Végzettséget igazoló dokumentum másolatának megőrzése
Olvasási idő: 7 perc
A Nemzeti Adatvédelmi és Információszabadság Hatóság állásfoglalása értelmében a munkavállalók végzettséget igazoló okiratairól abban az esetben készíthet jogszerűen másolatot a munkáltató, amennyiben az okiraton szereplő személyes adatok kezelésére jogosult, és azok nem nyújtanak többletinformációt az adatkezelő számára az érintettről.
A Nemzeti Adatvédelmi és Információszabadság Hatóságot (továbbiakban: Hatóság) azzal kapcsolatban keresték meg és kérték állásfoglalás megtételére, hogy egy szervezet jogos érdekére alapozva védett szerveren és korlátozott hozzáférhetőség mellett tárolhatja-e a munkavállalói iskolai végzettségét igazoló okmányok másolatait avagy az ISO 9001:2015 minőségirányítási rendszerszabványnak való megfelelés végett jogosult lesz-e munkavállalói végzettségét igazoló dokumentumok másolatának elkészítésére, tárolására.
Az állásfoglalás
A Hatóság mindenekelőtt felhívta a figyelmet arra, hogy a jelen, NAIH-444-1/2023 számú állásfoglalásban olvasható következtetések kizárólag abban az esetben helytállóak, amennyiben azokat a felek közti -a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) szabályai szerinti- munkaviszonyra feleltetjük meg.
A Hatóság kiemelte, hogy a jogszerű adatkezelés megvalósításához számos kritérium teljesítendő, különös tekintettel Az általános adatvédelmi rendelet (továbbiakban: GDPR) 5. cikkében található alapelvek biztosítására az adatkezelés során, valamint az adatkezelés jogszerűségét alátámasztó jogalap definiálására.
Az 5. cikkben deklarált alapelvek között olvasható a célhoz kötött adatkezelés elve, mely előírja, hogy az adatkezelés csak pontosan meghatározott és jogszerű célból történhet. A célhoz kötöttség elvéhez szorosan kapcsolódik az adattakarékosság elve, mely értelmében kizárólag azon adatokat szabad kezelni, melyek az adott cél megvalósításához elengedhetetlenül szükségesek és arra alkalmasak. Utóbbi alapelvek garanciális kritériumát adják annak, hogy csak a legszűkebb, legindokoltabb adatkört kezelje az adatkezelő, valamint gátját szabják a készletező adatkezelésnek. Fontos alapelvként jelenik meg a korlátozott tárolhatóság elve, mely értelmében a személyes adatok kizárólag feltétlenül szükséges időtartamig kezelhetők. Végezetül az 5. cikk deklarálta a bizalmasság és integritás alapelvét, mely azt a kötelezettséget támasztja az adatkezelő irányába, hogy biztosítania kell, hogy a személyes adatokhoz jogosulatlan személy ne férhessen hozzá.
A Hatóság hivatkozott emellett a GDPR 24. cikk (1) bekezdésére is, mely rendelkezés alapján „az adatkezelő kötelezettsége az is, hogy az adatkezelés körülményeinek, illetve kockázatának figyelembevételével megfelelő intézkedéseket hajtson végre annak érdekében, hogy az adatkezelés a GDPR rendelkezései szerint történjen.” A Hatóság kifejtette, hogy az adatkezelésre vonatkozó valamennyi körülményre az adatkezelő rendelkezik rálátással, ennek következtében az adatkezelő felelősségi körébe tartozik, hogy a jogszabályi, alapelvi feltételeknek való megfelelés érdekében milyen intézkedéseket eszközöl.
A GDPR 6. cikk (1) bekezdése magába foglalja a személyes adatok jogszerű kezelésének lehetséges jogalapjait. Jelen esetben a kérelem arra irányult, hogy a Hatóság állásfoglalásában ítélje meg, hogy a Kérelmező alapíthatja-e a GDPR 6. cikk (1) bekezdés f) pontjára, azaz jogos érdek jogalapjára az adatkezelését. A Hatóság válaszában rögzítette, hogy az adatkezelés jogalapjának meghatározása szintén az adatkezelő felelősségi körébe esik, ám segítségképpen ismertette, hogy amennyiben egy adatkezelő a jogos érdek jogalapja szerint kívánja kezelni az érintetti adatokat szükségszerűen össze kell vetni az adatkezelői és az érintetti érdekeket (egy érdekmérlegelési teszt keretében).
