A koronavírus járvány kitörése nem csak a munkavállalók munkavégzését változtatta meg gyökeresen számos szektorban, hanem komoly kihívások elé állította a munkáltatókat az adatvédelmi kérdések, az adatkezelés vonatkozásában.
A munkáltatók általános feladatai
A munkáltatók elsődleges és legjelentősebb feladata a járvánnyal kapcsolatosan a munkavállalók egészségét és biztonságát nem veszélyeztető munkahelyi körülmények és munkavégzés feltételeinek megteremtése volt. A munkáltatót terhelő, biztonságos és egészséget nem veszélyeztető, a munkavégzést befolyásoló körülmények figyelembevételével történő felelősségteljes foglalkoztatás biztosítására vonatkozó kötelezettségeket a Munka Törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) 51. § (4) bekezdése és a munkavédelemről szóló 1993. évi XCIII. törvény (a továbbiakban: Mvtv.) 54. § (7) bekezdésének b) és h) pontjai rögzítik.
A munkáltatóknak különös figyelmet kellett fordítaniuk a potenciálisan fertőzött és az egészséges munkatársak megfelelő fizikai elkülönítésére és egyéb, a fertőzés munkahelyen belül történő terjedését megakadályozó intézkedésekre, melyek végrehajtása nehezen elképzelhető adatkezelés, valamint adott esetben adatfeldolgozás nélkül.
Kihívások az adatkezelés terén
Az adatvédelem mint jogterület térnyerése – az Általános Adatvédelmi Rendelet (GDPR) hatályba lépése – és ezzel együtt a GDPR hazai adatvédelmi jogba való implementálása óta a munkáltatók még nem szembesültek olyan jellegű adatkezelési és adatfeldolgozási tevékenységgel, amely a járvány terjedésének megelőzése érdekében szükségessé vált. Tekintettel az adatvédelmi rendelkezések relatíve friss mivoltára – a GDPR a világjárvány kitörésének idején kevesebb, mint két éve lépett hatályba – és következetességgel alkalmazott, megalapozott precedensek hiányában a munkáltatók és tanácsadóik teljesen új helyzettel szembesültek, amikor a járványügyi helyzetre reagálva próbálták kialakítani, illetőleg átalakítani adatkezelési gyakorlatukat.
A következőkben azokat az adatvédelmi vonatkozású, kulcsfontosságú tényezőket vesszük számba, melyekre a munkáltatóknak figyelemmel kellett lenniük a világjárvány terjedésének megelőzése érdekében – az adatvédelmi megfelelőség biztosítása mellett és az adatvédelmi hatósági gyakorlat, ajánlások és iránymutatások teljeskörű figyelembevételével – bevezetni kívánt adatkezelési gyakorlatok és intézkedések meghatározása során.
1. A potenciális fertőzöttség bejelentésének kötelezettsége
Az adatvédelmi szakemberek már a világjárvány kezdetén tisztában voltak azzal, hogy a potenciális vagy tényleges fertőzöttségre vonatkozó információ egészségügyi adatnak minősül.
Az egészségügyi adatok a személyes adatok különleges kategóriáiba tartoznak, amelyeket a GDPR 9. cikk (1) bekezdése értelmében általánosan tilos kezelni, illetve feldolgozni, e tilalom alól a 9. cikk (2) bekezdésében rögzített jogalapok jelenthetnek csupán kivételt. E kivételek között szerepel az adatkezelőt terhelő, foglalkoztatással kapcsolatos jogi kötelezettségek teljesítése [GDPR 9. cikk (2) bekezdés b) pontja]. Mivel a munkáltatónak jogszabályban előírt kötelezettsége olyan munkakörnyezet biztosítása, amely nem veszélyezteti a munkavállaló egészségét és biztonságát, a fertőzöttségre vonatkozó adat kezelése jogszerű.
