A COVID-19 járvánnyal kapcsolatos megelőző és a járványt kezelő intézkedések elkerülhetetlenül együtt járnak a személyes adatok kezelésével is. Az adatvédelem nem képezi akadályát a járvány elleni küzdelemnek, ugyanakkor azonban a személyes adatok védelmét a veszélyhelyzet idején is garantálni szükséges. A jelenlegi helyzetben ugyan bizonyos szabadságjogok átmenetileg korlátozás alá kerülhetnek azonban ennek minden esetben szükségesnek és arányosnak kell lennie. A GDPR egy olyan általános jogszabály, melynek rendelkezései a személyes adatok kezelésére rendkívüli időkben – mint például a jelenlegi járványhelyzetben – is alkalmazandók (a GDPR preambuluma kifejezetten utal a járvány idején történő adatkezelésekre is). A GDPR lehetővé teszi az illetékes közegészségügyi hatóságok és a munkáltatók számára, hogy a járvánnyal kapcsolatos esetekben a nemzeti jogszabályokkal összhangban és az ott meghatározott feltételekkel kezeljenek személyes adatokat. (Példának okáért, ha az adatok kezelésére a közegészségügy területén jelentős közérdek miatt van szükség, akkor nincs szükség az egyének hozzájárulására.) A GDPR tehát eltérést enged a személyes adatok egyes különleges kategóriáinak, például az egészségügyi adatok kezelésének tilalma alól, amennyiben az a közegészségügy területén fennálló jelentős közérdek miatt vagy az érintett alapvető érdekeinek védelme érdekében szükséges.
1.) Munkáltatói intézkedésre irányadó szabályok
Mint ahogy fentebb már utaltunk rá munkaviszony keretében is szükség lehet az adatkezelésre a jogi kötelezettségek (pl. az egészséges és biztonságos munkavégzés feltételeinek biztosítása) teljesítése érdekében.
A GDPR szellemében a nemzeti jogszabályokra is kiemelt figyelemmel kell eljárni, amikor a munkáltató munkavállalók, illetve látogatók tekintetében adott esetben egészségügyi adatnak minősülő adatot kezelne.
A GDPR értelmében egészségügyi adat egy természetes személy (ember) testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról. Az egészségügyi adat a személyes adatok kategórián belül is egy magasabb védelmet élvező kategória, ami a személyes adatok különleges kategóriájába tartozik. Főszabályként kezelésük tilos. A munkáltatók egészségügyi adatot csak akkor kezelhetnek, ha erre a rájuk vonatkozó jogi kötelezettség – például a munkahelyi egészségvédelem és biztonság megőrzése, vagy a közérdekkel összefüggésben – teljesítéséhez szükség van.
A munkáltatóknak különös gonddal kell eljárniuk az arról való tájékoztatás során, hogy valaki megfertőződött a COVID-19 vírussal. A megfelelő intézkedések megtétele során erre vonatkozóan tájékoztatást kell adni, de oda kell figyelni arra, hogy a tájékoztatás a szükséges információkra korlátozódjon. A munkáltatók az érintettek integritását és emberi méltóságát sem hagyhatják figyelmen kívül olyan esetekben, amikor a jog keretein belül szükségessé válik bármely személyes adat (név) felfedése (pl. a fertőzésút megismerése érdekében). Az ilyen jellegű adatkezelés is csak annyiban lehet indokolt, amennyiben nincs más olyan megoldás, amely a szükségesség és arányosság elvének alapulvételével adatkezelés vagy ezen belül a személyes és/vagy egészségügyi adat kezelése nélkül is képes a kívánt cél elérésére. (Ilyen megoldás lehet például a higiéniai, takarítási szabályok szigorítása, találkozók, események elhalasztása, ezek azonban a potenciális vírushordozó személyek kiszűrésére nem jelentenek megoldást.)
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2020. március 10-én tájékoztatót (https://naih.hu/files/NAIH_2020_2586.pdf) adott ki a koronavírus járvánnyal kapcsolatos adatkezelésekről. Ezen tájékoztató a járványügyi események függvényében a jövőben könnyen elképzelhető, hogy változni, módosulni fog.
