A Nemzeti Adatvédelmi és Információszabadság Hatóság 2020 folyamán több ajánlást tett közzé a koronavírussal kapcsolatos adatkezelésekre vonatkozóan, amelyekről korábban írtunk is blogunkon (itt és itt). Ezen ajánlások sorát egészíti ki a 2021. április 1-jén kelt, a Munka Törvénykönyvéről szóló 2012. évi I. törvény hatálya alá tartozó jogviszonyokban a munkavállaló koronavírus elleni védettsége tényének munkáltató általi megismerhetőségéről szóló NAIH tájékoztató.
A tájékoztató leginkább lényeges elemei:
- alapvetően a Munka Törvénykönyve hatálya alá eső munkaviszonyokkal foglalkozik;
- a védettség ténye egészségügyi adat;
- ezen adat kezelése a GDPR 6. cikk (1) bekezdése szerinti jogalapok valamelyike alapján, a GDPR 9. cikk (2) bekezdése b), h), vagy i) pontokban foglalt körülmények egyikének fennállása alapján lehetséges;
- a védettség tényének kezelése nem lehet készletező, azaz ha a munkáltató kezeli ezen adatokat, akkor köteles intézkedéseket tenni és ezeket dokumentálni;
- munkakörönként vagy foglalkoztatotti személyi körönként kell vizsgálni, hogy ezen adat kezelése valóban szükséges-e;
- a védettség tényét igazoló okirat nem másolható;
- csak a védettség ténye és ennek időtartama kezelhető.
A Bird & Bird nemzetközi munkajogi csoportjának koronavírusra fókuszáló munkajogi tudástára iránymutatásokkal és tanácsokkal segíti a vállalkozásokat a munkavállalóik és az üzleti tevékenységük védelme érdekében megtehető lépések tekintetében.
1. A Tájékoztató hatálya
A Tájékoztató „mindenekelőtt a Munka Törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) hatálya alá tartozó jogviszonyokra irányadó, és hogy az abban foglaltak kizárólag a jelenlegi – tehát az annak kiadásakor fennálló – járványügyi helyzetben alkalmazandóak.”
A NAIH azonban hangsúlyozza, hogy az egyéb munkavégzésre irányuló jogviszonyokra (például a Polgári Törvénykönyvről szóló 2013. évi V. törvény szerinti megbízási, vállalkozási típusú jogviszonyok; a közszférában ágazati jogszabályok alapján történő foglalkoztatás) jogviszonyonként eltérő jogi szabályozás vonatkozik, ezért a NAIH álláspontja szerint indokolt és szükséges, hogy a jogalkotó egységesen rendezze a munkavégzésre irányuló jogviszonyok során a védettség tényének igazolásával kapcsolatos követelményeket.
2. A védettség ténye egészségügyi adat
A NAIH szerint a védettség ténye a személyes adatok különleges kategóriáiba tartozó egészségügyi adatnak minősül:
„A jogalap kapcsán a Hatóság felhívja a figyelmet arra, hogy a védettség ténye, azaz akár a COVID-19 betegségből történő felgyógyulás, akár az oltottság ténye a GDPR 4. cikkének 15. pontja szerint a személyes adatok különleges kategóriáiba tartozó egészségügyi adatnak minősül.”
Ennek megfelelően a NAIH felhívja a figyelmet, hogy a GDPR 6. cikk (1) bekezdése szerinti jogalapok mellett „a GDPR 9. cikk (2) bekezdésében foglalt további feltételek – a jelen tájékoztatóval érintett esetben a b), h), vagy i) pontok – valamelyikének az adatkezelő által igazolt fennállása szükséges.”
