Egy szelet Svájc
Egy szeletABT blog
Egységes jogi szabályozás hiányában sok bizonytalanság van e tekintetben, de a kérdés eldöntését igyekszik segíteni a NAIH nemrégiben megjelent tájékoztatója, melynek főbb pontjai kerülnek bemutatásra bejegyzésünkben.
Az oltások terjedésével egyre inkább felmerülő munkáltatói igény a munkavállalók védettségére vonatkozó adatok kezelése. Egy egységes jogi szabályozás hiányában azonban sok bizonytalanság van e tekintetben. A kérdés eldöntését igyekszik segíteni a Nemzeti Adatvédelmi és Információszabadság Hatóságának (továbbiakban: NAIH) nemrégiben megjelent tájékoztatója. A következőkben ezen tájékoztató főbb pontjai kerülnek bemutatásra.
A munkáltató mint adatkezelő felelős az adatkezelés jogszerűségéért. Így a munkáltatónak mint adatkezelőnek a munkavállaló koronavírus elleni védettsége tényére vonatkozó adatok kezelésének pontos célját és az adatkezelés jogszerűségét alátámasztó jogalapot kell elsőként meghatároznia. Kiemelendő jelentőségű, hogy a védettség ténye – akár a COVID-19 betegségből történő felgyógyulás, akár az oltottság ténye – a személyes adatok különleges kategóriáiba tartozó egészségügyi adatnak minősül, amelynek kezelése főszabály szerint tilos. Ebből adódóan az adatok kezelésének a jogszerűségéhez nemcsak a GDPR 6. cikk (1) bekezdésében található jogalapok valamelyikének, hanem a GDPR 9. cikk (2) bekezdésében foglalt további feltételek – a jelen tájékoztatóval érintett esetben a b), h), vagy i) pontok – valamelyikének az adatkezelő által igazolt fennállása szükséges. Bármelyik hiányában az egészségügyi adatok kezelése tilos.
Az Mt. rendelkezései alapján a munkavállaló személyiségi joga akkor korlátozható, ha a korlátozás a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos.[1] Továbbá a munkáltató a munkavállalótól olyan nyilatkozat megtételét vagy személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése szempontjából lényeges.[2] A munkavállalók védettségére vonatkozó adatának lehet relevanciája, hiszen a munkáltatónak biztosítania kell az egészséget nem veszélyeztető és biztonságos munkavégzés követelményeit.[3] Ennek érdekében pedig a munkáltató köteles teljes felelősséggel megtenni minden szükséges intézkedést a munkavállalók biztonsága és egészségvédelme érdekében, figyelembe véve a változó körülményeket is, valamint törekedve a munkakörülmények folyamatos javítására.[4] A munkavállalónak pedig együttműködési kötelezettsége van a munkáltatóval szemben, amely a munkáltató veszélyt megszüntető intézkedéseinek végrehajtása során is fennáll.[5]
A NAIH kiemelte, hogy a munkáltatónak a szükségesség vizsgálatát munkakörönként vagy foglalkoztatotti személyi körönként kell elvégeznie. Így például bizonyos alacsony kockázatú munkakörök esetén - például állandó jellegű távmunkavégzés - a szükségesség értelemszerűen nem állapítható meg. Ugyanakkor az adatkezelés szükségesnek tekinthető például akkor, ha a munkáltató tevékenységi köre a kórházak COVID-19 osztályain elhelyezett orvostechnikai és egyéb eszközök javítását, karbantartását foglalja magában, és a munkavállalók védelme érdekében kéri be a védettség tényének igazolását azért, hogy kizárólag védett munkavállalót tudjon a munkavégzés helyszínére kiküldeni, ezáltal elkerülhetővé válik a megfertőződés. Hasonlóképpen megállapítható a szükségesség fennállása abban az esetben is, ha a munkáltató egy szociális intézmény, amelynek bentlakói védelme érdekében szükséges annak a ténynek az ismerete, hogy az intézményben munkát végző munkavállaló védettséget élvez-e.
