Adatkezelés koronavírus idején: csak akkor, ha muszáj!

Megosztás Tetszik

Több állásfoglalást is közzétett a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a koronavírussal összefüggő adatok kezelésére vonatkozóan. Az egyik alapvető megállapítás, hogy kerüljék a munkáltatók az adatkezelést, ha muszáj, akkor az legyen minimális! Például a munkavállaló fertőzöttsége a kollégáival sem közölhető.

A NAIH honlapján elérhető a hatóság előző évre vonatkozó éves beszámolója, mely összefoglalja a felügyeleti szerv adott kérdésben kiadott iránymutatásait. Cikkünkben a beszámoló fontosabb megállapításaira hvjuk fel a figyelmet.

A hatóság a koronavírussal összefüggő adatkezelések vonatkozásában több állásfoglalást is közzétett. Ezek kiemelik az olyan adatkezelői kötelezettségek fontosságát, mint például az elszámoltathatóság, jogszerűség, célhoz kötöttség, adattakarékosság, pontosság, adatbiztonság, illetve előzetes tájékoztatás. A kötelezettségekkel összefüggésben a felügyeleti szerv kiemeli, hogy az adatkezelőnek elsősorban az adatkezelést nem igénylő megoldásokat kell igénybe vennie. Ha adatkezelés valósul meg, abban az esetben az érintett magánszférájába kevésbé beavatkozó módszereket kell választani.

Kérdőívezés korlátok között

A kérdőívek munkáltató általi kitöltése a kitettség gyanúja esetén lehetséges egyebek mellett az akár magáncélú utazás helyszíne, időpontja, bizonyos országokból érkező személyekkel való érintkezés ténye vonatkozásában. Azonban egészségügyi kórtörténetre vonatkozó adatokat a munkáltató nem kérhet be, egészségügyi dokumentáció csatolását nem írhatja elő. Ilyen adatkezelés jogszerűségéhez ugyanis az általános adatvédelmi rendelet 6. cikk (1) bekezdése szerinti jogalapon kívül, egészségügyi adatok esetében a 9. cikk (2) bekezdése szerinti feltételek valamelyikének szintén fenn kell állnia, mint például a foglalkoztatást szabályozó jogi előírásokból (különösen a Munka törvénykönyve rendelkezéseiből) fakadó munkáltatói kötelezettségek teljesítése. Az ilyen adatok bekérésére a munkáltató tehát nincs felhatalmazva.

Lázmérés, szűrővizsgálatok – csak, ahol indokolt

Az adatkezelő által alkalmazott diagnosztikai eszközök jogalapjait is úgy kell megválasztani, hogy tekintettel kell lenni az egészségügyi adatok kezelésének fent vázolt, különös feltételeire. Fontos, hogy az ilyen vizsgálatok kizárólag egészségügyi szakember által, vagy a szakmai felelőssége mellett végezhetők, a munkáltató kizárólag a vizsgálatok eredményét ismerheti meg. Azt is kiemelte, hogy nem összeegyeztethető az adatvédelmi előírásokkal a minden munkavállalóra általánosan kiterjedő elrendelésük, mivel az ilyen vizsgálatoknak a fertőzésnek fokozottabban kitett munkakörben foglalkoztatottakra szabad kiterjedniük (például ügyfélszolgálati feladatokat ellátó dolgozók).

Az adatkezelő területére belépő valamennyi személyre kiterjedő testhőmérséklet-mérés az adatvédelmi alapelvek szempontjából abban az esetben lehet megfelelő, ha az adatkezelő területére történő beléptetés során valamennyi belépni szándékozó személyre egységesen kiterjedő védelmi intézkedésként, azaz úgynevezett „héjvédelemként” alkalmazzák, a mérés alanyának kifejezetten ezen adatkezelési cél érdekében történő azonosításához nem kötött, és semmilyen módon nem jár adat rögzítésével, további tárolásával, továbbításával.

A digitális távoktatás nem hozzájáruláson alapuló adatkezelés

A digitális oktatással kapcsolatosan a hatóság egyebek között arra mutatott rá, hogy mind a diák, illetve hallgató, mind a tanár hangja, képmása személyes adatoknak minősülnek, mely személyes adatok kezelése közfeladaton (és nem az érintettek hozzájárulásán) alapul. A digitális távoktatással összefüggésben is követelmény az adattakarékosság, illetve a kevésbé korlátozó alternatíva alkalmazása. A digitális távoktatással kapcsolatos adatkezelések esetében is elvárás az alapelvek figyelembevétele és az azoknak való megfelelés igazolása, amely az adatkezelő felelőssége. Tehát például az adattakarékosság elve alapján, ha az iskolai (elsősorban gyakorlati) feladat elvégzését videofelvétellel kell a diáknak igazolni, úgy elvárás, hogy a felvételen ne szerepeljen a tanulón kívül más személy, és az otthoni, privát teréből, környezetéből is minél kevesebb látszódjon.

A digitális távoktatás kapcsán is törekedni kell elsősorban adatkezelést nem igénylő eszközök, ennek lehetetlensége esetén az érintettek magánszférájára kevésbé kockázatos megoldás választására (például videófelvétel feltöltése helyett online videochat, vagy a tanórák valós idejű közvetítésének választása). Fontos, hogy közfeladat ellátásával összefüggő adatkezelések esetében is érvényesíteni kell az érintetti jogokat, melyekre fel kell hívni az érintettek figyelmét.

A munkavállaló fertőzöttsége a kollégáival sem közölhető

A fertőzöttséggel kapcsolatos adatok munkáltató általi kezelésével és továbbításával összefüggésben a hatóság ismételten kiemelte, hogy valamennyi adat különleges adatnak minősül, mely adatok kezeléséhez az szükséges, hogy a GDPR 9. cikkében megjelölt feltételek fennálljanak. Különös figyelmet kell fordítani a célhoz kötöttség elveinek érvényesülésére. A munkavállaló fertőzöttségének ténye a munkáltató számára szükséges adat lehet. Az is szükséges adat lehet, hogy a munkavállaló érintkezett fertőzött személlyel. Nem szükséges azonban a harmadik személy beazonosítása, valamint a hozzátartozói viszony jellege. Nem fogadta el ugyanakkor a hatóság annak szükségességét sem, hogy a munkáltató a fertőzött kolléga nevét a többi kollégával megossza.