1.

Az előzetes döntéshozatal iránti kérelem alapjául szolgáló jogvita lényegében arra vonatkozik, hogy Hessen tartomány (Németország) egyik minisztériuma által foglalkoztatott tanároknak hozzájárulásukat kell-e adniuk ahhoz, hogy oktatási tevékenységüket videokonferencia útján közvetítsék, vagy ha ehhez nem járulnak hozzá, személyes adataik kezelése ( 2 ) igazolható‑e az (EU) 2016/679 rendeletben ( 3 ) említett jogos érdekkel.

2.

Az előzetes döntéshozatal iránti kérelem lehetőséget ad a Bíróságnak arra, hogy – ha nem tévedek – első ízben döntsön a GDPR 88. cikkéről. E rendelkezés értelmében a tagállamok jogszabályban vagy kollektív szerződésekben pontosabban meghatározott szabályokat állapíthatnak meg annak érdekében, hogy biztosítsák a jogok és szabadságok védelmét a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében.

3.

A következő preambulumbekezdések szövege így szól:

„[…]

[…]

[…]

[…]

[…]”.

4.

Az 5. cikk („A személyes adatok kezelésére vonatkozó elvek”) előírja:

„(1)   A személyes adatok:

(2)   Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”

5.

A GDPR 6. cikke („Az adatkezelés jogszerűsége”) a következőképpen rendelkezik:

„(1)   A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

[…]

Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.

(2)   Az e rendeletben foglalt, adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében, a tagállamok az (1) bekezdés c) és e) pontjának való megfelelés céljából fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket, amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzeteket is.

(3)   Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:

Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes adatkezelés biztosításához szükséges intézkedéseket is, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.

(4)   Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető‑e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:

6.

A 88. cikk („Adatkezelés a foglalkoztatással összefüggően”) a következőképpen rendelkezik:

„(1)   A tagállamok jogszabályban vagy kollektív szerződésekben pontosabban meghatározott szabályokat állapíthatnak meg annak érdekében, hogy biztosítsák a jogok és szabadságok védelmét a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében, különösen a munkaerő‑felvétel, a munkaszerződés teljesítése céljából, ideértve a jogszabályban vagy kollektív szerződésben meghatározott kötelezettségek teljesítését, a munka irányítását, tervezését és szervezését, a munkahelyi egyenlőséget és sokféleséget, a munkahelyi egészségvédelmet és biztonságot, a munkáltató vagy a fogyasztó tulajdonának védelmét is, továbbá a foglalkoztatáshoz kapcsolódó jogok és juttatások egyéni vagy kollektív gyakorlása és élvezete céljából, valamint a munkaviszony megszüntetése céljából.

(2)   E szabályok olyan megfelelő és egyedi intézkedéseket foglalnak magukban, amelyek alkalmasak az érintett emberi méltóságának, jogos érdekeinek és alapvető jogainak megóvására, különösen az adatkezelés átláthatósága, vállalkozáscsoporton vagy a közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adattovábbítás, valamint a munkahelyi ellenőrzési rendszerek tekintetében.

(3)   Minden tagállam legkésőbb 2018. május 25‑ig értesíti a Bizottságot azon jogi rendelkezésekről, amelyeket az (1) bekezdés alapján elfogad, továbbá haladéktalanul értesíti a Bizottságot az említett jogi rendelkezéseket érintő későbbi módosításokról.”

7.

A 23. § előírja:

„(1)   A munkavállalók személyes adatai a munkaviszony céljából akkor kezelhetők, ha ezen adatkezelés a munkaviszony létesítéséről való döntéshez, illetve a munkaviszony létesítése után annak végrehajtásához, megszüntetéséhez vagy lezárásához, valamint tervezési, szervezeti, szociális és személyi jellegű belső intézkedések végrehajtásához szükséges. Ez vonatkozik a munkavállalók érdekképviseletének törvényből vagy kollektív szerződésből, illetve üzemi vagy kollektív megállapodásból eredő jogainak és kötelezettségeinek gyakorlására vagy teljesítésére is.