A GDPR 9. cikk (2) bekezdésének említett pontjaiban az alábbi körülmények szerepelnek (lerövidítve, kivonatolva):
b) foglalkoztatás, valamint a szociális biztonság és szociális védelem;
h) megelőző egészségügyi vagy munkahelyi egészségügyi célok, a munkavállaló munkavégzési képességének felmérése;
i) népegészségügy területét érintő közérdek, mint például a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem;
A NAIH korábbi, munkaviszonnyal kapcsolatos iránymutatásaiból, döntéseiből is következik, hogy a védettség tényével kapcsolatos adatkezelésnek nem lehet jogalapja a munkavállaló hozzájárulása, az csak a GDPR 6. cikk (1) bekezdésében található valamelyik más jogalap alapján lehetséges. Ennek megerősítése kiolvasható a tájékoztatóból is, mert abban a GDPR 9. cikk (2) bekezdés a) pontja (kifejezett hozzájárulás) nincs megemlítve azon körülmények felsorolásában, amelyek fennállta esetén az egészségügyi adat kezelhető.
3. Az adatkezelés célja és a szükségességi-arányossági teszt
Tekintettel arra, hogy a személyes adatok különleges kategóriájába tartozó személyes adatokat kezel ebben az esetben a munkáltató, ráadásul alá-fölérendeltségi viszonyban, a NAIH szűk körben látja csak jogszerűnek az adatkezelést:
- munkajogi, munkavédelmi, foglalkozásegészségügyi, valamint munkaszervezési céllal,
- a munkavállalók egészségét és biztonságát veszélyeztető munkahelyi biológiai expozíciók felmérésére vonatkozó kockázatelemzés alapján,
- egyes munkakörökben vagy foglalkoztatotti személyi kör esetében, és
- a Tájékoztató IV. pontjában ismertetett feltételek teljesülése esetén (pl. cél valóssága, elszámoltathatóság, adattakarékosság elve) egyrészt a védett munkavállaló, másrészt a többi munkavállaló, harmadrészt a munkavállalóval potenciálisan kapcsolatba kerülő harmadik személyek (ügyfelek) élete és egészségének védelme, illetve ehhez kapcsolódóan a munkáltató kötelezettségeinek történő megfelelés szempontjából.
A NAIH kiemeli azt is, hogy „e célnak valósnak, tehát a munkáltató által alátámaszthatóan ténylegesnek kell lennie (tehát ha úgy dönt, hogy bekéri ezen adatokat, akkor azok birtokában és azok alapján köteles is intézkedéseket tenni és azokat dokumentálni).” Ilyen megfelelő intézkedésnek tartja a NAIH, ha például a munkáltató a még nem védettek számára távmunkavégzést rendel el, vagy védettséggel nem rendelkező munkavállaló munkaállomását védett munkavállaló munkaállomása mellé helyezi.
A szükségesség vizsgálata során a NAIH példákat is hoz, hogy mely esetekben tartja szükségesnek és mely esetekben nem a személyes adatok kezelését. A felmérést a munkáltatónak munkakörönként vagy foglalkoztatotti személyi körönként kell elvégeznie. Így például bizonyos alacsony kockázatú munkakörök esetén (például állandó jellegű távmunkavégzés) a szükségesség nem állapítható meg. Ugyanakkor az adatkezelés szükségesnek tekinthető például akkor, ha a munkáltató tevékenységi köre a kórházak COVID-19 osztályain elhelyezett orvostechnikai és egyéb eszközök javítását, karbantartását foglalja magában. Megállapítható a szükségesség abban az esetben is, ha a munkáltató egy szociális intézmény, amelynek bentlakói védelme érdekében szükséges annak a ténynek az ismerete (így annak az adatnak a kezelése), hogy az intézményben munkát végző munkavállaló védettséget élvez.
4. Kezelhető személyes adatok köre
A NAIH szerint a munkáltató kizárólag az applikáció, valamint a védettségi igazolvány, mint közokirat a koronavírus elleni védettség igazolásáról szóló 60/2021. (II. 12.) Korm. rendeletben meghatározott adatait kezelheti.
