A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) fontos tájékoztatót adott ki az adatkezelők számára a járványhelyzettel kapcsolatos különleges adatkezelésekről. Az alábbiakban ennek a tájékoztatónak a fontosabb rendelkezéseit ismertetjük a GDPR (európai adatvédelmi rendelet) szabályaival összhangban.
A hatóság tényként kezeli, hogy a járványhelyzettel összefüggésben a szervezetek és munkáltatók bizonyos egészségügyi személyes adatokat, illetve más, az egyén magánszférájába tartozó adatokat (pl. utazások) is szeretnének megismerni, a megelőzés érdekében. Ezek az adatkezelések jogosak lehetnek, azonban meg kell felelniük az alábbi elvárásoknak:
- Minden esetben elsődlegesen maga az adatkezelő (munkáltató, üzemeltető, stb.) felel az adatkezelés jogszerűségéért.
- Fontos, hogy ezen különleges személyes adatok kezelése indokolt legyen, azaz csak akkor kérhetünk be ilyen adatot alkalmazottainktól, partnereinktől, ha az adatkezelési cél (pl. járvány megelőzés) más, az adat jogosultja számára kevésbé hátrányos intézkedéssel nem érhető el. Így minden esetben vizsgálnia kell az adatkezelőnek, hogy létezik-e más, különleges személyes adatok és egészségügyi adatok megismerése nélküli eljárás, amely szintén hatékonyan biztosítja a járványügyi megelőzést.
- Amennyiben a különleges személyes adatok kezelése a fentiek alapján mégis elkerülhetetlennek mutatkozik, úgy az adatkezelőnek elsőként az adatkezelés pontos célját és az adatkezelés jogszerűségét megalapozó jogalapot kell először meghatároznia. Ilyenkor is ügyelni kell a következő adatkezelési alapelvek betartására: arányosság, átláthatóság, pontosság.
Az adatkezelőnek a járványügyi veszélyhelyzettel kapcsolatos adatkezelésükről külön tájékoztatót kell készíteniük és azt az érintettekkel – szintén jól dokumentálható módon – ismertetniük.
A munkáltatókra, üzemeltetőkre további kötelezettségek is hárulnak, azaz például:
- cselekvési tervet kell készíteniük a pandémiás üzletmenettel kapcsolatban, itt az intézkedések mellett az azok betartásáért felelősök körét és a jelentési/bejelentési rendszert is meg kell határozniuk,
- a munkavállalók számára részletes tájékoztatást kell készíteni és megosztani a koronavírus okozta betegségről, a terjedés módjáról, tünetekről, teendőkről, stb.
- az üzletmenetet, üzleti utakat szükség szerint át kell szervezniük.
Az adatkezelők előírhatnak jelentési kötelezettséget is a munkavállaóikra fertőzés gyanú esetén, a tájékoztató szerint ilyenkor természetesen különleges személyes adatok is rögzíthetőek, azonban ebben az esetben sem szabad bekérni egészségügyi kórtörténetre vonatkozó adatokat, ahogyan egészségügyi dokumentációt sem!
Az adatvédelmi hatóság szerint az a munkáltatói gyakorlat, amely általános jelleggel, minden munkavállalóra kiterjedően előírja (pl. beléptetésnél) a lázmérő alkalmazását, egyértelműen jogellenes, a hatóság szerint ugyanis egészségügyi vizsgálatot csak egészségügyi szakember végezhet, a lázmérős teszt pedig nem feltétlenül és önmagában megbízható módszer a fertőzöttek kiszűrésére.
A tájékoztató ugyanakkor kimondja, hogy azon munkavállalói kötelezettség, miszerint jelentenie kell munkahelyén, ha önmagán tüneteket észlel, vagy fertőzött helyen, fertőzött személy közelében járt, az általános együttműködési kötelezettségből, jóhiszemű joggyakorlás elvárásából is levezethető.
Az adatvédelmi hatóság szerint a cselekvési terv szabályai harmadik személyekre (alvállalkozók, megbízottak, ügyfelek, stb.) is alkalmazhatóak, azonban a pontos tájékoztatás, jogalap és cél meghatározása ez esetben sem mellőzhető.
