A munkáltatók adatvédelmi kihívásai a koronavírus kapcsán

/in /by

Legutóbbi hírlevelünkben azokra a legfontosabb munkajogi kérdésekre tértünk ki, amelyek a koronavírus terjedése miatt váltak sürgetőkké. Kérjük, arról se feledkezzenek meg, hogy a munkáltatóknak a kialakult különleges helyzetben a munkajogi szabályozás mellett az adatvédelmi megfelelésre szintén nagy figyelmet kell fordítaniuk. Az alábbi hírlevelünkben összefoglaljuk a leglényegesebb kockázatokat, valamint azokat a javasolt intézkedéseket, amelyeket az adatvédelmi hatóság (Nemzeti Adatvédelmi és Információszabadság Hatóság – NAIH) is jogszerűnek fogad el.

  1. Kockázatok és kihívások

Az Európai Általános Adatvédelmi Rendelet (GDPR) szigorú feltételeket állított az adatkezeléshez, betartásukhoz pedig olyan hatékony eszközöket adott a nemzeti hatóságoknak, amelyek miatt a vállalkozásoknak jelentős erőforrásokat kell fordítaniuk az adatvédelmi megfelelésre. Az üzleti világ – különösen a KKV szektor, illetve azok a szervezetek, amelyek fő tevékenysége nincs összefüggésben a személyes adatok kezelésével, vagy csak érintőlegesen folytatnak adatkezelést – szükségtelen teherként élik meg a GDPR szigorát. Ennek tükrében adódhat az a feltételezés, hogy az új adatvédelmi szabályozás esetleg a munkáltatók egészségügyi intézkedései elé is felesleges akadályokat gördít.

Szerencsére ez nem így van, hisz az európai jogalkotó a GDPR megalkotása folyamán kifejezetten figyelembe vette a koronavírushoz hasonló kockázatokat, aminek eredményeként a GDPR nem nehezíti vagy lehetetleníti el a járványveszéllyel kapcsolatos intézkedéseket (a jogszabály (46) preambulumbekezdése kifejezetten kitér erre). Ennek ellenére ez nem jelenti azt, hogy a munkáltatók erre a különleges helyzetre való tekintettel bármilyen adatot gyűjthetnek vagy kezelhetnek. A szabályozás továbbra is szigorúan bünteti azokat az adatkezeléseket, amelyek nem tekinthetőek célszerűnek vagy indokoltnak, vagy amelyek kapcsán a munkáltató túllép a szerepkörén, és olyan eszközöket vet be, amelyekre csak az állami szervek jogosultak.

Kétségtelen, hogy egy ilyen helyzet szinte kivétel nélkül megkívánja azt, hogy a munkáltató szélesebb adatkört kezeljen a munkavállalókról, mint egyébként. A folyamatos kommunikáció és munkarend biztosítása miatt gyakran elkerülhetetlen, hogy a munkáltató magántelefonszámokat, e-mail címeket vagy más online elérhetőséget kezeljen. Mindezek mellett az adott gazdasági tevékenység kapcsán szükségessé válhat számtalan más jellegű személyes adat kezelése is.

Ezzel kapcsolatban általános javaslatunk az, hogy az újonnan bevezetendő munkafolyamatok megtervezésénél a munkáltatók vonjanak be adatvédelmi szakértőt, hogy biztosítani tudják a beépített adatvédelem elvének, valamint annak érvényesülésén keresztül a többi adatvédelmi alapelvben foglalt feltételnek teljesülését. A tervezést nem javasolt a vállalat adminisztratív munkatársaira, középvezetőire bízni, azok saját hatáskörében, hanem szakértő bevonásával egységes, szabályozott folyamatokat érdemes kiépíteni.

