A koronavírus megelőzése érdekében tett munkáltatói lépések számos adatvédelmi kérdést is felvetnek, mivel az intézkedések gyakran együtt járnak személyes adatok kezelésével. A munkáltatók nehéz helyzetben vannak, hiszen egyrészt meg kell felelniük azon jogszabályi elvárásoknak, miszerint az egészséges és biztonságos munkavégzés feltételeit és körülményeit biztosítaniuk kell, másrészt ezt úgy kell teljesíteniük, hogy a jogszabályi környezet számos bizonytalanságot hordoz ilyen rendkívüli helyzetekhez kapcsolódó adatkezelések vonatkozásában.
Az egyértelmű, hogy az életet és testi épséget veszélyeztető helyzetben a szükséges mértékű és a megfelelő keretek között végzett adatkezelés elfogadható, ugyanakkor érdemes megfontoltan eljárni, mivel a vírus terjedése okozta helyzet nem ad felmentést a személyes adatok kezelésére vonatkozó szabályok alkalmazása alól (lásd ehhez kapcsolódóan Eduardo Ustaran véleménycikkét "The coronavirus privacy dilemma"). Érdemes elolvasni az olasz adatvédelmi hatóság (Garante) közleményét (elérhető olaszul és angolul), amely felhívja a figyelmet arra, hogy a munkáltatóknak körültekintően kell eljárniuk és tartózkodniuk kell az előzetes és általános, szisztematikus adatgyűjtésektől ("On the other hand, employers must refrain from collecting, in advance and in a systematic and generalised manner, including through specific requests to the individual worker or unauthorized investigations, information on the presence of any signs of influenza in the worker and his or her closest contacts, or anyhow regarding areas outside the work environment.")
Nem szabad azt sem szem elől téveszteni, hogy a vírus terjedésének megelőzésével összefüggő adatkezelés nagyon könnyen csaphat át egészségügyi adatok, azaz különleges adatok kezelésébe, amelyre szigorúbb követelmények vonatkoznak.
(Frissítés 2020.03.11.: Időközben megjelent a NAIH közleménye is a koronavírussal összefüggésben tett intézkedésekkel kapcsolatos adatkezelési kérdésekről. Korábban, többek között, a dán és a francia adatvédelmi hatóság is adott ki iránymutatást.)
Az alábbiakban röviden áttekintjük, hogy mire érdemes figyelniük a munkáltatóknak a koronavírus megelőzése érdekében tett intézkedéseik adatvédelmi vonatkozásai kapcsán:
1. Gondoljuk át, hogy tényleg szükséges-e az adatkezelés!
Érdemes minden felmerülő megelőző ötletet alaposan átgondolni és megvizsgálni, hogy az adott intézkedéssel elérni kívánt cél adott esetben adatkezelés nélkül is megvalósítható-e (például megfelelő tájékoztatással a munkavállalók felé, rendezvények lemondásával vagy elhalasztásával, stb.), illetve, hogy valóban a munkáltató feladata-e az adott adatkezelés elvégzése (lásd pl. az olasz adatvédelmi hatóság által írtakat).
2. Az adatkezelések esetében biztosítani kell a megfelelő jogalapot
Egyes esetekben a munkáltatóknak jogi kötelezettsége, hogy bizonyos intézkedéseket tegyenek az egészséges és biztonságos munkavégzés feltételeinek biztosítása érdekében, illetve a vírus terjedésének megelőzése érdekében. Ugyanakkor nem minden, a vírus terjedésének megelőzése érdekében tett intézkedés minősül automatikusan olyannak, amely a munkáltatók részére jogi kötelezettséget jelent (azaz jogszabály ír elő). Ilyen esetekben gondosan vizsgálni kell, hogy milyen egyéb jogalap jöhet szóba (a megfelelő jogalap kiválasztásáról itt írtam részletesebben).
A létfontosságú érdek, mint adatkezelési jogalap természetszerűleg adná magát a koronavírussal kapcsolatos megelőző intézkedések kapcsán, mint az adatkezelés jogalapja, de ne felejtsük el, hogy ez a jogalap akkor alkalmazható, ha más jogalap nem jöhet szóba, illetve tipikusan egyedi esetekben támaszkodhat erre az adatkezelő, másrészt a megelőző, az életet és testi épséget nem közvetlenül veszélyeztető helyzet esetében nem feltétlenül indokolt ezen jogalap alkalmazása. (A GDPR Preambuluma (46) ezt írja a létfontosságú érdek kapcsán: "Az adatkezelést szintén jogszerűnek kell tekinteni akkor, amikor az az érintett életének vagy más fent említett természetes személy érdekeinek védelmében történik. Más természetes személy létfontosságú érdekeire hivatkozással személyes adatkezelésre elvben csak akkor kerülhet sor, ha a szóban forgó adatkezelés egyéb jogalapon nem végezhető. A személyes adatkezelés néhány típusa szolgálhat egyszerre fontos közérdeket és az érintett létfontosságú érdekeit is, például olyan esetben, amikor az adatkezelésre humanitárius okokból, ideértve, ha arra a járványok és terjedéseik nyomon követéséhez, vagy humanitárius vészhelyzetben, különösen természeti vagy ember által okozott katasztrófák esetében van szükség.")
