Koronavírus adatkezelési vonzatai

 Jelen blogbejegyzésem hosszabbra sikerült a szokásosnál, mivel korábbi hírleveleimből is idézek. Szeretném egy helyre összegyűjteni segítségképpen, minden adatkezelőnek, hogy a hatóság az elmúlt időszakokban milyen állásfoglalásokat hozott a koronavírushoz kapcsolódóan.

1. Munkavállalók védettségi információinak gyűjtése az adatkezelőnél

(2021. április)

Ez a legújabb állásfoglalása, ezért ezzel kezdem, mivel a többi már korábbi hírlevelemből megismerhető volt.

Tanulság előre: A NAIH elfogadja az adatkezelés jogszerűségét, ha megfelelően és előre felkészülve alá tudjuk támasztani és ledokumentálni!

 Mivel a védettség / Covid fertőzés ténye egészségügyi adatnak minősül, mely különleges személyes adat, így csak a GDPR rendelet tételesen felsorolt eseteiben kezelhető, ami a GDPR 9. cikk. (2)-es bekezdésében szereplő esetek. A hatóság a jogszabályi előírást találta erre a helyzetre megfelelőnek, a lentebb hivatkozott paragrafusok miatt.

A NAIH preferálna egy átfogó jogszabályt, amely minden szempontból rendezné a védettséget tartalmazó adatok megismerhetőségéről, de addig is igyekszik útmutatást adni a jogkövető adatkezelés kialakításához.

Az koronavírus fertőzéshez kapcsolódó adatkezeléseket átfogó jogszabály hiányában, az állásfoglalása csak a munka törvénykönyvén, és a GDPR rendeleten alapul, így csak a munkaviszonyban foglalkoztatottak személyes adatainak, munkáltató általi megismerésére vonatkozik. A más egyéb jogviszony alapján dolgozó Érintettre ezen állásfoglalás nem érvényes.

A NAIH a munka törvénykönyvélből kiemeli:

  • 9§ (2), mely a munkaviszonnyal összefüggő adatkezelések arányosságát írja elő,
  • 10§ (1), mely munkáltató által megkövetelhető munkavállalói nyilatkozatokról rendelkezik,
  • 51§ (4), mely az egészséget nem veszélyeztető és biztonságos munkavégzés körülményeit írja elő,
  • 57§ (7) b) és h) pontja, mely az egészséges munkakörülmények rendszeres ellenőrzésének és intézkedést ennek megőrzésére kötelezettséget írja elő.
  • 60§ (3) Munkavállaló együttműködési körülménye a Munkáltatóval az egészséges munkakörülmények megteremtésére.

A fenti jogszabályi pontok alapján a NAIH elfogadja, hogy vannak olyan esetek, melyeknél a munkáltató jogosan hívja fel nyilatkozatra, és kezeli a koronavírus védettséghez kapcsolódó adatokat.

DE….. ennek előfeltétele a hatóság szerint egy megfelelő kockázatelemzés!

A kockázatelemzést, a hatóság, elsősorban nem adatvédelmi kérdésnek, hanem az adatkezelő iparági sztenderdjei, és a rá vonatkozó speciális jogszabályi követelmények által előírt szempontok összességének tekinti. Így úgy értelmezem, hogy annak megfelelőségét kizárólag, csak az GDPR alapelvei szerint fogja vizsgálni, más szempontból nem, de kiemelte a szükségesség, arányosság, alkalmasság szempontjait.

 Tehát a Munkáltató, ha védettségi adatokat igényelne a munkavállalótól, ez akkor lesz jogszerű, ha előtte megfelelően mérlegelte, hogy mi módon küszöbölheti ki a munkavállalóinak, ügyfeleinek, partnereinek megbetegedését, milyen kockázattal járna egy megbetegedés a munkavállalói, külső érintettek körében, valamint mérlegeli az adatkezelő szervezetére, tevékenységére ható következményeit egy Covid fertőzött munkavállalónak.

 Értelmezésem szerint egy bővített érdekmérlegelést kellene készítenie a munkáltatónak, mint kockázatelemzés, mely egészségügyi, munkaszervezési, iparági szempontokat is tartalmaz.

 A hatóság kiemelte, hogy ezt nem egységesen, hanem munkakörökre lebontva kell megvizsgálni.