Az adatvédelem szempontjából további kihívás az utóbbi napokban széles körben alkalmazott otthoni munkavégzés elrendelése. A munkavállalók ebben a helyzetben rákényszerülnek arra, hogy legalább részben a munkáltató infrastruktúrája helyett a saját eszközeiket használják. Az ilyen intézkedések jelentős adatbiztonsági kockázattal járhatnak. Számos folyamatnál a nagyobb adatbiztonsági kockázat olyan tényező, ami hatással lehet az adott adatkezelés jogszerűségére, pl. egy jogos érdeken alapuló adatkezelés esetén az érdekmérlegelési teszt más eredményt hozhat ki alacsonyabb adatbiztonsági szint mellett.

  1. Egészségügyi, valamint utazással kapcsolatos adatok kezelése

A munkáltatók az elmúlt napokban széles körben kezdtek el alkalmazni bizonyos olyan intézkedéseket, amelyek kapcsán egészségügyi adatok kezelése merül fel. Hangsúlyozzuk, hogy az egészségügyi adatok a GDPR szerint különleges adatnak minősülnek, amelyek kezelésére szigorú korlátok és feltételek vonatkoznak, és amelyek esetében az adatvédelmi kockázat jelentősen magasabb, mint az egyéb adatok vonatkozásában.

Nem jogszerű megoldás, ha a munkáltatók bármilyen orvosi vizsgálatot maguk végeznek, vagy egészségügyi dokumentációt kérnek be a munkavállalóktól. A kötelező lázmérés elrendelése, az egészségügyi kérdőívek kitöltetése, kórtörténetre vonatkozó adatok bármilyen módon történő bekérése, és egyéb hasonló intézkedések, mind jogellenes adatkezelésnek tekinthetők, amelyeket a munkáltatók nem folytathatnak.  Ez alól a szabály alól a NAIH szerint kizárólag egyedi esetben, bizonyos olyan munkakörök kapcsán lehet mentesülni, amelyek megbetegedésnek való kitettsége magasnak tekinthető. Ilyen esetben is kötelező számos adatvédelmi feltétel betartása és egészségügyi szakember bevonása.

Az egészségügyi adatok kezelése nem tilos. A GDPR számos olyan jogalapot tartalmaz, amelyek lehetővé teszik az ilyen különleges adatok kezelését. Felhívjuk a figyelmet azonban arra, hogy az ilyen adatkezelés megkezdése előtt meg kell vizsgálni annak feltételeit. Gyakran találkozni azzal a téves gyakorlattal, hogy a munkáltató kitöltet egy hozzájárulási nyilatkozatot a munkavállalóval, és azt gondolja, hogy az biztosítja az adatkezelés jogszerűségét. Ez a gyakorlat szinte kivétel nélkül érvénytelen jognyilatkozatokat és adatkezeléseket eredményez, még akkor is, ha nem különleges adatokról van szó. Kérjük ezért partnereinket, hogy ennek alkalmazását kerüljék.

A nagyobb munkahelyeket üzemeltető munkáltatók jelentős része rendelt el az elmúlt napokban olyan kérdőívek kötelező kitöltését, amelyek arra vonatkoznak, hogy az adott munkavállaló vagy a munkahelyre belépő más személy járt-e a közelmúltban veszélyeztetett országban, vagy vannak-e olyan tünetei, amelyek alapján feltételezhető a koronavírus-fertőzés. Ezek a kérdőívek abban az esetben felelnek meg a jogszerűség feltételeinek, ha a munkáltató a bevezetésük előtt egy érdekmérlegelési teszttel meggyőződik arról, hogy az intézkedés szükséges és arányos az azzal járó munkavállalói joghátránnyal. Ahogy fent említettük, a kérdések nem vonatkozhatnak kórtörténeti adatokra, és a kérdőívekkel megszerzett adatok kezelését szükséges szabályozni.