[…]

(4)   A személyes adatok munkaviszony céljából történő kezelése – ideértve a munkavállalók személyes adatainak különleges kategóriáit is – kollektív szerződések alapján megengedett. Ennek során a tárgyaló felek kötelesek tiszteletben tartani [a GDPR] 88. cikkének (2) bekezdését.

(5)   Az adatkezelőnek meg kell tennie a megfelelő intézkedéseket annak érdekében, hogy biztosítsa különösen [a GDPR] 5. cikkében foglalt, a személyes adatok kezelésére vonatkozó elvek tiszteletben tartását.

[…]

(8)   E törvény értelmében munkavállalóknak minősülnek:

[…]

[…]”.

8.

A 86. § (4) bekezdése kimondja

„A közjogi munkáltató csak annyiban gyűjthet személyes adatokat a pályázókra, a köztisztviselőkre és a volt tisztviselőkre vonatkozóan, amennyiben ez a munkaviszony létesítéséhez, végrehajtásához, megszüntetéséhez vagy lezárásához, vagy szervezeti, személyi és szociális intézkedések végrehajtásához, különösen a munkaerő-tervezés és a munkaerő-alkalmazás céljából szükséges, vagy azt jogszabály vagy kollektív szerződés lehetővé teszi. […]”

9.

A Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság, Németország), az előzetes döntéshozatal iránti kérelem eredeti beterjesztője, nem ismertette részletesen a jogvita alapjául szolgáló tényállást, a megtámadott rendelkezéseket ( 6 ) és az eljárás folyamatát, inkább a jogi vonatkozásokkal kapcsolatos kételyeinek kifejtésére összpontosított.

10.

E bíróság csupán megjegyzi, hogy a felek „nem értenek egyet abban a kérdésben, hogy a videókonferencia-rendszerek általi élő, megszakítás nélküli adatfolyamban történő oktatás bevezetése során – a szülőknek a gyermekeik tekintetében adott hozzájárulása vagy a nagykorú tanulók hozzájárulása mellett – szükséges‑e az adott tanár hozzájárulása is, vagy az ezzel összefüggésben megvalósuló adatkezelést a HDSIG 23. §‑a (1) bekezdésének első mondata szabályozza […]”

11.

Különösen azt illetően vannak kétségei, hogy a HDSIG 23. §‑a (1) bekezdésének első mondata a GDPR 88. cikke értelmében „pontosabban meghatározott szabálynak” minősül‑e a munkavállalói adatok kezelése vonatkozásában. Szerinte ez a rendelkezés nem felel meg a GDPR 88. cikkének (2) bekezdésében előírt követelményeknek, mivel:

12.

A kérdést előterjesztő bíróság kijelenti, hogy nem ért egyet a Bundesarbeitsgericht (szövetségi munkaügyi bíróság, Németország) ítélkezési gyakorlatával a HDSIG 23. § (1) bekezdése első mondatának ( 7 ) szövetségi jogszabályban foglalt megfelelője és a GDPR 88. cikke összeegyeztethetőségét illetően.

13.

Az említett bíróság ugyanakkor úgy véli, hogy:

14.

E körülmények között az említett bíróság a következő kérdéseket terjesztette a Bíróság elé:

15.

Az előzetes döntéshozatal iránti kérelmet 2021. január 20‑án vették nyilvántartásba a Bíróságnál.

16.

2021. december 1‑jei hatállyal ( 8 ) az eredeti jogvita elbírálására a Verwaltungsgericht Frankfurt am Main (Frankfurt am Main‑i közigazgatási bíróság) vált illetékessé, így az eljárás ennél a bíróságnál folytatódott.

17.

A német, az osztrák és a román kormány, valamint az Európai Bizottság írásbeli észrevételeket nyújtottak be. Mindegyikük, valamint a tanári személyzeti tanács írásban válaszolt a Bíróság által a tárgyalást megelőzően feltett kérdésekre.

18.

A 2022. június 30‑i tárgyaláson a tanári személyzeti tanács, Hessen tartomány oktatási és kulturális minisztériuma, a német kormány és a Bizottság jelent meg a Bíróság előtt.

19.