A NAIH tájékoztatója hangsúlyozza, hogy az adatkezelés célja kizárólag az lehet, hogy a munkáltató megtehesse és meg is tegye a szükséges intézkedéseket a munkajogi, munkavédelmi, foglalkozás-egészségügyi, valamint munkaszervezési szabályoknak történő megfeleléshez. A cél tekintetében a tájékoztató hangsúlyozza, hogy a meghatározott célnak nemcsak pontosnak, de valósnak is kell lennie, vagyis a munkáltató által alátámaszthatóan ténylegesnek kell lennie. Vagyis amennyiben a munkáltató úgy dönt, hogy bekéri ezen adatokat, akkor azok birtokában és azok alapján köteles is intézkedéseket tenni és azokat dokumentálni. Továbbá fontos elvárás, hogy a munkavállalók koronavírus elleni védettsége tényének megismerése a meghatározott célok megvalósítására alkalmas legyen, vagyis a kezelt adatok köre alkalmas legyen a pontos, valós cél elérésére. Tehát a NAIH álláspontja szerint a munkajogi, munkavédelmi, foglalkozás-egészségügyi, valamint munkaszervezési cél megléte esetén, az elvégzett kockázatelemzés alapján, egyes munkakörökben vagy foglalkoztatotti személyi körök esetében szükséges és arányos intézkedés lehet a munkavállaló koronavírus elleni védettsége tényének munkáltató általi megismerése.
Az adatkezelés szolgálhatja a védett munkavállaló, a többi munkavállaló, vagy a munkavállalóval potenciálisan kapcsolatba kerülő harmadik személyek (ügyfelek) élete és egészségének védelmét, illetve ehhez kapcsolódóan a munkáltató kötelezettségeinek történő megfelelését. Mindezek mellett a munkáltató ezen adatkezelése járványügyi érdeket – mint jelentős közérdeket – is szolgál.
Az adattakarékosság elve alapján csak olyan adatot lehet kezelni, amely a cél megvalósításához elengedhetetlenül szükséges. A NAIH álláspontja szerint ezen alapelv és a hatályos jogszabályi keretek között, a munkáltató kizárólag az applikáció, valamint a védettségi igazolvány mint közokirat Korm. rendeletben meghatározott adatait kezelheti. A koronavírus elleni védettség igazolásának céljára semmilyen egyéb adatot nem gyűjthet és kezelhet jogszerűen. Emellett a Hatóság hangsúlyozta, hogy a munkáltató kizárólag az applikáció megjelenítését, illetve a védettségi igazolvány bemutatását kérheti a munkavállalóktól, azokról másolatot nem készíthet, azokat semmilyen formában és módon nem tárolhatja, és nem is jogosult azokat harmadik személy részére továbbítani. Kizárólag azt jogosult rögzíteni, hogy az érintett munkavállaló igazolta a koronavírus elleni védettségének a tényét, valamint – ha az az igazolás bemutatása során megállapítható – azt, hogy ezen védettség időtartama mely időpontig áll fenn.
Az adatkezelőknek a fentieken túlmenően rendelkezniük kell továbbá az adatvédelmi alapelveknek való megfelelésről, különösen az adatkezelés átláthatóságáról, az adatok pontosságáról és biztonságáról. Így az adatkezelésről szükséges adatkezelési tájékoztató készítése. Abban szükséges az érintettek számára közérthetően és kellően részletesen meghatározni többek között az őket érintő adatkezelés célját, jogalapját, meg kell határozni továbbá az adatok megőrzésének időtartamát, az adatokhoz hozzáférésre jogosultak körét, valamint az érintetteket tájékoztatni kell az őket a GDPR alapján megillető jogok gyakorlásának a lehetőségéről, illetve a jogorvoslati módokról. Emellett az Mt. vonatkozó rendelkezései alapján a munkáltatónak előzetesen írásban kell tájékoztatnia a munkavállalókat a személyiségi joguk korlátozásának módjáról, feltételeiről, várható tartamáról, továbbá szükségességét és arányosságát alátámasztó körülményekről is.[6]
A védőoltással kapcsolatosan felmerülő egyéb jogi és adatvédelmi kérdésekkel egy korábbi cikkünkben is foglalkoztunk, melyet itt érhet el.
[1] Mt. 9. § (2) bekezdése
[2] Mt. 10. § (1) bekezdése
[3] Mt. 51. § (4) bekezdésének első mondata
[4] A munkavédelemről szóló 1993. évi XCIII. törvény (Mvtv.) 54. § (7) bekezdésének h) pontja
[5] Mvtv. 60. § (3) bekezdése
[6] Mt. 9. § (2) bekezdése
Megjelent: 2021. április 9. | Témakör: COVID 19 Jog
