EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 62021CC0034
Opinion of Advocate General Campos Sánchez-Bordona delivered on 22 September 2022.#Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium v Minister des Hessischen Kultusministeriums.#Request for a preliminary ruling from the Verwaltungsgericht Wiesbaden.#Reference for a preliminary ruling – Protection of personal data – Regulation (EU) 2016/679 – Article 88(1) and (2) – Processing of data in the employment context – Regional school system – Teaching by videoconference as a result of the COVID-19 pandemic – Implementation without the express consent of the teachers.#Case C-34/21.
M. Campos Sánchez-Bordona főtanácsnok indítványa, az ismertetés napja: 2022. szeptember 22.
Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium kontra Minister des Hessischen Kultusministeriums.
A Verwaltungsgericht Wiesbaden (Németország) által benyújtott előzetes döntéshozatal iránti kérelem.
Előzetes döntéshozatal – A személyes adatok védelme – (EU) 2016/679 rendelet – A 88. cikk (1) és (2) bekezdése – Foglalkoztatással összefüggő adatkezelés – Tartományi iskolarendszer – Videókonferencia útján történő oktatás a Covid19‑világjárvány miatt – A tanárok kifejezett hozzájárulása nélkül történő végrehajtás.
C-34/21. sz. ügy.
M. Campos Sánchez-Bordona főtanácsnok indítványa, az ismertetés napja: 2022. szeptember 22.
Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium kontra Minister des Hessischen Kultusministeriums.
A Verwaltungsgericht Wiesbaden (Németország) által benyújtott előzetes döntéshozatal iránti kérelem.
Előzetes döntéshozatal – A személyes adatok védelme – (EU) 2016/679 rendelet – A 88. cikk (1) és (2) bekezdése – Foglalkoztatással összefüggő adatkezelés – Tartományi iskolarendszer – Videókonferencia útján történő oktatás a Covid19‑világjárvány miatt – A tanárok kifejezett hozzájárulása nélkül történő végrehajtás.
C-34/21. sz. ügy.
ECLI identifier: ECLI:EU:C:2022:710
FŐTANÁCSNOK INDÍTVÁNYA
Az ismertetés napja: 2022. szeptember 22. ( 1 )
C‑34/21. sz. ügy
Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium;
a Minister des Hessischen Kultusministeriums als Dienststellenleiter
részvételével
(a Verwaltungsgericht Frankfurt am Main [Frankfurt am Main‑i közigazgatási bíróság, Németország] által benyújtott előzetes döntéshozatal iránti kérelem)
„Előzetes döntéshozatal – Személyes adatok védelme – (EU) 2016/679 rendelet – Adatkezelés a foglalkoztatással összefüggően – A 88. cikk (1) bekezdése – Pontosabban meghatározott szabály – A 88. cikk (2) bekezdésének előírásai – Regionális iskolarendszer – Videokonferencia keretében, élőben történő oktatás – A tanárok kifejezett hozzájárulásának hiánya”
1. |
Az előzetes döntéshozatal iránti kérelem alapjául szolgáló jogvita lényegében arra vonatkozik, hogy Hessen tartomány (Németország) egyik minisztériuma által foglalkoztatott tanároknak hozzájárulásukat kell-e adniuk ahhoz, hogy oktatási tevékenységüket videokonferencia útján közvetítsék, vagy ha ehhez nem járulnak hozzá, személyes adataik kezelése ( 2 ) igazolható‑e az (EU) 2016/679 rendeletben ( 3 ) említett jogos érdekkel. |
2. |
Az előzetes döntéshozatal iránti kérelem lehetőséget ad a Bíróságnak arra, hogy – ha nem tévedek – első ízben döntsön a GDPR 88. cikkéről. E rendelkezés értelmében a tagállamok jogszabályban vagy kollektív szerződésekben pontosabban meghatározott szabályokat állapíthatnak meg annak érdekében, hogy biztosítsák a jogok és szabadságok védelmét a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében. |
I. Jogi háttér
A. Az uniós jog. A GDPR
3. |
A következő preambulumbekezdések szövege így szól: „[…]
[…]
[…]
[…]
[…]”. |
4. |
Az 5. cikk („A személyes adatok kezelésére vonatkozó elvek”) előírja: „(1) A személyes adatok:
(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).” |
5. |
A GDPR 6. cikke („Az adatkezelés jogszerűsége”) a következőképpen rendelkezik: „(1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
[…]
Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre. (2) Az e rendeletben foglalt, adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében, a tagállamok az (1) bekezdés c) és e) pontjának való megfelelés céljából fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket, amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzeteket is. (3) Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:
Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes adatkezelés biztosításához szükséges intézkedéseket is, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal. (4) Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető‑e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:
|
6. |