A német kormány írásbeli észrevételeiben kétségbe vonta az előzetes döntéshozatal iránti kérelem elfogadhatóságát, mivel szerinte miközben a kérdést előterjesztő bíróság arról akar megbizonyosodni, hogy a személyes adatoknak az oktatási tevékenység videokonferencia útján történő élő közvetítésével együttjáró kezelése a HDSIG 23. cikkének (1) bekezdése alá tartozik-e, nem fejti ki azokat az okokat, amelyek alapján kizárható annak a lehetősége, hogy az ilyen adatkezelés a tanár hozzájárulása alapján megengedett.

20.

A német kormány a tárgyaláson ezt a kifogást részben azzal árnyalta, hogy elismerte, hogy a Bíróságnak arról kell döntést hoznia (azaz a kérelem mégis elfogadható), hogy az érintett tanárok vajon nem járultak-e hozzá az adatkezeléshez.

21.

Mindenesetre a Bíróság csak akkor utasíthatja el a nemzeti bíróságok által előzetes döntéshozatalra előterjesztett kérdés megválaszolását, ha az uniós jog kért értelmezése nyilvánvalóan semmilyen összefüggésben nincs az alapügy tényállásával vagy tárgyával, ha a probléma hipotetikus jellegű, vagy ha nem állnak a Bíróság rendelkezésére azok a ténybeli és jogi elemek, amelyek szükségesek ahhoz, hogy az elé terjesztett kérdésekre hasznos választ adhasson. ( 9 )

22.

E körülmények egyike sem áll fenn a jelen előzetes döntéshozatal iránti kérelem esetében, melynek releváns voltát vélelmezni kell. ( 10 ) Az alapfeltevés az, hogy nem minden tanár járul hozzá szükségszerűen személyes adatainak kezeléséhez, ezért továbbra is fennáll az annak megállapításhoz fűződő érdek, hogy az uniós joggal összeegyeztethető-e az a szabály ( 11 ), amely lehetővé teszi az adatkezelést az érintettek hozzájárulása nélkül.

23.

Az előzetes döntéshozatalra előterjesztett kérdés pontosan az, hogy az a jogszabály, amely lehetővé tenné a tanárok személyes adatainak a hozzájárulásuk hiányában történő kezelését, megfelel-e a GDPR 88. cikkének (1) és (2) bekezdésében foglalt követelményeknek. A jogvita és az uniós jog értelmezni kért rendelkezései között tehát kétségtelenül kellő kapcsolat áll fenn.

24.

A kérdést előterjesztő bíróság az első kérdésével arra keresi a választ, hogy ahhoz, hogy egy jogszabályi rendelkezés a GDPR 88. cikkének (1) bekezdése értelmében vett „pontosabban meghatározott szabálynak” minősüljön, meg kell-e felelnie a 88. cikk (2) bekezdésében foglalt követelményeknek.

25.

A GDPR 88. cikkének olvasatából arra lehet következtetni, hogy az (1) bekezdésében említett „pontosabban meghatározott szabályoknak” meg kell felelniük a (2) bekezdésben foglalt követelményeknek.

26.

A GDPR 88. cikkének (2) bekezdése szerint „e szabályoknak” (azaz az (1) bekezdésben említett pontosabban meghatározott szabályoknak, amelyeket a tagállamok állapíthatnak meg) „megfelelő és egyedi intézkedéseket” kell tartalmazniuk a munkavállalók méltóságának, jogos érdekeinek és alapvető jogainak megóvása érdekében. Ezeknek a szabályoknak különös figyelmet kell fordítaniuk az adatkezelés átláthatóságára, a vállalkozáscsoporton vagy a közös vállalkozásokon belüli adattovábbításra, valamint a munkahelyi ellenőrzési rendszerekre.

27.

A GDPR 88. cikkének két bekezdése között tehát nyilvánvaló kapcsolat áll fenn: a második bekezdés kötelező jelleggel ( 12 ) meghatározza azoknak a pontosan meghatározott szabályoknak a tartalmát, amelyeket a tagállamok a foglalkoztatás területén az első bekezdés alapján elfogadhatnak.

28.

