A világjárvány és lehetséges adatvédelmi következményei okozta helyzetre tekintettel az Európai Adatvédelmi Testület (EDPB) 2020. március 19-én kiadott egy nyilatkozatot a személyes adatok járvány kitörésével összefüggésben történő kezeléséről, amelynek itt olvashatják az összefoglalását.
Az EDPB annak hangsúlyozásával kezdi, hogy „[a]z adatvédelmi szabályok (például a GDPR) nem akadályozzák a koronavírus világjárvány elleni küzdelemben hozott intézkedéseket. A fertőző betegségek elleni küzdelem minden nemzet közös célkitűzése, ezért azt a lehető legjobb módon kell támogatni… [e]zzel együtt az EDPB hangsúlyozni kívánja, hogy még ezekben a kivételes időkben is… számos szempontot figyelembe kell venni a személyes adatok jogszerű kezelésének garantálása érdekében, és minden esetben emlékeztetni kell arra, hogy az ebben az összefüggésben hozott intézkedéseknek tiszteletben kell tartaniuk az általános elveket… [a] veszélyhelyzet olyan jogi feltétel, amely legitimálhatja az egyének szabadságának korlátozását, feltéve, hogy ezek a korlátozások arányosak és csak a veszélyhelyzet idejére korlátozódnak.”
I. Munkáltatókra vonatkozó tudnivalók munkaviszony tekintetében
1. Kezelhetnek a munkáltatók személyes adatokat?
Ha a munkáltatót terheli egy jogi kötelezettség, például az egészséges és biztonságos munkahelyre vonatkozóan vagy közérdekkel kapcsolatban (például betegségekkel és egyéb veszélyekkel szembeni védekezés), akkor a vonatkozó adatvédelmi követelményeknek megfelelően sor kerülhet adatkezelésre. Ezt azt jelenti, hogy azontúl, hogy az adatkezelésnek van egy legitim célja és megfelelő jogalapja, kellő időben tájékoztatást kell nyújtani az érintettek részére, az adatvédelmi elveket be kell tartani (például adatminimalizálás és az adatok korlátozott ideig történő megőrzése) és megfelelő védelmi intézkedéseket kell alkalmazni. Fontos továbbá, hogy a munkáltató által megtett intézkedések dokumentálására sor kerüljön.
A GDPR 9. cikk (2) bekezdés i) pontja lehetővé teszi bizonyos különleges adatkategóriák (például egészségügyi adatok) kezelését, amennyiben az a közegészségügy területén fennálló jelentős közérdek miatt szükséges a magyar vagy Uniós jog alapján. Úgyszintén, a 9. cikk (2) bekezdés c) pontja értelmében az adatkezelés megengedett, ha az az érintett alapvető érdekeinek védelme érdekében szükséges, illetve a (46) preambulumbekezdés kifejezetten utal a járvány idején történő adatkezelésekre.
2. Megkövetelheti a munkáltató a látogatóktól vagy az alkalmazottaktól, hogy konkrét egészségügyi információkat szolgáltassanak magukról a járvány kapcsán?
A munkáltató csak akkor követelheti meg az egészségügyi információkat, ha a tagállami jogszabályok azt megengedik. Az adatkezelés alapelveit (például adatminimalizálás, korlátozott tárolhatóság és arányosság) ilyen esetben is tiszteletben kell tartani.
3. Megengedett az, hogy a munkáltató orvosi ellenőrzéseket végezzen az alkalmazottakon?
A munkáltatók csak akkor férhetnek hozzá egészségügyi adatokhoz és kezelhetnek ilyen adatokat, ha jogszabályi kötelezettségeik azt megkövetelik.
4. Felfedhetik a munkáltatók a COVID-19-el fertőzött munkavállalót kollégái vagy a külsősök előtt?
A munkáltatók kötelesek tájékoztatni a személyzetet a fertőzésekről és megfelelő védőintézkedéseket kell tenniük. Egyidejűleg, fontos, hogy a szükségesnél több információt nem szabad megosztaniuk. Ha meg kell osztani a vírussal fertőzött munkavállaló nevét (pl. további lehetséges fertőzések megelőzése érdekében), akkor, amennyiben azt tagállami jogszabály lehetővé teszi, az érintett munkavállalókat előzetesen tájékoztatni kell és emberi méltóságukat tiszteletben kell tartani.