A 88. cikk („Adatkezelés a foglalkoztatással összefüggően”) a következőképpen rendelkezik: „(1) A tagállamok jogszabályban vagy kollektív szerződésekben pontosabban meghatározott szabályokat állapíthatnak meg annak érdekében, hogy biztosítsák a jogok és szabadságok védelmét a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében, különösen a munkaerő‑felvétel, a munkaszerződés teljesítése céljából, ideértve a jogszabályban vagy kollektív szerződésben meghatározott kötelezettségek teljesítését, a munka irányítását, tervezését és szervezését, a munkahelyi egyenlőséget és sokféleséget, a munkahelyi egészségvédelmet és biztonságot, a munkáltató vagy a fogyasztó tulajdonának védelmét is, továbbá a foglalkoztatáshoz kapcsolódó jogok és juttatások egyéni vagy kollektív gyakorlása és élvezete céljából, valamint a munkaviszony megszüntetése céljából. (2) E szabályok olyan megfelelő és egyedi intézkedéseket foglalnak magukban, amelyek alkalmasak az érintett emberi méltóságának, jogos érdekeinek és alapvető jogainak megóvására, különösen az adatkezelés átláthatósága, vállalkozáscsoporton vagy a közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adattovábbítás, valamint a munkahelyi ellenőrzési rendszerek tekintetében. (3) Minden tagállam legkésőbb 2018. május 25‑ig értesíti a Bizottságot azon jogi rendelkezésekről, amelyeket az (1) bekezdés alapján elfogad, továbbá haladéktalanul értesíti a Bizottságot az említett jogi rendelkezéseket érintő későbbi módosításokról.” |
B. Nemzeti jog
1. A Hessisches Datenschutz‑ und Informationsfreiheitsgesetz ( 4 )
7. |
A 23. § előírja: „(1) A munkavállalók személyes adatai a munkaviszony céljából akkor kezelhetők, ha ezen adatkezelés a munkaviszony létesítéséről való döntéshez, illetve a munkaviszony létesítése után annak végrehajtásához, megszüntetéséhez vagy lezárásához, valamint tervezési, szervezeti, szociális és személyi jellegű belső intézkedések végrehajtásához szükséges. Ez vonatkozik a munkavállalók érdekképviseletének törvényből vagy kollektív szerződésből, illetve üzemi vagy kollektív megállapodásból eredő jogainak és kötelezettségeinek gyakorlására vagy teljesítésére is. […] (4) A személyes adatok munkaviszony céljából történő kezelése – ideértve a munkavállalók személyes adatainak különleges kategóriáit is – kollektív szerződések alapján megengedett. Ennek során a tárgyaló felek kötelesek tiszteletben tartani [a GDPR] 88. cikkének (2) bekezdését. (5) Az adatkezelőnek meg kell tennie a megfelelő intézkedéseket annak érdekében, hogy biztosítsa különösen [a GDPR] 5. cikkében foglalt, a személyes adatok kezelésére vonatkozó elvek tiszteletben tartását. […] (8) E törvény értelmében munkavállalóknak minősülnek: […]
[…]”. |
2. A Hessisches Beamtengesetz
8. |
A 86. § (4) bekezdése kimondja „A közjogi munkáltató csak annyiban gyűjthet személyes adatokat a pályázókra, a köztisztviselőkre és a volt tisztviselőkre vonatkozóan, amennyiben ez a munkaviszony létesítéséhez, végrehajtásához, megszüntetéséhez vagy lezárásához, vagy szervezeti, személyi és szociális intézkedések végrehajtásához, különösen a munkaerő-tervezés és a munkaerő-alkalmazás céljából szükséges, vagy azt jogszabály vagy kollektív szerződés lehetővé teszi. […]” |
II. A tényállás, az eljárás és az előzetes döntéshozatalra előterjesztett kérdések
9. |
A Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság, Németország), az előzetes döntéshozatal iránti kérelem eredeti beterjesztője, nem ismertette részletesen a jogvita alapjául szolgáló tényállást, a megtámadott rendelkezéseket ( 6 ) és az eljárás folyamatát, inkább a jogi vonatkozásokkal kapcsolatos kételyeinek kifejtésére összpontosított. |
10. |
E bíróság csupán megjegyzi, hogy a felek „nem értenek egyet abban a kérdésben, hogy a videókonferencia-rendszerek általi élő, megszakítás nélküli adatfolyamban történő oktatás bevezetése során – a szülőknek a gyermekeik tekintetében adott hozzájárulása vagy a nagykorú tanulók hozzájárulása mellett – szükséges‑e az adott tanár hozzájárulása is, vagy az ezzel összefüggésben megvalósuló adatkezelést a HDSIG 23. §‑a (1) bekezdésének első mondata szabályozza […]” |
11. |
Különösen azt illetően vannak kétségei, hogy a HDSIG 23. §‑a (1) bekezdésének első mondata a GDPR 88. cikke értelmében „pontosabban meghatározott szabálynak” minősül‑e a munkavállalói adatok kezelése vonatkozásában. Szerinte ez a rendelkezés nem felel meg a GDPR 88. cikkének (2) bekezdésében előírt követelményeknek, mivel:
|
12. |
A kérdést előterjesztő bíróság kijelenti, hogy nem ért egyet a Bundesarbeitsgericht (szövetségi munkaügyi bíróság, Németország) ítélkezési gyakorlatával a HDSIG 23. § (1) bekezdése első mondatának ( 7 ) szövetségi jogszabályban foglalt megfelelője és a GDPR 88. cikke összeegyeztethetőségét illetően. |
13. |
Az említett bíróság ugyanakkor úgy véli, hogy:
|
14. |
E körülmények között az említett bíróság a következő kérdéseket terjesztette a Bíróság elé:
|
III. A Bíróság előtti eljárás
15. |
Az előzetes döntéshozatal iránti kérelmet 2021. január 20‑án vették nyilvántartásba a Bíróságnál. |
16. |
2021. december 1‑jei hatállyal ( 8 ) az eredeti jogvita elbírálására a Verwaltungsgericht Frankfurt am Main (Frankfurt am Main‑i közigazgatási bíróság) vált illetékessé, így az eljárás ennél a bíróságnál folytatódott. |
17. |
A német, az osztrák és a román kormány, valamint az Európai Bizottság írásbeli észrevételeket nyújtottak be. Mindegyikük, valamint a tanári személyzeti tanács írásban válaszolt a Bíróság által a tárgyalást megelőzően feltett kérdésekre. |
18. |
A 2022. június 30‑i tárgyaláson a tanári személyzeti tanács, Hessen tartomány oktatási és kulturális minisztériuma, a német kormány és a Bizottság jelent meg a Bíróság előtt. |
IV. Értékelés
A. Az előzetes döntéshozatal iránti kérelem elfogadhatósága
19. |