A munkáltatók elsődleges feladatát képezte, hogy kiszűrjék a potenciálisan vagy ténylegesen fertőzött munkatársakat a többi munkavállaló védelmében és érdekeire tekintettel. A jóhiszeműség és tisztességesség elvére, valamint a munkaviszonyokban alkalmazandó, munkavállalót terhelő, egészséges és biztonságos munkakörnyezet megőrzése érdekében hozott hatósági intézkedések teljesítése, illetőleg a munkáltató veszélyt megszüntető intézkedéseinek végrehajtása során is tanúsítandó együttműködési kötelezettségre [Mvtv. 60. § (3) bekezdés] tekintettel a munkavállaló kötelezhető arra, hogy tájékoztassa a munkáltatót, amennyiben megfertőződött vagy esetében fertőzöttség gyanúja áll fenn. Az eddig írtak alapján, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) 2020/2586. számú, a koronavírus járvánnyal kapcsolatos adatkezelésekről szóló tájékoztatójában foglaltak szerint által kiadott útmutató szerint a potenciális vagy tényleges fertőzöttségre vonatkozó munkavállalói bejelentést a munkáltató rögzítheti. A NAIH hangsúlyozza, hogy a munkáltató a munkavállaló személyazonosító adatait, a bejelentés tényét és az ennek alapján hozott munkáltatói intézkedést rögzítheti, egészségügyi dokumentációt azonban nem kérhet a munkavállalótól.
A munkavállalói bejelentés tényének rögzítése egyebekben az elszámoltathatóság elvére tekintettel azért jelentős a munkáltató szempontjából, mert ily módon igazolni tudja, hogy megtette az egészséges és biztonságos munkakörnyezet megteremtése és fenntartása érdekében szükséges foglalkozás-egészségügyi intézkedéseket. Ugyanis amennyiben adott munkahelyen teljes átfertőzöttség jelentkezne a munkavállalók körében, a munkáltató felelősségre vonható lenne a járvány munkahelyen belül történő elterjedéséért.
2. Testhőmérséklet mérés, mint adatkezelés – lehetséges?
Számos munkáltató vezette be a munkahelyen a testhőmérséklet mérését a világjárvány első és második hulláma során, amely intézkedés szükségszerűen újabb adatkezelést foglalt magában. Mivel azonban a megemelkedett test hőmérséklet ekkor még nem volt a koronavírussal fertőzöttség egyértelműen bizonyított tünete, a fenti adatkezelés általános alkalmazása a NAIH álláspontja szerint jogellenes adatgyűjtésnek minősült. A járványügyi helyzet előrehaladtával és a vonatkozó információk terjedésével a NAIH felülvizsgálta említett álláspontját és a NAIH/2020/7465 számon közzétett, az új típusú koronavírus járványra (Covid-19) tekintettel az egészségügyi válsághelyzet elrendelésével bevezetett járványügyi készültség időtartama alatt a testhőmérséklet mérésével összefüggő egyes adatkezelésekről szóló tájékoztatójában meghatározta a testhőmérséklet mérésével kapcsolatos diagnosztikai célú adatgyűjtés, valamint az ezzel összefüggésben alkalmazott mérőeszközök alkalmazásának feltételeit.
E feltételek szerint az adatkezelők testhőmérséklet mérést azokban az esetekben alkalmazhatnak, hogyha
(i) az érintett arra a területre lép be, ahol testhőmérsékletet mérnek és
(ii) ezt a területre belépő valamennyi érintett esetében elvégzik, továbbá feltétel, hogy
(iii) az adatkezelő az érintettet testhőmérséklet mérésének céljából nem azonosíthatja és
(iv) nem történhet a méréssel kapcsolatos adatrögzítés.
Mivel az érintett egészségi állapotának felmérése egészségügyi – orvosi kompetenciát igénylő – kérdés, (alacsony) láz esetében a munkáltató mint adatkezelő kizárólag az érintett területre való belépésének engedélyezéséről hozhat döntést.
3. Védettségre vonatkozó adatok kezelése megengedett?
A járványügyi helyzet előrehaladtával a védettségi igazolványok bevezetése újabb kérdések elé állította a munkáltatókat. Felmerült, hogy az egészséges és biztonságos munkavégzés és munkahely biztosítása érdekében a munkáltató jogosult-e megismerni annak tényét, illetve köteles-e beszámoltatni a munkavállalókat arról, hogy rendelkeznek-e védettséggel.
