A koronavírussal összefüggő munkáltatói adatkezelés kihívásai és az ezekre adott válaszok Koronavírus
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Cikkünkben a szerzők a munkavállalók koronavírus fertőzöttséggel és védettséggel kapcsolatos személyes adatainak kezelését tekintik át.
A koronavírus megjelenése és a koronavírus járvány immár majdnem két évvel ezelőtti kitörése nemcsak a munkavégzést és annak formáját változtatta meg gyökeresen sok szektorban, hanem az adatvédelem területén is komoly kihívás elé állította a munkáltatókat.
A munkáltatók elődleges és kiemelkedő feladata az egészséget és biztonságot nem veszélyeztető munkahely megteremtése volt, amely a járványhelyzetben rendkívüli kihívást jelentett. A kórokozó gyors terjedése és a munkahelyi fertőzési gócpontok kialakulásának megelőzése érdekében a munkáltatóknak már a járvány első hullámától kezdődően kiemelt figyelmet kellett fordítaniuk az esetlegesen fertőzött kollégák egészségesektől való elkülönítésére és más hasonló intézkedésekre, amely adatkezelési tevékenység nélkül nehezen volt elképzelhető. Az adatvédelem, mint jogterület felértékelődése, a GDPR hatályba lépése és az adatvédelemi jog jelentősebb térnyerése óta, a munkáltatók még nem szembesültek nagy tömegben olyan adatkezelési tevékenységgel, amelyet a járvány elleni védekezés megkövetelt.
Tekintettel a jogi szabályozás relatíve új jellegére (a GDPR a járvány kitörésekor kevesebb mint két éve volt hatályban), a joggyakorlat kialakulatlanságára, a munkáltatók és tanácsadóik sokszor “sötétben tapogatózva” próbálták kialakítani a világjárvánnyal összefüggő adatkezelési gyakorlatukat. Az adatvédelem területén a világjárvány megfékezése érdekében megtett intézkedések újabb és újabb fejtörést okoztak a munkáltatóknak. Az ezzel kapcsolatos sarkalatos pontokat igyekszünk a jelen cikkünkben összefoglalni a már kikristályosodni látszó hatósági gyakorlat alapján.
Kötelezhető-e a munkavállaló a (potenciális) fertőzés tényének bejelentésére?
Az adatvédelemmel foglalkozó szakemberek részére már a járvány kezdetekor egyértelmű volt az, hogy annak a ténye, hogy valaki potenciálisan vagy ténylegesen megfertőződött egészségügyi adatnak minősül.
Az egészségügyi adat a személyes adatok különleges kategóriájába tartozik, amelynek kezelése főszabály szerint tilos, ugyanakkor a GDPR[1] 9. cikk (2) bekezdésében meghatározott esetek ez alól kivételt képeznek. Ilyen kivételes esetnek minősül a foglalkoztatásra vonatkozó jogszabályi kötelezettség teljesítése. Mivel a munkáltatónak jogszabályi kötelezettsége, hogy a munkavállalók számára az egészséget és biztonságot nem veszélyeztető munkakörnyezetet megteremtse, így a fertőzés tényével összefüggő személyes adatok kezelhetők[2]. Ennek során az elsődleges szempont a potenciálisan vagy ténylegesen megfertőződött személyek kiszűrése a munkahelyen a többi munkavállaló érdekében. A munkaviszonyra vonatkozó jogszabályokban lefektetett jóhiszeműség és tisztesség, valamint az együttműködés[3] elvéből következően, a munkavállaló kötelezhető arra, hogy fertőzés vagy annak gyanúja estén erről a munkáltatót tájékoztassa. Az elszámoltathatóság elvéből fakadóan az ilyen bejelentést a munkáltató rögzítheti, sőt annak rögzítése egyenesen javasolt. E bejelentésben – a Nemzeti Adatvédelmi és Információszabadság Hatóság (“NAIH”) által kiadott tájékoztató[4] szerint – a munkáltató jogosult rögzíteni a munkavállaló azonosító adatait, a megtett bejelentést és az annak nyomán foganatosított intézkedéséket.