Az e kérdésre adott válasz tehát nem jelent komolyabb nehézséget: a GDPR 88. cikkét úgy kell értelmezni, hogy egy olyan jogszabályi rendelkezésnek, amely az (1) bekezdés értelmében vett „pontosabban meghatározott szabály”, – a kérdést előterjesztő bíróság kifejezésével élve – „meg kell felelnie” a (2) bekezdésben foglalt „követelményeknek”.

29.

Nem valószínű, hogy e következtetés levonásához az eljáró bíróságnak szüksége lett volna a Bíróság segítségére. Ezért az első előzetes döntéshozatalra előterjesztett kérdés valódi értelmét talán a második kérdés fényében kell értelmezni. Ez utóbbi esetében a kérdés az, hogy továbbra is alkalmazandó-e az olyan nemzeti szabály, amely „nem teljesíti” a GDPR „88. cikkének (2) bekezdése szerinti követelményeket ( 13 )”.

30.

E nézőpontból kiindulva (ami az előzetes döntéshozatal iránti kérelemé) a vita arra terjed ki, hogy a GDPR vajon 88. cikkének (1) bekezdése alapján elfogadott, de a 88. cikk (2) bekezdésének nem megfelelő tagállami jogszabályok a GDPR más rendelkezéseinek hatálya alá tartozhatnak‑e. Különösen e rendelet egyéb nyitó rendelkezéseinek, mint például a 6. cikk (2) bekezdésének hatálya alá.

31.

A kérdést előterjesztő bíróság két kérdése között olyan nagy az átfedés, hogy az osztrák kormány és a Bizottság hajlik arra, hogy közös választ adjon rájuk, és ezt a megközelítést én is helyénvalónak tartom, és követni fogom.

32.

A kérdést előterjesztő bíróság abból az előfeltevésből indul ki, hogy az adatvédelemre vonatkozó belső szabályok tekintetében a tanári személyzeti tanácsban képviselt tanárok munkaviszonyban állnak Hessen tartomány oktatási és kulturális minisztériumával.

33.

Ez a vélelem összhangban van a HDSIG rendelkezéseivel, amelyek a munkavállalók személyes adatainak kezelését szabályozva, e törvény értelmében, munkavállalónak minősítik a HBG hatálya alá tartozó köztisztviselőket, köztük a tanárokat is.

34.

Az eljáró bíróság tehát egyetlen ponton sem vonja kétségbe a GDPR 88. cikkének a tartomány oktatói közszolgálatot ellátó alkalmazottaira való alkalmazhatóságát.

35.

Sem a felek, sem az előterjesztésben résztvevő felek nem vitatták ezt az előfeltevést, amikor a Bíróság e tekintetben megkérdezte őket. Mindannyian egyetértenek abban, hogy az oktatói közszolgálatban való foglalkoztatás nem esik a GDPR 88. cikkének hatályán kívül.

36.

Ez a megközelítés helyesnek tűnik számomra, és felhasználható a GDPR 88. cikkének hatályát érintő elemzésre, amennyiben az „a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében” történő védelmére utal.

37.

Amint arra a német kormány rámutatott, a tág értelemben vett munkavállalói kategóriába természetesen beletartoznak a tartománynak dolgozó tanárok is, akiknek az érdekeit a tanári személyzeti tanács képviseli.

38.

A Bíróságnak a munkaviszonyra ( 14 ) és a munkavállalók fogalmára vonatkozó ítélkezési gyakorlata a munkavállalók szabad mozgásával és az EK 39. cikk (4) bekezdésének (jelenleg EUMSZ 45. cikk (4) bekezdése) a közszolgálatban történő foglalkoztatásra való alkalmazhatatlanságát illetően analógia útján alapul szolgálhat az általam javasolt megoldáshoz.

39.

Ezzel az ítélkezési gyakorlattal összhangban, amely az elvégzett feladat funkcionális szempontját hangsúlyozza:

40.

Mivel a köztisztviselőként alkalmazott tanárok ilyen minőségükben nem vesznek részt a szigorú értelemben vett közhatalom gyakorlásában, hanem inkább oktatási jellegű szolgáltatási tevékenységet végeznek, ( 16 ) hasonlóan a más magánszemélyek vagy vállalatok számára nyújtott szolgáltatásokhoz, általánosságban és ebből következően az adatvédelem területén is „munkavállalóknak” minősíthetők.