A Hatóság hivatkozott továbbá a GDPR 88. cikk (1) bekezdésére, mely értelmében a rendelkezés jogot biztosít az egyes tagállamok számára abban a tekintetben, hogy jogszabályban vagy kollektív szerződésekben rögzíthetik a munkavállalók személyes adatai védelmének biztosítását a foglalkoztatással összefüggő adatkezelés esetén. A magyar szabályozás a munka törvénykönyvéről szóló 2012. évi I. törvény (továbbiakban: Mt.) 10.-11.§, valamint a 44/A. §-ában ölt testet. A munkaviszonyokkal összefüggő adatkezelést az előbbi szakaszok hivatottak szabályozni. „Az Mt. 10. § (1) és (3) bekezdései szerint a munkáltató a munkavállalótól olyan nyilatkozat megtételét vagy személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése, megszűnés (megszüntetése) vagy az Mt.-ből származó igény érvényesítése szempontjából lényeges.”
A fentebbi rendelkezések értelmében a munkáltató jogszerűen követelheti okirat bemutatását a munkavállalójától, továbbá a Hatóság arra is rávilágított, hogy bár a munkáltatók vezethetnek belső nyilvántartást munkavállalóik végzettségéről, igazolásának időpontjáról és módjáról, ám a polgári perrendtartásról szóló 2016.évi CXXX. törvény 324. §-nak megfelelően a végzettséget igazoló okiratról készített másolat nem képes a benne foglalt adatok hiteles voltának igazolására.
A Hatóság a korábbi gyakorlatát ismertetve a munkavállalók okiratairól abban az esetben készíthet jogszerűen másolatot a munkáltató, amennyiben az okiraton szereplő személyes adatok kezelésére jogosult, azok nem nyújtanak többletinformációt az adatkezelő számára az érintettről. Ezáltal a másolás formájában bekövetkező adatkezelési művelet az eredeti adatkezelési cél érdekében és ahhoz kapcsolódó jogalapnak megfelelően megy végbe.
Javaslatok, következtetések, az állásfoglalás eredménye
Az adott ügyben a Kérelmezőre vonatkozó MSZ EN ISO 9001:2015 minőségirányítási rendszerszabvány tanulmányozását követően a Hatóság javaslatot tett a Kérelmező számára, melyben kifejtette az álláspontját a követendő gyakorlatot illetően. A Hatóság meglátása szerint ilyen esetekben egy olyanfajta gyakorlat kialakítása lehet megfelelő, mely során az egyes munkavállalók foglalkoztatásának megkezdésekor jegyzőkönyvet készítenek arról, hogy az adott foglalkoztatott bemutatta a végzettségét igazoló eredeti dokumentumokat, amelynek releváns adatait a szervezet rögzíti, majd a valódiság igazolása érdekében a jegyzőkönyvre vonatkoztatva a szervezet használhatja a „négy szem” elvét, vagy azt közokiratba, vagy teljes bizonyító erejű magánokiratba foglalhatja.
A Hatóság a jelen esetben felmerült adatkezelésekkel kapcsolatban hangsúlyozza, hogy egy szabványnak való megfelelés nem kötelezettsége az egyes szervezeteknek, továbbá végképp nem lehet előnyben részesíteni egy szabványnak való megfelelést az Mt. szabályaival szemben.
A GDPR 5. cikk (1) bekezdés e) pontja értelmében a személyes adatoknak a kezelésük céljára alkalmasaknak és relevánsaknak kell lenniük, az adatok körét pedig a célhoz szükséges minimumra kell korlátozni. Ebből kifolyólag az az adatkezelés időtartama az adatkezelés céljához tapad, azaz addig kezelhetők az egyes esetekben felmerülő személyes adatok, amíg a cél elérése azt szükségessé és indokolttá teszi, továbbá amíg az adatkezelő megfelelő jogalappal rendelkezik az adatkezelés tekintetében, valamint teljesítette a GDPR-ban előírt kötelezettségeket.
Konklúzió
Összegezve a Hatóság következtetései alapján, ha a végzettségre vonatkozóan gyűjtött adatokat kivonatolt okiratokként tárolja az adatkezelő, akkor ezen dokumentumok kezelésére addig jogosult az adatkezelő, amíg a munkavégzésre irányuló jogviszony fennállása ezt indokolttá teszi. Abban az esetben, ha a képzettség, végzettség vonatkozásában valamely jogszabály kötelező adatkezelési tartamot ír elő, akkor az adatkezelő a jogszabálynak megfelelő ideig köteles és jogosult az adatokat kezelésére. Jogszabályi előírás hiányában az adatkezelő jogosult meghatározni az időtartam hosszát, ám tekintettel kell lennie a korlátozott tárolhatóság elvére.