Az biztosan megállapítható, hogy a munkáltatók érdeke lehet, hogy ezt megtegyék, mivel a védettségi igazolvány megléte a munkavállaló védettségének ténye mellett egyfajta bizonyosságot is jelenthet a munkáltató számára az egészséges és biztonságos munkahelyi feltételek fennállására vonatkozóan. A NAIH a Munka Törvénykönyvéről szóló 2012. évi I. törvény hatálya alá tartozó jogviszonyokban a munkavállaló koronavírus elleni védettsége tényének munkáltató általi megismerhetőségéről szóló NAIH-3903-1/2021 számon közzétett tájékoztatója értelmében nincs akadálya annak, hogy a munkáltatók megismerjék a munkáltatók védettségének tényét, azonban ez csak az őket terhelő jogszabályi kötelezettségek teljesítésének céljából megengedett és nem képezheti alapját egyéb, e céltól eltérő intézkedéseknek (például a munkavállaló elbocsátásnak). Amennyiben a munkáltató úgy határoz, hogy a munkavállalókat védettségi igazolvány bemutatására kötelezi, ennek tényét és az ezen intézkedés alapjául szolgáló indokokat köteles írásban rögzíteni, továbbá erről a munkavállalókat megfelelően tájékoztatni.
A célhoz kötöttség elve, mint adatvédelmi alapelv szem előtt tartásával azonban csak azon munkavállalók kötelezhetők védettségük tényére vonatkozó adat közlésére, akik esetében a megfertőződés veszélye a munkáltató által elvégzett munkahelyi egészségügyi és biztonsági kockázatértékelés alapján fennállhat, tehát hogyha ezek a munkavállalók a kockázatértékelés alapján munkakörükből, a munkavégzésük körülményeiből adódóan fertőzésveszélynek kitett személyeknek minősülnek. Az adattakarékosság elvével összhangban a munkáltatók csak a védettségi igazolványban, valamint az ennek kiváltására szolgáló applikációban szereplő személyes adatokat jogosultak megismerni. A NAIH ezzel kapcsolatosan hangsúlyozta, hogy a munkáltató kizárólag a védettségi igazolvány vagy az applikáció bemutatására kötelezheti a munkavállalókat, ezek tartalmát semmilyen módon nem rögzítheti. Egyedül a bemutatás ténye és a védettség időtartama, a védettségi igazolvány lejáratának időpontja rögzíthető.
4. A védőoltás kötelezővé tétele
Az egészségügyi ágazatban és bizonyos állami és önkormányzati intézményekben dolgozókra vonatkozóan a jogalkotó kötelezővé tette a védőoltás felvételét a koronavírus elleni védőoltás kötelező igénybevételéről szóló 449/2021. (VII. 29.) Korm. rendelet értelmében. A védőoltás fel nem vétele a munkaviszony megszüntetését vonja maga után.
A magánszektorban működő intézményekben, illetve munkahelyeken a munkáltató a munkahelyek koronavírus elleni védelméről szóló 598/2021. (X. 28.) Korm. rendelet értelmében a munkavégzés feltételéül szabhatta a munkavállaló koronavírus elleni átoltottságát – tehát ezzel a jogalkotó lehetőséget teremtett a munkáltatónak, hogy munkavállalóit a védőoltás felvételére kötelezze (amennyiben a munkavállaló a kötelezés ellenére nem veszi fel a védőoltást, a Korm. rendelet értelmében a munkáltató az általa meghatározott határidő elteltét követően fizetés nélküli szabadságra küldheti dolgozóját –a fizetés nélküli szabadságon tartózkodás maximum 1 évig tarthat, ezt követően, amennyiben a munkavállaló ez idő alatt sem veti alá magát a munkáltatója által szabott oltási kötelezettségének, úgy munkaviszonya azonnali hatállyal megszüntethető).