A tájékoztató alapján a munkáltatótól az alábbi intézkedések várhatók el:
- pandémiás / üzletmenet folytonossági cselekvési terv kidolgozása (a javasolt megelőző lépésekről, az esetleges fertőzés során alkalmazandó intézkedésekről, a vonatkozó adatvédelmi kockázatokat, a felelősségi köröket, a tájékoztatást elősegítő megfelelő kommunikáció kialakításáról);
- részletes tájékoztató elkészítése és a munkavállalók rendelkezésére bocsátása (legfontosabb tudnivalókról – fertőzés forrása, terjedés módja, lappangási idő, tünetek, megelőzés -, és arról, hogy kikhez fordulhatnak a munkavállalók szükség esetén;
- szükség esetén az üzletmenet, üzleti/szolgálati utak és események átszervezése, home office biztosítása;
- nyomatékos figyelemfelhívás arra vonatkozóan, hogy a COVID-19 vírussal való feltételezett érintkezés esetén, valamint a tájékoztatásban szereplő egyéb feltételek bekövetkezésekor a munkavállalók saját maguk és munkatársaik egészségének védelme érdekében haladéktalanul jelentsék a kijelölt személy részére, valamint forduljanak üzemorvoshoz / kezelőorvoshoz.
A tájékoztatóból kiemeljük, hogy a NAIH elfogadhatónak találja a munkáltató általi megfelelő tájékoztatáson alapuló olyan kérdőívek kitöltetését, amelyek az alábbi adatokra vonatkoznak:
- a munkavállaló személyazonosságának megállapításához szükséges adatai,
- annak ténye, hogy a munkavállaló utazásának helyszíne és időpontja egybeesik-e a munkáltató tájékoztatójában felsorolt területekkel és időpontokkal,
- a tájékoztatóban megjelölt területekről érkező személyekkel való érintkezés tényére vonatkozó adatok, valamint
- a munkáltató által megtett intézkedésekre vonatkozó adatok,
- amennyiben előzetes kockázatelemzés alapján a munkáltató arra az eredményre jutott, hogy az intézkedés szükséges és arányos mértékben korlátozza a munkavállalók magánszférájához fűződő jogát.
A tájékoztató szerint azonban az említett munkahelyi kérdőívek nem tartalmazhatnak az egészségügyi kórtörténetre vonatkozó adatokat és a munkáltató egészségügyi dokumentáció becsatolását sem írhatja elő. Fontos kiemelni, hogy egyelőre a mindenkire kiterjedő – pl. lázmérőt alkalmazó – szűrővizsgálatok előírása sem minősül arányos intézkedésnek. Ez a közeljövőben a fentebb kifejtettek okán szintén változhat.
A felek együttműködési kötelezettségéből, valamint a jóhiszeműség és tisztesség elvéből is következő általános magatartási követelmény volt eddig is, hogy a munkavállalóknak tájékoztatniuk kell a munkáltatót arról, ha bármilyen, a munkahelyet, a munkavállalókat vagy a munkavégzés során a velük kapcsolatba kerülő harmadik személyeket érintő egészségügyi kockázatról van tudomásuk, ideértve saját potenciális fertőzöttségüket.
Szükséges továbbá a teljesség kedvéért említeni, hogy a Kormány 2020. március 18-i rendeletével úgy döntött, a Munka Törvénykönyve tekintetében bizonyos eltéréseket enged. Ilyen például, hogy a veszélyhelyzet megszűnését követő harminc napig
- a munkáltató a munkavállaló számára az otthoni munkavégzést és a távmunkavégzést egyoldalúan elrendelheti, illetve
- a munkáltató a munkavállaló egészségi állapotának ellenőrzése érdekében a szükséges és indokolt intézkedéseket megteheti.
Különösen fontos, hogy az idézett kormányrendeleti rendelkezés is hangsúlyozza a szükségesség és indokoltság (arányosság) szempontjait.
2.) Adatvédelem és home-office
A járvány terjedésének lassítása, valamint a munkavállalók egészségének védelme céljából és a munkatársak személyes kapcsolatainak, illetőleg a tömegközlekedési eszközök használatának minimalizálása érdekében elrendelt otthoni munkavégzés (home office) esetén az IT biztonsági szint csökkenhet. Ennek okán az adatbiztonságra különösebb gondot szükséges fordítani, mellyel kapcsolatosan a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete megfontolandó, megtartandó ajánlásokat tett közzé a biztonságos home office munkavégzés érdekében (https://nki.gov.hu/it-biztonsag/hirek/biztonsagos-home-office/).
