A koronavírus és a GDPR – adatvédelmi kérdések járvány idején

Ha a koronavírus-fenyegetés kapcsán a munkáltatók a munkavállalókra, látogatókra és vállalkozókra/beszállítókra vonatkozó, a fertőzés kockázatait esetlegesen csökkentő rendelkezések bevezetésén gondolkodnak, fontos figyelni arra, hogy az adatvédelmi megfelelés szintje se csökkenjen.

Egy szervezet óhatatlanul is hozzájuthat valamely alkalmazottja veszélyeztetettségére vonatkozó személyes adatokhoz – például, ha a munkavállaló vagy családjának tagjai olyan területen tartózkodtak, amelyben már regisztráltak koronavírusos eseteket. Ezen túlmenően a munkáltatók rendszeres jellegű adatgyűjtést is bevezethetnek – jellemzően munkahelyi kérdőívek, vagy az utazási tervek kötelező megosztása formájában, amelyek segíthetnek azonosítani a lehetséges egészségügyi kockázatokat az adott szervezetre vonatkozóan. A kapcsolódó személyes adatok akár a munkavállalók magánéletére is vonatkozhatnak: távolléte során járt-e fertőzött területen, volt-e bármilyen kapcsolata potenciálisan fertőző emberekkel, vannak-e specifikus egészségügyi problémái (pl. láz vagy más olyan tünet, amely kapcsolatba hozható a koronavírus fertőzéssel). Ezeket a személyes adatokat a GDPR alapján a munkáltató csakis meghatározott feltételek fennállása esetén kezelheti.

De hogyan lehet jogszerűen, a GDPR-ral összhangban adatokat gyűjteni a koronavírus-járvánnyal összefüggésben?

A koronavírussal kapcsolatos személyes adatok jogszerű gyűjtése

A munkavállalók számára egészséget nem veszélyeztető munkakörnyezet és biztonságos munkavégzési körülmények biztosítása, a munkavállalók egészségének védelme, valamint a munkavállalók koronavírus fertőzésével kapcsolatos kockázatok csökkentése jogszerű adatgyűjtési célok lehetnek.

A szervezeteknek azonban minden esetben át kell gondolniuk, hogy a vonatkozó személyes adatok gyűjtése szükséges és jogszerű-e. Nem kerülhet sor „készletező jellegű” adatgyűjtésre – megfelelő belső eljárásban kell rögzíteni, hogy az adatok a gyakorlatban mire használhatók fel – például, hogy szükség esetén a járványveszéllyel érintett személy azonosítható legyen, valamint hatósági adatkérés teljesítésére, ha fel kell mérni, hogy egy veszélyeztetett személy kivel került kapcsolatba.

A koronavírus-járvány jelenlegi fázisában a szervezetek óvintézkedésként általában a következő személyes adatokat gyűjtik: annak ténye, hogy az érintett (vagy a vele egy háztartásban élő személy) járt-e a megelőző 15 napban koronavírus szempontjából magas kockázatúnak minősített országban, érintkezett-e olyan személlyel, aki a megelőző 15 napban a fenti országokban járt, valamint van-e influenzára hasonlító tünete (láz, köhögés vagy légzési nehézség).

Kérdés még, hogyan biztosítható a GDPR 5. cikke alapján az adatok „korlátozott tárolhatósága” –megengedett-e addig megőrizni az adatokat, amíg illetékes hatóságok megerősítik a koronavírus járvány, illetve a koronavírussal kapcsolatos fertőzésveszély végét.

Specifikus jogalapok egészségügyi adatok kezelésére

Egészségügyi adatok gyűjtése esetén a GDPR 6. és 9. cikkeiben meghatározott jogalapokat együttesen kell alkalmazni. A GDPR 6. cikk (1) c) megengedi a személyes adatok kezelését, ha az az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. Ilyen jogi kötelezettség lehet, hogy a munkáltató a Munka Törvénykönyvéről szóló 2012. évi I. törvény („Mt.”) 51. § (4) bekezdése alapján köteles biztosítani az egészséget nem veszélyeztető és biztonságos munkavégzés követelményeit, valamint köteles a munkavédelemről szóló 1993. évi CXXIII. törvény előírásait is betartani. Ennek a kötelezettségnek a része lehet a lehetséges fertőzések kockázatainak csökkentése. Megfelelő érdekmérlegelési teszt alapján személyes adatokat a GDPR 6. cikk (1) b) pontja alapján az adatkezelő vagy harmadik személy jogos érdekéből is lehet kezelni.

