Skip to main content
Munkáltatók figyelmébe ajánljuk: Munkavállalók oltottságára vonatkozó adatok kezelése?

Munkáltatók figyelmébe ajánljuk: Munkavállalók oltottságára vonatkozó adatok kezelése?

Munkáltatók figyelmébe ajánljuk:

Munkavállalók oltottságára vonatkozó adatok kezelése?

Csak óvatosan és szabályosan!

 

A koronavírus negyedik hulláma okán a járvány mielőbbi megelőzésére koncentrálva ismét felmerült a munkavállalók oltottságára vonatkozó információk, személyes adatok kezelésének igénye a munkáltatókban. 2021. november 1. napjától a munkáltatók és vállalkozások kötelezhetik a munkavállalóikat és foglalkoztatottjaikat az oltás beadatására. Tapasztalatunk szerint ezzel egyelőre kevés munkaadó él. Azonban a munkáltatóknak az oltásra kötelezésen túl is van lehetőségük arra, hogy a járvány megelőzését elősegítsék különböző intézkedésekkel.

  1. Anonim felmérés, statisztika

Ha a munkáltató felmérést, statisztikát szeretne készíteni annak érdekében, hogy felmérje milyen intézkedések szükségesek a cégnél, akkor amennyiben teljesen anonimizáltan kérik be ezen adatokat, például egy anonim kérdőív formájában gyűjtik be, hogy ki oltott, és ki nem, akkor nem kell elvégezni a kockázatértékelést és az érdekmérlegelési tesztet sem, mert ekkor az adathoz nem kapcsolódik azonosítható érintett, így nincs adatkezelés. A felmérés eredményétől függően szükség esetén felhívást tehet közzé a munkáltató, amelyben felhívja a figyelmet, hogy miért fontos beadatni az oltást, milyen előnyökkel jár.

Amennyiben a felmérés alapján egyértelműen beazonosítható, hogy ki rendelkezik oltással és ki nem (például kis létszámú cég esetén), illetve az oltással kapcsolatos név szerinti egészségügyi adatok kezeléséhez, nyilvántartás vezetéséhez további feltételeknek, szabályoknak kell megfelelni.

 

  1. Az adatkezelés jogalapja

A védettséggel kapcsolatos adatok különleges személyes adatoknak minősülnek, ezáltal csak kivételes esetben kezelhetőek a munkáltató által. De nem csupán megfelelő céllal és a GDPR 6. cikk (1) bekezdésében felsorolt jogalap valamelyikével kell rendelkezni a jogszerű adatkezeléshez, hanem a GDPR 9. cikk (2) bekezdésében foglalt kivételszabályok közül is legalább egyet kell tudni igazolni. Ezen túlmenően vizsgálni kell, hogy a személyiségi jogkorlátozás a jogviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos.

Az alá-fölé rendeltségi jogviszonyokban (például munkaviszony és a munkaviszony jellegű jogviszonyokban is) a gyakorlat csak kivételesen fogadja el a hozzájárulás jogalapját. A létfontosságú érdek, mint adatkezelési jogalap természetszerűleg akár adhatná magát a koronavírussal kapcsolatos megelőző intézkedések kapcsán, de ez a jogalap akkor alkalmazható, ha más jogalap nem jöhet szóba. Ezekre tekintettel az adatkezelő és harmadik személy jogos érdekére való hivatkozás lehet a legmegfelelőbb, amely alkalmazásához érdekmérlegelési teszt elvégzése is szükséges az adatkezelés megkezdése előtt.

Az általános jogalap mellett pedig a GDPR 9. cikk (2) bekezdésében foglalt további feltételek – leginkább a b), h), vagy i) pontok – valamelyikének az adatkezelő által igazolt fennállása szükséges.

Az adatkezelés jogszerűségéért minden esetben az adatkezelő, tehát a munkaáltató felel.

 

  1. Az adatkezelés indokolhatósága

Általánosságban a munkáltatóknak nem volt törvényes joguk arra, hogy megköveteljék a munkavállalóktól, foglalkoztatottjaiktól a védőoltás beadatását. Ez azonban nemrég változott, és jelenleg a munkahelyek koronavírus elleni védelméről szóló 598/2021. (X. 28.) Korm. rendeletre való hivatkozással tehetik meg 2021. november 1. napjától. Amennyiben a munkáltató nem követeli meg a védőoltás beadatását, úgy a munkahelyre való belépést nem tagadhatja meg arra hivatkozással, hogy nem kapott, illetve nem fogadott el a munkavállaló védőoltást.

A munkáltató felelős az egészséget nem veszélyeztető és biztonságos munkavégzés követelményeinek megvalósításáért. Köteles felbecsülni a munkát végző személyek egészségét és biztonságát veszélyeztető biológiai kockázatokat. A becsléstől függően a munkáltató írásban kell meghatározza azon személyek körét, akiknél speciális védelmi intézkedések szükségesek, így különösen a védőoltások biztosítása indokolt számukra, és tájékoztatni kell őket a védőoltás előnyeiről és elmaradásának hátrányairól.