Testhőmérséklet mérés
A járvány megfékezése érdekében az első és második hullám során számos munkáltató testhőmérséklet mérést vezetett be az alkalmazottai körében, amely szintén adatkezelésnek[5] minősül. Mivel a megemelkedett testhőmérséklet még nem egyértelmű tünete a koronavírus fertőzésnek, a pandémia elején ennek általános jellegű alkalmazását a NAIH még jogellenes adatkezelési tevékenységnek minősítette. A járvány terjedésének következtében a NAIH az álláspontját felülvizsgálta[6] és állásfoglalásában meghatározta a testhőmérséklet-méréssel összefüggő diagnosztikai szűrőeszközök alkalmazásának feltételeit. E szerint az adatkezelő ezt csak (i) a használatában álló területre történő belépés során, (ii) a területre belépő valamennyi személy vonatkozásában alkalmazhatja, méghozzá úgy, (iii) hogy a testhőmérséklet mérés során ebből a célból személyazonosítás nem történik és (iv) ez nem jár adatrögzítéssel. Mivel egy személy egészségügyi állapotának megítélése orvos-szakmai kérdés, így a munkáltató, mint adatkezelő, hőemelkedés vagy láz esetén csak a területére történő belépéssel kapcsolatban hozhat döntést.
Koronavírus elleni védettség tényének a megismerése
Később a védettségi igazolvány bevezetése[7] állította újabb kétely elé a munkáltatókat. Vajon a munkáltatók munkavédelmi kötelezettségeik teljesítése érdekében kötelesek vagy jogosultak-e megismerni azt, hogy a munkavállaló rendelkezik-e védettségi igazolvánnyal? Az bizonyos, hogy ez érdekükben állhat ugyanis a védettségi igazolás megléte egyfajta biztosítékot is jelenthet részükre, amely igazolhatóvá teszi, hogy a munkavédelemmel kapcsolatos kötelezettségeiknek eleget tettek. A NAIH álláspontja szerint[8], ennek nincs akadálya, azonban ennek kizárólagos célja a munkáltatók jogszabályi kötelezettségének teljesítése lehet, vagyis egyéb intézkedés alapjául (pl. elbocsátás) nem szolgálhat. Ha a munkáltató úgy dönt, hogy bekéri a védettségi igazolványt, akkor ennek indokát, valamint a megtett intézkedéseket dokumentálnia kell. A célhoz kötöttség elvéből fakadóan azonban védettségre vonatkozó személyes adatok csak a koronavírus fertőzésnek kitett foglalkoztatottól kérhetők, akik a munkavédelemi kockázatértékelés elvégzése során azonosítva lettek. Az adattakarékosság elvét szem előtt tartva a munkáltatók kizárólag a védettségi igazolványban, valamint az applikációban szereplő adatokat ismerhetik meg. A NAIH kiemelte, hogy a munkáltatók csak az igazolvány vagy az applikáció felmutatását kérhetik, azokat nem rögzíthetik, ugyanakkor az ellenőrzés tényének megtörténtét, valamint a védettség időpontját rögzíthetik.