Az egészségügyi adatok kezelését a GDPR 9. cikk (2) b) pontja teszi lehetővé, ha az a foglalkoztatást szabályozó jogi előírások teljesítése érdekében szükséges. Az alkalmazandó tagállami jogszabály lehet a fent hivatkozott Mt. 51. § (4) bekezdése szerinti munkavédelmi kötelezettség, valamint a munkavédelemről szóló 1993. évi CXXIII. törvény. Szóba jöhet még a GDPR 9. cikk (2) i) pontja, ami megengedi az egészségügyi adatok kezelését, ha az határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás területét érintő olyan közérdekből szükséges. Ezt azonban megfelelő uniós vagy tagállami jogszabály kell, hogy lehetővé tegye, és ilyen jogszabály Magyarországon a koronavírus-járványra vonatkozóan egyelőre még nincs. Olaszországban például igen: a vészhelyzet esetén korlátozható állampolgári jogokkal kapcsolatos (2020. február 3-án elfogadott, 630. számú) minisztertanácsi rendeletet az adatvédelmi hatóság (Garante) is előzetesen jóváhagyta.

Az adatvédelmi hatóságok gyakorlata a koronavírussal kapcsolatban

Az EU-s adatvédelmi hatóságok gyakorlata jelenleg nem egységes a koronavírussal kapcsolatos személyes adatok kezeléséről.

A Nemzeti Adatvédelmi és Információszabadág Hatóság egyelőre nem bocsátott ki iránymutatást a koronavírussal összefüggő specifikus adatkezelési műveletekkel kapcsolatban.

Az olasz Garante március 2-i álláspontja (Garante) inkább korlátozó: eszerint a munkavállalóknak tartózkodni kell az előzetes, rendszeres és általános adatgyűjtéstől, ideértve a munkavállalók számára feltett specifikus kérdéseket is (például arról, vannak-e neki vagy a vele kapcsolatban levő személyeknek influenzára utaló tünetei).

Szintén korlátozóbb megközelítést követ a francia adatvédelmi hatóság (Commission nationale de l’informatique et des libertés – CNIL) (csak franciául elérhető) iránymutatása – nem támogatja a munkahelyi kötelező lázmérés bevezetését, valamint a koronavírussal összefüggő kockázatokra vonatkozó kérdőívek használatát.

A dán adatvédelmi hatóság (Datatilsynet) (csak dán nyelven hozzáférhető) március 5-i véleménye rugalmasabb: eszerint a munkáltatók jogszerűen rögzíthetnek és továbbíthatnak azzal kapcsolatban adatokat, hogy a munkavállalók utaztak-e járványügyi szempontból kockázatosabb térségben, továbbá (az alapulfekvő ok megjelölése nélkül) betegek-e, vagy esetleg önkéntes karanténban vannak.

Munkavállalói aggályok és panaszok kezelése

Egy adott személyre vonatkozó következtetések szintén személyes adatnak minősülhetnek. Ha valaki saját maga vonul önkéntes karanténba, vagy védőmaszkot visel, a munkatársai arra következtethetnek, hogy egészségügyi problémái lehetnek. A munkáltatóknak megfelelő jelentéstételi rendszerrel kell rendelkezniük az ezzel kapcsolatos munkavállalói aggályok és panaszok kezelésére, ha valakit munkahelyi sérelem ér vélt vagy valós egészségügyi állapota miatt. Biztosítani kell továbbá, hogy a munkavállalókra vonatkozó bejelentések ne vezessenek munkahelyi zaklatáshoz vagy diszkriminációhoz. Ide tartozhatnak azok a gyanúsítások, hogy valaki esetleg koronavírus-fertőzött vagy megszegte a kötelező munkahelyi egészségügyi intézkedéseket, különösen a fertőtlenítési szabályokat.

Egészségügyi ellenőrzések elvégzése

Konkrét orvosi vizsgálatok esetén az egészségügyi adatok kezelésének jogalapjaként szóba jöhet még a GDPR 9. cikk (2) h) pontja, ami lehetővé teszi személyes adatok kezelését megelőző egészségügyi vagy munkahelyi egészségügyi célokból, orvosi diagnózis felállítása, egészségügyi kezelés nyújtása érdekében, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében. Az adatok kezelése csak olyan szakember által vagy olyan szakember felelőssége mellett történhet, aki szabályszerű szakmai titoktartási kötelezettség hatálya alatt áll. A gyakorlatban ez azt jelenti, hogy kizárólag egészségügyi szakember jogosult a munkavállalók megvizsgálására és a jogszabályban megengedett egészségügyi adatok megosztására akár a munkáltatóval, akár az illetékes hatóságokkal. Ez vonatkozik arra az esetre is, ha a munkáltató soron kívüli egészségügyi vizsgálatot rendel el bizonyos országokba történő utazások után (akkor is, ha az utazást követően nem is jelentkeznek tünetek). Extrém körülmények között (pl. amikor az orvos napi rendelési ideje betelt), a munkáltatók esetleg megfontolhatják, hogy az egyszerűbb egészségügyi feladatok elvégzésére (például lázmérés) magukat a munkavállalókat kötelezik, vagy harmadik fél szolgáltatókat bíznak meg ezzel – ezeket a vizsgálatokat azonban mindig az előírt adatfeldolgozási és adattovábbítási szabályok szerint kell lefolytatni.