A munkáltató továbbá másolatot nem készíthet a védettségi igazolásról és csak a védettség tényét, illetve annak időtartamát rögzítheti:
„a munkáltató kizárólag az applikáció megjelenítését, illetve a védettségi igazolvány bemutatását kérheti a munkavállalóktól, azokról másolatot nem készíthet, azokat semmilyen formában és módon nem tárolhatja, és nem is jogosult azokat harmadik személy részére továbbítani, kizárólag azt jogosult rögzíteni, hogy az érintett munkavállaló igazolta a koronavírus elleni védettségének a tényét, valamint – ha az az igazolás bemutatása során megállapítható – azt, hogy ezen védettség időtartama mely időpontig áll fenn.”
Megjegyezzük, hogy a személyes adatok köre értelemszerűen még az érintett munkavállaló egyéb személyazonosító adatával is kiegészülhet (elsősorban a nevével), még akkor is, ha a NAIH erre kifejezetten nem tér ki, ugyanis más esetben az adatkezelésnek nem lenne értelme.
5. Véleményünk: összességében pozitív, némi hiányérzettel
A NAIH meglehetősen szűk körben tartja jogszerűnek a védettség tényével összefüggő adatkezelést. A tájékoztató hatálya csak a munkaviszonyokra vonatkozik (ráadásul csak a „jelenlegi járványügyi helyzetben”), így az egyéb munkavégzésre irányuló jogviszonyban foglalkoztatottak helyzetét nem rendezi, ami adott esetben jogbizonytalansághoz vezethet. Egy munkaszervezeten belül a vírus terjedése a jogviszonyok jellegétől független, így igazán hatékony védekezés a munkaterületre belépő valamennyi személy védettségének felmérésével lenne elképzelhető, függetlenül attól, hogy az adott személy munkavállaló vagy például alvállalkozó.
A szükségesség körében is igen szigorú példákat hoz fel a NAIH: a szükségesség alapvetően akkor állapítható meg, ha például COVID-19 betegeket ápoló részlegre lép be a munkavállaló. Álláspontunk szerint számos más esetben elképzelhető, hogy a biztonságos munkavégzés körülményeinek biztosítása érdekében szükséges a védettség tényének megismerése. Egy gyakori szituáció a gépipari gyártósor mellett, egymáshoz közel dolgozó személyek esete, ahol értelemszerűen indokolt, hogy csak olyan személyek dolgozzanak együtt, akik már védettek. Úgy gondoljuk, hogy érdemes lett volna olyan szituációkat is érinteni a tájékoztatóban, amelyek munkáltatók szélesebb körét érinti.
Továbbá bizonyos ellentmondások is megfigyelhetőek más jogterületekkel szemben. A tájékoztató úgy fogalmaz, hogy a munkáltató megfelelő intézkedése lehet a „távmunkavégzés elrendelése”. A munkajogi szabályozás szerint azonban a távmunkát a felek közös megegyezéssel köthetnek csak ki, így ezt a szervezeti intézkedést önmagában a munkáltató nem viheti véghez.
Összességében üdvözlendő és előremutató a NAIH tájékoztatója, hogy mivel nem zárja ki kategorikusan a védettség tényének, mint személyes adatnak a kezelését, így – szemben például az olasz adatvédelmi hatóság iránymutatásával – a munkáltatóknak több eszközük van a járvány megfékezésére és így az üzletfolytonosság fenntartására. Szintén pozitívum, hogy nem tartalmaz olyan elvárásokat, feltételeket, amelyeknek a gyakorlatban csak nagyon nehezen lehetne megfelelni. Azon munkavállók, amelyek korábban már tettek lépéseket az adatvédelmi megfelelésük érdekében, a tájékoztatóban lévő iránymutatások alapján minden bizonnyal eleget tudnak tenni a dokumentációs kötelezettségeknek a védettség tényének igazolásával kapcsolatos adatkezelés területén is.
Szerzők:
dr. Halász Bálint
partner, ügyvéd
dr. Sziládi Péter
ügyvédjelölt