A másolatkészítés, amenniyben személyes adatot is érint, adatkezelési tevékenységnek minősül és ennek köszönhetően az adatvédelmi követelmények alkalmazandóak ezen műveletek vonatkozásában. Magyarországon az elmúlt években a személyazonosító okmányokról történő másolatkészítés kapott kiemelt figyelmet. A NAIH egy friss, 2023. áprilisában közzétett állásfoglalásában a másolatok egy másik típusának, a munkavállalók végzettségét igazoló okiratokról készült iratmásolat kezelhetőségével foglalkozik.
Az állásfoglalás a munkaviszony, azaz a Munka törvénykönyvéről szóló 2012. évi I. törvény (Mt.) szerinti jogviszony tekintetében történő másolatkészítésre vonatkozik. Az állásfoglalás kiadásának alapjául egy, a Hatósághoz érkezett megkeresés szolgált, amely abban kért hatósági iránymutatást, hogy az ISO 9001:2015 minőségirányítási rendszerszabványban foglaltaknak való megfelelés érdekében a munkavállalók végzettségét igazoló dokumentumokról történő másolatkészítés elfogadható-e a NAIH álláspontja szerint.
A NAIH az állásfoglalásban - az egyes adatkezelések tekintetében fennálló főbb adatkezelői kötelezettségek (így különösen az alapelveknek való megfelelés, jogalapok biztosítása) áttekintése és az ezeknek való megfelelés szükségességére történő figyelemfelhívás mellett - az Mt. vonatkozó szabályaiból (Mt. 10. § (1) és (3) bekezdései, 44/A. §) kiindulva ad az adatkezelőknek kapaszkodókat a munkavállalói okiratok lemásolhatósága kapcsán.
A Munka törvénykönyve hivatkozott szakaszai szerint:
"10. §(1) A munkáltató a munkavállalótól olyan nyilatkozat megtételét vagy személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy e törvényből származó igény érvényesítése szempontjából lényeges.
[...]
(3) Az (1) és (2) bekezdés alapján okirat bemutatása követelhető." (kiemelés tőlem)
(Az Mt. 44/A. §-a a tizennyolcadik életévét be nem töltött személy nevelését, felügyeletét, gondozását, gyógykezelését végző, illetve tizennyolcadik életévét be nem töltött személy részére szabadidővel, szórakozással, sportolással összefüggő szolgáltatást nyújtó munkáltató által történő munkaviszony létesítésére vonatkozó különös szabályokat tartalmazza, illetve ezen szabályoknak való megfelelés ellenőrzésének módját és a kapcsolódó adatkezelés egyes feltételeit.)
A NAIH a fenti Mt. rendelkezések kapcsán kiemeli, hogy ezek a GDPR rendelkezéseit - a szükségesség és arányosság elveire figyelemmel - szűkítik, hiszen az adatkezelési műveletek körében a bemutatás megkövetelését és így a megtekintést (másolás nélkül) teszik lehetővé. A NAIH hangsúlyozza azonban, hogy ez nem zárja ki a munkáltatók számára, hogy az okiratok bemutatása kapcsán nyilvántartást vezessenek és abban meghatározott adatokat rögzítsenek a bemutatott okiratok kapcsán ("[...] a munkáltatók vezethetnek saját, belső nyilvántartást az egyes munkavállalók végzettségéről, a végzettség igazolásának időpontjáról, módjáról (pl. érettségi bizonyítvánnyal, diplomával szakképesítést igazoló okirat bemutatásával)", lásd állásfoglalás 2.2. pont, 4. o.). A polgári perrendtartás (Pp.) szabályaira tekintettel a Hatóság felhívja a figyelmet arra is, hogy a "[...] képzettséget, végzettséget igazoló okiratról készített másolat nem rendelkezik bizonyító erővel arról, hogy hiteles másolata egy érvényes közokiratnak, tehát a másolat nem alkalmas a benne szereplő adatok hiteles voltának megállapítására sem." (lásd állásfoglalás 2.2. pont, 4. o.)
A NAIH azonban ad némi mozgásteret az adatkezelőknek az iratmásolatok készítése kapcsán, amikor rögzíti, hogy
A Hatóság következetes gyakorlata, hogy elfogadhatónak tartja az okiratokról másolatok készítését, ha a munkáltató mint adatkezelő olyan gyakorlatot alakít ki, amelynek során kizárólag azon személyes adatokról készít másolatot, amelynek kezelésére egyébként jogosult. Ebben az esetben az okiraton található személyes adat lemásolása ugyan adatkezelési művelet, de nem új adatkezelési cél az adatgyűjtés eredeti céljához képest, hanem az eredeti adatkezelési céllal és ahhoz kapcsolódó jogalappal történő adatgyűjtés olyan módja, amely egyébként segít az adatok pontosságának biztosításában.
