NAIH elnöki vélemény a koronavírus elleni oltás munkáltatói adatkezeléséről

A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH, Hatóság) 2021. április 1-jén tette közzé újabb, a koronavírus járvánnyal kapcsolatban felmerülő adatkezelésekkel foglalkozó tájékoztatóját, mely a munkavállaló által kapott oltás munkáltató általi kezelésével is foglalkozott. Ezen tájékoztató a munkavállaló koronavírus elleni védettségének tényének munkáltató általi megismerhetőségét tárgyalja. A tájékoztató teljes egészében itt olvasható.

A NAIH tájékoztatójában kifejtette, hogy a munkavállaló koronavírus elleni védettsége tényének munkáltató általi megismerése szükséges és arányos intézkedésnek minősülhet, ugyanakkor csak egyes munkakörökben vagy foglalkoztatotti személyi kör esetében. A munkáltatónak előzetesen kockázatelemzést kell elvégeznie annak megállapítására, hogy mely foglalkoztatottaktól indokolt ezen adat bekérése. Alacsony kockázatú munkakörök esetén (például állandó jellegű távmunkavégzés) a Hatóság szerint a szükségesség nem állapítható meg.

A Hatóság tájékoztatójában kiemelte az adattakarékosság elvét is, és ennek keretében azt, hogy a munkáltató – a hatályos jogszabályi keretek között – kizárólag az Elektronikus Egészségügyi Szolgáltatási Tér működtetője által biztosított applikáció, valamint a védettségi igazolvány mint közokirat Korm. rendeletben meghatározott adatait kezelheti, a koronavírus elleni védettség igazolásának céljára semmilyen egyéb adatot nem gyűjthet és kezelhet jogszerűen. A munkáltató kizárólag az applikáció megjelenítését, illetve a védettségi igazolvány bemutatását kérheti, azokról másolatot nem készíthet, azokat semmilyen formában és módon nem tárolhatja, és nem is jogosult azokat harmadik személy részére továbbítani, kizárólag azt jogosult rögzíteni, hogy az érintett munkavállaló igazolta a koronavírus elleni védettségének a tényét, valamint – ha az az igazolás bemutatása során megállapítható – azt, hogy ezen védettség időtartama mely időpontig áll fenn.

Fontos figyelembe venni az adatkezelés mérlegelésekor azt is, hogy a NAIH állásfoglalásban „foglaltak kizárólag a jelenlegi – tehát az annak kiadásakor fennálló – járványügyi helyzetben alkalmazandóak.” Az állásfoglalás elkészültekor, azaz 2021. április 1. napján 258 halálesetet jelentettek (a cikk írásának napján: 28), illetve a korházban kezelt betegek száma 12.062 fő volt (cikk írásának napján: 1.120) (forrás: https://444.hu/koronavirus-covid-19-jarvany-data).

Dr. Péterfalvi Attila, a NAIH elnöke 2021 májusában vett részt a „OneTrust PrivacyConnect Budapest” rendezvényen, melynek témája többek között a koronavírus elleni oltással kapcsolatos adatvédelmi kérdések voltak, és kérdések merültek fel a védettség munkáltatói megismerésével kapcsolatban. A beszélgetés során szóba került, hogy sok munkáltatónak igénye van arra, hogy a NAIH tájékoztatójában kifejtettekhez képest szélesebb körben kezeljen védettségre vonatkozó adatokat, így belső adatbázist vezetnének arról, hogy mely munkavállalóik rendelkeznek már igazolt védettséggel. Az adatbázis célja a munkaerő menedzsment lenne, ez alapján döntenének a munkavállaló beosztásáról, irodák újranyitásáról, stb. A Hatóság elnöke a felvetéssel kapcsolatban leszögezte, hogy egy ilyen adatbázis létrehozása nem lehet jogszerű, hiszen főszabály szerint a munkáltató semmilyen egészségügyi adatot – és ilyen a COVID-19 elleni védettségre vonatkozó adat is – nem kezelhet, az az orvosok, egészségügyi szakemberek feladata.

A Hatóság tájékoztatójára visszautalva a beszélgetés során szóba került az is, hogy a védettségre vonatkozó adat bekérése milyen munkakörökben lehet szükséges és arányos intézkedés. Példaként hozhatók fel az olyan személyeket, akik munkájuk során egészségügyi intézményekben tartózkodnak, akár ott dolgozóként, akár beszállítóként (például orvosi műszereket beszerelők). Ezzel ellentétben pusztán az a tény, hogy a munkavállalók egy légtérben (open office) dolgoznak együtt – ahogy az a legtöbb irodában történik –, nem alapozza meg a védettségre vonatkozó adat kezelésének szükségességét, hiszen ha a munkavállalók külön helyiségekben dolgoznának, a folyosón, közös helyiségekben (pl. konyha, étkező) akkor is érintkeznének egymással, ez pedig a védettségre vonatkozó adat bekérésének végtelen láncolatához vezetne. Ezzel az egyedi mérlegelések szerepét, hatásvizsgálatok és kockázatértékelések elvégzésének fontosságát nem lehet túlzottan kihangsúlyozni az ilyen jellegű adatkezelésekre történő felkészülés során.

