Kollégánk, Kovács Zoltán Balázs kérdés-felelet formájában foglalta össze a járvány következtében tipikusan felmerülő adatvédelmi kérdéseket. Úgyszintén, az alábbiak általános összefoglalást nyújtanak a járvány következményeinek enyhítését célzó gazdasági intézkedésekről, röviden kitérve a Munka Törvénykönyve módosítására is.
Az alábbi I. kérdés tekintetében a magyar adatvédelmi hatóság által e tárgyban 2020. március 10-én kiadott tájékoztatót dolgozzuk fel, majd röviden kitérünk az otthoni munkavégzéshez kapcsolódó, legfőbbnek tekinthető adatvédelmi kérdésekre. Alább a járvány hatásainak enyhítését célzó egyes kormányrendeletekről, így többek között a Munka Törvénykönyve módosításáról is olvashatnak egy rövid összefoglalót.
I. Munkáltató általi intézkedések (kérdőívek kitöltetése, testhőmérséklet ellenőrzése) munkavállalók, munkavégzésre irányuló jogviszonyban állók, valamint ügyfelek, látogatók tekintetében
1. Sor kerül-e személyes adatok (különleges személyes adatok) kezelésére, ha a munkáltató testhőmérséklet ellenőrzést végez vagy kérdőívet töltet ki arra vonatkozóan, hogy milyen tünetei vannak pl. az egyes munkavállalóknak, illetve milyen országokban jártak az elmúlt időszakban?
Igen. Erre való tekintettel fontos a vonatkozó adatvédelmi követelmények betartása. Személyes adatok kezelése csak akkor lehet indokolt, ha az adott legitim célt nem lehet elérni adatkezelés nélkül és mindig vizsgálni kell, hogy a magánszférát kevésbé korlátozó módon el lehet-e érni az adatkezelés célját. Ha az adatkezelés elengedhetetlen, akkor meg kell határozni az adatkezelés pontos célját és jogalapját. Figyelni kell továbbá arra, hogy csakis azon adatok kezelésére kerüljön sor, amelyek kezelése feltétlenül szükséges a cél eléréséhez. Fontos továbbá, hogy az adatkezelésről a munkáltató megfelelő tájékoztatást adjon az érintettek részére és biztosítsa az adatok biztonságát.
2. Mit jelentenek a fentiek a gyakorlatban?
Az adatkezelés megkezdése előtt a munkáltató köteles azonosítani az adatkezelés célját, ami ebben az esetben a biztonságos és egészséges munkakörnyezet fenntartása. (Megjegyzendő, hogy a biztonságos munkakörnyezet fenntartása a munkáltató jogszabályi kötelezettsége.) Jogalapként az adatvédelmi hatóság egyfelől a munkáltató jogos érdekét jelöli meg (GDPR 6. cikk (1) bekezdés f) pont), amely esetben az adatkezelés előtt készíteni kell egy ún. érdekmérlegelési tesztet, amely azt hivatott bemutatni, hogy az adatkezeléssel elérni kívánt célhoz fűződő munkáltatói érdek miért előzi meg a munkavállalók személyhez fűződő jogait. Tekintettel arra, hogy egészségügyi adatok kezeléséről is szó van, a GDPR 9. cikkéből is meg kell nevezni egy jogalapot (ld. alábbi 5. és 7. pontok).
Az adatkezelés célja és jogalapja azonosítása és az érdekmérlegelés elvégzése mellett, a munkáltató köteles a GDPR 13. cikke szerinti tájékoztatást nyújtani az érintett személyek (pl. munkavállalók) részére.
Az adatok biztonságáról való gondoskodás jelenti mind a fizikai, mind az IT biztonság megfelelő szintjének biztosítását. A „megfelelő szint” nincs definiálva jogszabályban, azt mindig az adatkezelés jellegének, az adatkezelés által jelentett kockázatoknak megfelelően kell kialakítani.
