data-compliance

Hírek

COVID-19 és az adatvédelem: legfontosabb data compliance teendők

A koronavírus járvány meglehetősen átírta a mindennapokat olyan új intézkedések bevezetésével és fenntartásával, amelyek a munkavállalók egészségének védelmét, és ezen keresztül a vírus terjedésének megakadályozását szolgálják.

A megszorító rendelkezéseknek nyilvánvalóan van egyfajta adatvédelmi aspektusa is, hiszen a munkáltatók olyan, az eddigiektől eltérő típusú információkat kénytelenek feldolgozni, amelyek a munkavállalók egészségi állapotára vonatkoznak.

A következőkben azt tekintjük át, hogy melyek a járvánnyal összefüggésben felmerült adatkezelés compliance következményei és ezek hogyan illeszthetők be a már meglévő folyamatokba.

 

1. Egészségügyi adatok az adatkezelési nyilvántartásban

Az egészségügyi adatok az adatvédelmi törvények szerint olyan speciális személyes adatok, amelyek - tekintettel azok érzékeny természetére - fokozott védelmet élveznek. Az adatkezelési nyilvántartásban ezért célszerű többek között részletesen feltüntetni azt, hogy milyen adatokat (pl. testhőmérséklet, teszt eredmény stb.) hol és milyen formában kezelünk, és azokhoz ki férhet hozzá.

Legyen szó akár „egyszerű”, akár érzékeny személyes adatról, a jogalap azonosítása mindkét esetben elkerülhetetlen. A GDPR 9. cikk 2. bek. h) pontja jelen esetben felülírja az egészségügyi adatok kezelésének tilalmát amennyiben az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, vagy orvosi diagnózis felállítása érdekében szükséges.

Lévén szó kollektív, azaz a teljes szervezetet érintő adatkezelésről, a belső eljárásrendek kiegészítése és összehangolása nyilvánvalóan elengedhetetlenné válik.

 

2. Kollektív eljárásrend

Ha munkáltatóként igazolni tudja, hogy a kialakult helyzet kezelése jogszerű, tisztességes, szükségszerű és a körülményekkel arányos, akkor nem valószínű, hogy a bevezetett intézkedések adatvédelmi akadályba ütköznek. A belső adatvédelmi szabályozás kialakítása azonban sosem lehet egy és ugyanazon séma szerinti: az adatvédelmi jogszabályi és gyakorlati kereteken belül mindig a munkáltatónak kell felmérnie azt, hogy a speciális egészségügyi és biztonsági követelményekre és ágazati szabályozásokra tekintettel is az adott intézkedés az adott körülményekhez képest megfelel-e ennek a követelményrendszernek.

Ezért pl. ha úgy dönt, hogy megelőző intézkedésként tesztelnie vagy ellenőriznie kell a munkavállalók tüneteit, mert adott esetben azt pl. az adott munkakör a fokozottabb interakciók miatt megkívánja, akkor alaposan győződjön meg arról, hogy az információkhoz jogszerűen jut hozzá.

 

3. Érdekmérlegelési teszt

Ha már jogszerűség, nyilvánvaló, hogy a GDPR 6. cikkének rendelkezéseit sem lehet figyelmen kívül hagyni. Abból kiindulva ugyanis, ha a szóban forgó adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, az adatkezelőnek érdekmérlegelési teszt formájában azt is meg kell vizsgálnia, hogy az adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték. Ez pedig maga után vonja a kérdést: Hogyan kezeljük jogszerűen a COVID tesztek eredményeit?

 

4. Teszteredmények jogszerű kezelése

Nos akár negatív, akár pozitív a teszt, az kétségkívül a munkavállaló személyes adata. Valóban szükséges a teljes teszteredményt tárolni, benne a munkavállaló összes személyes adatával, értve az azonosításhoz szükséges adatokon felül a teljes anamnézist is? Az adattakarékosság elvével összhangban, amely szerint a tárolt személyes adatoknak az adatkezelés célja szempontjából a szükségesre kell korlátozódniuk, semmiképpen. A munkáltató ugyanis már azzal eléri a jelen esetben tárgyalt adatkezelés célját, azaz a munkahelyi egészség és az ehhez szükséges intézkedések biztosítását, ha kizárólag arról a tényről szerez tudomást, hogy a munkavállaló által rendelkezésére bocsátott teszteredmény negatív, avagy pozitív, és erről meggyőződik, esetleg rögzíti, de nem tárolja a teljes teszteredményt (lefűzi, lementi stb.). Végső soron a munkáltató csak azt ismerheti meg, hogy az érintett alkalmas-e munkavégzésre vagy sem.

Ha valamilyen oknál fogva a tárolás mégis elengedhetetlen, pl. mert az adott munkakör intenzívebb tesztelést igényel a munkavállaló egészségi állapotának nyomonkövetése és annak szenzitív munkahelyi hatásai miatt, különös tekintettel a többi munkavállaló / ügyfél egészségére is, a munkavállalókat teljeskörűen tájékoztatni kell a tárolás körülményeiről, annak időtartamáról és az adatokkal kapcsolatos pl. hozzáférési jogukról is.

Csak azért ne gyűjtsön tehát adatokat, mert úgy gondolja egyszer még szüksége lehet rá.

 

5. Annak bizonyítása, hogy az intézkedésekkel kapcsolatos adatkezelés megfelelő

Az adatkezelés megfelelőségének igazolásához a munkáltatónak képesnek kell lennie az elszámoltathatóság elvének bemutatására, amelynek egyik módja az adatvédelmi hatásvizsgálat (DPIA).

Ha szervezete tesztel és egészségügyi információkat dolgoz fel, akkor az új kockázati területekre összpontosítva DPIA-t kell lefolytatnia. Alkalmas intézkedés-e pl. a kamerás megfigyelés a munkavállalói magatartás ellenőrzésére annak igazolására, hogy kollégái betartják az előírt távolságot? Valószínű, hogy ennél kevésbé drasztikusabb megoldás, ha munkáltatóként, növelve kollégáinak adatvédelmi tudatosságát, a kezdetektől fogva világosan és közérthetően kommunikálja a tervezett intézkedéseket és annak adatvédelmi vonatkozásait.

 

6. Kommunikáció

Munkáltatóként kötelessége biztosítani minden alkalmazottjának egészségét és biztonságát, ezért nyilvánvalóan közölnie kell, ha valaki teszteredménye pozitív lett. A közlés azonban csak és kizárólag megszabott keretek között működhet. Igy lehetőség szerint kerülje az érintett megnevezését, és ne adjon több információt a szükségesnél.

 

COVID 19 – Data Compliance to-do list:

1. Adatkezelési nyilvántartás felülvizsgálata
2. Belső eljárásrendek kiegészítése
3. Érdekmérlegelési teszt
4. Az érintettek teljeskörű tájékoztatása az adatkezelés feltételeiről
5. Adatvédelmi hatásvizsgálat (DPIA)
6. Megfelelő kommunikáció

Hasznosnak találta?