A német kormány írásbeli észrevételeiben kétségbe vonta az előzetes döntéshozatal iránti kérelem elfogadhatóságát, mivel szerinte miközben a kérdést előterjesztő bíróság arról akar megbizonyosodni, hogy a személyes adatoknak az oktatási tevékenység videokonferencia útján történő élő közvetítésével együttjáró kezelése a HDSIG 23. cikkének (1) bekezdése alá tartozik-e, nem fejti ki azokat az okokat, amelyek alapján kizárható annak a lehetősége, hogy az ilyen adatkezelés a tanár hozzájárulása alapján megengedett. |
20. |
A német kormány a tárgyaláson ezt a kifogást részben azzal árnyalta, hogy elismerte, hogy a Bíróságnak arról kell döntést hoznia (azaz a kérelem mégis elfogadható), hogy az érintett tanárok vajon nem járultak-e hozzá az adatkezeléshez. |
21. |
Mindenesetre a Bíróság csak akkor utasíthatja el a nemzeti bíróságok által előzetes döntéshozatalra előterjesztett kérdés megválaszolását, ha az uniós jog kért értelmezése nyilvánvalóan semmilyen összefüggésben nincs az alapügy tényállásával vagy tárgyával, ha a probléma hipotetikus jellegű, vagy ha nem állnak a Bíróság rendelkezésére azok a ténybeli és jogi elemek, amelyek szükségesek ahhoz, hogy az elé terjesztett kérdésekre hasznos választ adhasson. ( 9 ) |
22. |
E körülmények egyike sem áll fenn a jelen előzetes döntéshozatal iránti kérelem esetében, melynek releváns voltát vélelmezni kell. ( 10 ) Az alapfeltevés az, hogy nem minden tanár járul hozzá szükségszerűen személyes adatainak kezeléséhez, ezért továbbra is fennáll az annak megállapításhoz fűződő érdek, hogy az uniós joggal összeegyeztethető-e az a szabály ( 11 ), amely lehetővé teszi az adatkezelést az érintettek hozzájárulása nélkül. |
23. |
Az előzetes döntéshozatalra előterjesztett kérdés pontosan az, hogy az a jogszabály, amely lehetővé tenné a tanárok személyes adatainak a hozzájárulásuk hiányában történő kezelését, megfelel-e a GDPR 88. cikkének (1) és (2) bekezdésében foglalt követelményeknek. A jogvita és az uniós jog értelmezni kért rendelkezései között tehát kétségtelenül kellő kapcsolat áll fenn. |
B. Az ügy érdeméről
1. Előzetes megfontolások
24. |
A kérdést előterjesztő bíróság az első kérdésével arra keresi a választ, hogy ahhoz, hogy egy jogszabályi rendelkezés a GDPR 88. cikkének (1) bekezdése értelmében vett „pontosabban meghatározott szabálynak” minősüljön, meg kell-e felelnie a 88. cikk (2) bekezdésében foglalt követelményeknek. |
25. |
A GDPR 88. cikkének olvasatából arra lehet következtetni, hogy az (1) bekezdésében említett „pontosabban meghatározott szabályoknak” meg kell felelniük a (2) bekezdésben foglalt követelményeknek. |
26. |
A GDPR 88. cikkének (2) bekezdése szerint „e szabályoknak” (azaz az (1) bekezdésben említett pontosabban meghatározott szabályoknak, amelyeket a tagállamok állapíthatnak meg) „megfelelő és egyedi intézkedéseket” kell tartalmazniuk a munkavállalók méltóságának, jogos érdekeinek és alapvető jogainak megóvása érdekében. Ezeknek a szabályoknak különös figyelmet kell fordítaniuk az adatkezelés átláthatóságára, a vállalkozáscsoporton vagy a közös vállalkozásokon belüli adattovábbításra, valamint a munkahelyi ellenőrzési rendszerekre. |
27. |
A GDPR 88. cikkének két bekezdése között tehát nyilvánvaló kapcsolat áll fenn: a második bekezdés kötelező jelleggel ( 12 ) meghatározza azoknak a pontosan meghatározott szabályoknak a tartalmát, amelyeket a tagállamok a foglalkoztatás területén az első bekezdés alapján elfogadhatnak. |
28. |
Az e kérdésre adott válasz tehát nem jelent komolyabb nehézséget: a GDPR 88. cikkét úgy kell értelmezni, hogy egy olyan jogszabályi rendelkezésnek, amely az (1) bekezdés értelmében vett „pontosabban meghatározott szabály”, – a kérdést előterjesztő bíróság kifejezésével élve – „meg kell felelnie” a (2) bekezdésben foglalt „követelményeknek”. |
29. |
Nem valószínű, hogy e következtetés levonásához az eljáró bíróságnak szüksége lett volna a Bíróság segítségére. Ezért az első előzetes döntéshozatalra előterjesztett kérdés valódi értelmét talán a második kérdés fényében kell értelmezni. Ez utóbbi esetében a kérdés az, hogy továbbra is alkalmazandó-e az olyan nemzeti szabály, amely „nem teljesíti” a GDPR „88. cikkének (2) bekezdése szerinti követelményeket ( 13 )”. |
30. |
E nézőpontból kiindulva (ami az előzetes döntéshozatal iránti kérelemé) a vita arra terjed ki, hogy a GDPR vajon 88. cikkének (1) bekezdése alapján elfogadott, de a 88. cikk (2) bekezdésének nem megfelelő tagállami jogszabályok a GDPR más rendelkezéseinek hatálya alá tartozhatnak‑e. Különösen e rendelet egyéb nyitó rendelkezéseinek, mint például a 6. cikk (2) bekezdésének hatálya alá. |
31. |
A kérdést előterjesztő bíróság két kérdése között olyan nagy az átfedés, hogy az osztrák kormány és a Bizottság hajlik arra, hogy közös választ adjon rájuk, és ezt a megközelítést én is helyénvalónak tartom, és követni fogom. |
2. A GDPR 88. cikke és a tanári közszolgálat
32. |
A kérdést előterjesztő bíróság abból az előfeltevésből indul ki, hogy az adatvédelemre vonatkozó belső szabályok tekintetében a tanári személyzeti tanácsban képviselt tanárok munkaviszonyban állnak Hessen tartomány oktatási és kulturális minisztériumával. |
33. |
Ez a vélelem összhangban van a HDSIG rendelkezéseivel, amelyek a munkavállalók személyes adatainak kezelését szabályozva, e törvény értelmében, munkavállalónak minősítik a HBG hatálya alá tartozó köztisztviselőket, köztük a tanárokat is. |
34. |