3. Milyen intézkedések várhatók el a munkáltatótól az adatvédelmi hatóság szerint a jelen helyzetben?
- Pandémiás (üzletmenet folytonossági) terv elkészítése (amelyben javasolt a következő kérdésekre kitérni: a veszélyeztetettség csökkentése érdekében tett intézkedések bemutatása, fertőzés megjelenésekor teendő intézkedések, alkalmazott intézkedések adatvédelmi kockázatainak előzetes elemzése, szervezeten belüli felelősségi körök rendezése, a tájékoztatásra kiépített kommunikációs csatornák megnevezése, koronavírussal való feltételezett érintkezés esetén jelentési kötelezettség az arra kijelölt személy felé, valamint üzemorvos, háziorvos felhívása);
- A koronavírussal kapcsolatos legfontosabb tudnivalókra vonatkozó tájékoztató kidolgozása és a munkavállalók rendelkezésére bocsátása (fertőzés jellemzői, terjedés módja, lappangási idő, tünetek, megelőzés, tünetek észlelése esetén teendők);
- Üzleti utak átszervezése, otthoni munkavégzés lehetőségének biztosítása.
4. Mit tehet a munkáltató, ha bejelentést tesz hozzá egy munkavállaló a vírusnak való esetleges kitettségről?
A munkáltató rögzítheti (i) a bejelentés időpontját, (ii) az érintett munkavállaló nevét, (iii) annak tényét, hogy a külföldi – adott esetben magáncélú is – utazás helyszíne és időpontja egybeesik-e a munkáltató tájékoztatójában felsorolt országokkal és megjelölt időpontokkal, (iv) a megjelölt, kockázatos területről érkező személlyel való érintkezés tényét és (v) a munkáltató által megtett intézkedéseket (pl. üzemorvoshoz fordulás biztosítása, önkéntes otthoni karantén engedélyezése).
Ezen adatkör tekintetében a hatóság elfogadhatónak tartja kérdőívek kitöltetését is a munkavállalókkal, amennyiben a munkáltató arra a következtetésre jut az előzetes kockázatértékelés alapján, hogy e módszer szükséges és arányos mértékben korlátozza a munkavállalók magánszféráját. A hatóság egyidejűleg felhívja a figyelmet arra, hogy a kérdőív nem tartalmazhat az érintett egészségügyi kórtörténetére vonatkozó adatokat, továbbá a munkáltató egészségügyi dokumentáció becsatolását sem írhatja elő.
5. Mi a fenti 4. pontban meghatározott adatkezelés jogalapja?
A hatóság álláspontja szerint magánszférában működő munkáltató esetén az adatkezelés jogalapja a munkáltató jogos érdeke (GDPR 6. cikk (1) bekezdés f) pontja) és a GDPR 9. cikk (2) bekezdésének b) pontja (mivel a munkáltatónak munkajogi előírásokból fakadó kötelezettsége a munkavállalók számára egészséges és biztonságos munkavégzési körülményeket biztosítani).
6. Elrendelhet-e a munkáltató minden munkavállalóra kiterjedő testhőmérséklet ellenőrzést?
A hatóság nem tartja arányosnak a munkáltató intézkedéssel elrendelt, minden munkavállalóra általánosan kiterjedő, diagnosztikai eszközzel elvégzett szűrővizsgálat előírását, bevezetését, tekintettel arra, hogy a koronavírus tüneteivel kapcsolatos információk összegyűjtése és kiértékelése, azokból következtetések levonása az egészségügyi szakemberek és a hatóságok feladata.
7. Lehetséges-e más jogalapot használni az adatkezeléshez?
A hatóság álláspontja szerint, amennyiben a munkáltató a munkavállaló bejelentése alapján vagy az általa elvégzett kockázatelemzés alapján elengedhetetlenül szükségesnek tartja az adatkezelést egyes, a fertőzésnek fokozottan kitett munkakörök vonatkozásában, akkor a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdekkel egyidejűleg hivatkozhat a GDPR 9. cikk (2) bekezdés h) pontjára („adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból”), amely esetben azonban kizárólag egészségügyi szakember által végzett vizsgálatot rendelhet el. Ilyenkor a munkáltató kizárólag ezen vizsgálat eredményét ismerheti meg.
