Tudhatja-e a munkáltató, hogy be vagyunk oltva?

A jelenlegi járványhelyzetben felmerül a kérdés, hogy a munkáltató jogosult-e kezelni a foglalkoztatottak koronavírus elleni védettségére vonatkozó adatait. Ezzel kapcsolatban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) adott ki általános iránymutatást. A hatályos adatvédelmi szabályok alapján a munkáltatónak mindenekelőtt meg kell határoznia a személyes adatok kezelésének pontos célját és az adatkezelés jogszerűségét alátámasztó jogalapot. A védettség ténye – akár a betegségből felgyógyulás, akár az oltottság – a GDPR szerint a személyes adatok különleges kategóriájába tartozó egészségügyi adatnak minősül. Emellett a magyar munka törvénykönyve is szabályozza, milyen esetekben korlátozható a munkavállaló személyiségi joga.
 
A NAIH iránymutatása alapján a védettség meglétét a munkáltató csak munkajogi, munkavédelmi, foglalkozás-egészségügyi vagy munkaszervezési okokból ismerheti meg. Az adatkezelés célja csak az lehet, hogy a munkáltató megtehesse és meg is tegye a munkavállalók és a velük kapcsolatba kerülők élete és egészsége védelmében szükséges intézkedéseket. A munkáltató ezen adatkezelése járványügyi érdeket – mint jelentős közérdeket – is szolgál.
 
A munkáltatónak munkakörönként kell mérlegelnie, szükséges-e az adatkezelés. Alacsony kockázatú munkakörök, például távmunka esetén ez nem indokolt, ugyanakkor természetesen szükséges lehet például egy Covid-osztály orvostechnikai eszközeinek karbantartója vagy egy szociális intézmény dolgozója esetén.
 
Mint ahogy a személyes adatok kezelésekor általában, most sem szabad figyelmen kívül hagyni az adattakarékosság elvét: csak olyan adatot lehet kezelni, amely a cél megvalósításához elengedhetetlenül szükséges és azzal arányos. Ilyen adat csak a védőoltást igazoló applikáció és a védettségi igazolvány lehet, de azokról a munkáltató másolatot nem készíthet, azokat nem tárolhatja és nem is továbbíthatja. A védettség tényén és időtartamán kívül a munkáltató semmilyen egyéb adatot nem gyűjthet és kezelhet jogszerűen.
 
„Az egészségügyi adatok jogellenes kezelése komoly bírsággal is járhat – mondta dr. Markóczy Réka, az act Bán és Karika jogásza. – Az érintetti jogok megsértését a magyar jogszabály 100 ezertől 20 millió forintig terjedő bírsággal szankcionálja, a GDPR alapján pedig alsó határ nélkül akár 20 millió euróig – vagy ha az nagyobb, az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-áig – terjedhet a büntetés.”
Az adatkezelőknek a fentieken túlmenően rendelkezniük kell az adatkezelés átláthatóságáról, az adatok pontosságáról és biztonságáról is.
 
A GDPR értelmében kötelező előírás az adatkezelési tájékoztató elkészítése, amelyben az érintettek számára közérthetően és kellően részletesen meg kell határozni többek között az adatkezelés célját, jogalapját, az adatok megőrzésének időtartamát és az adatokhoz hozzáférésre jogosultak körét. Az érintetteket emellett tájékoztatni kell a GDPR alapján őket megillető jogok gyakorlásának a lehetőségéről, illetve a jogorvoslati módokról is.