A koronavírus-járvánnyal kapcsolatos intézkedések dokumentálása

A koronavírus járvánnyal összefüggő okok miatt előfordulhat, hogy egy szervezet nem tudja teljesíteni szerződéses kötelezettségeit. Polgári jogi szempontból vizsgálni kell, hogy a kapcsolódó termeléskiesés, üzemszünet, késedelem, vagy hasonló esemény vis maior-nak minősül-e, és milyen felelősséggel tartozik szerződéses partnerei irányában az adott szervezet. Ennek megállapítása érdekében célszerű, ha a szervezet dokumentálja, milyen egészségügyi előírásokat léptetett hatályba a koronavírus kockázatainak megelőzésére, a munkavállalók megismerték és elfogadták-e ezeket az eljárásrendeket, és azt is fontos dokumentálni, ha egy munkavállaló indokolatlanul megtagadta a kapcsolódó kötelezettségek teljesítését. Ez a folyamat szintén személyes adatok kezelésével jár, amiről előzetesen tájékoztatni kell a munkavállalókat.

Rendkívüli helyzetek kezelése

Az adatkezelőknek még rendkívüli esetekben is a GDPR szabályainak megfelelően kell eljárniuk. Ilyen, ha egy munkavállaló megtévesztő információt ad a kapcsolódó kockázatok felmérése során, így szükséges lehet az utazási adatait ellenőrizni, elsősorban mobil helymeghatározási adatok felhasználásával, vagy rendkívüli orvosi vizsgálatot elrendelni (például kötelező lázméréssel). Az egészségügyi és biztonsági szabályok megszegése esetén a munkáltató technikai eszközök alkalmazását is megfontolhatja – ilyen lehet a „nincs kézfogás elv” betartásának ellenőrzése biztonsági kamerák felvételeinek felhasználása segítségével. Hasonló eljárásokat azonban csak az illetékes hatóságok vagy szervezetek ajánlásaival összhangban szabad bevezetni. Hasznos információkat tartalmaz az Egészségügyi Világszervezet (WHO) weboldala: eszerint egy fertőzött személy azonosítása után a kapcsolatok felkutatása segíti a kapcsolatba került személyek ellátását, és megelőzi a vírus továbbterjedését.

Folyamatos kockázatértékelés

A szervezeteknek a GDPR által előírt „elszámoltathatóság” alapelvével összhangban minden esetben dokumentálniuk kell a koronavírus-kockázatokkal kapcsolatban bevezetett, személyes és egészségügyi adatok kezelésével járó intézkedések kezelésével járó kockázatfelmérést. A koronavírus-helyzettel kapcsolatos fejleményekre tekintettel a kockázatfelmérést szükség szerint módosítani kell, a munkavállalókat pedig személyre szabott tájékoztatások útján tájékoztatni kell a specifikus adatkezelésekről és a megtett lépésekről.

A távoli/otthoni munkavégzésre vonatkozó belső szabályoknak és az üzletfolytonossági terveknek megfelelően tükrözniük kell a koronavírussal kapcsolatos specifikus intézkedéseket. Angliában például a pénzügyi felügyelet (Financial Conduct Authority – FCA) adott ki 2020. március 4-én közleményt, hogy a Bank of England-del közösen végzi az ellenőrzése alá tartozó szervezetek üzletfolytonossági terveit a koronavírus-járvánnyal kapcsolatos intézkedésekre figyelemmel.

Érdemes belső iránymutatást kibocsátani a munkavállalók számára arra vonatkozóan, hogy mire érdemes odafigyelni abban az esetben, ha napi beszélgetéseik során kollégák, vagy üzletfelek egészségügyi állapotát tárgyalják meg.

A szervezetnek és az adatvédelmi tisztviselőknek fel kell készülniük a koronavírussal kapcsolatos specifikus kérdésekre, és folyamatosan nyomon kell követniük az adatvédelmi hatóságok iránymutatásait.