8. Köteles-e a munkavállaló tájékoztatni a munkáltatót arról, ha a munkahelyet, illetve további munkavállalókat érintő egészségügyi kockázatról van tudomása?
A hatóság álláspontja szerint az együttműködési kötelezettségből, valamint a jóhiszeműség és tisztesség elvéből következik, hogy fennáll egy általános tájékoztatási kötelezettség.
9. Mi a helyzet a nem munkavállalókkal (pl. látogatók, ügyfelek)?
A hatóság kiemeli, hogy ebben az esetben is fokozottan figyelni kell az adatvédelmi kockázatok előzetes mérlegelésére, az érintettek GDPR szerinti tájékoztatására és gondoskodni kell egy olyan részletes tájékoztató kidolgozásáról és rendelkezésre bocsátásáról, amely tartalmazza a koronavírussal kapcsolatos legfontosabb tudnivalókat és a kifejezett felhívást, hogy belépés előtt jelezze a látogató, ha fennállhat a vírussal való korábbi érintkezése ténye. Az adatkezelés jogalapja tekintetében a hatóság alkalmazhatónak tartja a fenti 5. és 7. kérdésben meghatározott jogalapokat.
II. Otthoni munkavégzés (home office)
Fontos, hogy a munkáltató alapesetben (otthoni munkavégzés hiányában is) kell rendelkezzen bizonyos szabályzatokkal, így pl. biztonsági szabályzattal, eszközhasználati szabályzattal, (adatvédelmi) incidens szabályzattal, amelyeket megfelelően kihirdetett a munkahelyen.
Mire kell figyelnie a munkáltatónak adatvédelmi szempontból abban az esetben, ha otthoni munkavégzést tesz lehetővé, illetve rendel el?
Az ilyen esetben felmerülő legfőbb kérdés az adatbiztonság fenntartása (a munkáltató által megkövetelt IT és fizikai biztonsági védelmi szint előírása), így többek között az alábbi kérdések merülnek fel:
- a munkavégzéshez használt eszközökön a munkáltató által megkívánt erősségű jelszó használata,
- az eszközökön tárolt, illetve emailen küldött dokumentumok tekintetében a munkáltató által megkövetelt mértékben titkosítás alkalmazása,
- amennyiben otthonról wifi-n keresztül történik csatlakozás az Internethez, akkor a munkáltató által megkövetelt erősségű wifi jelszó használata, illetőleg VPN használata erős, végfelhasználók közötti titkosítással,
- kizárólag a munkáltató által engedélyezett, gyártói támogatással ellátott software (annak legutóbbi frissítése) használata (pl. operációs rendszer, vírusirtó, tűzfal),
- a használt eszközöket kizárólag a munkavállaló használja, azokhoz másnak ne legyen hozzáférése,
- többlépéses autentikáció alkalmazása a munkáltatói rendszerbe való belépéshez,
- amennyiben valamilyen biztonsági incidens következik be, akkor arról haladéktalanul tájékoztassa a munkavállaló a munkáltatót annak érdekében, hogy a munkáltató mielőbb kiértékelhesse azt, hogy adatvédelmi incidens történt-e, továbbá megtehesse a szükséges intézkedéseket (összhangban a munkáltató (adatvédelmi) incidens szabályzatában foglaltakkal),
- a home office-nak helyt adó lakás megfelelő fizikai biztonsági szinttel rendelkezzen (kaputelefon, biztonsági zár, ha indokolt, riasztó), továbbá, ha indokolt, tűzálló szekrény, amelyben el kell helyezni a bizalmas papír-alapú dokumentumokat.
