GDPR és vakcinaigazolvány I. – munkavállalók

dr. Sziráczki István

dr. Sziráczki István

Vakcinaigazolvány

A folyamatosan változó járványügyi helyzet és az ehhez kapcsolódó intézkedések erdejében természetesen a jogi természetű kérdések száma is megsokszorozódott: ügyfeleim kérdései alapján látom, hogy ezek közül a védettség igazolása az egyik „legforróbb” téma. 

Munkáltatóként munkavállalóinktól, szolgáltatóként ügyfeleinktől kérjük, kérhetjük, kötelező kérnünk a vakcinaigazolvány felmutatását? Ha igen, milyen kötelezettségeink vannak ezzel kapcsolatban, különös tekintettel a GDPR rendeletre? A sorozat első cikkében a munkavállalók védettségének igazolásával foglalkozunk.

A Nemzeti Adatvédelmi és Információszabadság Hatóság kiadott egy tájékoztatót (NAIH-3903-1/2021 számon) arról, hogy mit tehetünk munkáltatóként. Ez a Munka Törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) hatálya alá tartozó jogviszonyokra vonatkozóan ismerteti a Hatóság álláspontját arról, hogy a munkavállaló koronavírus elleni védettsége tényét a munkáltató hogyan ismerheti meg.

Fontos leszögezni, hogy az itt írtak az Mt. szerinti munkaviszonyban alkalmazhatók, és csak a járványügyi helyzet fennállásáig. A hatóság hangsúlyozza továbbá a munkáltató felelősségét az adatkezelés jogszerűségéért – de mit is jelent ez nekünk? Először is azt, hogy az adatkezelés jogalapjának alátámasztásához egyéb – nem adatvédelmi – szempontok szerinti kockázatelemzést kell végeznünk.

Miért kell „nem adatvédelmi” kérdésekkel foglalkoznunk, amikor adatvédelmi megfelelésről van szó?

A Munka Törvénykönyve és a munkavédelemről szóló törvény szerint a munkáltató köteles biztosítani az „egészséget nem veszélyeztető és biztonságos munkavégzés követelményeit”. Így tehát e kötelezettségből a kockázatelemzés elvégzése mellett levezethetjük a munkaszervezéshez szükséges adatkezelés jogalapját.

A kockázatelemzés során munkajogi, munkavédelmi, foglalkozás-egészségügyi szempontokat kell figyelembe vennünk, kiemelve a munkavállalók egészségét és biztonságát veszélyeztető munkahelyi biológiai expozíciók (azaz kitettség) felmérését. A kockázatelemzés a megfelelő munkaszervezés érdekében kell történjen. Mind a kockázatelemzést, mind pedig a munkaszervezéssel kapcsolatos intézkedéseket le is kell dokumentálni, ugyanis ezzel tudjuk alátámasztani az adatkezelésünk jogalapját, egyúttal annak szükségességét.

A fentiekhez természetesen célszerű megfelelő (munkavédelmi, foglalkozás-egészségügyi) szakembert igénybe venni.

Milyen ésszerű intézkedések lehetnek az eredményei a kockázatelemzésnek és munkaszervezésnek?

Ez elsősorban az adott munkahely sajátosságaitól függ természetesen, és sokféle dologról lehet szó. De nyilvánvalóan olyan intézkedésekből kell kiindulnunk, mint a nem védettek távmunkára kötelezése vagy munkaállomások elkülönítése, illetve vendéggel/ügyféllel érintkező munkakörökben csak védettek foglalkoztatása, stb.

Ha a kockázatelemzéssel és a munkaszervezési intézkedések megtervezésével elkészültünk, akkor elkezdhetjük a munkaszervezést megvalósítani. Itt viszont már szükségszerűen kezelni fogjuk a védettség tényére vonatkozó adatokat, tehát innen már a GDPR rendeletnek is meg kell felelnünk.

Ehhez elsősorban megfelelő tartalmú és természetesen a védettségre vonatkozó adatok kezelésére vonatkozó adatkezelési tájékoztató elkészítse szükséges, illetve egyes esetekben szükség lehet érdekmérlegelési teszt elvégzésére és dokumentálására is. Ezek elkészítéséhez az adatvédelmi jog és gyakorlat alkalmazásában jártas szakember igénybevétele szükséges, különös tekintettel arra, hogy itt különleges (egészségügyi) adatok kezeléséről is szó van. Ilyen esetben ugyanis nagyobb az adatkezelők (jelen esetben a munkáltatók) felelőssége, és további feltételeknek kell megfelelni.

A fenti dokumentumok birtokában – illetve az adatkezelési tájékoztatónk munkavállalók részére történő hozzáférhetővé tétele mellett – elkezdhetjük a védettség tényére vonatkozó adatok kezelését.

De pontosan mit is tehetünk az adatkezelés során a NAIH szerint?