Felmerül még a munkavállalói bejelentések jogszerűsége, amennyiben a bejelentés nem a bejelentő munkavállalókra, hanem a kollégákra vonatkozik, és azok tárgya az adott munkavállaló tünetei. Az ilyen bejelentések fogadása nem jogellenes, sőt, a munkavállalók a munkajog alapelvei (együttműködési kötelezettség, jóhiszeműség, tisztességesség) alapján nem csak jogosultak, de kötelesek is jelenteni a munkáltatónak a tudomásukra jutott, munkavégzéssel kapcsolatban felmerülő egészségügyi kockázatokat. Álláspontunk szerint azonban az ilyen bejelentések megtételét úgy kell szabályozni, hogy az maradéktalanul megfeleljen az adatvédelmi előírásoknak, és hogy ne eredményezze a betegnek vélt munkavállalók stigmatizálását, diszkriminációját.

  1. Javasolt intézkedések

Általánosan azt javasoljuk partnereinknek, hogy csak akkor kezeljenek személyes adatot, ha az elkerülhetetlen. Amennyiben rendelkezésre áll olyan megoldás, ami helyettesíti az adatkezelést, úgy azt mindenképpen preferálják. Emellett a kockázatos adatkezeléseknél az átláthatóság alapelvének javasolt magas szinten eleget tenni, és részletes, valamint közérthető tájékoztatót készíteni minden intézkedésről.

Európa adatvédelmi hatóságai a napokban elkezdték kiadni a koronavírus helyzettel összefüggő adatvédelmi kérdésekre vonatkozó ajánlásaikat. Az egyes hatóságok jogértelmezései nagyban különböznek egymástól. Számos esetben előfordul, hogy bizonyos jogalapok az egyik tagállamban legálisak, de máshol nem alkalmazhatóak, illetve hogy egyes tagállamok hatóságainak álláspontja szerint a munkáltatóknak minimális lehetősége van a hasonló adatkezelésekre. Több hatóság ugyanakkor kifejezetten kijelentette, hogy a GDPR nem korlátozza a jogalanyokat az ilyen helyzetekben. A fentiek okán javasoljuk, hogy a multinacionális cégek ne hagyatkozzanak az anyacégek által vagy csoportszinten elfogadott eljárásokra, belső szabályokra. A magyar vállalkozásoknak kifejezetten a NAIH iránymutatásai szerint kell betartani az adatvédelmi jogszabályokat.

Végül pedig felhívjuk a figyelmet arra, hogy a NAIH bizonyos munkáltatói intézkedéseket kifejezetten javasol, melyeket az alábbiakban foglalunk össze:

A NAIH az ilyen helyzetekre ún. pandémiás vagy üzletmenet-folytonossági cselekvési terv kidolgozását javasolja. Az ilyen cselekvési tervek nem tisztán adatvédelmi tárgyú dokumentumok, viszont a vonatkozó adatvédelmi kockázatok figyelembevételével kerülnek kialakításra. A terv részeként kidolgozott részletes munkavállalói tájékoztatók szintén nem csak az adatvédelemi feltételekre korlátozódnak, hanem tájékoztatást adnak a koronavírussal kapcsolatos tudnivalókról, valamint a fertőzésveszéllyel kapcsolatos teendőkről. A NAIH hasonló helyzetben indokoltnak tartja az üzletmenet és az üzleti utak átszervezését is, melynek része az otthoni munkavégzés szabályozása is. A fentiek mellett a NAIH fontosnak tartja, hogy a cselekvési terv tartalmazzon figyelemfelhívást arra vonatkozóan, hogy feltételezett fertőzés esetén annak tényét haladéktalanul jelentsék, valamint forduljanak az üzemorvoshoz vagy kezelőorvoshoz.

Ahogy a szükséges munkajogi dokumentáció elkészítése kapcsán, úgy az adatvédelem területén is kiemelt prioritásként kezeljük a partnereink fentiekkel kapcsolatos megkereséseit és mindent elkövetünk, hogy a lehető legrövidebb idő alatt elősegítsük a jogszabályi megfelelés megteremtését!

Amennyiben a fentiekkel kapcsolatban segíthetünk Önöknek, kérjük keressenek bennünket bizalommal!