Fontos, hogy a fenti előírások közül, amit csak lehet „kényszerítsen ki” a munkáltató előzetes IT beállítások révén (pl. ha nem elég erős a jelszó, akkor a munkavállaló nem tudja használni a munkáltató rendszerét).
III. A 47/2020. Kormány rendelet koronavírus járvány okozta gazdasági következmények enyhítését célzó rendelkezéseinek összefoglalása
1. Fizetési moratórium hitelek és kölcsönök tekintetében
A veszélyhelyzet fennállása alatt az adósnak a hitelező által üzletszerűen nyújtott hitel- és kölcsönszerződésből, illetve pénzügyi lízingszerződésből eredő tőke-, kamat-, illetve díjfizetési kötelezettsége akként módosul, hogy az adós a szerződésből eredő tőke-, kamat-, illetve díjfizetési kötelezettsége teljesítésére fizetési haladékot kap 2020. december 31-ig. A moratórium időtartamát a Kormány meghosszabbíthatja.
2. Munkabérrel kapcsolatos közterhek módosulása
A rendelet szerint a turisztikai, a vendéglátóipari, a szórakoztatóipari, a szerencsejáték, a filmipari, az előadóművész, a rendezvényszervező és a sportszolgáltatást nyújtó ágazatok munkáltatói bizonyos, a munkabért terhelő közterhek megfizetése alól mentesülnek.
3. A Munka Törvénykönyve (Mt.) alkalmazásának módosítása
A Munka Törvénykönyve alábbi rendelkezései a veszélyhelyzet és annak végét követő 30 nap időtartamra módosulnak:
- a munkáltató a közölt munkaidő-beosztást az Mt. 97. § (5) bekezdése szerinti közlési szabályoktól eltérően is módosíthatja;
- a munkáltató a munkavállaló számára az otthoni munkavégzést és a távmunkavégzést egyoldalúan elrendelheti;
- a munkáltató a munkavállaló egészségi állapotának ellenőrzése érdekében a szükséges és indokolt intézkedéseket megteheti.
4. A Munka Törvénykönyvétől való eltérés
A munkavállaló és a munkáltató az Mt. rendelkezéseitől külön megállapodásban eltérhetnek. A Rendelet szövege alapján álláspontunk szerint az eltérés kizárólag akkor lehetséges, (akár a munkavállaló hátrányára is), ha az eltérést a jelen veszélyhelyzetben előírt tilalmak és korlátozások betartása indokolja. Úgyszintén, ilyen eltérés kizárólag a veszélyhelyzet megszűnésétől számított 30 napig hatályos.
IV. További, a koronavírus járvány gazdasági következményeinek enyhítését célzó intézkedések
A Kormány további gazdasági intézkedésekről fogadott el kormány rendeleteket, amelyeknek lényege röviden a következő:
(i) további 81480 kisvállalkozó részére június 30-ig adómentesség jár a KATA átalányadó fizetési kötelezettség alól (pl. fodrászat, előadóművészet, stb.);
(ii) a március 1-je előtt keletkezett KATA adótartozásokra haladék jár, ezeket elegendő lesz a veszélyhelyzet lejárta utáni negyedévben befizetni;
(iii) a turizmushoz és a vendéglátáshoz hasonlóan mentességet kapnak a magyar médiaszolgáltatók a kieső reklámbevételek miatt;
(iv) a kilakoltatások és a lefoglalások felfüggesztésre kerülnek;
(v) az adóvégrehajtások is felfüggesztésre kerülnek, a fennálló adótartozásokat elég lesz a veszélyhelyzet lejártát követően befizetni;
(vi) a veszélyhelyzet alatt lejáró GYES, GYET, GYED jogosultságokat meghosszabbítják. Az édesanyákat jelenlegi státuszukban tartják a veszélyhelyzet idejére.
A fent írtak nem minősülnek jogi tanácsnak, a jelen dokumentum csupán általános összefoglalást ad a fent nevezett kérdésekről, illetőleg azok bizonyos jogi vonatkozásairól.