A magyar adatvédelmi szabályozás történetét összességében sikertörténetnek tekinthetjük. Számtalan elvi vita és kisebb-nagyobb értelmezési nehézség mellett is alapvetően színvonalas és átgondolt jogi rezsim jött létre az adatvédelmi törvény 1992-es megalkotásával. A törvény a lehető „legtisztább” formában valósítja meg az információs önrendelkezési jog eszméjét, amelynek lényege, hogy az érintett maga rendelkezhet személyes adatainak feltárásáról, felhasználásáról, számára az adatkezelés teljes folyamata követhető és ellenőrizhető, és ezen kívül csak közérdekből, törvény alapján – mintegy kivételes esetként – lehetséges a személyes adatok kezelése. Az adatvédelmi törvény ennek szellemében született, és az adatkezelés jogalapjaként kizárólag az érintett hozzájárulását vagy törvény felhatalmazását ismeri el.

Az adatvédelmi törvény fenti logikája ugyanakkor törvényszerűen a szektorális adatvédelmi rendelkezések (adatkezelési felhatalmazások) (túl?)burjánzását vonta és vonja magával, amely önmagában akár üdvözölhető is lenne, de sok esetben jelentős terhet ró a jogalkotóra és a jogalkalmazóra, és a szektorális szabályozás színvonala már gyakran nem éri el az adatvédelmi törvény szintjét. Emellett (legalább) egy igen jelentős szektor kimaradt: érthetetlen módon az 1992 óta hatályban lévő Munka Törvénykönyve máig alig tartalmaz adatvédelmi rendelkezést. A felvételi eljárás során az adatkezelés céljának meghatározásán kívül egy kissé talán felesleges, az adatvédelmi törvényből amúgy is következő szabály (adattovábbítás általános tilalma), és egy marginális jelentőségű (távmunkára vonatkozó) rendelkezést tartalmaz a munka törvénykönyve. A szektorális adatvédelmi szabályozás tehát lényegében hiányzik a magánszektor munkajogából.
Ugyanakkor természetes, hogy a munkajogviszony keretében nagy mennyiségű és sokszor „kényes” adatkezelés zajlik, amelynek határait már csak a felek közötti gyakran függő viszonyra tekintettel is indokolt lenne szabályozni. Az adatvédelmi biztos gyakorlata alapján az látható, hogy különösen érzékeny kérdéseket vet fel a munkavállalók ellenőrzésének adatvédelmi aspektusa. Ezzel kapcsolatban azonban még a legalapvetőbb kérdés, az adatkezelés jogalapja is tisztázatlannak tűnik.

Az adatkezelés jogalapja a munkaviszony területén is az érintett önkéntes és tájékozott hozzájárulása vagy törvény felhatalmazása lehet. Az érintett a hozzájárulását az adatkezelővel (munkáltatóval) írásban kötött szerződés keretében is megadhatja a szerződésben foglaltak teljesítése céljából. Ebben az esetben a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából az érintettnek ismernie kell. A gyakorlatban a felek munkaszerződésbe ritkán foglalják bele az érvényes adatkezelési hozzájáruláshoz szükséges kellékeket. Emellett a munkaviszony fennállása alatt az érintett hozzájárulásának önkéntessége egy, a munkaviszony megkötésekor még fel nem merült adatkezeléssel kapcsolatban gyakran vitatott. Az önkéntesség utólagos bizonyítása meglehetősen nehézkes, ami egyfelől azzal járhat, hogy a munkáltató a munkavállalóra kényszerít bizonyos nem kívánt adatkezeléseket, másfelől azonban a munkavállalónak is alkalmat adhat e joggal való visszaélésre, és az eredetileg ténylegesen önkéntes hozzájárulás későbbi vitatására.

A vonatkozó jogirodalomban (különösen ARANY TÓTH MARIANN, MAJTÉNYI LÁSZLÓ és JÓRI ANDRÁS munkáiban) a jogalappal kapcsolatban több más megközelítés is megtalálható, amelyek az érdekmérlegelésre, a munkahelyi privacy határaira és a törvényen alapuló felhatalmazás kiterjesztő értelmezésére hívják fel a figyelmet.

Az EU Adatvédelmi Irányelvében ismert, érdekmérlegelésre lehetőséget adó jogalap (7. cikk f) pont) a magyar jogban csak adatkezelési célként került átvételre, így a munkáltatói adatkezelés törvényességét érdekmérlegelés önmagában nem alapozhatja meg.
Az is érdekes kérdés, hogy hol húzódik a munkavállaló privacy-jének határa. A munkavállaló által írt jelentések, az általa elkészített vagy leadott munkák, esetleg az általa ellenjegyzett cégiratok személyes adat jellege szintén továbbgondolásra érdemes. A személyes adat hatályos fogalma az adatvédelmi törvény alapján abszurdan széles kört ölel fel.

Végül ki kell térni a törvényi felhatalmazás értelmezésére. A munkahelyi ellenőrzés, mint adatkezelés jogalapja ugyanis véleményem szerint nem lehet más, mint a munka törvénykönyvének néhány rendelkezése. Ezek ugyan nem közvetlenül adatkezelésről, de adatkezelést szükségképpen feltételező jogintézményről, hatáskör gyakorlásáról szólnak, amelyek értelmezhetők adatkezelési felhatalmazásként. Így – talán bátor vagy megengedő értelmezéssel, de jobb híján – a munka törvénykönyve munkaviszony tartalmát leíró rendelkezései (Mt. 102-104. §§) jelenthetik a munkahelyi ellenőrzés jogalapját – a tájékoztatási kötelezettség és a célhoz kötöttség szigorú értelmezése mellett.

A fentiekben igyekeztem rávilágítani arra, hogy a szektorális szabályozás hiányában csak ingoványos talajon álló jogértelmezéssel oldhatók fel az adatvédelmi törvény és a munkaviszony során szükségszerűen felmerülő adatkezelési műveletek gyakorlata közötti ellentét. E kérdéskör ugyanakkor túlmutat egy szektor adatkezelési nehézségein és rámutat a magyar adatvédelmi szabályozás merevségére és a személyes adat fogalmának értelmezési problémáira is.

A munkahelyi adatvédelem szektorális szabályozása terén nem vagyok túlzottan optimista: egyrészt jelenleg nem látszik az a kényszerítő erő, amely a jogalkotási lépéseket éppen most kikényszerítené, másrészt az adatvédelmi biztos gyakorlata valamelyest pótolta a jogalkotás hiányosságait. A fent vázolt problémák – egy komolyabb szakmai vitát követően – lényegében a munka törvénykönyve néhány, rugalmasan, de nem parttalanul megfogalmazott kiegészítésével orvosolhatók lennének. Ennek során az adatkezelés célját és a „munkahelyi magánszféra” terjedelmének határait tisztázó adatkezelési felhatalmazásokkal lehetne tisztább jogi helyzetet teremteni.

Ugyanakkor a munkahelyi adatvédelemmel összefüggő dogmatikai kérdések kapcsán önkéntelenül is felmerül az adatvédelem rendszerének átfogó, koncepcionális jellegű módosításának, de legalább az újragondolásának igénye is, ami nem a korábbi elvek elvetését, sokkal inkább újraértelmezését és továbbfejlesztését jelenthetik. Ezt véleményem szerint számos – a munkahelyi adatvédelemtől függetlenül lezajló, elsősorban technológiai – folyamat is sürgeti.