Az eljáró bíróság tehát egyetlen ponton sem vonja kétségbe a GDPR 88. cikkének a tartomány oktatói közszolgálatot ellátó alkalmazottaira való alkalmazhatóságát. |
35. |
Sem a felek, sem az előterjesztésben résztvevő felek nem vitatták ezt az előfeltevést, amikor a Bíróság e tekintetben megkérdezte őket. Mindannyian egyetértenek abban, hogy az oktatói közszolgálatban való foglalkoztatás nem esik a GDPR 88. cikkének hatályán kívül. |
36. |
Ez a megközelítés helyesnek tűnik számomra, és felhasználható a GDPR 88. cikkének hatályát érintő elemzésre, amennyiben az „a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében” történő védelmére utal. |
37. |
Amint arra a német kormány rámutatott, a tág értelemben vett munkavállalói kategóriába természetesen beletartoznak a tartománynak dolgozó tanárok is, akiknek az érdekeit a tanári személyzeti tanács képviseli. |
38. |
A Bíróságnak a munkaviszonyra ( 14 ) és a munkavállalók fogalmára vonatkozó ítélkezési gyakorlata a munkavállalók szabad mozgásával és az EK 39. cikk (4) bekezdésének (jelenleg EUMSZ 45. cikk (4) bekezdése) a közszolgálatban történő foglalkoztatásra való alkalmazhatatlanságát illetően analógia útján alapul szolgálhat az általam javasolt megoldáshoz. |
39. |
Ezzel az ítélkezési gyakorlattal összhangban, amely az elvégzett feladat funkcionális szempontját hangsúlyozza:
|
40. |
Mivel a köztisztviselőként alkalmazott tanárok ilyen minőségükben nem vesznek részt a szigorú értelemben vett közhatalom gyakorlásában, hanem inkább oktatási jellegű szolgáltatási tevékenységet végeznek, ( 16 ) hasonlóan a más magánszemélyek vagy vállalatok számára nyújtott szolgáltatásokhoz, általánosságban és ebből következően az adatvédelem területén is „munkavállalóknak” minősíthetők. |
41. |
Ennek ellenkezője – amint arra az osztrák kormány rámutatott – a lényegében azonos helyzetek egyenlőtlen kezelését jelentené, mint például azon helyzetekét, amelyek anyagi jogi szempontból meghatározzák a tanárok helyzetét a közszolgálatban és a magánszektorban. Ez annál is inkább súlyos lenne, mivel a Bizottság szerint – a közszolgáltatás fogalma nincs harmonizálva az Unión belül, aminek következtében eltérő értelmezés esetén a GDPR 88. cikkének hatálya a nemzeti jogtól függene. |
3. Nyitott rendelkezések a GDPR-ben
42. |
Amint azt Bobek főtanácsnok a Fashion ID ügyben ( 17 ) hangsúlyozta, azzal, hogy a GDPR a 95/46 irányelv ( 18 ) helyébe lépett, alapvető változást teremtett elsősorban azon jogi eszköz jellegét illetően, amely a személyes adatok kezelése tekintetében az egyének védelmét szabályozza. |
43. |
Ez az eszköz már nem egy irányelv (vagyis egy olyan szabály, amely eredménykötelezettséget ír elő, a nemzeti hatóságokra bízva a forma és az eszközök megválasztását), hanem egy rendelet. Ez utóbbi, amely minden tekintetben kötelező és közvetlenül alkalmazandó az egyes tagállamokban, főszabály szerint és kifejezett engedély hiányában nem teszi lehetővé, hogy a nemzeti szabályok átültessék (vagy megismételjék) a tartalmát. ( 19 ) |
44. |
Bár a GDPR túllépett a 95/46/EK ( 20 ) irányelv által elérni kívánt harmonizáción, az emberi tevékenység azon területeinek közel egyetemes jellege, amelyeken olyan személyes adatok keletkeznek, amelyek kezelését védeni kell, ( 21 ) arra késztette a jogalkotót, hogy felhatalmazza a tagállamokat:
|
45. |
Miközben a GDPR célja hogy biztosítsa a védelemre vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén, és hogy elhárítsa a személyes adatok Unión belüli szabad áramlása előtti akadályokat, ( 23 ) az európai jogalkotó nem hagyta figyelmen kívül, hogy – amint arra Richard de la Tour főtanácsnok rámutatott – a valóság ennél bonyolultabb: átfogó jellege ellenére a GDPR nem tudta lefedni a személyes adatok védelmének minden lehetséges területét, mint például a fogyasztóvédelem, a versenyjog vagy a munkajog területét érintő elágazásokat. ( 24 ) |
46. |
Ezzel magyarázható, hogy a GDPR bizonyos rendelkezései lehetőséget adnak a tagállamok számára, hogy további, szigorúbb vagy eltérő nemzeti szabályokat írjanak elő. A tagállamoknak mérlegelési mozgásterük van e rendelkezések végrehajtásának módját illetően („engedő rendelkezések”). ( 25 ) |
47. |
Az ilyen típusú rendelkezések relatív elterjedése károsan hatott a személyes adatok védelmének teljes harmonizációjára. ( 26 ) Amint azt a Bizottság is elismerte, hogy a GDPR egyes területeken jogszabályalkotásra kötelezi a tagállamokat, míg más területeken lehetőséget biztosít számukra, hogy tovább pontosítsák a rendelet szabályait, „ennek eredményeként továbbra is fennáll bizonyos fokú széttagoltság, ami nevezetesen a fakultatív előírásokból fakad.” ( 27 ) |
48. |
A jelen esetben a GDPR 88. cikkének (1) bekezdésében található rendelkezés bír különös jelentőséggel. Ugyanakkor röviden meg kell vizsgálni e rendelet 6. cikke (1) bekezdésének b) és e) pontjával való kapcsolatát, ami a tárgyalás során meg is történt. |
a) A GDPR 6. cikkének (2) bekezdése
49. |
A GDPR II. fejezetében – amely lefekteti a személyes adatok kezelésére vonatkozó „elveket” és amely ennél fogva kialakítja a rendszer általános felépítését – a 6. cikk (1) bekezdése felsorolja az adatkezelés jogszerűségének feltételeit. Különösen az utóbbi bekezdés a) pontja utal az érintett hozzájárulására, b) pontja pedig arra, hogy az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett félként vesz részt. |
