Adatvédelmi szabályok a koronavírusra (COVID-19) tekintettel
Lehetősége van-e a munkáltatónak az egészségügyi adatok gyűjtésére annak érdekében, hogy kiszűrjék az esetlegesen fertőzött személyeket?
A világon és most már hazánkban is rendkívüli gyorsasággal terjedő koronavírus (COVID-19) miatt kialakult járványügyi válsághelyzet kapcsán számos kérdés merül fel a munkáltatók, a munkavállalók és az egyének részéről egyaránt, hogy milyen intézkedések hozhatók, illetve mely intézkedéseket kell tűrniük a helyzet kezelése és a vírus terjedésének csökkentése érdekében úgy, hogy közben a hatályos adatvédelmi szabályokat se sértsék meg, illetve személyes adataik védelméhez való joguk ne sérüljön. Az alábbiakban - a teljes körűség igénye nélkül – a CERHA HEMPEL – Dezső és Társai Ügyvédi Iroda segítségével összefoglaljuk az ezzel kapcsolatos legfontosabb tudnivalókat.
Adatgyűjtés jogszerűsége
A GDPR értelmében egészségügyi adat egy természetes személy (ember) testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról. Az egészségügyi adat a személyes adatok kategórián belül is egy magasabb védelmet élvező kategória, az adatvédelem nyelvén „a személyes adatok különleges kategóriájába” tartozik. Ez azt is jelenti, hogy főszabályként ezek kezelése tilos. Persze vannak konkrét (jogszabályi), valamint „elvi” kivételek is. (Az eddigi tapasztalatok szerint az egészségügyi adatok begyűjtése során egyes munkáltatók a munkavállalók munkaidőn kívüli, magánszférájukba tartozó utazásokra és eseményekre vonatkozó adatokat is kezelték, emiatt sok kérdés merült fel.)
Az ilyen típusú adatkezelés jogszerűségéért is az adatkezelő, azaz például az ellenőrzést elrendelő munkáltató felelős. Az adatok begyűjtése, továbbítása és felhasználása során természetesen továbbra is meg kell felelni az adatvédelmi alapelveknek, különösen az elszámoltathatóság elvének.
Az ilyen jellegű adatkezelés is csak annyiban lehet indokolt, amennyiben nincs más olyan megoldás, amely a személyes és/vagy egészségügyi adat kezelése (vagy egyáltalán adatkezelés) nélkül is képes a kívánt cél elérésére (szükségesség és arányosság elve). Ilyen megoldás lehet például a higiéniai, takarítási szabályok szigorítása, találkozók elhalasztása, ezek azonban a potenciális vírushordozó személyek kiszűrésére nem jelentenek megoldást.
A magyar adatvédelmi hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) is reagált a COVID-19-re. Előrebocsátjuk, hogy a NAIH a koronavírus járvánnyal kapcsolatos adatkezelésekről szóló tájékoztatója („Tájékoztató”) 2020. március 10-i keltezésű, és az események gyors és súlyosbodó előrehaladása magával hozhatja azt, hogy a Tájékoztató egyes megállapításait akár maga a NAIH felülírja.
A NAIH a Tájékoztatóban elfogadhatónak találja a munkáltató általi megfelelő tájékoztatáson alapuló olyan kérdőívek kitöltetését, amelyek az alábbi adatokra vonatkoznak:
- a munkavállaló személyazonosságának megállapításához szükséges adatai,
- annak ténye, hogy a munkavállaló utazásának helyszíne és időpontja egybeesik-e a munkáltató tájékoztatójában felsorolt területekkel és időpontokkal,
- a tájékoztatóban megjelölt területekről érkező személyekkel való érintkezés tényére vonatkozó adatok, valamint
- a munkáltató által megtett intézkedésekre vonatkozó adatok,
amennyiben előzetes kockázatelemzés alapján a munkáltató arra az eredményre jutott, hogy az intézkedés szükséges és arányos mértékben korlátozza a munkavállalók magánszférájához fűződő jogát.
A Tájékoztatóból kiderül az is, hogy az említett munkahelyi kérdőívek nem tartalmazhatnak az egészségügyi kórtörténetre vonatkozó adatokat, és a munkáltató egészségügyi dokumentáció becsatolását sem írhatja elő. Ezenfelül egyelőre a lázmérőt alkalmazó, mindenkire kiterjedő szűrővizsgálatok előírása sem minősül arányos intézkedésnek.
Munkavállaló tájékoztatási kötelezettsége
A munkáltatóra és a munkavégzésre irányuló jogviszonyban foglalkoztatott személyre vonatkozó általános magatartási követelményekből levezethetően a foglalkoztatottaknak általános esetben tájékoztatniuk kell a munkáltatót arról, ha bármilyen, a munkahelyet, a munkavállalókat vagy a munkavégzés során a velük kapcsolatba kerülő harmadik személyeket érintő egészségügyi kockázatról van tudomásuk, ideértve saját potenciális fertőzöttségüket. Lényeges, hogy ezt a kötelezettséget nem szabad kizárólag a munkaviszonyra érteni, hanem kiterjesztően, minden munkavégzésre irányuló jogviszonyra is érteni kell.
