A védettségi igazolványok kapcsán hangsúlyosabban merül fel a munkáltatók részéről az a kérdés, hogy jogosultak-e megismerni a munkavállalók koronavírus elleni védettségére vonatkozó adatot vagy sem. Azaz kérhetik-e a munkáltatók annak igazolását, hogy munkavállalóik rendelkeznek-e védettséggel (akár az oltás, akár a koronavírusból való felgyógyulás eredményeként), és megismerhetik-e a munkavállalók részére kiállított védettségi igazolványok tartalmát? A NAIH 2021. április 1-jén kiadott tájékoztatója (NAIH-3903-1/2021) arra ad általános iránymutatást, hogy mely feltételek mellett kezelhető a védettség tényére vonatkozó adat mint személyes adat. Mai blogbejegyzésünkben azt vizsgáljuk, hogy milyen esetekben lehet indokolt a védettségre vonatkozó adatkezelés a gyakorlatban.

Bevezetésként rögzíti a tájékoztató, hogy az abban foglaltak kizárólag a munka törvénykönyve hatálya alá tartozó jogviszonyokra alkalmazhatóak, az egyéb munkavégzésre irányadó jogviszonyok esetében (ideértve a megbízási, illetve a vállalkozási típusú jogviszonyokat és a közszférában foglalkoztatottakat is) azonban nem. Így a tájékoztatóban foglaltak irányadóak a munkaszervezeten belül a teljes vagy részmunkaidős munkavállalókra, a kölcsönzött és az alkalmi munkavállalókra is, de például nem alkalmazhatóak az iskolaszövetkezet tagjaként foglalkoztatott diákok esetében.

A védettség ténye a személyes adatok különleges kategóriáiba tartozó, egészségi állapotra vonatkozó adatnak minősül, így kezelése is a GDPR szabályai alapján történik: egyrészt a GDPR 6. cikk (1) bekezdésével összhangban meg kell határozni az adatkezelés jogalapját, másrészt igazolni kell a GDPR 9. cikk (2) bekezdés b), h), vagy i) pontjában foglalt további kivételszabályok valamelyikének fennállását, ugyanis csak ezek alkalmazásával mentesülhet az adatkezelő a különleges adatok kezelésének főszabály-szerinti tilalma alól. Tekintettel arra, hogy az adatkezelés jogalapja elsődlegesen a munkáltató jogos érdeke lesz, így a védettségre vonatkozó adat kezelésére vonatkozó tájékoztató mellett mindenképpen szükséges érdekmérlegelési tesztet készíteni és azt olyan formában dokumentálni, hogy a NAIH felhívása esetén az a hatóság részére bemutatható legyen. Az érdekmérlegelési teszt fő célja annak megállapítása, hogy miként viszonyul egymáshoz a munkáltató adatkezeléshez fűződő jogos érdeke és az érintettek jogai, valamint, hogy mennyiben tekinthető szükségesnek és arányosnak a tervezett adatkezelés.

Az érdekmérlegelési teszt részeként is elvégezhető a NAIH által ezentúl elvárt kockázatelemzés, mely során a munkáltató felméri, hogy mely munkakörök vagy munkavállalói csoportok vannak fokozottan kitéve fertőzésveszélynek, és mely esetekben szükséges a munkaszervezést vagy a munkakörülményeket módosítania, különösen az irodákba, munkahelyekre való visszatérés kapcsán. A kockázatelemzés során érdemes felülvizsgálni, hogy a munkahelyen vagy a munkavégzés során mely esetekben merül fel magas kontaktszám, így például kik azok, akik egy légtérben dolgoznak, vagy gyakori látogatói rendezvényeknek, bírósági vagy hatósági tárgyalásokra járnak, ügyféltalálkozókon vagy üzleti utakon vesznek részt. Az ő esetükben szükséges és arányos intézkedésnek minősülhet a munkavállaló koronavírus elleni védettsége tényének munkáltató általi megismerése. Ugyanakkor azon munkavállalók esetében, akik nincsenek kitéve fokozott expozíciónak (pl. állandó jelleggel home office-ban dolgoznak), nem teljesül a szükségesség követelménye, így az ő esetükben a védettségükre vonatkozó adat kezelése jogszerűtlen lehet.

A kockázatelemzés eredményének ismeretében meghatározható az a munkajogi, munkavédelmi, foglalkozás-egészségügyi vagy munkaszervezési cél, amely alapján a védettség tényére vonatkozó adatok kezelhetőek, azaz megismerhetőek és nyilvántarthatóak a munkáltató által. Az arányosság, az adattakarékosság és a korlátozott tárolhatóság elvének ekkor is érvényesülnie kell, azaz a munkáltató csak az igazolvány bemutatását kérheti a munkavállalótól, és kizárólag a védettség tényére, valamint időtartamára vonatkozó adatokat kezelheti. Az adatok kezelésére kizárólag azon időtartamon keresztül van lehetőség, ameddig azok elengedhetetlenül szükségesek a munkáltató által meghatározott célok eléréséhez.

Fontos követelmény, hogy a munkáltató az általa meghatározott adatkezelési célokat végre is hajtsa, a beszerzett adatok alapján konkrét intézkedéseket tegyen. Vagyis nem általánosságban valamely absztrakt, távoli cél, hanem egy ténylegesen megvalósuló cél érdekében kezelje a védettségre vonatkozó adatokat. Ilyen konkrét cél lehet az egy légtérben dolgozók ülésrendjének meghatározása (például munkavédelmi okokból egy nem védett munkavállaló egy védett munkavállaló mellé üljön), vagy annak felmérése, hogy a fokozott fertőzésveszélyt jelentő eseményeken (pl. ügyfélmegbeszéléseken, rendezvényeken, tárgyalásokon) kizárólag védett munkavállalók vegyenek részt.

A jó gyakorlat megkívánja tehát, hogy amennyiben a munkáltató – kockázatelemzés alapján – konkrét cél érdekében bekéri az érintett munkavállalók védettségi adatait, úgy köteles a GDPR rendelkezéseinek megfelelő adatkezelési tájékoztatót és érdekmérlegelési tesztet készíteni, az abban foglaltakról az érintett munkavállalókat tájékoztatni. Emellett a munkáltatónak igazolnia kell, hogy a konkrét célhoz kapcsolódó munkáltatói intézkedést megvalósította vagy legalábbis megkezdte.

Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Szűcs László (e-mail: laszlo.szucs@pwc.com), dr. Zsédely Márta (email: marta.zsedely@pwc.com), dr. Molnár Melinda (e-mail: melinda.molnar@pwc.com)  és dr. Csenterics András (e-mail: andras.csenterics@pwc.com) ügyvédekhez.