50. |
Ezek a feltételek kiegészítik a GDPR 5. cikkében általánosságban lefektetett ( 28 ) és a GDPR 7–11. cikkében meghatározott elvekből eredő feltételeket a hozzájárulás (7. cikk és a kiskorúak tekintetében a 8. cikk), a személyes adatok különleges kategóriáinak kezelése (9. cikk) vagy a büntetőjogi felelősség megállapítására vonatkozó határozatok és a bűncselekményekkel kapcsolatos adatok kezelése (10. cikk), valamint az azonosítást nem igénylő adatkezelés (11. cikk) tekintetében. |
51. |
Ezen elvek és szabályok sora kiegészíthető a tagállamok által elfogadott (vagy fenntartott) „konkrétabb rendelkezésekkel”, amelyek a GDPR 6. cikkének (2) bekezdésével összhangban a GDPR-ban található „szabályok alkalmazásának kiigazítására” szolgálnak két konkrét adatkezelés tekintetében, amennyiben ezek az alábbiakhoz szükségesek:
|
52. |
Ezek a „kiigazítások” – teszi hozzá a rendelkezés, – „pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására”, ideértve „a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzeteket is.” |
53. |
A rendelkezésnek ez utóbbi kifejezése nem elég egyértelmű, mivel nem könnyű kikövetkeztetni, hogy a 6. cikk (1) bekezdésének c) és e) pontjában említett adatkezelések esetében lehetővé teszi‑e – ahogy már kifejtettem, a IX. fejezetben már említetteken kívüli – konkrét helyzetek szabályozását, vagy ez utóbbiak az egyedüliek, amelyeket a GDPR e két adatkezelés tekintetében elismer. |
b) A GDPR 88. cikkének (1) bekezdése
54. |
Mindenesetre, ahogy már említettem, az engedő rendelkezés az, ami itt lényeges, mivel erre összpontosít az eljáró bíróság, vagyis a GDPR 88. cikkének (1) bekezdése. Emlékeztetek arra, hogy a megfogalmazás szerint a tagállamok jogszabály vagy kollektív szerződés útján „pontosabban meghatározott szabályokat állapíthatnak meg annak érdekében, hogy biztosítsák a jogok és szabadságok védelmét a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében”. |
55. |
Az ilyen személyes adatok kezelése többek között a következő célokból történhet:
|
56. |
Az említett rendelkezések meghozatalára való felhatalmazás bizonyos „harmonizációt lerontó” hatást eredményezhet. A GDPR 88. cikkének (1) bekezdése által engedélyezett nemzeti szabályok egy vagy több tagállam számára a GDPR általános rendszerétől való olyan eltérések bevezetését vonhatják maguk után, amelyek túlmutatnak a GDPR 6. cikkének (2) bekezdése által megengedett puszta „kiigazítási” funkción:
|
4. A HDSIG 23. §‑a a GDPR-ral kapcsolatban
57. |
A Németországi Szövetségi Köztársaság a GDPR 88. cikkének (3) bekezdésében foglalt követelményeknek megfelelően értesítette a Bizottságot, hogy a tagállam által a GDPR 88. cikkének (1) bekezdése alapján elfogadott jogi rendelkezések között szerepel a HDSIG 23. §‑a. |
58. |
Véleményem szerint – egyetértve e tekintetben a kérdést előterjesztő bírósággal és a Bizottsággal – a HDSIG 23. §‑a nem felel meg annak a feltételnek, hogy „pontosabban meghatározott szabályokat állapít meg” a személyes adatok foglalkoztatással összefüggő kezeléséhez kapcsolódó jogok védelmére, ahogyan azt a GDPR 88. cikkének (1) bekezdése szorgalmazza. |
59. |
Mind a HDSIG 23. § (1) bekezdésének első mondata, mind a HBG 86. cikk (4) bekezdésének első mondata csupán azt írja elő, hogy a munkavállalók és köztisztviselők személyes adatai a munkaviszony céljaira akkor kezelhetők, ha ez „szükséges” az alábbi célok valamelyikéhez:
|
60. |
Szigorúan véve mindkét szabály pusztán attól a körülménytől teszi függővé a munkavállalók személyes adatainak kezelését, hogy az bizonyos célokból szükséges. |
61. |
Ez tehát nem sokban különbözik a GDPR 6. cikke (1) bekezdésének b) pontjában foglalt rendelkezéstől („a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, ha […] olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges”). ( 32 ) |
62. |
A HDSIG 23. §‑a tehát megismételné a GDPR 6. cikke (1) bekezdésének b) pontja által már előírt feltételt az adatkezelés általános jogszerűségéhez. A személyes adatok foglalkoztatással összefüggő kezelése kapcsán a jogok védelmére vonatkozó pontosan meghatározott szabályt azonban nem tenne hozzá. ( 33 ) |
63. |
Ugyanerre az eredményre jutnánk, ha a szóban forgó oktatási tevékenység a GDPR 6. cikke (1) bekezdésének e) pontja alá tartozna (azaz ha a szóban forgó adatkezelés közérdekű vagy közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához lenne szükséges). ( 34 ) |
64. |
A c) és e) pont kapcsán a GDPR 6. cikkének (2) bekezdése lehetővé teszi a tagállamok számára, amint azt már említettem, hogy „konkrétabb rendelkezéseket” tartsanak fenn vagy vezessenek be, „amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket […]”. |
65. |
Hangsúlyozom, hogy a HDSIG 23. §‑a nem jelent „konkrétabb rendelkezést”, csupán lehetővé teszi a munkavállalók adatainak kezelését, amennyiben az szükséges. A továbbiakban nem határozza meg az ilyen adatkezelés feltételeit. |
66. |
Ezzel az állásponttal szemben a német kormány azzal érvel, hogy „lehetetlen és megvalósíthatatlan” lenne részletesen tükrözni a foglalkoztatással összefüggő adatkezelés sokféleségét. Véleményük szerint elegendőnek kell lennie egy olyan jogszabályi rendelkezésnek, amelyen adott esetben a konkrétabb jogalapot nem igénylő adatkezelés alapulhat. ( 35 ) |
67. |
