Ez a legújabb állásfoglalása, ezért ezzel kezdem, mivel a többi már korábbi hírlevelemből megismerhető volt.

Tanulság előre: A NAIH elfogadja az adatkezelés jogszerűségét, ha megfelelően és előre felkészülve alá tudjuk támasztani és ledokumentálni!

 Mivel a védettség / Covid fertőzés ténye egészségügyi adatnak minősül, mely különleges személyes adat, így csak a GDPR rendelet tételesen felsorolt eseteiben kezelhető, ami a GDPR 9. cikk. (2)-es bekezdésében szereplő esetek. A hatóság a jogszabályi előírást találta erre a helyzetre megfelelőnek, a lentebb hivatkozott paragrafusok miatt.

A NAIH preferálna egy átfogó jogszabályt, amely minden szempontból rendezné a védettséget tartalmazó adatok megismerhetőségéről, de addig is igyekszik útmutatást adni a jogkövető adatkezelés kialakításához.

Az koronavírus fertőzéshez kapcsolódó adatkezeléseket átfogó jogszabály hiányában, az állásfoglalása csak a munka törvénykönyvén, és a GDPR rendeleten alapul, így csak a munkaviszonyban foglalkoztatottak személyes adatainak, munkáltató általi megismerésére vonatkozik. A más egyéb jogviszony alapján dolgozó Érintettre ezen állásfoglalás nem érvényes.

A NAIH a munka törvénykönyvélből kiemeli:

• 9§ (2), mely a munkaviszonnyal összefüggő adatkezelések arányosságát írja elő,
• 10§ (1), mely munkáltató által megkövetelhető munkavállalói nyilatkozatokról rendelkezik,
• 51§ (4), mely az egészséget nem veszélyeztető és biztonságos munkavégzés körülményeit írja elő,
• 57§ (7) b) és h) pontja, mely az egészséges munkakörülmények rendszeres ellenőrzésének és intézkedést ennek megőrzésére kötelezettséget írja elő.
• 60§ (3) Munkavállaló együttműködési körülménye a Munkáltatóval az egészséges munkakörülmények megteremtésére.

A fenti jogszabályi pontok alapján a NAIH elfogadja, hogy vannak olyan esetek, melyeknél a munkáltató jogosan hívja fel nyilatkozatra, és kezeli a koronavírus védettséghez kapcsolódó adatokat.

DE….. ennek előfeltétele a hatóság szerint egy megfelelő kockázatelemzés!

A kockázatelemzést, a hatóság, elsősorban nem adatvédelmi kérdésnek, hanem az adatkezelő iparági sztenderdjei, és a rá vonatkozó speciális jogszabályi követelmények által előírt szempontok összességének tekinti. Így úgy értelmezem, hogy annak megfelelőségét kizárólag, csak az GDPR alapelvei szerint fogja vizsgálni, más szempontból nem, de kiemelte a szükségesség, arányosság, alkalmasság szempontjait.

 Tehát a Munkáltató, ha védettségi adatokat igényelne a munkavállalótól, ez akkor lesz jogszerű, ha előtte megfelelően mérlegelte, hogy mi módon küszöbölheti ki a munkavállalóinak, ügyfeleinek, partnereinek megbetegedését, milyen kockázattal járna egy megbetegedés a munkavállalói, külső érintettek körében, valamint mérlegeli az adatkezelő szervezetére, tevékenységére ható következményeit egy Covid fertőzött munkavállalónak.

 Értelmezésem szerint egy bővített érdekmérlegelést kellene készítenie a munkáltatónak, mint kockázatelemzés, mely egészségügyi, munkaszervezési, iparági szempontokat is tartalmaz.

 A hatóság kiemelte, hogy ezt nem egységesen, hanem munkakörökre lebontva kell megvizsgálni.

 További követelmény, hogy a kockázatelemzésben meghatározott lépéseket meg is valósítsa a munkáltató! Nem elég leírni, csak a fióknak. Ha nincs megvalósítása a kockázatcsökkentő lépéseknek, akkor nem lesz jogszerű az adatkezelés.

 Fontos szempont az elszámoltathatóság elve, vagyis ezen kockázatelemzéseket, kockázat csökkentő lépéseket dokumentáljuk le. Készítsünk jegyzőkönyvet a kockázatcsökkentő lépések megtételének tényéről, vagy más írásos nyoma legyen, például vezetői utasítás formájában.

 Az adattakarékosság elvére is kitért, vagyis csak a védettség tényét ismerheti meg a munkavállaló, valamint a védettségi igazolvány lejáratának dátumát, mást nem gyűjthet. Fényképet, egyéb adatot ne kezeljen ezzel kapcsolatban.

A szükségesség elvét is hangsúlyozta a NAIH, amit már a munkakörre lebontott kockázatelemzés is biztosít. Ezt az adatkezelést, csak olyan esetben jogszerű így előírni, amikor tényleg más módon nem tudjuk a kockázatot elkerülni. Például egy otthoni munkavégzésben is dolgozni tudó munkavállalónál nem indokolt, míg egy ügyfélszolgálati ügyintézőnél, aki naponta több tíz vagy száz személlyel találkozik testközelben, elfogadható lehet.

Az adatkezelési tájékoztató vagy annak frissítése is alapvető fontosságú erről az adatkezelésről, mely az átláthatóság alapelvét biztosítja.

Gondoskodni kell az adatok biztonságáról és pontosságáról, ahogy minden más adatkezelésben is.

A NAIH kiemelte, hogy a munkáltató, ha bevezeti ezt az adatkezelést, akkor ennek eredménye alapján, kötelező a szükséges munkaszervezési lépéseket is megtenni, tehát a nem védett munkavállalói munkavégzését oly módon megoldani, hogy a lehetőségekhez képest a megfertőzési lehetőségektől védve legyenek, pl: otthoni munkavégzéssel, vagy bármi módon, akár külön irodákba szervezéssel.

Ha valaki részletesebben szeretne tájékozódni, az alábbi linken megteheti:

https://naih.hu/dontesek-adatvedelem-tajekoztatok-koezlemenyek?download=350:a-hatosag-tajekoztatoja-a-munka-torvenykonyverol-szolo-2012-evi-i-torveny-hatalya-ala-tartozo-jogviszonyokban-a-munkavallalo-koronavirus-elleni-vedettsege-tenyenek-munkaltato-altali-megismerhetosegerol