ingyenes webstatisztika

Koronavírus vs GDPR

Felmerül a kérdés, hogy hogy ezekben a pandémiás időkben változik-e valamilyen módon a munkavégzésre irányuló jogviszonyokban (munkaviszony, közalkalmazotti, szolgálati jogviszony, kormányzati és közszolgálati jogviszony, valamint munkavégzésre irányuló egyéb jogviszony) a személyes adatok kezelésére vonatkozó szabályozás, illetőleg ró-e, akár a munkáltatókra, akár a munkavállalókra többlet kötelezettséget a kialakult helyzet, vagy az adatkezelési gyakorlat a megszokott mederben mehet-e tovább.

Az alapvető szabályokat továbbra is a Munka Törvénykönyve, az Info törvény, valamint a GDPR rendelet határozza meg.

Továbbra is érvényes az a szabály, hogy a munkáltató a munkavállalótól olyan nyilatkozat megtételét vagy személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése, megszűnése, vagy a Munka Törvénykönyvéből származó igény érvényesítése szempontjából lényeges.  

Mivel cikkünk kifejezetten a koronavírus által létrehozott helyzettel összefüggő speciális rendelkezéseket veszi górcső alá, nézzük meg, hogy a munkáltatónak illetve a munkavállalónak milyen kötelezettségei vannak ezekben a vészterhes időkben.

A munkavállaló kötelezettségei GDPR szempontból

Viszonylag egyszerűbb a helyzet a dolgozók esetében. Számukra  a munkavégzésre irányuló különböző jogviszonyokban foglalkoztatott személyekre vonatkozó általános magatartási követelményekből  – így különösen az együttműködési kötelezettségből, valamint a jóhiszeműség és a tisztesség elvéből levezethetően –  származtatható az a kötelezettség, hogy tájékoztatniuk kell a munkáltatót arról, ha olyan körülményről van tudomásuk (beleértve saját fertőző betegségüket, illetve annak a gyanúját is), amely a további munkavállalókat vagy a munkavégzés során velük kapcsolatba kerülő harmadik személyeket érintő egészségügyi kockázatot jelent.

Természetesen amennyiben a munkavállaló ilyen adatot megoszt a munkáltatójával a továbbiakban megilletik őt azok a jogosítványok, amelyek egyébként a személyes adataik normál esetben történő kezelése során is megilletik őket (az érintett hozzáférési joga, helyesbítéshez való jog, törléshez való jog, az adatkezelés korlátozásához való jog, tiltakozáshoz való jog, stb.).

Érdekesebb kérdés azonban, hogy a munkáltatóknak vannak-e plusz jogosítványai ezen pandémiás időszakban, és a plusz jogosítványokhoz kapcsolódóan vannak-e olyan egyéb kötelezettségeik is amelyek normális körülmények között esetleg nem terhelnék őket.

A munkáltató kötelezettségei GDPR szempontból

A fertőző betegségek elleni küzdelem minden ember, ország, vállalat, intézmény közös célkitűzése, és ezt a lehető legodaadóbban kell támogatni. Azonban ezekben az extrém időkben is az adatkezelőknek és az adatfeldolgozóknak biztosítaniuk kell az érintettek személyes adatainak védelmét, vagyis az adatkezelőknek tiszteletben kell tartaniuk az általános adatvédelmi elveket – magatartásuk, gyakorlatuk ezekkel az elvekkel ellentétesek nem lehetnek.

A veszélyhelyzet egy olyan jogi feltételrendszer, amely adott esetben legitimálhatja az egyének bizonyos szabadságainak korlátozását, feltéve, hogy ezek a korlátozások arányosak és időtartamuk  nem haladja meg a kihirdetett veszélyhelyzet időtartamát.

Az adatkezelésre vonatkozó jogi szabályok (GDPR, Info törvény) lehetővé teszik a munkáltatók számára is, hogy a járvánnyal kapcsolatos esetekben a rájuk vonatkozó szigorú jogszabályok betartása mentén kezeljenek különleges személyes adatokat. Könnyen belátható, hogy a közegészségügy területén jelentkező közérdek felülírhatja az érintettek néhány jogosítványát, így például adott esetben az érintetteknek személyes adataik kezeléséhez nem szükséges a hozzájárulásuk megadása.

A kialakult égészségügyi helyzetre való tekintettel nyilvánvalóan fokozott figyelem irányul az úgynevezett különleges adatokra, és így ezen belül is az egészségügyi adatokra.

A személyes adat  törvényi definíciója szerint személyes adat az azonosított, vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon különösen valamely azonosító, pl. név, szám, helymeghatározó adat, online azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.  (GDPR 4. cikk 1. pont)

Az Info Tv. 3. § 3. pontja értelmében különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok, és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.

