatkozó egyéb célok között szerepel, amelyek a tagállamok által elfogadott, a GDPR 88. cikkének (1) bekezdésében felsorolt pontosabb szabályok tárgyát képezhetik, és hogy e felsorolás mindenesetre nem kimerítő, amint azt az e rendelkezésben használt „különösen” határozószó is mutatja.

Ebből következően a GDPR 88. cikkének (1) bekezdésében szereplő, a „munkaszerződés teljesítésére” való hivatkozásból nem lehet arra következtetni, hogy a közszektorban történő, nem munkaszerződésen alapuló foglalkoztatás nem tartozik az említett rendelkezés hatálya alá. Az e cikk szövegéből következő értelmezést megerősíti az a szövegkörnyezet, amelybe e cikk illeszkedik, valamint az azon szabályozás által követett cél, amelynek e cikk részét képezi.

A GDPR célja a személyes adatok védelmére vonatkozó nemzeti jogszabályok – főszabály szerint – teljes harmonizációjának biztosítása.  Ugyanakkor az e rendelet előírásai lehetőséget adnak a tagállamok számára, hogy további, szigorúbb vagy eltérő nemzeti szabályokat írjanak elő, és mérlegelési mozgásteret hagynak a tagállamok számára e rendelkezések végrehajtásának módját illetően („engedő rendelkezések”)[14], mivel lehetőséget biztosít a tagállamoknak arra, hogy „pontosabban meghatározott szabályokat” fogadjanak el annak érdekében, hogy biztosítsák a jogok és szabadságok védelmét a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében.

A személyes adatok foglalkoztatással összefüggő kezelésének sajátosságai a munkavállaló és a munkáltató között fennálló alárendeltségi viszonnyal magyarázható.

A GDPR a természetes személyek alapvető jogainak és szabadságainak a személyes adatok kezelése tekintetében történő magas szintű védelmének biztosítására irányul, amely jogot az Európai Unió Alapjogi Chartájának 8. cikke is elismer, és amely szorosan kapcsolódik a Charta 7. cikkében garantált, a magánélet tiszteletben tartásához való joghoz[15]. E céllal összhangban áll a GDPR 88. cikke (1) bekezdésének olyan tág értelmezése, amely szerint azok a „pontosabban meghatározott szabályok – amelyeket a tagállamok a munkavállalók jogainak és szabadságainak a személyes adataik foglalkoztatással összefüggő kezelése tekintetében történő védelmének biztosítása érdekében előírhatnak – valamennyi munkavállalót érinthetik, a munkáltatójukhoz fűződő jogviszony jellegétől függetlenül.

III.3. Első kérdésével a kérdést előterjesztő bíróság arra várt választ, hogy a GDPR 88. cikkét úgy kell‑e értelmezni, hogy ahhoz, hogy valamely jogszabály az e cikk (1) bekezdése értelmében vett, pontosabban meghatározott szabálynak minősüljön, meg kell felelnie az említett cikk (2) bekezdésében előírt feltételeknek.

Az EUB-nak e kérdéssel kapcsolatos megállapításai szerint a tagállamoknak lehetőségük van ilyen szabályok elfogadására, azonban nem kötelesek arra, mivel e szabályokat jogszabályok vagy kollektív szerződések írhatják elő[16]. Amikor a tagállamok élnek a GDPR megengedő rendelkezése által számukra biztosított lehetőséggel, akkor mérlegelési mozgásterükkel az e rendelet rendelkezéseiben előírt feltételek és korlátozások mellett kell élniük, és így oly módon kell jogszabályokat alkotniuk, hogy ne sértsék az említett rendelet tartalmát és céljait[17].

A GDPR 88. cikke (1) bekezdésében szereplő „pontosabban meghatározott” kifejezés használatából kitűnik, hogy az ott szereplő szabályoknak a szabályozott területre jellemző és az általános szabályaitól eltérő normatív tartalommal kell rendelkezniük. Az e rendelkezés alapján elfogadott szabályok célja a munkavállalók jogainak és szabadságainak védelme a személyes adataik foglalkoztatással összefüggő kezelése tekintetében.