5. Milyen információkat gyűjthetnek a munkáltatók a vírussal összefüggésben?
A munkáltatók személyes információkat gyűjthetnek jogi kötelezettségeik teljesítése érdekében. A magyar jog szerint a munkáltatók kötelesek egészséges és biztonságos munkahelyet fenntartani és a munkáltató és a munkavállaló kötelesek egymással jóhiszeműen együttműködni a munkaviszony fennállása alatt (azaz, a munkavállaló, aki tudja, hogy fertőzött vagy például olyan országból tért vissza, ahol nagyon magas a fertőzések száma, köteles tájékoztatni a kockázatokról a munkáltatót).
Következtetések
Mielőtt a munkáltató személyes adatok (beleértve az egészségügyi adatokat is) kezeléséről dönt a világjárvánnyal összefüggésben, a munkaviszony körülményeit elemeznie kell és a munkáltató a körülmények EDBP nyilatkozata, valamint a magyar adatvédelmi hatóság 2020. március 10-én kelt tájékoztatója fényében elvégzett elemzése alapján kell döntsön az adatkezelésről. A tájékoztatóról további információ elérhető a következő linken: https://szecskay.hu/hu/publikaciok/adatvedelem-munkajog-es-gazdasagi-intezkedesek-a-koronavirus-jarvany-alatt
II. Tagállamoknak szóló megfontolások
1. Hatóságok kezelhetnek különleges adatkategóriába tartozó adatokat?
A GDPR megengedi az illetékes közegészségügyi hatóságok számára, hogy a járvánnyal kapcsolatos esetekben a tagállami jogszabályokkal összhangban kezeljenek személyes adatokat. Például, ha az adatok kezelésére a közegészségügy területén jelentős közérdek miatt van szükség.
A személyes adatok (így a különleges adatkategóriába tartozó adatok) illetékes közegészségügyi hatóságok általi kezelését illetően az EDPB álláspontja szerint a GDPR 6. és 9. cikke lehetővé teszi ezt, különösen akkor, ha ez a hatóságoknak a hatáskörébe tartozik.
2. Helymeghatározási adatok kezelhetők?
Ezen kérdés megválaszolása a tagállami jog alapján lehetséges. A ePrivacy irányelv 15. cikke felhatalmazza a tagállamokat arra, hogy a közegészség védelme érdekében jogszabályokat fogadjanak el. Az ilyen rendkívüli jogszabályoknak szükségesnek, megfelelőnek és arányosnak kell lenniük és összhangban kell lenniük az Alapjogi Chartával és az emberi jogok és alapvető szabadságok védelméről szóló európai egyezménnyel.
Magyarországon lényegében az elektronikus hírközlésről szóló törvény ülteti át az ePrivacy irányelv szabályait és a törvény nem tartalmaz járvánnyal kapcsolatos kifejezett rendelkezést. A törvény azonban tartalmaz helymeghatározási adatok kezelésére vonatkozó szabályokat.
3. Használhatják a tagállamok kormányai a személyek mobiltelefonjával kapcsolatos személyes adatokat a COVID-19 megfigyelésére, korlátozására vagy enyhítésére irányuló erőfeszítéseik során?
A tagállamok elsősorban anonim adatok kezelését végezhetik, azaz, olyan adatokét, amelyek alapján többé nem lehetséges egyének azonosítása. Amennyiben ez nem lehetséges, akkor az ePrivacy irányelv lehetővé teszi, hogy a tagállamok a közegészség védelme érdekében jogszabályokat fogadjanak el. Ebben az esetben olyan adatkezelési módot kell választani, amely az érintettek magánszférájába a lehető legkisebb beavatkozást okozza, továbbá a tagállamok kötelesek megfelelő garanciákat kiépíteni.
Az EDPB kiemeli, hogy “[a]z invazív intézkedések, például az egyének „nyomon követése” (azaz a histórikus, nem anonimizált helymeghatározási adatok kezelése) kivételes körülmények esetén és az adatkezelés konkrét módozatától függően arányosnak tekinthetők. Azonban mindezt… az adatvédelmi elvek tiszteletben tartását biztosító intézkedésekkel kell megtenni (az intézkedés arányossága az időtartam és a hatály tekintetében, az adatok korlátozott megőrzése és a célhoz kötöttség).”
A fentiek nem minősülnek jog tanácsadásnak, ezen összefoglaló pusztán általános információt nyújt a fenti adatvédelmi kérdések tekintetében.
Amennyiben kérdése van a fentiekkel kapcsolatban, kérjük keresse Kovács Zoltán Balázs kollégánkat vagy bármely más munkatársunkat akik készséggel állnak szíves segítségére.