Arányosság és adatminimalizálás

A pandémia miatt kihirdetett veszélyhelyzet idején is szükséges nyomatékosan rögzíteni, hogy a munkavégzésre irányuló jogviszonyokban is az adatkezelő, tehát a munkáltató és a képviseletében eljáró egészségügyi ellátást végző orvos az első számú felelős az adatkezelés jogszerűségéért. Továbbra is rendező elvnek tekinthető az adatkezelések során az arányosság elve, és az adatminimalizálás elve. Ezek praktikusan azt jelentik, hogy csak olyan mértékben lehet az érintettek jogait korlátozni, amennyiben az a köz érdekét figyelembe véve indokolt és csak a legszükségesebb adatok kezelésére kell, hogy korlátozódjon.

Ennek a két elvnek megfelelően a különleges személyes adatok kezelése csak akkor indokolt, amennyiben az adatkezelés célját nem lehetséges adatkezelést nem igénylő eszközökkel elérni. Az arányosság elvéből az is következik, hogy a munkáltatónak minden esetben vizsgálnia kell, hogy létezhet–e hatékony, de az érintettek magánszférájára kevésbé kockázatos megoldás. Így például a dolgozók szükségtelen vegzálása (folyamatos lázmérőzés, kérdőíves nyilatkozattétel, stb.) helyett a munkáltatónak megfelelő higiéniai intézkedéseket kell hoznia, például a munkaeszközök és az irodák alaposabb takarítása, fertőtlenítőszerek biztosítása, stb. révén. A munkáltatóknak át kell gondolniuk – a dolgozóik és az ügyfeleik védelme érdekében – hogy az ügyfélfogadás rendjét szabályozzák, például a dolgozók és az ügyfelek közé üvegfal emelésével vagy az ügyfélszolgálaton belül tartózkodható személyek számának korlátozásával.

A pandémiás időkben is a személyes adatok kezelésére vonatkozó elvek betartása továbbra is kötelezettség a munkáltatók részére.  Ennek megfelelően a szükséges adatkezelési tájékoztatást kell nyújtaniuk a dolgozóik részére, amely precízen meghatározza a különleges személyes adatok kezelésének célját (adott esetben céljait), annak jogalapját, az adatok megőrzésének időtartamát, az adatokhoz hozzáférésre jogosultak körét.

Jogos érdekre alapozott adatkezelés esetén pedig szükséges az érdekmérlegelési teszt elvégzése annak igazolására, hogy az adatkezeléssel elérni kívánt célhoz fűződő érdek jelentősebb, mint az érintett magánszemély jogai és szabadságai.

Mi a teendő, ha a dolgozó kitett a fertőzés veszélyének?

Álláspontunk szerint ebben az esetben a munkáltató jogszerűen rögzíthet az érintettel kapcsolatos különleges személyes adatokat, vagyis egészségügyi adatokat. Így például rögzíteni lehet a bejelentés időpontját, az érintett munkavállaló személyazonosságának a megállapításához szükséges személyes adatokat, annak a helyszínnek a rögzítését (még ha magáncélú is volt a látogatás), ahol a megfertőződés megtörtént, vagy annak a lehetősége fennállt.

A NAIH joggyakorlata szerint a fentebb megjelölt adatkörre vonatkozóan elfogadható a kérdőíves nyilatkoztatása is a munkavállalóknak. Nagyon fontos megjegyezni azonban, hogy a munkáltató ebben az esetben sem kérhet adatokat a dolgozó egyéb vagy korábbi betegségeiről, illetőleg nem követelheti meg az esetleges kórelőzményekre vonatkozó orvosi dokumentációk becsatolását.

A NAIH által megfogalmazott elvárások ugyanakkor nem tekintik jogszerűnek a minden munkavállalóra kiterjedő diagnosztikai eszközök (így pl. lázmérő) általi szűrővizsgálatok előírását.

A fentebb jelzett kérdőíves adatrögzítések, illetőleg adatkezelések  jogalapjául szolgálhat a GDPR 6. cikk (1) bekezdés f) pontja szerint jogos érdek, illetőleg a 6. cikk (1) bekezdés e) pontjában szabályozott  közérdek.

A munkáltató a dolgozó bejelentése vagy egyedi esetben az adott ügy összes körülményének mérlegelése vagy az általa végzett kockázatértékelés alapján bizonyos, a megbetegedésnek való kitettséggel fokozottan érintett munkakörökben kizárólag egészségügyi szakember által vagy szakmai felelőssége mellett végzett vizsgálatokat elrendelhet a munkáltató és így ő jogosult ezen vizsgálatok eredményének a megismerésére.

Természetesen itt is fontos felhívni a figyelmet arra, hogy az egészségügyi ellátók, így az üzemorvosok is kötelesek a rájuk irányadó külön törvényben meghatározott adatkezelési előírások betartására (például az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény szerint).

 

Dr. Novák Tamás

A BP Legal szakértőjeként többek között GDPR, cégalapítás és  ingatlan adásvétel területén nyújt teljes körű segítséget magánszemélyeknek és vállalatoknak.

640x40_feher
Scroll To Top