Elég erre csak annyit válaszolni, hogy bármilyen nehéz is a feladat, a GDPR 88. cikkének (3) bekezdése világosan előírja, hogy minden tagállamnak értesítenie kell a Bizottságot „azon jogi rendelkezésekről, amelyeket” ugyanazon cikk „(1) bekezdése alapján elfogad”. Más szóval, nem azokról az (alap)rendelkezésekről, amelyeken a pontosabban meghatározott szabályok alapulnak, hanem éppen ez utóbbiakról. Az értesítést külön‑külön és kifejezett módon kell megtenni. ( 36 ) |
68. |
Összefoglalva, a HDSIG 23. §‑a nem tesz mást, mint megismétli a GDPR 88. cikkének (1) bekezdésében már szereplő felhatalmazást, vagy másképpen fogalmazva, utat nyit a további, pontosabban meghatározott szabályok későbbi megalkotásához (vagy fenntartásához). |
69. |
Amellett, hogy a HDSIG 23. §‑a önmagában nem állapít meg „pontosabban meghatározott szabályokat” a GDPR 88. cikkének (1) bekezdése értelmében, nem tartalmaz „olyan megfelelő és egyedi intézkedéseket […] amelyek alkalmasak az érintett emberi méltóságának, jogos érdekeinek és alapvető jogainak megóvására”. |
70. |
Ezen intézkedések hiányában a HDSIG 23. §‑a nem felel meg az általános adatvédelmi rendelet 88. cikkének (2) bekezdésében meghatározott azon feltételnek, amelyek a tagállamok munkaügyi kapcsolatok területén hozott eltérést engedő szabályozását elfogadhatóvá teszik. |
71. |
Mivel az előzetes döntéshozatal iránti kérelem a jogszabályi rendelkezések és nem a kollektív szerződések vizsgálatára korlátozódik, nem az utóbbiakra, ( 37 ) hanem kizárólag az előbbiekre fogok összpontosítani. |
72. |
E rendelkezések tekintetében a nemzeti jogalkotó nem szorítkozhat arra – ahogyan azt a HDSIG 23. §‑nak (5) bekezdése teszi – hogy az adatkezelőnek megfelelő intézkedéseket kell hoznia annak érdekében, hogy biztosítsa a GDPR „5. cikkében meghatározott, az adatkezelésre vonatkozó elveknek való megfelelést”. Ez a kikötés felesleges, mivel minden adatkezelésnek főszabály szerint meg kell felelnie legalább a GDPR 5. cikkében foglalt feltételeknek. |
73. |
A GDPR 88. cikkének (2) bekezdése a biztosítékok tekintetében olyan intézkedések meghozatalára vonatkozik, amelyek garantálják a GDPR 88. cikkének (1) bekezdése alapján elfogadott intézkedések sajátosságainak való megfelelést. Röviden, arra törekszik, hogy az utóbbi rendelkezés által engedélyezett egyediséget adott esetben megfelelő összhangba hozza a vonatkozó biztosítékok sajátosságaival. |
74. |
Ha elfogadnánk, hogy a HDSIG 23. §‑a a GDPR 88. cikkének (1) bekezdése értelmében vett pontosabban meghatározott szabályozást tartalmaz, akkor a GDPR 88. cikkének (2) bekezdésében előírt biztosítékok tekintetében megismételné a GDPR 5. cikkében előírt általános biztosítékokat. Röviden, a GDPRt 88. cikkének (1) bekezdése által engedélyezett szabályok egyedisége és ugyanezen rendelet (2) bekezdésében előírt „megóvásra” irányuló intézkedések egyedi jellege közötti szükséges egyensúly felborult volna. |
75. |
Következésképpen úgy vélem, hogy a HDSIG 23. §‑a nem alapulhat a GDPR 88. cikkén. Egyrészt, mert nem állapít meg pontosabban meghatározott szabályokat, másrészt, mert csupán megismétli a GDPR 5. cikkében foglalt általános biztosítékokat. |
5. Alkalmazható-e ennek ellenére a HDSIG 23. §‑a?
76. |
Meg kell vizsgálni, hogy a fentiek ellenére a HDSIG 23. §‑a alkalmazható-e a nemzeti jogrendben. Ahogy fentebb már rámutattam, úgy tűnik, hogy a kérdést előterjesztő bíróságot végső soron ez érdekli. |
77. |
A kérdés az lenne, hogy a tagállamok által a GDPR 88. cikke (1) bekezdésének engedő rendelkezése alapján elfogadott olyan szabályok, amelyek nem felelnek meg a 88. cikkének (2) bekezdésében foglalt követelményeknek, alkalmazhatók‑e a GDPR más rendelkezései alapján? |
78. |
A válasz, amely abból a feltevésből indul ki, hogy a HDSIG 23. §‑a nem tartalmaz a GDPR 88. cikke értelmében vett „pontosabban meghatározott szabályt” ( 38 ), kétféleképpen is értelmezhető:
|
79. |
Más kérdés, hogy – ahogyan az osztrák és a román kormány, valamint a Bizottság is érvelt, és ahogyan azt a tárgyaláson mindenki elismerte – semmi sem zárja ki, hogy egy tagállam akár a GDPR egyéb rendelkezéseit, akár – a rendelet 6. cikkének (2) bekezdése alapján – a munkavállalói adatok kezelésére vonatkozó nemzeti szabályokat olyan feltételek mellett alkalmazza, amelyek hozzájárulnak a GDPR „alkalmazásának kiigazításához”. |
V. Végkövetkeztetések
80. |
A fentiek fényében azt javaslom, hogy a Bíróság a Verwaltungsgericht Frankfurt am Main (Frankfurt am Main‑i közigazgatási bíróság) által feltett kérdésekre a következőképpen válaszoljon: „A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 88. cikkének (1) és (2) bekezdését a következőképpen kell értelmezni: egy tagállam által elfogadott jogszabályi rendelkezés csak akkor minősül a jogok és szabadságok védelmének a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében történő biztosítása érdekében megállapított, pontosabban meghatározott szabálynak, ha megfelel a 2016/679 rendelet 88. cikkének (2) bekezdésében előírt követelményeknek. Ha e jogszabályi rendelkezés nem teljesíti a 2016/679 rendelet 88. cikkének (2) bekezdésében foglalt követelményeket, akkor adott esetben csak annyiban alkalmazandó, amennyiben e rendelet más rendelkezései vagy a 6. cikkének (2) bekezdésében említett kiigazításra irányuló nemzeti szabályok hatálya alá tartozhat.” |
( 1 ) Eredeti nyelv: spanyol.