Védőoltás kötelezővé tétele
A már közel két éve tomboló járvány megfékezése érdekében, a jogalkotó a koronavírus elleni védőoltás felvételét az egészségügyi szektorban, valamint bizonyos állami és önkormányzati intézményeknél kötelezővé tette[9]. A jogalkotó ugyanakkor a többi intézmény, valamint a versenyszféra vonatkozásában az oltás foglalkoztatási követelményként történő előírását (lényegében az oltásra kötelezést) egyelőre munkáltatói jogkörben hagyta. Adatvédelmi szempontból a jogalkotó nem hagyta teljesen magukra a döntésre jogosultakat, ugyanis a munkahelyek koronavírus elleni védelméről szóló 598/2021. (X.28.) Korm. rendelet az oltás felvételének igazolásával összefüggő adatkezelést szabályozza, és felhatalmazza a foglalkoztatókat az ezzel kapcsolatos adatkezelésre. Ennek alapján a foglalkoztatottak foglalkoztatói előírás esetén az oltás felvételét a személyazonosság igazolására alkalmas hatósági igazolvány, valamint a rendeletben meghatározott dokumentumok (pl. védettségi igazolvány, uniós digitális Covid-igazolvány) valamelyikének bemutatásával igazolni kötelesek. A munkáltatók kezelhetik a bemutatott dokumentumokban szereplő adatokat vagy a védőoltás felvételének ellenjavallata esetén ezt a tényt. A jogszabály alapján az adatkezelés időtartama legfeljebb a veszélyhelyzet megszűnéséig tarthat. Azonban egy munkaügyi vita esetén ezen adatok megőrzése akár hosszabb ideig (három vagy öt évig) is indokolható lehet, ebben az esetben az adatkezelés jogalapját természetesen szükséges felülvizsgálni.
Összegzés
A járvány megfékezésével összefüggő adatkezelési tevékenység átgondolt stratégiát igényel a munkáltatók részéről, amelyet a legtöbb vállalat a járvány során, “menet közben” kialakított. E stratégia és az ezen alapuló konkrét intézkedések kidolgozása és megfelelő dokumentálása a vállalatoknak a jogszabályokból, így különösen például az adatvédelmi jogban rögzített elszámoltathatóság elvéből következő kötelezettsége.
Ahogy fentebb láttuk, az adatvédelmi hatóság állásfoglalásaival igyekszik támpontokat adni, ugyanakkor a hatósági joggyakorlat (COVID adatkezeléssel összefüggő publikált jogesetek) száma hazánkban egyelőre csekély. Bízunk abban, hogy a következő hónapok és évek során a joggyakorlat konkrét esetek kapcsán fejlődni fog és támpontot nyújt majd a munkáltatók számára a jó adatkezelési gyakorlatuk kialakításához. Ez már csak azért is hasznos lenne, mert a stratégia – naprakészen tartva – a vállalkozások részére jövőbeli hasonló vészhelyzetek esetén egyfajta útmutatóként is szolgálhat.
[1] Az Európai Parlament és Tanács (EU) 2016/679 Rendelete az általános adatvédelmi rendeletről
[2] A GDPR 6. cikk (1) f) és a GDPR 9. cikk (2) b) pontja alapján.
[3] Az együttműködés követelményét nem csak a Munka Törvénykönyvéről szóló 2012. évi I. törvény, hanem a munkavédelemről szóló 1993. évi XCIII. törvény 60. § (3) bekezdése is kimondja, ennek alapján a munkavállaló köteles együttműködni a munkáltatóval, az egészséges és biztonságos munkakörnyezet megőrzése érdekében hozott hatósági intézkedések teljesítése, illetőleg a munkáltató veszélyt megszüntető intézkedéseinek végrehajtása során is.
[4] NAIH: Tájékoztató a koronavírus járvánnyal kapcsolatos adatkezelésről (NAIH/2020/2586)
[5] GDPR 4. cikk 2. pontja szerint, az adatokon végzett bármely művelet, ideértve az adatokba való betekintés is, adatkezelésnek minősül.
[6] NAIH: Tájékoztató az új típusú koronavírus járványra (Covid-19) tekintettel az egészségügyi válsághelyzet elrendelésével bevezetett járványügyi készültség időtartama alatt a testhőmérséklet mérésével összefüggő egyes adatkezelések kapcsán (NAIH: NAIH/2020/7465)
[7] A koronavírus elleni védettség igazolásáról szóló 60/2021. (II.12.) Korm. rendelettel került bevezetésre.
[8] NAIH-3903-1/2021 Tájékoztató
[9] 449/2021. (VII.29.) Korm. rendelet; 599/2021. (X.28.) Korm. rendelet; 634/2021. (XI.18.) Korm. rendelet