 További követelmény, hogy a kockázatelemzésben meghatározott lépéseket meg is valósítsa a munkáltató! Nem elég leírni, csak a fióknak. Ha nincs megvalósítása a kockázatcsökkentő lépéseknek, akkor nem lesz jogszerű az adatkezelés.

 Fontos szempont az elszámoltathatóság elve, vagyis ezen kockázatelemzéseket, kockázat csökkentő lépéseket dokumentáljuk le. Készítsünk jegyzőkönyvet a kockázatcsökkentő lépések megtételének tényéről, vagy más írásos nyoma legyen, például vezetői utasítás formájában.

 Az adattakarékosság elvére is kitért, vagyis csak a védettség tényét ismerheti meg a munkavállaló, valamint a védettségi igazolvány lejáratának dátumát, mást nem gyűjthet. Fényképet, egyéb adatot ne kezeljen ezzel kapcsolatban.

A szükségesség elvét is hangsúlyozta a NAIH, amit már a munkakörre lebontott kockázatelemzés is biztosít. Ezt az adatkezelést, csak olyan esetben jogszerű így előírni, amikor tényleg más módon nem tudjuk a kockázatot elkerülni. Például egy otthoni munkavégzésben is dolgozni tudó munkavállalónál nem indokolt, míg egy ügyfélszolgálati ügyintézőnél, aki naponta több tíz vagy száz személlyel találkozik testközelben, elfogadható lehet.

Az adatkezelési tájékoztató vagy annak frissítése is alapvető fontosságú erről az adatkezelésről, mely az átláthatóság alapelvét biztosítja.

Gondoskodni kell az adatok biztonságáról és pontosságáról, ahogy minden más adatkezelésben is.

A NAIH kiemelte, hogy a munkáltató, ha bevezeti ezt az adatkezelést, akkor ennek eredménye alapján, kötelező a szükséges munkaszervezési lépéseket is megtenni, tehát a nem védett munkavállalói munkavégzését oly módon megoldani, hogy a lehetőségekhez képest a megfertőzési lehetőségektől védve legyenek, pl: otthoni munkavégzéssel, vagy bármi módon, akár külön irodákba szervezéssel.

Ha valaki részletesebben szeretne tájékozódni, az alábbi linken megteheti:

https://naih.hu/dontesek-adatvedelem-tajekoztatok-koezlemenyek?download=350:a-hatosag-tajekoztatoja-a-munka-torvenykonyverol-szolo-2012-evi-i-torveny-hatalya-ala-tartozo-jogviszonyokban-a-munkavallalo-koronavirus-elleni-vedettsege-tenyenek-munkaltato-altali-megismerhetosegerol

2. Koronavírus megbetegedések nyilvántartása az adatkezelőnél

NAIH állásfoglalása a vírushelyzettel összefüggő adatkezelésekről.

(2020. március)

Az adatkezelők jogszerűen gyűjthetnek egészségügyi vagy más érzékeny adatokat az érintettekről, a koronavírus járvány miatt, ha: Más eszközzel nem tudják biztosítani a munkavállalóik egészséges munkakörnyezetét. Pl: plexi üveg alkalmazása, távolról végzett ügyfélszolgálat…stb. Ilyen esetben jogos lehet az érintettekről a szükséges egészségügyi adatok gyűjtése.

Azonban a következők betartása szükséges a jogszerű adatkezeléshez:

  • Meg kell határozni az Adatkezelés célját, jogalapját.
  • Mérlegelni kell az alapelvek meglétét, figyelve az összes alapelv teljesülésére, mint például: tájékoztatás, adattakarékosság, adatminimalizálás stb…
  • Jogos érdek jogalapnál érdekmérlegelési tesztet kell végezni.
  • Az adatok érzékenysége miatt adatvédelmi vizsgálatot kell végezni.
  • A munkaadó, az egyéb jogi kötelezettségei miatt az alábbi tevékenységeket elvégzi, elvégezheti, amiknek a személyes adatokkal kapcsolatos vonatkozásait is vizsgálni kell. 1) Pandémiás / üzletmenet folytonossági cselekvési terv. (Cselekvési terv, kockázat csökkentő lépésekről, jelentési kötelezettségekről) 2) Részletes tájékoztató a fertőzésről 3) Üzletmenet átszervezési tájékoztató 4) Vezetői utasítás a lehetséges fertőzöttség jelentéséről az előre kijelölt személynek.