A személyes adatok kezelésének a GDPR 88. cikkének (1) bekezdésében említett, különböző lehetséges céljaiból az következik, hogy az abban említett „pontosabban meghatározott szabályok” igen nagy számú, foglalkoztatással összefüggő adatkezelésre vonatkozhatnak, és ily módon lefedik az összes olyan célt, amelyre tekintettel a személyes adatok kezelése a foglalkoztatással összefüggésben végezhető. Ezenkívül, mivel e célok felsorolása, amint azt a jelen ítélet 46. pontjában megállapították, nem kimerítő jellegű, a tagállamok mérlegelési mozgástérrel rendelkeznek a fentiek alapján a pontosabban meghatározott szabályok hatálya alá tartozó adatkezelések tekintetében[18].

A GDPR 88. cikkének (2) bekezdése behatárolja ama tagállamok mérlegelési mozgásterét, amelyek e cikk (1) bekezdése alapján „pontosabban meghatározott” szabályokat kívánnak elfogadni. Így egyrészt e szabályok nem szorítkozhatnak e rendelet rendelkezéseinek megismétlésére, és a munkavállalók jogainak és szabadságainak a személyes adataik foglalkoztatással összefüggő kezelése tekintetében történő védelmére kell irányulniuk. Emellett megfelelő és egyedi intézkedéseket kell tartalmazniuk az érintett személyek emberi méltóságának, jogos érdekeinek és alapvető jogainak védelme érdekében[19]. Ennek során különös figyelmet fordítva az adatkezelés átláthatóságára, a személyes adatoknak a vállalatcsoporton vagy a közös gazdasági tevékenységet folytató vállalatcsoporton belüli továbbítására, továbbá a munkahely-ellenőrzési rendszerekre.

Az általános adatvédelmi rendelet II. és III. fejezete tartalmazza a személyes adatok kezelését szabályozó elveket, valamint az érintett ama jogait, amelyeket minden személyesadat-kezelésnek tiszteletben kell tartania[20]. Az adatkezelés jogszerűségére vonatkozó elveket illetően a rendelet 6. cikke felsorolja azoknak az eseteknek a kimerítő és korlátozó jellegét, amelyekben a személyes adatok kezelése jogszerűnek minősíthető. Így ahhoz, hogy az adatkezelést jogszerűnek lehessen minősíteni, annak az említett 6. cikkben előírt esetek valamelyikébe kell tartoznia[21].

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

• a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
• b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
• c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
• d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
• e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
• f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Amint arra a luxembourgi főtanácsnok indítványában rámutatott, „az e rendelkezések meghozatalára való felhatalmazás bizonyos ‘harmonizációt lerontó’ hatást eredményezhet. A GDPR 88. cikkének (1) bekezdése által engedélyezett nemzeti szabályok egy vagy több tagállam számára a GDPR általános rendszerétől való eltérések bevezetését vonhatják maguk után:

– a rendelet 6. cikkének (2) bekezdése feljogosítja a tagállamokat arra, hogy a GDPR egyes rendelkezéseinek alkalmazását kiigazítsák;

– a rendelet 88. cikkének (1) bekezdése ezzel szemben lehetővé teszi a tagállamoknak, hogy pontosabban meghatározott garanciális szabályokat állapítsanak meg. Ez intenzívebb jogalkotói tevékenységet jelent, amelyre nem kerül sor, ha csupán a GDPR azon rendelkezéseinek kiigazításáról vagy alkalmazásának beillesztéséről van szó, amelyek tartalma és hatálya véglegesnek tekintendő”.

Eme intézkedések hiányában a HDSIG 23. §-a nem felel meg a GDPR-rendelet 88. cikkének (2) bekezdésében meghatározott ama feltételnek, amelyek a tagállamok munkaügyi kapcsolatok területén hozott, eltérést engedő szabályozását elfogadhatóvá teszik.

A GDPR 88. cikkének eme előírása a biztosítékok tekintetében olyan intézkedések meghozatalára vonatkozik, amelyek biztosítják a GDPR 88. cikkének (1) bekezdése alapján elfogadott intézkedések sajátosságainak való megfelelést. E cikk arra törekszik, hogy az e rendelkezés által engedélyezett egyediséget adott esetben megfelelő összhangba hozza a vonatkozó biztosítékok sajátosságaival[22].

A tagállamok számára az a lehetőség azonban, hogy a GDPR 88. cikkének (1) bekezdése alapján „pontosabban meghatározott szabályokat” állapítsanak meg, az e szabályok hatályát érintő harmonizáció hiányához vezethet. Mivel a rendelet 88. cikkének (2) bekezdésében előírt feltételek tükrözik az általa elfogadott különbségtétel korlátait abban az értelemben, hogy a harmonizáció e hiánya csak abban az esetben fogadható el, ha a fennálló különbségeket olyan egyedi és megfelelő garanciák kísérik, amelyek célja az alkalmazottak jogainak és szabadságainak védelme a személyes adataik foglalkoztatással összefüggő kezelése tekintetében.

