Védettségi igazolvány kontra GDPR: Mit ismerhet meg a munkáltató? (I. rész)
A témakör egyik legnagyobb vitája alakult ki a koronavírus-oltás védettségi igazolványának adatvédelmi kérdéseivel kapcsolatban. Jogászok, adatvédelmi és egészségügyi szakemberek, jogvédő szervezetek különböző megközelítésből próbálják elemezni a helyzetet és tanácsot adni, álláspontokat kialakítani a jelenleg megválaszolhatatlannak tűnő kérdésekkel kapcsolatban.
Kétrészes cikkükben a védettségi igazolványhoz köthető személyes adatok munkáltató általi megismerésének főbb dilemmáit vesszük górcső alá, illetve az ezzel kapcsolatos legfontosabb jogszabályi rendelkezéseket, következtetéseket mutatjuk be.
Mit mondanak a hatóságok?
E kérdéskör boncolgatásával elég ingoványos talajra lépünk, mivel szakmai tekintetben megalapozott általános érvényű, védhető álláspont és gyakorlat a mai napig nem alakult ki.
Az Európai Adatvédelmi Testület (EDPB) 2020. március 19-én kiadott nyilatkozatában már kifejtette, hogy a foglalkoztatással kapcsolatban a COVID-19 járvánnyal összefüggésben a személyes adatok kezelése szükséges lehet a munkáltatót terhelő jogi kötelezettség teljesítéséhez (például a munkahelyi egészséggel és biztonsággal kapcsolatos kötelezettségeknek történő megfeleléshez), másrészt közérdekből (többek között a betegségek és a veszélyek elleni védekezés).
Az európai uniós nyilatkozat kiadásától eltelt több mint egy évben a téma a figyelem középpontjába került, számos megkeresés érkezett a Nemzeti Adatvédelmi és Információszabadság Hatósághoz is, mind a köz-, mind pedig a magánszférába tartozó szervezetektől, mint foglalkoztatóktól, hogy jogosultak-e kezelni (megismerni, nyilvántartani) a foglalkoztatottak védettségének tényére vonatkozó adatokat. A NAIH 2021. április 1-én kiadott NAIH-3903-1/2021. számú tájékoztatója ad ugyan egy általános tájékoztatást a kérdéskörben, ám elolvasása után is marad némi hiányérzet bennünk, mert konkrét, kézzel fogható útmutatást mégsem kapunk.
A magyar álláspont
A Hatóság kimondja, hogy a munkáltató jogszerűen kérdezhet rá a védettségre, ha ehhez munkajogi, munkavédelmi, munkaszervezési célokat, érdekeket tud igazolni (Munka Törvénykönyve, Munkavédelmi törvény). A munkavállaló személyiségi joga akkor korlátozható, ha a korlátozás a munkaviszonya rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos. Munkajogi, munkavédelmi, foglalkozás-egészségügyi, munkaszervezési célból, a munkahelyi kockázatértékelés alapján meg kell határozni azt a személyi kört, ahol szükséges és arányos intézkedésnek minősülhet a védettség tényének munkáltató általi megismerése. A kockázatértékelés dönti el, hogy mely területen dolgozó munkavállalóktól kérhető el a védettségi igazolás: azt például, aki home office-ban dolgozik, nem lehet kötelezni védettségi igazolás bemutatására. Alapul szolgálhat, ha többen ülnek egy irodában, ha ügyfelekkel találkoznak, hiszen ott harmadik személyek védelme, egészsége is felmerül a kockázatértékelésnél.
A kockázatértékelést és a munkaszervezési feladatokat munkakörönként és a munkavégzés helye szerint szükséges elkészíteni, hiszen teljesen eltérő kitettségek képzelhetőek el a fertőzés tekintetében. A kockázatokat minden esetben objektív szempontok szerint kell megbecsülni. Az ügyfelek és a munkavállalók közötti kapcsolat jellegét alaposan meg kell vizsgálni, ki kell szűrni például az üzemorvos segítségével az olyan munkaköröket vagy munkavégzési helyeket, amelyek esetén az ügyféltérben a távolságtartás megoldható, vagy a munkaterület légtere alapján a megfertőződés esélye alacsonyabb. Így például nem mindegy, hogy egy személyes ügyfélszolgálatról, vevőszolgálatról, recepcióról, kozmetikáról, pénztárról, személyre szabott ruhakészítésről van szó, vagy egy nagyáruház eladóteréről, illetve olyan csomagszállításról, melegétel-kiszállításról, ahol már bevált az érintésmentes átadás.
Az adatkezelés szükséges lehet továbbá, ha a munkáltató tevékenységi köre nagymértékben kitett a COVID-19 vírusnak: karbantartási munkálatok végzése egészségügyi intézményekben, szociális intézményben folytatott tevékenység – utóbbi esetben a bentlakók védelme érdekében szükséges annak ismerete, hogy a munkavállaló védettséget élvez-e.