41.

Ennek ellenkezője – amint arra az osztrák kormány rámutatott – a lényegében azonos helyzetek egyenlőtlen kezelését jelentené, mint például azon helyzetekét, amelyek anyagi jogi szempontból meghatározzák a tanárok helyzetét a közszolgálatban és a magánszektorban. Ez annál is inkább súlyos lenne, mivel a Bizottság szerint – a közszolgáltatás fogalma nincs harmonizálva az Unión belül, aminek következtében eltérő értelmezés esetén a GDPR 88. cikkének hatálya a nemzeti jogtól függene.

42.

Amint azt Bobek főtanácsnok a Fashion ID ügyben ( 17 ) hangsúlyozta, azzal, hogy a GDPR a 95/46 irányelv ( 18 ) helyébe lépett, alapvető változást teremtett elsősorban azon jogi eszköz jellegét illetően, amely a személyes adatok kezelése tekintetében az egyének védelmét szabályozza.

43.

Ez az eszköz már nem egy irányelv (vagyis egy olyan szabály, amely eredménykötelezettséget ír elő, a nemzeti hatóságokra bízva a forma és az eszközök megválasztását), hanem egy rendelet. Ez utóbbi, amely minden tekintetben kötelező és közvetlenül alkalmazandó az egyes tagállamokban, főszabály szerint és kifejezett engedély hiányában nem teszi lehetővé, hogy a nemzeti szabályok átültessék (vagy megismételjék) a tartalmát. ( 19 )

44.

Bár a GDPR túllépett a 95/46/EK ( 20 ) irányelv által elérni kívánt harmonizáción, az emberi tevékenység azon területeinek közel egyetemes jellege, amelyeken olyan személyes adatok keletkeznek, amelyek kezelését védeni kell, ( 21 ) arra késztette a jogalkotót, hogy felhatalmazza a tagállamokat:

45.

Miközben a GDPR célja hogy biztosítsa a védelemre vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén, és hogy elhárítsa a személyes adatok Unión belüli szabad áramlása előtti akadályokat, ( 23 ) az európai jogalkotó nem hagyta figyelmen kívül, hogy – amint arra Richard de la Tour főtanácsnok rámutatott – a valóság ennél bonyolultabb: átfogó jellege ellenére a GDPR nem tudta lefedni a személyes adatok védelmének minden lehetséges területét, mint például a fogyasztóvédelem, a versenyjog vagy a munkajog területét érintő elágazásokat. ( 24 )

46.

Ezzel magyarázható, hogy a GDPR bizonyos rendelkezései lehetőséget adnak a tagállamok számára, hogy további, szigorúbb vagy eltérő nemzeti szabályokat írjanak elő. A tagállamoknak mérlegelési mozgásterük van e rendelkezések végrehajtásának módját illetően („engedő rendelkezések”). ( 25 )

47.

Az ilyen típusú rendelkezések relatív elterjedése károsan hatott a személyes adatok védelmének teljes harmonizációjára. ( 26 ) Amint azt a Bizottság is elismerte, hogy a GDPR egyes területeken jogszabályalkotásra kötelezi a tagállamokat, míg más területeken lehetőséget biztosít számukra, hogy tovább pontosítsák a rendelet szabályait, „ennek eredményeként továbbra is fennáll bizonyos fokú széttagoltság, ami nevezetesen a fakultatív előírásokból fakad.” ( 27 )

48.

A jelen esetben a GDPR 88. cikkének (1) bekezdésében található rendelkezés bír különös jelentőséggel. Ugyanakkor röviden meg kell vizsgálni e rendelet 6. cikke (1) bekezdésének b) és e) pontjával való kapcsolatát, ami a tárgyalás során meg is történt.

49.

A GDPR II. fejezetében – amely lefekteti a személyes adatok kezelésére vonatkozó „elveket” és amely ennél fogva kialakítja a rendszer általános felépítését – a 6. cikk (1) bekezdése felsorolja az adatkezelés jogszerűségének feltételeit. Különösen az utóbbi bekezdés a) pontja utal az érintett hozzájárulására, b) pontja pedig arra, hogy az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett félként vesz részt.