Munkajogi, munkavédelmi, foglalkozásegészségügyi, valamint munkaszervezési célú – objektív szempontok alapján elvégzett – kockázatelemzés alapján, egyes munkakörökben vagy foglalkoztatotti személyi kör esetében szükséges és arányos intézkedésnek minősülhet a munkát végző személyek koronavírus elleni védettsége tényének munkáltató általi megismerése. Tehát általánosságban, minden munkavállaló vonatkozásában nem kérhető be ezen adat, tekintettel arra, hogy az adatkezelés egyes munkakörök esetében, külön levezetve lehet csak indokolt, nem általánosságban véve.

Az adatkezelést egyrészt a védett személy, másrészt a többi munkavállaló, harmadrészt a munkavállalóval potenciálisan kapcsolatba kerülő harmadik személyek (ügyfelek) élete és egészségének védelme, illetve ehhez kapcsolódóan a munkáltató kötelezettségeinek történő megfelelése indokolhatja. Mindezek mellett a munkáltató ezen adatkezelése járványügyi érdeket – mint jelentős közérdeket – is szolgálhat.

A munkáltatónak az ilyen típusú adatkezelés megkezdését megelőzően kockázatelemzést kell lefolytatnia, amely alapján saját felelősségére mérlegeli, hogy a tervezett adatkezelés megfelel-e a jogszabályoknak.

 

  1. Kezelhető adatkör

Nagy figyelmet kell fordítani az adattakarékosság elvére, amely alapján csak olyan adatot lehet kezelni, amely a cél megvalósításához elengedhetetlenül szükséges és azzal arányos. A munkáltató a hatályos jogszabályi keretek között kizárólag az applikációban, valamint a védettségi igazolványon szereplő adatokat kezelheti.

Tehát kizárólag a védettsége ténye és annak ideje rögzíthető, és kizárólag a kormányzati applikáció vagy a védettségi igazolvány felmutatása alapján, a koronavírus elleni védettség igazolásának céljára semmilyen egyéb adat nem gyűjthető és kezelhető jogszerűen.

Az arányosság elvének megfelelően a munkáltató kizárólag az applikáció megjelenítését, illetve a védettségi igazolvány bemutatását kérheti a munkavállalóktól, azokról másolatot nem készíthet, azokat semmilyen formában és módon nem tárolhatja, és nem is jogosult azokat harmadik személy részére továbbítani. Kizárólag azt jogosult rögzíteni, hogy az érintett személy igazolta a koronavírus elleni védettségének a tényét, valamint – ha az az igazolás bemutatása során megállapítható – azt, hogy ezen védettség időtartama mely időpontig áll fenn.

 

  1. Csak olyan munkakörökben, ahol ez indokolható és csak annyi ideig, ameddig szükséges

Az adatkezelőnek a kockázatfelmérést munkakörönként vagy foglalkoztatotti személyi körönként kell elvégeznie.

Alacsony kockázatú munkakörök (például állandó jellegű távmunkavégzés) esetén a különleges adat kezelésének szükségessége értelemszerűen nem állapítható meg, ezért ilyenkor a védettségre vonatkozó adat nem kérhető be. Ugyanakkor az adatkezelés a kockázatfelmérés alapján szükségesnek tekinthető például akkor, ha az ügyfelekkel, más harmadik személyekkel történő rendszeres, nagymértékű személyes kapcsolattartás elengedhetetlen.

Az adatkezelő a különleges személyes adatokat csak addig kezelheti, ameddig a járványhelyzet ezt szükségessé teszi, ezt követően a védettségre vonatkozó adatokat törölnie kell.

 

  1. Munkakörönként dokumentálni kell az elszámolhatóság elve alapján

A GDPR egyik legfontosabb elvének való megfelelés itt is kiemelkedő figyelemmel bír, az adatkezelő a munkakörönként történő kockázatfelmérést, a különleges személyes adat kezelésének szükségességét, az adatkezelés célját, jogalapját, továbbá a megtett intézkedéseket köteles dokumentálni.

 

  1. Tényleges intézkedésnek kell követnie

Az adatkezelés célja a NAIH egyértelmű tájékoztatása szerint kizárólag az lehet, hogy az adatkezelő megtehesse és meg is tegye a szükséges intézkedéseket a munkajogi, munkavédelmi, foglalkozás-egészségügyi, valamint munkaszervezési szabályoknak történő megfelelés érdekében, és e cél eléréséhez jogosult legyen megismerni a nála munkát végzők koronavírus elleni védettségének tényét. A célnak valósnak, tehát a munkáltató által alátámaszthatóan ténylegesnek kell lennie és a kezelt adatok körének a cél elérésére alkalmasnak kell lennie.

Ha az adatkezelő úgy dönt, hogy bekéri ezen adatokat, akkor azok birtokában és azok alapján köteles intézkedéseket tenni és azokat dokumentálni. Például nem védett személyek távmunkavégzésének elrendelése lehetőség szerint; nem védett személyek védett személlyel egy irodába ültetése.

 

  1. Tájékoztatás az adatkezelésről, és az érintett jogairól

A GDPR 13. cikke értelmében az adatkezelési tájékoztató elkészítése valamennyi adatkezelés vonatkozásában kötelező előírás. Ebben szükséges az érintettek számára közérthetően és kellően részletesen meghatározni többek között az őket érintő adatkezelés célját, jogalapját, meg kell határozni továbbá az adatok megőrzésének időtartamát, az adatokhoz hozzáférésre jogosultak körét, valamint az érintetteket tájékoztatni kell az őket a GDPR alapján megillető jogok gyakorlásának lehetőségéről, illetve a jogorvoslati módokról.