A legfontosabb adatkezelési irányelvek járvány idején

Az egészségügyi adatok az adatvédelmi törvények szerint olyan speciális személyes adatok, amelyek - tekintettel azok érzékeny természetére - fokozott védelmet élveznek. Az adatkezelési nyilvántartásban ezért részletesen fel kell tüntetni azt, hogy milyen adatokat (pl. testhőmérséklet, teszt eredmény) hol és milyen formában kezelünk, és azokhoz ki férhet hozzá.

Mindegy, hogy „egyszerű” vagy érzékeny személyes adatokról van szó, a jogalap azonosítása elkerülhetetlen. A GDPR 9. cikk 2. bek. h) pontja felülírja az egészségügyi adatok kezelésének tilalmát, amennyiben az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése vagy orvosi diagnózis felállítása érdekében szükséges.

Ha a munkáltató igazolni tudja, hogy a kialakult helyzet kezelése jogszerű, tisztességes, szükségszerű és a körülményekkel arányos, akkor nem valószínű, hogy a bevezetett intézkedések adatvédelmi akadályba ütköznek. A belső adatvédelmi szabályozás kialakítása azonban sosem lehet egy és ugyanazon séma szerinti: az adatvédelmi jogszabályi és gyakorlati kereteken belül mindig a munkáltatónak kell felmérnie azt, hogy a speciális egészségügyi és biztonsági követelményekre és ágazati szabályozásokra tekintettel is az adott intézkedés az adott körülményekhez képest megfelel-e ennek a követelményrendszernek.

„Ha egy munkáltató úgy dönt, hogy megelőző intézkedésként tesztelnie vagy ellenőriznie kell a munkavállalók tüneteit, mert adott esetben azt pl. az adott munkakör a fokozottabb interakciók miatt megkívánja, akkor alaposan győződjön meg arról, hogy az információkhoz jogszerűen jut hozzá”

– hívta fel a figyelmet dr. Kustos Petra, a Deloitte Legal ügyvédje és adatvédelmi csoportjának vezetője.

A GDPR 6. cikkének rendelkezéseit sem lehet figyelmen kívül hagyni. Abból kiindulva ugyanis, ha a szóban forgó adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, az adatkezelőnek érdekmérlegelési teszt formájában azt is meg kell vizsgálnia, hogy az adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték. Ez pedig maga után vonja a kérdést: hogyan kezeljük jogszerűen a COVID tesztek eredményeit?

Kövessük az adattakarékosság elvét!

A teszt eredménye a munkavállaló személyes adata, akár negatív, akár pozitív. Az adattakarékosság elvével ellentétes, ha a munkáltató a teljes teszteredményt tárolja, benne a munkavállaló összes személyes adatával, az azonosításhoz szükséges adatokon felül a teljes anamnézissel együtt. Az elv szerint a tárolt személyes adatoknak az adatkezelés célja szempontjából a szükségesre kell korlátozódniuk. A munkáltató már azzal eléri a munkahelyi egészség és az ehhez szükséges intézkedések biztosítását, ha kizárólag arról a tényről szerez tudomást, hogy a munkavállaló által rendelkezésére bocsátott teszteredmény negatív vagy pozitív, és erről meggyőződik, esetleg rögzíti, de nem tárolja a teljes teszteredményt. Végső soron a munkáltató csak azt ismerheti meg, hogy az érintett alkalmas-e munkavégzésre vagy sem.

„Ha valamilyen oknál fogva a tárolás mégis elengedhetetlen, pl. mert az adott munkakör intenzívebb tesztelést igényel, a munkavállaló egészségi állapotának nyomonkövetése és annak szenzitív munkahelyi hatásai miatt, különös tekintettel a többi munkavállaló vagy ügyfél egészségére is, a munkavállalókat teljeskörűen tájékoztatni kell a tárolás körülményeiről, annak időtartamáról és az adatokkal kapcsolatos, pl. a hozzáférési jogukról is”

– mondta dr. Kustos Petra.

Tudatosság növelés és kommunikáció

Amennyiben egy szervezet tesztel és egészségügyi információkat dolgoz fel, akkor adatvédelmi hatásvizsgálatot (DPIA) kell lefolytatnia az új kockázati területekre összpontosítva. A kamerás megfigyelés a munkavállalói magatartás ellenőrzésére és annak igazolására, hogy a munkavállalók betartják az előírt távolságot nem biztos, hogy szükségszerű. Ennél kevésbé drasztikus megoldás, ha a munkáltató a kezdetektől fogva világosan és közérthetően kommunikálja a tervezett intézkedéseket és azok adatvédelmi vonatkozásait. Ezzel hatékonyan lehet növelni az alkalmazottak adatvédelmi tudatosságát.

A munkáltatónak kötelessége biztosítani minden alkalmazottjának egészségét és biztonságát, ezért nyilvánvalóan közölnie kell, ha valaki teszteredménye pozitív lett. A közlés azonban csak és kizárólag megszabott keretek között működhet, lehetőség szerint kerülni kell az érintett megnevezését, és nem kell kiadni több információt a szükségesnél.