A beszélgetés kitért arra is, hogy esetleg az egészségügyi adatok – mint különleges adatok – kezelésének tilalma alól mentesülését jelenthet-e a GDPR 9. cikk (2) bekezdés a) pontja alapján a munkavállalók kifejezett hozzájárulása az adatkezeléshez. E körben vissza lehet utalni arra a régóta egységes hatósági álláspontra, mely szerint munkaviszonyban a személyesadat-kezelés jogalapját csak egészen kivételes esetben jelentheti a munkavállaló hozzájárulása, hiszen nehezen elképzelhető, hogy egy olyan alá-fölérendeltségi viszonyban, mint amilyen a munkaviszony, a hozzájárulás önkéntességének feltétele érvényesülhet. Ezzel kapcsolatban Elnök úr is jelezte, hogy nem tartja járható útnak.

A Hatóság tájékoztatója, illetve a fenti beszélgetés általánosságban sok kérdésre választ adott, azt azonban, hogy a gyakorlatban az adatkezelők részéről mennyire lesz megvalósítható a védettségre vonatkozó adatok szűk körben kezelése, az elkövetkezendő hónapok fogják eldönteni. Az mindenképpen bizonytalanságot eredményez, hogy míg a védettségre vonatkozó adat rendezvényekkel, szabadidős tevékenységekkel kapcsolatos megismerhetőségét a jogalkotó jogszabályban rendezte, addig a munkáltatói adatkezeléssel kapcsolatban hasonló, egyértelmű szabályozás mindeddig nem született.

Minden adatkezelőt arra bíztatunk, hogy mielőtt a munkavállalók védettségére vonatkozó adatok kezelése mellett döntenek, mind adatvédelmi, mind pedig morális szempontból gondolják át, hogy ez valóban szükséges-e, és valóban elérhetők-e a kívánt célok az erre vonatkozó adatkezelés bevezetésével. Könnyen előfordulhat ugyanis, hogy a legnagyobb jószándék mellett is diszkrimináció vagy negatív munkaköri légkör kialakulásához vezethet az ilyen jellegű adatkezelés.

Dr. Péterfalvi Attila NAIH elnök által a panelbeszélgetés során elmondott, (szerintünk) lényeges megjegyzések az alábbiak:

„Ezekre a kérdésekre azt tudom mondani, hogy nyilván egyenként lehetne választ adni, de hogy ilyen általános covid adatbázis létesítés egészségügyi adatokkal ez biztos, hogy NEM jogszerű, hiszen maradjunk a fő szabálynál, hogy a munkáltató semmilyen egészségügyi adatot nem kezelhet. Azt ugye a munkaegészségügyi intézmény, vagy az orvos kezelhet. Ugye itt nem tudjuk megúszni, hogy a covid védettség téma az egészségügyi adat, erre felhívja a tájékoztató a figyelmet, de ez nem tágítható ki abból a szempontból, ami a kérdésbe vagy a lehetséges eseteknél elhangzott. Én azt gondolom, hogy ilyen jellegű adatkezelés a GDPR alapján biztos, hogy nem folytatható.”

„Ezért én azt gondolom, hogy meg lennék lepve, hogyha ezen a téren egészségügyi adat munkáltató által önkéntes hozzájárulással kezelhető lenne, szerintem biztos, hogy nem lehet igazolni, hogy az önkéntesség megvalósult. Szerintem ilyen jutalom, szabadnap vagy ilyennel sem. Szerintem ez is az önkéntességet befolyásolná. A Gáborhoz csatlakozva, önmagában véve az, hogy egészséges munkakörülményeket kell biztosítani ez kevés ahhoz, hogy ezt az adatot kezelni lehessen. Ugyanis valóban az egy légterű munkavégzés helye mellett, ott van az is, hogy na de hát akkor a folyosón se találkozhatnak, a mellékhelyiséget se használhatják közösen. Nyilván a kockázatelemzésnek nem ebbe az irányba kell mennie…Azért, mert közös légtér van, hát …ahol nem közös légtér van akkor is találkozhatnak a folyosón vagy akár üzemi étkezdében, ha lehetséges vagy a bejáratnál. Én azt gondolom, hogy önmagában véve ez kevés. Ezzel nem fogja tudni igazolni.”