A NAIH áprilisban újabb tájékoztatót[1] adott ki egy, a munkáltatókat legalább fél éve foglalkoztató téma kapcsán: az Mt.[2] hatálya alá tartozó munkavállaló COVID-19 elleni védettségéhez kapcsolódó munkáltatói adatkezelés vonatkozásában.
A NAIH, mint ahogyan azt a munkahelyi testhőmérséklet mérés[3] bevezethetősége kapcsán is érezhető volt, a jelen kérdés kapcsán felmerülő munkáltatói elképzelésekkel szemben is visszafogottabb álláspontot képvisel, az alábbiak szerint.
Az olvasó türelmének megőrzése céljából az elmúlt hónapokban megszámlálhatatlan cikkben hivatkozott azon jogszabályi előírások ismertetésétől most eltekintünk, amelyek a munkáltató egészséget nem veszélyeztető és biztonságos munkavégzés követelményeinek a biztosítását írják elő, azonban, nem meglepő módon, ebben a kérdésben is ezek alkotják az adatkezelés bevezethetőségének alapkövét.
A tájékoztató szerint (i) „munkajogi, munkavédelmi, foglalkozás-egészségügyi, valamint munkaszervezési céllal”[4], (ii) a vonatkozó kockázatelemzés alapján (iii) és csak bizonyos, alapvetően magasabb kockázatú munkakörökben vagy foglalkoztatotti személyi kör esetében képzelhető el jogszerűen annak a szükségessége, hogy a munkáltató a védettségre vonatkozó adatokba betekintsen, és azokat kezelje. Mindezek mellett ezen adatkezelés jogszerű bevezethetőségéhez annak – az előzetesen elvégzett munkáltatói elemzés és mérlegelés alapján – a célja eléréséhez valóban szükségesnek, arányosnak és alkalmasnak is kell bizonyulnia.
Nem újdonság az sem, hogy a munkavállalói védettségre vonatkozó információ, azaz a COVID-19-ből történő felgyógyulás, illetve az oltottság ténye különleges (egészségügyi) adatnak minősül, tehát annak jogszerű kezelhetőségére az általánostól szigorúbb szabályok vonatkoznak. Álláspontunk szerint egyébként a munkáltatók az esetek túlnyomó többségében itt is a jogos érdekre [GDPR 6. cikk (1) bekezdés f) pont] és a GDPR 9. cikk (2) bekezdésében foglalt további feltétel(ek) fennállása tudnak adatkezelési jogalapként hivatkozni, ami az érdekmérlegelési teszt elkészítését is szükségessé teszi, ideértve többek között ennek keretében a megőrzési idő(k) megfelelő meghatározását is.
Amennyiben az adatkezelés a fentiek fényében igazolhatónak is bizonyul, további fontos elvárás, hogy a munkáltató által a szóban forgó védettségre vonatkozó adatok bekérésével a kapcsolódó munkáltatói cél (azaz a vonatkozó jogszabályi előírásoknak való megfelelés) ne csak elérhető legyen, de azok ismeretében a munkáltatónál a szükséges (védelmi) intézkedések bevezetésre is kerüljenek. Az „átgondoljuk, mire használhatjuk” c. adatgyűjtés tehát nem megengedett.
Amennyiben a fenti követelmények teljesülnek, és a munkáltató a jelen adatkezelés bevezetése mellett dönt, az adatkezeléssel érintett munkakört betöltő munkavállaló ebben az esetben is csak az applikáció megjelenítésére vagy a védettségi igazolványa bemutatásra köteles, és a munkáltató csak azt rögzítheti, hogy az adott munkavállaló igazolta a védettségének a tényét, továbbá, hogy a védettség időtartama mely időpontig áll fenn. Tehát ez praktikusan a munkavállaló nevének, a védettsége tényének, igazoltságának és a védettség időtartamának a munkáltató általi rögzítését, rögzíthetőségét jelenti.
Megjegyezzük, hogy a NAIH a fentieket csak a tájékoztatója kiadásakor fennálló járványügyi helyzetben tartja alkalmazandónak. Ez annyit jelent, hogy a járványügyi helyzet alakulásával és ahhoz hangoltan a kapcsolódó adatkezelés és gyakorlat, valamint annak folytathatósága, ha bevezetésre is kerül, időről-időre felülvizsgálati kötelezettséget teremt a munkáltató oldalán.
Valószínűleg sok munkáltatóban felmerül a kérdés, hogy a fenti adatkezelés már a munkaerő-felvételi eljárás során bevezethető-e. Ebben a körben álláspontunk szerint a fenti szabályok több okból kifolyólag – várhatóan az esetek túlnyomó többségében – még változtatásokkal sem alkalmazhatóak, tehát a védettség tényére a felvételi eljárás során nem is lehet rákérdezni. Ezen okok, illetve kockázatok közé tartoznak például az alábbiak: a munkáltatót terhelő, az egészséget nem veszélyeztető és biztonságos munkavégzés követelményeinek biztosítására vonatkozó kötelezettségek a kapcsolódó körben ténylegesen csak a már fennálló munkaviszonyok kapcsán merülnek fel. Említést érdemel továbbá, hogy a negatív diszkrimináció kérdésköre a (még) védettséggel nem rendelkező pályázók kapcsán nagy valószínűséggel jelentene kockázatot a munkáltató oldalán, hogy azt az esetet már ne is említsük, ha valamelyik pályázó ugyan felgyógyult, és még a védettségi ideje nem járt le, de az oltást a későbbiekben nem szeretné megkapni, tehát az (előzetes) adatkezeléshez a munkáltató nem is valószínű, hogy megfelelő célt tudna társítani.
Ne felejtsük azonban, hogy a nap végén minden esetben a munkáltató felel, nem csak a kockázatértékelés jogszerű elvégzéséért, de átfogóan az adatkezelés jogszerűségéért, így többek között az adatkezelési elveknek való megfelelés és az érintetti tájékoztatás érintettek számára történő biztosításáért, így javasolt a fenti adatkezelés bevezetése előtt a megfelelő előzetes felmérés elvégzése.
[1] NAIH-3903-1/2021
[2] a Munka Törvénykönyvéről szóló 2012. évi I. törvény
[3] NAIH/2020/7465
[4] NAIH-3903-1/2021, 2. o.
Dr. Bohati Eszter
Szenior ügyvéd