Az Adatvédelmi Hatóság szerint a védettség igazolásához a munkáltató kizárólag az applikáció (az Elektronikus Egészségügyi Szolgáltatási Tér működtetője által biztosított almakalmazásról bővebben itt olvashatunk) megjelenítését, illetve a védettségi igazolvány bemutatását kérheti a munkavállalóktól. Azokról másolatot nem készíthet, azokat semmilyen formában és módon nem tárolhatja, és nem is jogosult azokat harmadik személy részére továbbítani.

A munkáltató kizárólag azt jogosult rögzíteni, hogy az érintett munkavállaló igazolta a koronavírus elleni védettségének a tényét, valamint – ha az az igazolás bemutatása során megállapítható – azt, hogy ezen védettség időtartama mely időpontig áll fenn.

A szükségesség kapcsán a Hatóság kiemeli, hogy a védettségre vonatkozó adatok rögzítését nem általános intézkedésként, hanem az egyes – kockázatelemzés alapján veszélyeztetett – munkakörökben vagy egyes foglalkoztatotti személyi kör esetében fogadja el szükséges és arányos intézkedésként. Így bizonyos alacsony kockázatú munkakörök esetén (például állandó jellegű távmunkavégzés) a szükségesség értelemszerűen nem állapítható meg.

Amit megtehetünk, azt viszont – ha már elkezdtük kezelni az adatokat – meg is kell tennünk!

Az adatkezelés célja ugyanis kizárólag az lehet, hogy a munkáltató megtehesse és meg is tegye a szükséges intézkedéseket a munkajogi, munkavédelmi, foglalkozás-egészségügyi, valamint munkaszervezési szabályoknak történő megfelelés miatt. A Hatóság kiemeli, hogy a célnak valósnak, tehát a munkáltató által alátámaszthatóan ténylegesnek kell lennie, illetve fontos, hogy a kezelt adatok körének e cél elérésére alkalmasnak kell lennie.

Összefoglalva az eddigiek

Az egészséges és biztonságos munkakörnyezet biztosítása céljából, illetve ahol ez észszerűen indokolható a vendégek/ügyfelek számára egészséges és biztonságos környezet biztosítása céljából is, az applikáció megjelenítése vagy a védettségi igazolvány bemutatása kérhető a Munka Törvénykönyve alapján foglalkoztatott dolgozóktól, de kizárólag a védettség ténye és időtartama rögzíthető.

Fontos, hogy a rögzített adatok alapján meg is történjenek a fenti célokat megvalósító intézkedések (pl. nem védettek távmunkára kötelezése vagy munkaállomások elkülönítése, vendéggel/ügyféllel érintkező munkakörökben csak védettek foglalkoztatása stb.), és a megtett intézkedéseket le kell dokumentálni. Az intézkedéseknek továbbá valóban alkalmasnak, és egyúttal nélkülözhetetlennek kell lenniük a célok elérésére. Mindezt – szintén dokumentált – kockázatelemzéssel és intézkedési tervvel kell alátámasztani.

Szükséges nem adatvédelmi tárgyú dokumentumok:

  • kockázatelemzés: munkajogi, munkavédelmi, foglalkozás-egészségügyi, valamint munkaszervezési céllal – e körben kiemelve a munkavállalók egészségét és biztonságát veszélyeztető munkahelyi biológiai expozíciók felmérését –, objektív szempontok alapján elvégzett kockázatelemzés
  • intézkedési terv: munkaszervezéssel kapcsolatos intézkedésekről (távmunka elrendelés, munkaállomások elkülönítése, stb.)

Szükséges adatvédelmi tárgyú dokumentumok:

  • adatkezelési tájékoztató
  • érdekmérlegelési teszt (egyedileg mérlegelendő, hogy mely esetekben szükséges)

A fenti adatkezelést kizárólag a jelen járványügyi helyzet fennállásáig lehet végezni (ideértve az adatok tárolását is).

Foglalkoztatás más jogviszonyban

Az egyéb jogviszonyokban foglalkoztatott személyek tekintetében a fentiekből csak részben indulhatunk ki, mivel az ő esetükben nem hivatkozhatunk a Munka Törvénykönyvére.

Ugyanakkor az Adatvédelmi Hatóság – az egységes rendezés érdekében – jogalkotást sürget, ugyanis az adatkezelés szükségességének és arányosságának, illetve az adatkezelés további alapelveinek történő megfelelés követelményeit a különböző típusú foglalkoztatási szabályok alapján végzett tevékenységek sajátosságai jellemzően nem befolyásolják.

Amíg azonban nem rendezi a jogalkotó kellő részletességgel ezt a helyzetet, addig a fent írtak analógiáján elindulva, jellemzően a jogos érdek mint jogalap részletes kimunkálása mellett, tehát tartalmilag részben eltérően kell felépítenünk a vakcinaigazolványok adatainak kezelésével kapcsolatos gyakorlatunkat és a szükséges dokumentációt. Ilyen esetekben még fontosabb hangsúlyozni az adatvédelmi jogi szakember igénybevételét.

Hamarosan megjelenő következő cikkemben a szolgáltatók ügyfeleinek védettségére vonatkozó adatok megismerésének feltételeivel foglalkozunk.