Következésképp ahhoz, hogy valamely jogszabály a GDPR 88. cikkének (1) bekezdése értelmében „pontosabban meghatározott szabálynak” minősüljön, meg kell felelnie az e cikk (2) bekezdésében támasztott feltételeknek. E szabályoknak, azonkívül, hogy a szabályozott területre jellemző és a GDPR általános szabályaitól eltérő normatív tartalommal kell rendelkezniük, a munkavállalók személyes adatainak foglalkoztatással összefüggő kezelése tekintetében a munkavállalók jogainak és szabadságainak védelmére kell irányulniuk, valamint megfelelő és egyedi intézkedéseket kell tartalmazniuk az érintettek emberi méltóságának, jogos érdekeinek és alapvető jogainak védelme érdekében. E körülmények értékelése során figyelmet kell fordítani az adatkezelés átláthatóságára, a vállalkozáscsoporton vagy a közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adattovábbításra, valamint a munkahelyi ellenőrzési rendszerekre.

III.4. Második kérdésével az előterjesztő bíróság arra kereste a választ, milyen következtetéseket kell levonni abból a megállapításból, hogy a munkavállalók jogainak és szabadságainak a személyes adataik foglalkoztatással összefüggő kezelése tekintetében történő védelmének biztosítása érdekében elfogadott nemzeti rendelkezések nem egyeztethetők össze a GDPR 88. cikkének (1) és (2) bekezdésében előírt feltételekkel és korlátozásokkal.

Az EUB e kérdésre adott válaszában mindenekelőtt rögzítette, az általános adatvédelmi rendeletben szereplő megengedő rendelkezések lehetőséget adnak a tagállamok számára, hogy további, szigorúbb vagy eltérő nemzeti szabályokat írjanak elő, és mérlegelési mozgásteret hagynak a tagállamok számára az érintett rendelkezések végrehajtásának módját illetően.

Amikor a tagállamok élnek a GDPR megengedő rendelkezése által számukra biztosított lehetőséggel, mérlegelési mozgásterükkel az e rendeletben előírt feltételek és korlátozások mellett kell élniük, és így oly módon kell jogszabályokat alkotniuk, hogy ne sértsék az említett rendelet tartalmát és céljait.

Amint arra a főtanácsnok az indítványában rámutatott: „szigorúan véve mindkét szabály pusztán attól a körülménytől teszi függővé a munkavállalók személyes adatainak kezelését, hogy az bizonyos célokból szükséges. Ez nem sokban különbözik a GDPR 6. cikke (1) bekezdésének b) pontjában foglalt rendelkezéstől (‘a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, ha […] olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges’).” A HDSIG 23. §-a a GDPR 6. cikke (1) bekezdésének b) pontja által már előírt, az adatkezelés általános jogszerűségére vonatkozó rendelkezést csak megismételte. A személyes adatok foglalkoztatással összefüggő kezelése kapcsán a jogok védelmére vonatkozó, pontosan meghatározott szabályt azonban nem tett hozzá[23]. Következésképp e rendelkezések a szabályozott területre jellemző és a rendelet általános szabályaitól elkülönülő normatív tartalommal nem rendelkeznek.

Az uniós jog elsőbbségének elve alapján a Szerződések közvetlenül alkalmazandó rendelkezései és az intézmények közvetlenül alkalmazandó jogi aktusai a tagállamok belső jogával fennálló kapcsolatuk tekintetében azzal a hatással bírnak, hogy – pusztán hatálybalépésük ténye folytán – a tagállamok nemzeti jogának valamennyi, az uniós joggal ellentétes rendelkezését a jog erejénél fogva alkalmazhatatlanná teszik[24]. Így – a GDPR 88. cikkében előírt feltételeket és korlátozásokat tiszteletben tartó, pontosabban meghatározott szabályok hiányában – a személyes adatoknak az akár a magánszférában, akár a közszférában történő, foglalkoztatással összefüggő kezelése közvetlenül a rendelet hatálya alá tartozik.