( 2 ) Vitathatatlan, hogy a közvetítés e formája révén az adatkezelés tárgyát képező személyes adatok is közvetítésre kerülnek.
( 3 ) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR).
( 4 ) Hessen tartomány adatvédelemről és információszabadságról szóló, 2018. május 3‑i törvénye (GVBl. I, 82. o., a továbbiakban: HDSIG.)
( 5 ) Hessen tartomány köztisztviselők jogállásáról szóló, 2013. május 27‑i törvénye (GVBl. 218. o., a továbbiakban: HBG).
( 6 ) A Bíróság kérdéseire válaszolva a Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium (a hesseni kulturális minisztérium mellett működő tanári személyzeti főtanács; a továbbiakban: tanári személyzeti tanács) kifejtette, hogy a 2020. december 2‑án benyújtott keresete az említett minisztérium két döntése ellen irányult, amelyek „a 2020‑2021-es tanév kezdetének szervezeti és jogi feltételeire” (2020. július 23‑i), illetve „a digitális eszközöknek az iskolai élet keretében történő használatára” (2020. augusztus 20‑i) vonatkozó iránymutatásokat tartalmaztak. Hozzáteszi, hogy ez utóbbi intézkedéssel a minisztérium szükségtelennek tartotta a tanárok hozzájárulását kérni ahhoz, hogy a tanórákat videokonferencia útján, valós időben közvetítsék a tanórák látogatása alól felmentett tanulók számára, mivel a tanórák megszervezése az iskola vezetőségének hatáskörébe tartozik. A minisztérium szerint az e célból szükséges adatok kezelésére a HDSIG 23. §‑a vonatkozhat.
( 7 ) A Bundesdatenschutzgesetz (szövetségi adatvédelmi törvény) 26. §‑a (1) bekezdésének első mondata megfelel a HDSIG 23. §‑a (1) bekezdésének első mondatának.
( 8 ) 2021. november 29‑én a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság) arról tájékoztatta a Bíróságot, hogy az illetékességre vonatkozó nemzeti jog változása miatt a Verwaltungsgericht Frankfurt am Main (Frankfurt am Main‑i közigazgatási bíróság) javára lemond az illetékességéről. Ez utóbbi 2022. február 21‑én nyilvántartásba vett iratban tájékoztatta a Bíróságot a jogvita új eljárásjogi vonatkozásáról, utalva arra, hogy az előzetes döntéshozatal iránti kérelmet sajátjaként fogadja el.
( 9 ) 2017. szeptember 27‑iPuškár ítélet (C‑73/16, EU:C:2017:725), 50. pont.
( 10 ) 2017. június 29‑iPopławski ítélet (C‑579/15, EU:C:2017:503), 16. pont és az ott hivatkozott ítélkezési gyakorlat.
( 11 ) Az eljáró bíróság szerint, ha a jelen ügyben a HDSIG 23. §‑a (1) bekezdésének első mondata és a HBG 86. §‑ának (4) bekezdése nem képezi jogalapját a személyes adatok videókonferencia-rendszerek keretében történő kezelésének, akkor az eljárásban részt vevő felek közötti „Dienstvereinbarung” (szolgáltatási megállapodás) révén kell megteremteni azt. (az előzetes döntéshozatalra utaló végzés 25. pontja).
( 12 )
( 13 ) Vagyis az olyan nemzeti szabály, amelyet a GDPR 88. cikkének (1) bekezdése alapján hoztak, mivel csak az ilyen szabályokra vonatkoznak a (2) bekezdés feltételei.
( 14 ) A Bíróság szerint „a munkaviszony alapvető jellemzője az a körülmény, hogy valamely személy meghatározott ideig, más javára és irányítása alatt díjazás ellenében szolgáltatást nyújt” (2021. július 15‑iMinistrstvo za obrambo ítélet (C‑742/19, EU:C:2021:597, 49. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
( 15 ) Lásd a 2003. szeptember 30‑iColegio de Oficiales de la Marina Mercante Española ítélet (C‑405/01, EU:C:2003:515) 38. és 39. pontját, az EK‑Szerződés megfelelő rendelkezésére való hivatkozással.
( 16 ) Az oktatási tevékenység és a közhatalmi jogosítvány gyakorlása közötti kapcsolat tekintetében lásd az 1988. március 15‑iBizottság kontra Görögország ítéletet (147/86, EU:C:1988:150).
( 17 ) A 2018. december 19‑iindítvány (C‑40/17, EU:C:2018:1039) 47. pontja.
( 18 ) A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás: 13. fejezet, 15. kötet, 355. o.).
( 19 ) A Bíróság már nagyon korán hangsúlyozta, hogy egy ilyen lehetőség elfogadása „félreérthető helyzetet teremtene mind az alkalmazandó rendelkezések jogi természetét, mind a hatálybalépésük időpontját illetően” (1973. február 7‑iBizottság kontra Olaszország ítélet, 39/72, EU:C:1973:13, 17. pont), akadályozhatja a rendelet közvetlen hatályát, és elrejtheti a peres felek elől e jogi szabály közösségi jellegét (1973. október 10‑iVariola ítélet (34/73, EU:C:1973:101, 10. és 11. pont).
( 20 ) Lásd ebben az értelemben: 2003. november 6‑iLindqvist ítélet (C‑101/01, EU:C:2003:596) 96. pont.
( 21 ) Emlékeztetek arra, hogy az Európai Unió Alapjogi Chartájának 8. cikkében rögzített alapvető jogról van szó.
( 22 ) Ezt az általános adatvédelmi rendelet (10) preambulumbekezdése kifejezetten kimondja.
( 23 ) Lásd például a 2022. április 28‑iMeta Platforms Ireland ítélet (C‑319/20, EU:C:2022:322) 52. pontját.
( 24 ) Richard de la Tour főtanácsnok indítványa a Meta Platforms Ireland ügyben (C‑319/20, EU:C:2021:979), 51 pont.