A védőoltás kötelezővé tételével kapcsolatos adatkezelési gyakorlatra vonatkozó adatvédelmi rendelkezések tekintetében a jogalkotó nem hagyta teljesen magukra az adatkezelő munkáltatókat. A munkahelyek koronavírus elleni védelméről szóló 598/2021. (X. 28.) Korm. rendelet (- a magánszektorra alkalmazandó jogszabály – ), ugyanis felhatalmazza a munkáltatót a munkáltató védettségére, illetve a védettséget alátámasztó adat kezelésére. A munkavállaló védettségének tényét – ezzel a védőoltás felvételét – a Korm. rendelet 2. § (6) bekezdésében foglaltaknak megfelelően személyazonosság igazolására alkalmas hatósági igazolvány – jellemzően személyi igazolvány – és uniós digitális Covid-igazolvány, védettségi igazolvány, illetve applikáció, valamint a Nemzeti Népegészségügyi Központ által közzétett minta szerinti védőoltásról szóló igazolás, továbbá adott esetben nemzetközi oltási bizonyítvány bemutatásával igazolhatja. A Korm. rendelet rögzíti azt is, hogy a munkáltató a védettség tényének igazolására szolgáló dokumentumokon szereplő személyes adatokat legkésőbb a veszélyhelyzet megszűnéséig, de főszabály szerint az adatkezelés célja megvalósításához szükséges ideig és mértékben kezelheti. A védettségi igazolványon, illetőleg az applikációban szereplő adatok tartalmazzák az érintett nevét, az érintett útlevelének számát, ha ezzel rendelkezik, az érintett állandó személyazonosító igazolványának számát, okmányazonosítóját, ha ezzel rendelkezik, a védettségi igazolvány sorszámát, az oltottság tényének igazolása esetén az oltás idejét, a fertőzésből történő felgyógyulás tényének az igazolása esetén az igazolvány érvényességének dátumát, illetve az eddig felsorolt adatokból képzett, informatikai eszközzel optikailag olvasható adattároló kódot. A Nemzeti Népegészségügyi Központ honlapján közzétett minta alapján az oltást igazoló orvos által kiállított, védőoltásról szóló igazolás a védettségi igazolványon szereplő adatokhoz képest azonban meglehetőségen érzékenyebb adatokat is tartalmaz. Az igazoláson ugyanis feltüntetésre kerül az oltott személy személyazonosító adatai mellett a beadott oltóanyagra vonatkozó információ, valamint az is, hogy melyik testrészébe adták a védőoltást. Egyéb, a védettség tényének igazolására szolgáló dokumentumokon szerepelhet az oltás ellenjavallata is. A fenti adatokat az adatkezelő tehát a bemutatott okmány vagy dokumentum típusának függvényében mind jogszerűen kezelheti a Korm. rendelet értelmében.
A jogszabály értelmében az adatkezelő a fenti adatokat legfeljebb a járványügyi veszélyhelyzet megszűnéséig kezelheti, tárolhatja. Munkaügyi jogvita esetén azonban az adatok megőrzési ideje meghosszabbodhat – akár 3 vagy 5 év is lehet. Ilyen esetekben az adatkezelés jogalapja felülvizsgálandó, hiszen ekkor a munkáltató már egyértelműen nem az egészséges és biztonságos munkahely és munkakörülmények biztosítása érdekében kezeli az adatokat. Ez esetben az adatkezelés jogalapja az adatkezelő jogos érdeke jogi igények előterjesztése, illetve védelme lehet.
Amire érdemes figyelni az adatkezelés kapcsán
A világjárvány fennállása alatt az adatkezelési gyakorlatok bevezetése a munkáltatók által alaposan átgondolt stratégiát igényel, melyet a legtöbb szervezet és vállalat spontán módon alakított ki a járványügyi helyzet alakulásával párhuzamosan. Az alkalmazásra kerülő eljárásrendek, valamint az ezekkel kapcsolatos konkrét intézkedések megfelelő kidolgozása és dokumentálása az adatkezelők jogszabályi kötelezettsége, különös tekintettel az elszámoltathatóság elvén alapuló adatvédelmi törvényekben foglaltak alapján.
A fentiekben ismertetettek alapján látható, hogy az adatvédelmi hatóság több tájékoztatójában próbált iránymutatást nyújtani, a pandémia alatt Magyarországon nyilvánosságra kerülő, adatvédelmi vonatkozású, a járványügyi helyzetben alkalmazott adatkezelési gyakorlatokkal kapcsolatos ügyek száma azonban jelenleg még csekély. Az elkövetkező hónapokban és években az e tárgyú esetjog várhatóan fejlődni fog, és útmutatást nyújt majd a munkáltatóknak a helyes adatkezelési gyakorlatok kialakításához, illetve azok fejlesztéséhez. Amennyiben az adatkezelők nyomon követik a fejlődő esetjogot és az adatvédelmi hatóságok által közzétett friss iránymutatásokat, akkor ezek hasznos útmutatókként szolgálhatnak az esetleges jövőbeni, hasonló helyzetekben. Ajánlott továbbá az adatkezelők számára, hogy ügyeljenek az általuk bevezetett eljárásrendek, szabályzatok, valamint ezekkel összhangban az adatkezelési gyakorlatuk naprakészen tartására, így biztosítva szervezetük, vállalatuk folyamatos adatvédelmi megfelelését.
Amennyiben adatvédelmi ügyvéd, adatvédelmi jogász segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu
A cikk a „Challenges and responses to data processing during covid-19 pandemic” c. cikk alapulvételével készült.