Az EUB korábbi ítéletében már kimondta, hogy a személyes adatok kezelői általi, a GDPR 6. cikke (1) bekezdése első albekezdésének e) pontja alapján történő jogszerű kezelése nem csupán azt feltételezi, hogy úgy lehessen tekinteni, miszerint e szereplők közérdekű feladatot teljesítenek, hanem azt is, hogy a személyes adatoknak az ilyen feladat teljesítése céljából történő kezelése az e rendelet 6. cikkének (3) bekezdésében említett jogon alapul[25] .

IV. Az Európai Unió Bíróságának ítélete

A luxembourgi taláros testület az alábbiakról határozott.

• 1) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló 2016/679 rendelet (általános adatvédelmi rendelet) 88. cikke értelmében a nemzeti szabályozás nem minősülhet az e cikk (1) bekezdése értelmében vett „pontosabban meghatározott szabálynak” abban az esetben, ha nem felel meg az említett cikk (2) bekezdésében előírt feltételeknek.
• 2) E rendelet 88. cikkének (1) és (2) bekezdését úgy kell értelmezni, hogy a munkavállalók jogai és szabadságai védelmének a személyes adataik foglalkoztatással összefüggő kezelése tekintetében való biztosítása érdekében elfogadott nemzeti rendelkezések alkalmazását mellőzni kell, ha e rendelkezések nem tartják tiszteletben a 88. cikk (1) és (2) bekezdésében előírt feltételeket és korlátozásokat, kivéve, ha az említett rendelkezések a fenti rendelet 6. cikkének (3) bekezdésében szereplő olyan jogalapot képeznek, amely megfelel az e rendeletben előírt követelményeknek.

Lábjegyzetek:

[1] A 2023. március 30-ai Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium  C‑34/21. sz. ügy, ítélet ECLI:EU:C:2023:270  (Ítélet)

[2] A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑ei (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet – GDPR)

[3] A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet

[4] Manuel Campos Sánchez-Bordona főtanácsnoknak a Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium; C‑34/21. sz. ügyben tett indítványa (Indítvány)

[5] Ítélet 14-21. pont

[6] A Hessen tartomány adatvédelemről és információszabadságról szóló 2018. május 3‑ai –Hessisches Datenschutz‑ und Informationsfreiheitsgesetz – 2018. május 3‑ai törvénye

[7] Hessen tartomány köztisztviselők jogállásáról szóló törvénye, a 2018. június 21‑ei Hessisches Beamtengesetz [(HBG)

[8] A 2020. július 9‑ei Land Hessen-ítélet, C‑272/19, EU:C:2020:535, 68. pont; a 2021. június 22‑ei Latvijas Republikas Saeima-ítélet, C‑439/19, EU:C:2021:504, 61. és 62. pont

[9] Latvijas Republikas-ítélet, 63. pont

[10] Ítélet 37. pont

[11]  A 2022. június 2‑ai HK kontra Dánia és HK kontra Privat-ítélet, C‑587/20, EU:C:2022:419, 25. pont

[12]  A 2021. március 18‑ai Kuoni Travel-ítélet, C‑578/19, EU:C:2021:213, 42. pont

[13] A 2021. július 15‑ei Ministrstvo za obrambo-ítélet, C‑742/19, EU:C:2021:597, 49. pont

[14] A 2022. április 28‑ai Meta Platforms Ireland-ítélet, C‑319/20, EU:C:2022:322, 57. pont

[15] A 2022. augusztus 1‑jei Vyriausioji tarnybinės etikos komisija-ítélet, C‑184/20, EU: C:2022:601, 61. pont

[16] Ítélet 58. pont

[17] Meta Platforms-ítélet, 60. pont

[18] Ítélet 63. pont

[19] Ítélet 65. pont

[20] A 2022. február 24‑ei Valsts ieņēmumu dienests- [Személyes adatok adóügyi célból történő kezelése] ítélet, C‑175/20, EU:C:2022:124, 50. pont

[21] Latvijas Republikas-ítélet 99. pont

[22] Indítvány 72, 73. pont

[23] Indítvány 60-62. pont

[24] Az 1978. március 9‑ei Simmenthal-ítélet, 106/77, EU:C:1978:49, 17. pont; az 1990. június 19‑ei Factortame és társai-ítélet, C‑213/89, EU:C:1990:257, 18. pont; a 2016. február 4‑ei Ince-ítélet, C‑336/14, EU:C:2016:72, 52. pont

[25] A 2022. október 20‑ai Koalitsia „Demokratichna Bulgaria – Obedinenie”-ítélet, C‑306/21, EU:C:2022:813, 52. pont

---