Fontos tehát szót ejteni arról is, hogy abban az esetben ha a home office munkavégzés keretei (pl. a munkához igénybe vehető eszközök, azok munkáltató általi ellenőrizhetősége) nincsenek megfelelően szabályozva, az adatbiztonsági szempontból súlyoz problémákhoz, adatvédelmi incidenshez vezethet – akár személyes adatok elvesztéséhez vagy ezeknek illetéktelen személyek általi hozzáféréséhez is, nem beszélve az üzleti titok védelmének megsértéséről.
Ennek okán is van jelentős szerepe a legminimálisabb szinten a tűzfalvédelemnek, a jelszavak és vírusirtó programok használatának, továbbá az adatvédelmi incidensek esetére kialakított belső eljárásrendnek, szabályzatoknak.
A home office munka során felmerül a munkahelyi ellenőrzés kérdése is. Az Mt. főszabályként kimondja, hogy a munkavállaló a munkáltató által biztosított számítástechnikai eszközöket kizárólag a munkaviszony teljesítése céljából használhatja, és a munkáltató a magáncélú használat tilalmának betartását vizsgálhatja. Az Mt-ben foglalt főszabálytól ugyanakkor a felek megállapodásukban eltérhetnek, és így a magáncélú használatra is lehetőség nyílik. Abban az esetben azonban, ha munkaszerződés, belső adatvédelmi szabályzat, vagy más irat nem rendelkezik a fenti kérdésben, úgy kell tekinteni, hogy a munkáltató laptopja kizárólag munkavégzésre használható. Jelen helyzetben a magáncélú használat engedélyezése megfontolandó.
3.) Intézkedések ügyfelekkel és üzleti partnerekkel szemben
A munkáltató harmadik személyek – pl. látogatók, ügyfelek – tekintetében is jogosult a járvány terjedésének korlátozását, valamint a negatív hatások csökkentését elősegítő intézkedéseket hozni. E körben is azonban fontos a fent írtak szerinti (NAIH tájékoztató szerinti) megfelelő cselekvési terv – melyben pl. a cég irodahelyiségeibe történő belépés is megtiltható -, tájékoztató elkészítése, események, találkozók átszervezése és figyelemfelhívás, a GDPR alapelveinek betartása mellett.
4.) GDPR alapelvek betartása
Az adatvédelmi alapelveknek a veszélyhelyzet idején továbbra is érvényesülniük kell:
- Az adatkezelés célhoz kötöttségének ebben a helyzetben is kiemelt jelentősége van,
- Fontos, hogy az adatkezelők megfelelő tájékoztatást nyújtsanak a járvány megelőzésével kapcsolatos adatkezelésről (transzparencia).
- Az adatbiztonsági intézkedésekre is nagy hangsúly kell fordítani (lásd pl. home office munkavégzés esetén).
- Az arányosság és az adattakarékosság elvének betartása továbbra is alapfeltétel.
- Az elszámoltathatóság jegyében szükséges, hogy megfelelően dokumentálásra kerüljenek az intézkedések, tekintettel arra, hogy az adatkezelő felelős az összes fent ismertetett elvnek való megfelelésért, továbbá képesnek kell lennie arra, hogy ezt a megfelelés igazolja is, vagyis az adatkezelő addig, amíg nem tudja bebizonyítani, hogy mindenben megfelelt a GDPR előírásainak, valójában “bűnösnek” tekinthető.
5.) Összefoglalás
Az adatkezelők (pl. munkáltatók) adatkezelési tájékoztatója nagy valószínűséggel nem rendelkezik a jelen pandémiás helyzetre vonatkoztatható adatkezelésről. Emiatt mindenképp célszerű – különös az adatvédelem „szuperelvére”, azaz a fent írtak szerinti elszámoltathatóságra tekintettel – a meglévő tájékoztatókat ellenőrizni és adott esetben azokat kiegészíteni, vagy a csak a COVID-19 készített adatkezelési tájékoztatót készíteni, továbbá a home office szabályaira, illetőleg az adatvédelmi incidensekre vonatkozó belső szabályzatot, eljárásrendet kialakítani és írásba foglalni. Ha adatkezelési tájékoztatója ellenőrzése, kiegészítése, a fenti dokumentumok elkészítése tekintetében vagy az adatvédelem terén bármilyen kérdése merül fel, Irodánk akár online konzultációval is áll szíves rendelkezésére.