50.

Ezek a feltételek kiegészítik a GDPR 5. cikkében általánosságban lefektetett ( 28 ) és a GDPR 7–11. cikkében meghatározott elvekből eredő feltételeket a hozzájárulás (7. cikk és a kiskorúak tekintetében a 8. cikk), a személyes adatok különleges kategóriáinak kezelése (9. cikk) vagy a büntetőjogi felelősség megállapítására vonatkozó határozatok és a bűncselekményekkel kapcsolatos adatok kezelése (10. cikk), valamint az azonosítást nem igénylő adatkezelés (11. cikk) tekintetében.

51.

Ezen elvek és szabályok sora kiegészíthető a tagállamok által elfogadott (vagy fenntartott) „konkrétabb rendelkezésekkel”, amelyek a GDPR 6. cikkének (2) bekezdésével összhangban a GDPR-ban található „szabályok alkalmazásának kiigazítására” szolgálnak két konkrét adatkezelés tekintetében, amennyiben ezek az alábbiakhoz szükségesek:

52.

Ezek a „kiigazítások” – teszi hozzá a rendelkezés, – „pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására”, ideértve „a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzeteket is.”

53.

A rendelkezésnek ez utóbbi kifejezése nem elég egyértelmű, mivel nem könnyű kikövetkeztetni, hogy a 6. cikk (1) bekezdésének c) és e) pontjában említett adatkezelések esetében lehetővé teszi‑e – ahogy már kifejtettem, a IX. fejezetben már említetteken kívüli – konkrét helyzetek szabályozását, vagy ez utóbbiak az egyedüliek, amelyeket a GDPR e két adatkezelés tekintetében elismer.

54.

Mindenesetre, ahogy már említettem, az engedő rendelkezés az, ami itt lényeges, mivel erre összpontosít az eljáró bíróság, vagyis a GDPR 88. cikkének (1) bekezdése. Emlékeztetek arra, hogy a megfogalmazás szerint a tagállamok jogszabály vagy kollektív szerződés útján „pontosabban meghatározott szabályokat állapíthatnak meg annak érdekében, hogy biztosítsák a jogok és szabadságok védelmét a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében”.

55.

Az ilyen személyes adatok kezelése többek között a következő célokból történhet:

56.

Az említett rendelkezések meghozatalára való felhatalmazás bizonyos „harmonizációt lerontó” hatást eredményezhet. A GDPR 88. cikkének (1) bekezdése által engedélyezett nemzeti szabályok egy vagy több tagállam számára a GDPR általános rendszerétől való olyan eltérések bevezetését vonhatják maguk után, amelyek túlmutatnak a GDPR 6. cikkének (2) bekezdése által megengedett puszta „kiigazítási” funkción:

57.

A Németországi Szövetségi Köztársaság a GDPR 88. cikkének (3) bekezdésében foglalt követelményeknek megfelelően értesítette a Bizottságot, hogy a tagállam által a GDPR 88. cikkének (1) bekezdése alapján elfogadott jogi rendelkezések között szerepel a HDSIG 23. §‑a.

58.

Véleményem szerint – egyetértve e tekintetben a kérdést előterjesztő bírósággal és a Bizottsággal – a HDSIG 23. §‑a nem felel meg annak a feltételnek, hogy „pontosabban meghatározott szabályokat állapít meg” a személyes adatok foglalkoztatással összefüggő kezeléséhez kapcsolódó jogok védelmére, ahogyan azt a GDPR 88. cikkének (1) bekezdése szorgalmazza.

59.

Mind a HDSIG 23. § (1) bekezdésének első mondata, mind a HBG 86. cikk (4) bekezdésének első mondata csupán azt írja elő, hogy a munkavállalók és köztisztviselők személyes adatai a munkaviszony céljaira akkor kezelhetők, ha ez „szükséges” az alábbi célok valamelyikéhez:

60.

Szigorúan véve mindkét szabály pusztán attól a körülménytől teszi függővé a munkavállalók személyes adatainak kezelését, hogy az bizonyos célokból szükséges.

61.