A hatóság elfogadja, hogy az adatkezelő ilyen esetben egészségügyi adatokat is gyűjt, pl: ki, mikor, milyen okból kerül kockázatos besorolás alá, és vonul önkéntes karanténba. Fontos, azonban, hogy kórelőzményeket, egészségügyi dokumentációt továbbra sem gyűjthet ezen okra hivatkozva az adatkezelő.

A diagnosztikai eljárások alkalmazását általánosan a munkavállalók/érintettek számára pl: lázmérés minden belépőnek nem elfogadható a hatóság álláspontja szerint. Ha az adatkezelő diagnosztikai eljárást kíván alkalmazni az érintettekkel szemben, úgy azt csak egészségügyi szakember végezheti az orvosi titoktartással, és az adatkezelő csak a végeredmény megismerésére jogosult, hogy szükséges a karantén vagy egyéb orvosi beavatkozás vagy nem. ( Ez a bekezdés a következő állásfoglalásával a témában módosult!)

A munka törvénykönyvében szereplő munkavállaló általános együttműködési kötelezettsége miatt, az adatkezelő jogosan várhatja el, és az munkavállalónak kötelező jelentenie, ha egészségügyi kockázatról van a munkavállalónak tudomása (utazás, kontaktus olyan személlyel, aki kiemelt kockázatot jelent stb…) A hatóság felhívja a figyelmet a nem munkavállalóként az adatkezelővel kapcsolatba kerülő érintettek megfelelő tájékoztatására:

  • magáról a pandémiás helyzetről, a pandémia jellemzőiről
  • az adatkezelő által bevezetett kockázat csökkentési lépésekről
  • kit kell keresni, ha valamilyen pandémiás kockázat következett be a részükről, pl: kapcsolatba kerültek olyan személlyel aki valószínűsíthetően vírushordozó.


Ha valaki részletesebben szeretne tájékozódni, az alábbi linken megteheti: https://naih.hu/files/NAIH_2020_2586.pdf

 

3. Hőmérőzés belépési pontokon.

NAIH korábbi állásfoglalásának módosítása

(2020 október)

A NAIH, az újabb megkeresések hatására, és a vírushelyzet súlyosbodása, valamint a 2020 június 18. napjától érvényes egészségügyi válsághelyzet miatt az alábbi állásfoglalást hozta. Korábbiakhoz képest, a NAIH álláspontja megengedőbb, a testhőmérséklet méréssel kapcsolatban. Korábbi határozatához képest nem szükséges egészségügyi személyzetnek végeznie orvosi titoktartás mellett, és a GDPR alapelveinek megfelelő az ilyen tevékenység, amennyiben:
  • A testhőmérséklet mérés az adatkezelő tulajdonában, használatában lévő épület beléptetése során történik.
  • Valamennyi belépni szándékozó személyre egységesen kiterjedő ezen hőmérséklet mérési kötelezettség.
  • A testhőmérséklet mérés azonosításhoz nem kötött.
  • Nem jár adatrögzítéssel, tárolással, továbbítással.
  • Csak a belépés engedélyezése/megtagadása eldöntésének céljára irányul.
  • További következtetést ezen mérés eredménye nem okozhat, az Érintettet továbbra sem azonosíthatja.

A magasabb hőmérsékletű Érintett saját felelőssége a további tevékenység, mint a munkaadó értesítése, orvosi vizsgálat igénylése stb… Ezzel kapcsolatban a testhőmérséklet mérést végző szervezet, adatkezelő nem járhat el. Maximum statisztikai adatgyűjtést végezhet, hogy adott időszakban hány személyt nem engedett be az általa tulajdonolt, használt helyszínre.

Ha valaki részletesebben szeretne tájékozódni, az alábbi linken megteheti:
https://www.naih.hu/files/NAIH-2020-7465.pdf

Remélem segítettem, ezen írás elkészítésével, hogy ezt a fontos témát megvizsgáljuk.

Üdvözlettel,

Földvári György
Adatvédelmi szakértő

Készült: 2021.04.29.

Email: info@beszerzokozpont.hu , Adószám: 23913714-2-13 , Webcím: www.beszerzokozpont.hu

Jelen írás a szerző a véleményét tükrözi a dokumentum készítésekor az adott időpontban, és nem tekinthető jogi állásfoglalásnak!

Megosztás itt: facebook
Megosztás itt: google
Megosztás itt: twitter
Megosztás itt: linkedin
Megosztás itt: email

Korábbi bejegyzések