A NAIH-tájékoztató hangsúlyozza, hogy a munkáltató csak a védettség tényét és időtartamát ismerheti meg, tehát az igazolvány bemutatását kérheti, de azt le nem másolhatja, nem tárolhatja.
Fentiek szerint tehát az adatkezelésnek kizárólag a munkavállaló beazonosítására, a védettség tényére és a védettség időtartamára (ha ez ismert) kell szorítkoznia. További személyes adatok a nyilvántartásban nem szerepelhetnek. Nem tanácsos továbbá a nyilvántartást jelszavas védelem nélkül tárolni a közös szerveren, illetve, ha nem feltétlenül szükséges, nem javasolt elküldeni bármely más szervnek, szervezetnek, a cégcsoport másik tagjának.
Általában is alapvetően kerülendő, hogy a munkavállalókról a munkavégzéshez és a munkaviszony fenntartásához nem kapcsolódó személyes adatokat tartsunk nyilván, például alapbetegségeket, hozzátartozók személyes adatait, a munkavállaló egyéb nem releváns adatait: utazási adatokat, ki milyen vakcinát kapott, ki és miért nem kívánja magát beoltatni. A legjobb, amit tehetünk munkáltatóként, ha ezekre az adatokra nem is kérdezünk rá, illetve, ha ez mégis megtörténik, tartsuk szem előtt, hogy nyilvántartást vezetni ezekről az adatokról semmiképp sem ajánlott.
Tekintettel arra, hogy a GDPR 9. cikke szerint a személyes adatok különleges kategóriájába tartozó egészségügyi adatok kezeléséről van szó, ráadásul egy olyan jogviszonyban, ahol a munkaadó és a munkavállaló közötti alá-fölérendeltségi jogviszony megváltoztatja az adatkezelő és az érintett között fennálló erőviszonyokat, fokozott figyelemmel kell eljárnunk. Az érintett hozzájárulása ebben az esetben erősen megkérdőjelezhető jogalap. Mindezek alapján úgy látjuk, hogy bár az adatkezelés jogi alapjai megvannak, mégis sok hibával, helytelen gyakorlattal találkozunk – amit a NAIH által kiszabott és márciusban nyilvánosságra hozott alábbi büntetés is jól mutat.
Egy NAIH büntetés a közelmúltból
Ahogy a magyarországi GDPR büntetéseket nyilvántartó oldalunkon – a https://gdprbirsagok.hu-n – már korábban bemutattuk, a Hatósághoz egy magánszemély e-mail címéről közérdekű bejelentés érkezett, amelyhez a bejelentő egy neki továbbított e-mail üzenetet és annak mellékleteként egy excel táblázatot csatolt. A szóban forgó e-mailt és táblázatot a Budapest Főváros Kormányhivatala Népegészségügyi Főosztálya még tavaly áprilisban küldte meg a XI., XII., XXII. kerületek valamennyi felnőtt- és gyermekháziorvosa részére. A bejelentő egyébként nem volt az eredeti üzenet címzettje, azt neki is közvetetten továbbították egy másik magán e-mail címről. A csatolt táblázat az OMSZ által a járványhoz kapcsolódóan gyűjtött minták eredményeit tartalmazta: 1153 beteg személyes adatait, panaszait, vizsgálati eredményüket; mindezt olvasható módon, titkosítás nélkül, bárki által megtekinthető formában.
A Kormányhivatal adatvédelmi tisztviselője szerint a táblázat elküldése előtt az abban szereplő adatokat körzetenként le kellett volna válogatni és külön-külön megküldeni a háziorvosoknak, mivel az adott háziorvos csak a vele orvos-páciens viszonyban lévő érintettek adatait ismerhette volna meg. Emellett kiemelte, hogy az adatvédelmi incidens nem járt kockázattal a természetes személyek jogaira, így az incidens bejelentését a Hatóság irányába nem tartották indokoltnak.
A NAIH ezzel ellentétes álláspontja szerint a Kormányhivatal nem alkalmazott megfelelő technikai és szervezési intézkedéseket (például jelszavas hozzáférés-védelem) az egészségügyi adatok bizalmasságának megőrzése érdekében az adattovábbítás során. A kockázatelemzésnél pedig nem a megfelelő kategóriába sorolták az incidenst, ezért elmulasztották a Hatóság és az érintettek tájékoztatását. A NAIH 10.000.000.- Ft összegű adatvédelmi bírságot szabott ki a Kormányhivatalra.
Mindezek alapján jól láthatjuk, hogy az egészségügyi adatok kezelésének folyamata rengeteg kockázatot rejt, így nagyon fontos körültekintően eljárnunk, ha ilyen adatokat kezelünk. Ezt erősíti meg a bírság is, amely intő példaként szolgál.
Cikkünk folytatásában megnézzük, milyen további szempontokra érdemes odafigyelni az adatkezelések során, mik a gyakori hibák, illetve – kellő odafigyeléssel – a jó megoldások; majd néhány gondolat erejéig kitekintünk egyes uniós országok megoldásaira is.