A belső visszaélés-vizsgálatok során – már csak jellemző tárgyköreikből adódóan is, például munkahelyi szexuális zaklatás – előfordulhat, hogy a vizsgálat óhatatlanul személyes adatok különleges kategóriáit1 is érinti. Különleges adat alatt mindenekelőtt a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok értendők. Emellett továbbá a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok is különleges személyes adatot képeznek az Infotv. 3. § 3. pontja alapján. A fentebb kifejtettek szerint belső visszaélés-vizsgálat során2 a megfelelően elvégzett érdekmérlegelési tesztek3 alapján meghatározott munkáltatói jogos érdek lehet a jogalap az adatkezelésre. Különleges személyes adatok kezelése a GDPR 9. cikk (1) bekezdése szerint alapvetően tilos, önmagában tehát a munkáltatói jogos érdek sem teszi lehetővé ezt. Ahhoz, hogy különleges adat kezelése jogos érdeken alapuló munkáltatói ellenőrzés és internal investigation során – a különleges adatok kezelését a GDPR 9. cikk (1) bekezdésében foglalt általános tiltó szabály mellett is – jogszerű legyen, szükséges az is, hogy fennálljon valamely, a GDPR 9. cikk (2) bekezdésében meghatározott kivétel. Munkáltatói ellenőrzéseknél és belső visszaélés-vizsgálatoknál a GDPR 9. cikk (2) bekezdés b) pontja jelenthet támpontot. E rendelkezés szerint különleges adatok kezelése lehetséges, ha az adatkezelés az adatkezelőnek (jelen esetben: munkáltatónak) vagy az érintettnek (jelen esetben munkavállalónak) a foglalkoztatást szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett (munkavállaló) alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi. Az Mt. 11/A. § kimondja, hogy a munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető, így az adatkezelőnek konkrét jogai (az ellenőrzéssel kapcsolatos jogai) gyakorlása érdekében – értelmezés függvényében – adott lehet a lehetősége a különleges adatok kezelésére is. Ez azonban csak akkor igaz, ha a GDPR 9. cikk (2) bekezdés b) pont második fordulata értelmezésekor elfogadjuk azt, hogy az Mt. mint tagállami jog a munkaviszonyban a különleges adatok kezelését – megfelelő garanciák mellett – lehetővé teszi. Az Mt., mint részben már utaltunk rá, konkrétan nem tartalmaz olyan rendelkezést, amely általános jelleggel, explicite kimondaná (vagy tiltaná), hogy a munkaviszony keretében (ellenőrzés keretében) a munkáltató különleges személyes adatokat kezelhet (illetve tilos kezelnie). Az Mt. csupán bizonyos típusú különleges adatok kezeléséről rendelkezik: az Mt. 11. § (1) bekezdése alapján például a munkáltató munkavállaló biometrikus adatait, az Mt. 11. § (3) bekezdése szerint a bűnügyi személyes adatait kezelheti, bizonyos feltételek fennállása esetén. Értelmezés kérdése, hogy a munkáltatói ellenőrzés és visszaélés-vizsgálat során esetlegesen felmerülő egyéb különleges személyes adatok – például egészségügyi adatok vagy a természetes személyek szexuális életére, szexuális irányultságára vonatkozó személyes adatok – kezelését az ellenőrzés (visszaélés-vizsgálat) kontextusában lehetővé teszi-e az Mt. Álláspontunk szerint, különösen a visszaélés-vizsgálatok jellemző esetköreire és a fentebb kifejtett, gyakran elmosódó határvonalra utalva, a munka és a magánélet között, elfogadható az az értelmezés, amely szerint a visszaélés-vizsgálat során felmerülő különleges adatok kezelése jogszerű lehet. Szintén lehetséges támpontként említjük a GDPR 9. cikk (2) bekezdés f) pontja szerinti lehetőséget a különleges adatok kezelésére. E rendelkezés szerint lehetséges különleges adatok kezelése, ha az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges. Amennyiben tehát az internal investigation a munkáltató jogi igényeinek előterjesztéséhez, érvényesítéséhez, védelméhez kapcsolódóik és ahhoz szükséges, nem tartjuk kizártnak, hogy e körben a különleges személyes adatok kezelése is jogszerű legyen. Hangsúlyozzuk, a visszaélés-vizsgálat során a személyes adatok kezelése csak a cél eléréséhez szükséges mértékben, módon és ideig történhet, azaz kötelező gondoskodni arról, hogy az internal investigationnel kapcsolatban nem releváns személyes adatok kiszűrése megtörténjen.