Ez tehát nem sokban különbözik a GDPR 6. cikke (1) bekezdésének b) pontjában foglalt rendelkezéstől („a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, ha […] olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges”). ( 32 )

62.

A HDSIG 23. §‑a tehát megismételné a GDPR 6. cikke (1) bekezdésének b) pontja által már előírt feltételt az adatkezelés általános jogszerűségéhez. A személyes adatok foglalkoztatással összefüggő kezelése kapcsán a jogok védelmére vonatkozó pontosan meghatározott szabályt azonban nem tenne hozzá. ( 33 )

63.

Ugyanerre az eredményre jutnánk, ha a szóban forgó oktatási tevékenység a GDPR 6. cikke (1) bekezdésének e) pontja alá tartozna (azaz ha a szóban forgó adatkezelés közérdekű vagy közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához lenne szükséges). ( 34 )

64.

A c) és e) pont kapcsán a GDPR 6. cikkének (2) bekezdése lehetővé teszi a tagállamok számára, amint azt már említettem, hogy „konkrétabb rendelkezéseket” tartsanak fenn vagy vezessenek be, „amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket […]”.

65.

Hangsúlyozom, hogy a HDSIG 23. §‑a nem jelent „konkrétabb rendelkezést”, csupán lehetővé teszi a munkavállalók adatainak kezelését, amennyiben az szükséges. A továbbiakban nem határozza meg az ilyen adatkezelés feltételeit.

66.

Ezzel az állásponttal szemben a német kormány azzal érvel, hogy „lehetetlen és megvalósíthatatlan” lenne részletesen tükrözni a foglalkoztatással összefüggő adatkezelés sokféleségét. Véleményük szerint elegendőnek kell lennie egy olyan jogszabályi rendelkezésnek, amelyen adott esetben a konkrétabb jogalapot nem igénylő adatkezelés alapulhat. ( 35 )

67.

Elég erre csak annyit válaszolni, hogy bármilyen nehéz is a feladat, a GDPR 88. cikkének (3) bekezdése világosan előírja, hogy minden tagállamnak értesítenie kell a Bizottságot „azon jogi rendelkezésekről, amelyeket” ugyanazon cikk „(1) bekezdése alapján elfogad”. Más szóval, nem azokról az (alap)rendelkezésekről, amelyeken a pontosabban meghatározott szabályok alapulnak, hanem éppen ez utóbbiakról. Az értesítést külön‑külön és kifejezett módon kell megtenni. ( 36 )

68.

Összefoglalva, a HDSIG 23. §‑a nem tesz mást, mint megismétli a GDPR 88. cikkének (1) bekezdésében már szereplő felhatalmazást, vagy másképpen fogalmazva, utat nyit a további, pontosabban meghatározott szabályok későbbi megalkotásához (vagy fenntartásához).

69.

Amellett, hogy a HDSIG 23. §‑a önmagában nem állapít meg „pontosabban meghatározott szabályokat” a GDPR 88. cikkének (1) bekezdése értelmében, nem tartalmaz „olyan megfelelő és egyedi intézkedéseket […] amelyek alkalmasak az érintett emberi méltóságának, jogos érdekeinek és alapvető jogainak megóvására”.

70.

Ezen intézkedések hiányában a HDSIG 23. §‑a nem felel meg az általános adatvédelmi rendelet 88. cikkének (2) bekezdésében meghatározott azon feltételnek, amelyek a tagállamok munkaügyi kapcsolatok területén hozott eltérést engedő szabályozását elfogadhatóvá teszik.

71.

Mivel az előzetes döntéshozatal iránti kérelem a jogszabályi rendelkezések és nem a kollektív szerződések vizsgálatára korlátozódik, nem az utóbbiakra, ( 37 ) hanem kizárólag az előbbiekre fogok összpontosítani.

72.

E rendelkezések tekintetében a nemzeti jogalkotó nem szorítkozhat arra – ahogyan azt a HDSIG 23. §‑nak (5) bekezdése teszi – hogy az adatkezelőnek megfelelő intézkedéseket kell hoznia annak érdekében, hogy biztosítsa a GDPR „5. cikkében meghatározott, az adatkezelésre vonatkozó elveknek való megfelelést”. Ez a kikötés felesleges, mivel minden adatkezelésnek főszabály szerint meg kell felelnie legalább a GDPR 5. cikkében foglalt feltételeknek.