Harmadik személyekkel (pl. ügyfelek, látogatók) kapcsolatos adatkezelés
Az 1. pontban írtak – elvi szinten – a harmadik személyekkel kapcsolatos adatkezelés során is alkalmazandók. Nyilvánvalóan a munkavégzésre irányuló jogviszonyhoz képest lehetnek addicionális vagy eltérő elemek a harmadik félhez kapcsolódó jogviszonyban, de a személyes adatok védelme és az adatvédelmi alapelvek betartása, valamint a mindig hangsúlyozott szükségesség-arányosság nem hagyható figyelmen kívül.
Más természetes személy létfontosságú érdekei, mint jogalap
A GDPR a jogalapok között nevesít egy eddig ritkán emlegetett jogalapot is, miszerint az adatkezelés jogszerű akkor is, amikor az az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges. Más természetes személy létfontosságú érdekeire hivatkozással személyes adatkezelésre elvben csak akkor kerülhet sor, ha a szóban forgó adatkezelés egyéb jogalapon nem végezhető. A személyes adatkezelés néhány típusa szolgálhat egyszerre fontos közérdeket és az érintett létfontosságú érdekeit is, például olyan esetben, amikor az adatkezelésre humanitárius okokból, ideértve, ha arra a járványok és terjedéseik nyomon követéséhez, vagy humanitárius vészhelyzetben, különösen természeti vagy ember által okozott katasztrófák esetében van szükség. (Emellett lényeges, hogy az adatkezelés akkor is lehet jogszerű, ha közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges, ez azonban a munkáltatók csak szűk körénél teljesül.)
A Tájékoztató azonban továbbra sem ad explicit választ az olyan jellegű kérdésekre, mint például
- a munkáltató kiadhatja-e a beléptetésre vonatkozó adatokat, és ha igen, kinek, annak kiderítése érdekében, hogy kikkel érintkezhetett a fertőzött személy, vagy kik tartózkodtak adott napon egy irodaházban, intézményben,
- a munkáltató mely szervek felé, milyen körülmények között továbbíthatja egészségügyi kérdőívek eredményét,
- a munkáltató vagy egy irodaház tulajdonosa, üzemeltetője közvetlenül jelezheti-e a bérlőknek, azok alkalmazottainak, hogy adott személy (vagy pl. az adott emeleten dolgozó személy) fertőzött, és érintkezhettek vagy csak jelezheti mindezt az eljáró hatóságoknak,
- a törléshez való jog kiterjed-e az egészségügyi adatokra, illetve az feltétlen jogot jelent-e,
- hogyan kell kezelni, ha a vizsgálatot kérő „véletlenül” a COVID-19-hez nem kötődő egészségügyi adatokat is megismer.
Figyelemmel e rendkívüli jogalap részleteinek kiforratlanságára, fokozott körültekintés szükséges az arra való hivatkozással történő adatkezelés esetében.
A Kormány rendeletei
A Kormány 2020. március 18-i rendeletével úgy döntött, a Munka Törvénykönyve tekintetében bizonyos eltéréseket enged. Ilyen például, hogy a veszélyhelyzet megszűnését követő harminc napig
- a munkáltató a munkavállaló számára az otthoni munkavégzést és a távmunkavégzést egyoldalúan elrendelheti, illetve
- a munkáltató a munkavállaló egészségi állapotának ellenőrzése érdekében a szükséges és indokolt intézkedéseket megteheti.
Természetesen kérdéses, hogy adatvédelmi, adatbiztonsági, titokvédelmi szempontból mennyire vannak felkészülve a magyar cégek ezekre a munkavégzési formákra, de vélhetően a jelenlegi szélsőséges helyzet átlendíti őket ebbéli aggályaikon. Emellett lényeges szem előtt tartani: még az idézett kormányrendeleti rendelkezés is hangsúlyozza a szükségesség és indokoltság (a.k.a. arányosság) szempontjait, tehát nem egy „jolly jokert” teremtett az egészségügyi szűrővizsgálatok végzéséhez.
Az adatkezelési tájékoztató kiegészítése vagy új tájékoztató kiadása?
Ha csak nem nagyon felkészült egy adatkezelő (pl. munkáltató), jó eséllyel nem terjed ki adatkezelési tájékoztatója a jelen helyzet adatkezeléseire. Emiatt mindenképp javasoljuk, hogy a meglévő tájékoztatókat ellenőrizzék és adott esetben azok kerüljenek kiegészítésre, vagy a csak a COVID-19 készített adatkezelési tájékoztatót osszanak meg munkatársaikkal. A közérthetőség és kellő részletesség szem előtt tartásával az adatkezelés célját, jogalapját, a megőrzési időtartamot, a hozzáférésre jogosultak körét meg kell határozni, valamint jogos érdek jogalap esetén (a NAIH gyakorlata szerint igen lényeges) érdekmérlegelési teszteket el kell készíteni. Az érintetteknek (adatgazdáknak) továbbra is érvényesülnek a GDPR szerinti jogai, így panaszjoguk és jogorvoslati joguk is, az adatvédelmi hatóság és bíróság felé, ezekről is tájékoztatni kell őket.