A technológia semlegesség elve alapján adatvédelmi szempontból nincs jelentősége annak, hogy az egyébként jogszerűen kezelt, illetve kezelhető személyes adatok kezelése technikailag hogyan, milyen formában valósul meg (pl. az adatokat beírják egy Excel / Word dokumentumba, vagy a jogszerűen nem kezelhető adatokat kitakarva lemásolják, vagy beszkennelik a dokumentumot).
Mindezek alapján tehát a Hatóság álláspontja szerint az adatkezelők abban az esetben másolhatják le jogszerűen a munkavállalók képzettségéről, végzettségéről szóló dokumentumokat, amennyiben kizárólag azon személyes adatokról készítenek másolatot, amelyek kezelésére a munkaviszonnyal összefüggésben egyébként is jogosultak, vagyis a másolat nem tartalmaz többletadatot az egyébként jogszerűen kezelhető adatokon túl.
(Lásd állásfoglalás 2.3. pont, 4. o.)
A munkavállalói okiratról másolat - jogszerű - elkészítésének tehát az alábbi feltételei vannak a fentiek alapján:
- az okiratmásolat elkészítése során kizárólag olyan adatokról készül másolat, amelyek kezelésére a munkáltató jogosult,
- nem új adatkezelési cél érdekében történik a másolatkészítés, hanem az eredeti adatkezelési célhoz kapcsolódó adatkezelési művelet keretében.
A gyakorlatban tehát a másolatkészítés a többletadatok (tehát azon adatok, amelyek kezelésére az adatkezelési cél teljesülése érdekében nincs szükség) kitakarása mellett történhet meg.
Az állásfoglalás alapjául szolgáló kérdésben érintett MSZ EN ISO 9001:2015 minőségirányítási rendszerszabványnak való megfelelés kapcsán a Hatóság az okiratmásolat elkészítését és megőrzését nem tartja indokoltnak. A Hatóság arra is felhívja a figyelmet, hogy míg egy szabványnak való megfelelés nem kötelezettsége az egyes szervezeteknek, addig a Munka törvénykönyvének szabályait minden munkáltatónak alkalmaznia kell (lásd állásfoglalás 2.5. pont). (Itt érdemes megjegyezni, hogy természetesen a jogszabályban foglaltak teljesítése elsődleges és a jogszabályi kötelezettségeket a szabványokban foglalt követelmények nem írhatják felül, ugyanakkor a szabványok alkalmazása alól bizonyos esetekben a szervezetek nem nagyon "bújhatnak ki", hiszen egy adott iparágban alapkövetelményt jelenthetnek, így a szabványnak való megfelelés kapcsán az érintett szervezetek könnyen kényszerpályára kerülhetnek a szabványnak való megfelelés igazolása kapcsán vagy nehézkes vitákba kényszerülnek az auditot végző szervezettel.)
A másolatkészítés helyett - legjobb gyakorlatként - a NAIH az alábbi megoldást javasolja a szabványnak és az adatvédelmi szabályoknak való egyidejű megfelelés érdekében:
A szervezet az egyes munkavállalók, vagy egyéb foglalkoztatottak foglalkoztatásának megkezdésekor feljegyzést, jegyzőkönyvet készíthet arról, hogy az adott foglalkoztatott bemutatta a végzettségét igazoló eredeti dokumentumokat, amelynek releváns adatait a szervezet rögzíti (például: okirat sorszáma, képzettség megszerzésének dátuma). Annak érdekében, hogy a dokumentum tartalmának valódiságát a szervezet alátámassza, ezen dokumentum előállításakor a szervezet használhatja a „négy szem” elvét, vagy azt közokiratba, vagy teljes bizonyító erejű magánokiratba foglalhatja.
(Lásd állásfoglalás 2.4. pont, 5.o., kiemelés tőlem)
Végül, az állásfoglalásban a Hatóság kitér az adatok megőrzési idejének meghatározásával kapcsolatos szempontokra is (lásd állásfoglalás 3. pont).
Összességében megállapítható, hogy a NAIH friss állásfoglalása a munkavállalói okiratok másolása kapcsán nem hoz lényeges újdonságot az eddigi gyakorlathoz képest, de egy konkrét helyzet (szabványnak való megfelelés igazolása) kapcsán ad áttekintést az adatkezelőket terhelő adatvédelmi kötelezettségekről és a lehetséges jó gyakorlatokról.