73.

A GDPR 88. cikkének (2) bekezdése a biztosítékok tekintetében olyan intézkedések meghozatalára vonatkozik, amelyek garantálják a GDPR 88. cikkének (1) bekezdése alapján elfogadott intézkedések sajátosságainak való megfelelést. Röviden, arra törekszik, hogy az utóbbi rendelkezés által engedélyezett egyediséget adott esetben megfelelő összhangba hozza a vonatkozó biztosítékok sajátosságaival.

74.

Ha elfogadnánk, hogy a HDSIG 23. §‑a a GDPR 88. cikkének (1) bekezdése értelmében vett pontosabban meghatározott szabályozást tartalmaz, akkor a GDPR 88. cikkének (2) bekezdésében előírt biztosítékok tekintetében megismételné a GDPR 5. cikkében előírt általános biztosítékokat. Röviden, a GDPRt 88. cikkének (1) bekezdése által engedélyezett szabályok egyedisége és ugyanezen rendelet (2) bekezdésében előírt „megóvásra” irányuló intézkedések egyedi jellege közötti szükséges egyensúly felborult volna.

75.

Következésképpen úgy vélem, hogy a HDSIG 23. §‑a nem alapulhat a GDPR 88. cikkén. Egyrészt, mert nem állapít meg pontosabban meghatározott szabályokat, másrészt, mert csupán megismétli a GDPR 5. cikkében foglalt általános biztosítékokat.

76.

Meg kell vizsgálni, hogy a fentiek ellenére a HDSIG 23. §‑a alkalmazható-e a nemzeti jogrendben. Ahogy fentebb már rámutattam, úgy tűnik, hogy a kérdést előterjesztő bíróságot végső soron ez érdekli.

77.

A kérdés az lenne, hogy a tagállamok által a GDPR 88. cikke (1) bekezdésének engedő rendelkezése alapján elfogadott olyan szabályok, amelyek nem felelnek meg a 88. cikkének (2) bekezdésében foglalt követelményeknek, alkalmazhatók‑e a GDPR más rendelkezései alapján?

78.

A válasz, amely abból a feltevésből indul ki, hogy a HDSIG 23. §‑a nem tartalmaz a GDPR 88. cikke értelmében vett „pontosabban meghatározott szabályt” ( 38 ), kétféleképpen is értelmezhető:

79.

Más kérdés, hogy – ahogyan az osztrák és a román kormány, valamint a Bizottság is érvelt, és ahogyan azt a tárgyaláson mindenki elismerte – semmi sem zárja ki, hogy egy tagállam akár a GDPR egyéb rendelkezéseit, akár – a rendelet 6. cikkének (2) bekezdése alapján – a munkavállalói adatok kezelésére vonatkozó nemzeti szabályokat olyan feltételek mellett alkalmazza, amelyek hozzájárulnak a GDPR „alkalmazásának kiigazításához”.

80.

A fentiek fényében azt javaslom, hogy a Bíróság a Verwaltungsgericht Frankfurt am Main (Frankfurt am Main‑i közigazgatási bíróság) által feltett kérdésekre a következőképpen válaszoljon:

„A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 88. cikkének (1) és (2) bekezdését

a következőképpen kell értelmezni:

egy tagállam által elfogadott jogszabályi rendelkezés csak akkor minősül a jogok és szabadságok védelmének a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében történő biztosítása érdekében megállapított, pontosabban meghatározott szabálynak, ha megfelel a 2016/679 rendelet 88. cikkének (2) bekezdésében előírt követelményeknek.

Ha e jogszabályi rendelkezés nem teljesíti a 2016/679 rendelet 88. cikkének (2) bekezdésében foglalt követelményeket, akkor adott esetben csak annyiban alkalmazandó, amennyiben e rendelet más rendelkezései vagy a 6. cikkének (2) bekezdésében említett kiigazításra irányuló nemzeti szabályok hatálya alá tartozhat.”