( 25 ) A 2022. április 28‑iMeta Platforms Ireland ítélet (C‑319/20 EU:C:2022:322) 57. pontja: „[a GDPR] bizonyos rendelkezései lehetőséget adnak a tagállamok számára, hogy további, szigorúbb vagy eltérő nemzeti szabályokat írjanak elő, ezáltal mérlegelési mozgásteret hagynak a tagállamok számára e rendelkezések végrehajtásának módját illetően (»engedő rendelkezések«).”
( 26 ) Lásd általában Oliver Zöll, in Jürgen Taeger/Detlev Gabel (szerk.), Kommentar DSGVO-BDSG, 3. kiadás, Fachmedien Recht und Wirtschaft, dfv Mediengruppe, Frankfurt am Main, 2019, 88. cikk, 2. pont.
( 27 ) „A polgárok szerepe erősítésének és az EU digitális átállással kapcsolatos megközelítésének pillérét képező adatvédelem az általános adatvédelmi rendelet alkalmazásának két éve”, A Bizottság közleménye az Európai Parlamentnek és a Tanácsnak, COM(2020) 264 végleges, 8. o. Az e közleményt kísérő szolgálati munkadokumentum (SWD(2020) 115 végleges) mellékletében felsoroltak szerint a tagállamok összesen 15 fakultatív előírást alkottak.
( 28 ) Jogszerűség, tisztességes eljárás és átláthatóság; célhoz kötöttség; adattakarékosság; pontosság; korlátozott tárolhatóság; integritás és bizalmas jelleg; elszámoltathatóság.
( 29 ) Véleményem szerint a rendelkezésben említett „szükségesség” az említett jogi kötelezettségek rendes körülmények közötti teljesítésének feltételeire vonatkozik. A „szükségesség”, amely rendkívüli körülmények között indokolhatja a sürgős vagy kivételes jogalkotás igénybevételét, nem kapcsolódik ehhez a problémához.
( 30 ) Ideértve „a jogszabályban vagy kollektív szerződésben meghatározott kötelezettségek teljesítését.”
( 31 ) Amint arra a német kormány a Bíróság kérdéseire adott válaszában rámutat, a GDPR 6. cikke (2) és (3) bekezdésének és 88. cikkének keletkezéstörténete azt mutatja, hogy az utóbbi rendelkezés „önállósága” az első rendelkezéshez képest „különleges esetként” a munkavállalók adatvédelmének szabályozására irányuló kifejezett szándéknak felel meg.
( 32 ) A kérdést előterjesztő bíróság szerint ezt a rendelkezést kell alkalmazni az olyan munkaviszony kapcsán, mint amilyenről az alapügyben is szó van.
( 33 ) A távoktatási rendszer szükségessége a pandémiával összefüggésben arra késztette a hesseni jogalkotót, hogy elfogadja a Hessiches Schulgesetz (a hesseni közoktatásról szóló törvény) 83. §‑ának a) pontját és 83. §‑ának b) pontját, amely a digitális alkalmazások és a videokonferenciák esetében előírja a tanárok hozzájárulásának beszerzését. Ezt az oktatási és kulturális minisztérium a meghallgatás során világossá tette, és ezzel úgy tűnik, hallgatólagosan elismerte, hogy a korábban hatályos rendeletek nem fedték le kellőképpen és célzottan ezt az oktatási rendszert. Az előzetes döntéshozatalra utalt kérdés előterjesztésének időpontjában ilyen jogszabály‑módosítás még nem volt hatályban, így sem a kérdést előterjesztő bíróság nem kérdezi erről a Bíróságot, sem a Bíróságnak nem feladata most eldönteni, hogy ez a módosítás összeegyeztethető‑e a GDPR‑ral.
( 34 ) A német kormány számára a tanárok a GDPR 6. cikke (1) bekezdésének e) pontja értelmében vett közérdekű feladatot látnak el, bár az online oktatás során más adatok, például a tanulók adatai is érintettek, amelyek nem tartoznak az említett rendelkezés hatálya alá.
( 35 ) A német kormány írásbeli észrevételeinek 28. pontja. A tárgyaláson ez a kormány a szóban forgó törvényi rendelkezést egyértelműen „általánosnak” minősítette.
( 36 ) Míg a GDPR 6. cikkének (2) bekezdésében említett konkrét nemzeti rendelkezések nem tartoznak az értesítési kötelezettség hatálya alá, addig a GDPR 88. cikkének (1) bekezdésében említett rendelkezéseket a Bizottságon keresztül az Unió és valamennyi tagállama tudomására kell hozni. A rendszer e kettősségét a GDPR 88. cikkének (1) bekezdésében említett nemzeti szabályok „diszharmonizációs” hatása magyarázza, ahogy erre korábban már utaltam. Hatásuk annál nagyobb, minél inkább meghaladják a GDPR 6. cikkének (2) bekezdése szerinti „szabályok alkalmazása” céljából történő puszta „kiigazítást”.
( 37 ) A HDSIG 23. §-nek (4) bekezdése lehetővé teszi a munkavállalók személyes adatainak a kollektív szerződés rendelkezéseivel összhangban történő kezelését, amennyiben a tárgyaló felek betartják a GDPR 88. cikkének (2) bekezdését. A német jogalkotó tehát a kollektív szerződések tekintetében él a GDPR 88. cikkének (1) bekezdésében biztosított lehetőséggel. Ahogy azt a HDSIG is elismeri, e kollektív szerződéseknek eleget kell tenniük a GDPR 88. cikkének (2) bekezdésében foglalt, megfelelő és egyedi intézkedésekre vonatkozó követelménynek is.
( 38 ) Ugyanez vonatkozik az előzetes döntéshozatal iránti kérelmet követően hatályba lépett Betriebsverfassungsgesetz (a munkaügyi kapcsolatokról szóló törvény, BGBl. 2518. o.) 79a. §‑ára, amelyre a német kormány a Bíróság kérdéseire adott válaszában hivatkozott; ez csupán arra kötelezi az üzemi tanácsokat, hogy tartsák be az adatvédelmi rendelkezéseket, beleértve magát a GDPR‑t is.