Fontos azt is mérlegelniük a munkáltatóknak, hogy egyes lépések megtétele és az azokhoz kapcsolódó adatkezelés végzése valóban munkáltatói feladat-e. A jogszabályokban az illetékes hatóságokra telepített járványügyi feladatokat a munkáltatók nem láthatják el, így az ilyen adatkezeléshez sem rendelkeznek megfelelő jogalappal (ebbe a körbe tartoznak az olyan adatkezelések, amelyek közérdekűnek minősülnek vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükségesek; lásd GDPR 6. cikk (1) bekezdés e) pont).
Jogos érdeken alapuló adatkezelés pedig csak akkor végezhető, ha a munkáltató elvégzi az érdekmérlegelési tesztet és az adatkezeléshez fűződő érdek felülírja az érintetti érdekeket.
A munkavállalói hozzájárulás kapcsán az önkéntesség megléte a koronavírussal kapcsolatos adatkezelések esetében is megkérdőjelezhető lehet a felek közötti alá-fölérendeltségi viszony miatt.
3. Különleges adatok kezelése csak kivételes esetben
Különleges adatok kezelése a GDPR főszabálya alapján tilos és csak akkor kezelhetők különleges adatok, ha a GDPR 6. cikke szerinti jogalap megléte mellett a GDPR 9. cikk (2) bekezdése szerinti kivételek valamelyike is megvalósul. (A NAIH, többek között, a biometrikus adatok, mint különleges adatok kapcsán fejtette ezt ki: "A személyes adatok különleges kategóriáinak kezelése a GDPR 9. cikk (1) bekezdése alapján főszabály szerint még a GDPR 6. cikk szerinti feltételek fennállása mellett is tilos. Különleges személyes adatoknál, mint a természetes személyek egyedi azonosítását célzó biometrikus adatok, a GDPR 9. cikk (2) bekezdésének valamely feltétele is meg kell, hogy valósuljon az általános jogalapon felül. Azt, hogy konkrétan az adott esetben mi valósul meg, csak az adatkezelő tudja az eset összes körülménye és az általa megvalósítani kívánt cél ismeretében eldönteni.") A munkáltatói adatkezelések kapcsán (a jogi kötelezettségként előírt adatkezelések kivételével) csak nagyon kivételes és indokolt esetben képzelhető el különleges adatok munkáltató általi kezelése.
A koronavírus terjedésének megelőzése kapcsán a különleges adatok közül leginkább egészségügyi adatok kezelése merülhet fel. A GDPR értelmében egészségügyi adat: "egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról."
4. Célhoz kötöttség, adattakarékosság, korlátozott tárolhatóság
Az adatkezelés alapelveinek fokozottan érvényesülniük kell a megelőzéssel kapcsolatos tevékenység során is. Az adatkezeléseknek a szükséges minimumra kell szorítkozniuk (pl. azzal kapcsolatban, hogy valamely munkavállaló járt-e olyan területen, amelyet a fertőzés veszélye szempontjából a hatóságok fokozottan kockázatosnak minősítettek).
5. Átláthatóság, megfelelő tájékoztatás
A bevezetett intézkedésekhez kapcsolódó adatkezelések tekintetében is teljesíteni kell az átláthatóságra, így különösen a tájékoztatásra vonatkozó kötelezettséget. A GDPR részletesen meghatározza a tájékoztatás tartalmára vonatkozó követelményeket azon esetekre, amikor az adatokat az érintettektől gyűjtik (jelen esetben közvetlenül a munkavállalótól szerzik be) és azokra az esetekre is, amikor az adatokat nem az érintett bocsátja rendelkezésre (pl. az egyik munkatársa a másikra vonatkozóan bocsát a munkáltató rendelkezésére adatokat).
6. Érintetti jogok gyakorlása
Az érintettek jogainak gyakorlását (pl. hozzáférés joga) ebben az esetben is biztosítani kell. Ezt a rendkívüli körülmények önmagukban nem írják felül. A jogok gyakorlásának korlátozását uniós vagy tagállami jogszabály teheti csak lehetővé (lásd GDPR 23. cikk).
7. Beépített és alapértelmezett adatvédelem
Az adatkezelés folyamatának kialakítása során úgy kell eljárni, hogy minél kevésbé avatkozzon be az érintettek (munkavállalók) magánszférájába, ugyanakkor megfelelő technikai és szervezési intézkedésekkel biztosítani kell a biztonságos adatkezelés feltételeit (pl. annak meghatározása során, hogy az adatkezelés kapcsán kik ismerhetik meg a személyes adatokat).
8. Adatbiztonság
Egy rendkívüli adatkezelési helyzetről van szó, amelyhez kapcsolódóan nem hanyagolhatók el az adatbiztonsági szempontok sem. Különös tekintettel kell lenni arra, hogy a járvány terjedésének megelőzésével kapcsolatos adatkezelés nem megfelelően végezve az érintettekre nézve jelentős érdeksérelmet okozhat (pl. egyenlő bánásmód elvének sérelme, diszkrimináció).
9. Adatvédelmi tisztviselő bevonása
Azon munkáltatók esetében, ahol kijelölésre került adatvédelmi tisztviselő, az adatkezelés kialakítása során fontos, hogy véleményével, javaslataival segíteni tudja a jogszerű adatkezelés kereteinek kialakítását, ezért minél hamarabb érdemes bevonni a folyamatba.
Összességében tehát a megelőzős intézkedések során szükséges adatkezelések kapcsán a munkáltatóknak fokozott körültekintéssel kell eljárniuk és törekedniük kell arra, hogy a vonatkozó adatvédelmi szabályok keretei között eljárva biztosítsák az egészséges és biztonságos munkavégzés feltételeit.
