GDPR

Adatvédelem mindenkinek / Data protection for everyone

Visszatérés a munkahelyre a COVID árnyékában

2021. augusztus 10. 11:00 - poklaszlo

Az európai adatvédelmi biztos iránymutatása uniós intézmények számára

Az európai adatvédelmi biztos (EDPS) iránymutatást adott ki, amelyben a munkahelyre való visszatérés kapcsán a koronavírussal szembeni védettségre vagy éppen a fertőzés fennállására vonatkozó adatkezelések feltételeit vizsgálja. Bár az európai adatvédelmi biztos - a 2018/1725 rendelet alapján - alapvetően az uniós intézmények tekintetében jár el, az iránymutatásban szereplő egyes szempontok ennél szélesebb körben is hasznos kiindulópontot jelenthetnek az adatkezelőknek a munkahelyre történő visszatéréssel összefüggésben felmerülő adatkezelések átgondolásához.

Az európai adatvédelmi biztos iránymutatását olvasva figyelni kell arra, hogy azon adatkezelések esetében, amelyek a 2018/1725 rendelet (azaz a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelésére vonatkozó rendelet) hatálya a személyes adatok részben vagy egészben automatizált módon történő kezelésére terjed ki, valamint azoknak a személyes adatoknak a nem automatizált módon való kezelésére, amelyek valamely nyilvántartó rendszer részét képezik, vagy amelyeket egy nyilvántartó rendszer részévé kívánnak tenni (2. cikk (5) bekezdés). Ehhez hasonlóan rendelkezik a GDPR is (lásd a 2. cikk (1) bekezdést), ugyanakkor Magyarországon az Infotv. 2. § (4) bekezdése lányegében kiterjeszti az adatvédelmi szabályok alkalmazását azon adatkezelésekre is, amelyekre a GDPR tárgyi hatálya nem terjed ki (pl. a nem automatizált módon, manuálisan végzett adatkezelésekre).  

Az adatkezelőknek - mielőtt bármilyen intézkedésről döntenének - tájékozódniuk kell:

  • a rájuk vonatkozó jogszabályi kötelezettségekről, illetve 
  • a vírushelyzetről, valamint az egészségügyi hatóságok által kiadott aktuális iránymutatásokról és ajánlásokról (pl. arra vonatkozóan, hogy az adott helyzetben milyen intézkedések lehetnek indokoltak). 

Az egyes adatkezelések kapcsán az alábbi szempontokat érdemes az adatkezelőknek mérlegelniük: 

1. Oltottságra vonatkozó adatok kezelése 

Tekintettel arra, hogy az oltás felvétele - néhány kivételtől eltekintve (Magyarországon például az egészségügyi dolgozók esetében kötelező az oltás) -  önkéntes, így az oltottságra vonatkozó munkáltatói adatgyűjtés ezzel ellentétes üzenetet közvetíthet. Éppen ezért körültekintően kell mérlegelni az adat kezelésének szükségességét, figyelemmel arra is, hogy egészségügyi (tehát különleges) adat kezeléséről van szó, amelyre tekintettel további követelményeknek kell megfelelni. Felmerülhet annak a veszélye is, hogy az érintettek olyan további információkat közölnek, amelyek különösen érzékenyek lehetnek (pl. arra vonatkozóan, hogy miért nem oltatták még be magukat), illetve az adatok alapján diszkriminatív intézkedések alkalmazására is sor kerülhet. 

Összességében az európai adatvédelmi biztos úgy értékeli, hogy az oltottságra vonatkozó adatok gyűjtése az uniós intézmények által szükségtelen és aránytalan intézkedés lehet. 

2. Oltottságra vonatkozó aggregált adatok 

Mielőtt bármilyen adatkezeléssel járó intézkedés bevezetése merülne fel, célszerű aggregált (anonim) adatok alkalmazásának lehetőségét megvizsgálni. Abban az esetben ugyanis, ha a cél így is elérhető, akkor elkerülhető az egyénekre vonatkozó személyes adatok kezelése. 

Az anonim felmérések és adatgyűjtések során figyelmet kell fordítani arra, hogy az anonimitás valóban biztosított legyen, beleértve az alkalmazott IT megoldások vizsgálatát (pl. ne kerüljenek indirekt azonosító adatok, mint IP-címek sem gyűjtésre), illetve a kérdőívek megfelelő összeállítását (pl. szabad szavas válaszok kerülése).

Ha az adatgyűjtés és adatkezelés anonimitása nem biztosított, akkor megfelelő jogalapot kell biztosítani az adatkezeléshez, figyelemmel arra, hogy egészségügyi adat (különleges adat) kezelésére kerülhet sor.  

Összességében az aggregált adatoknak komoly szerepe lehet a kockázatértékelésben és a munkahelyre történő visszatérés kapcsán szükséges intézkedések meghatározásában. Első lépésként - tehát a személyes adatkezeléssel járó intézkedések megtételét megelőzően - érdemes lehet ezzel kezdeni a felkészülést a visszatérésre. 

3. Antigén tesztek adatainak kezelése

Az antigén tesztek alkalmazása kapcsán a szükségesség és arányosság értékelése elengedhetetlen. Vizsgálni szükséges, hogy kisebb beavatkozással járó intézkedéssel kiváltható-e az antigén teszt alkalmazása az adott esetben. Természetesen az adatkezelés jogalapjának biztosítása is elkerülhetetlen, ha a teszt alkalmazása egyébként szükséges és arányos. 

Az antigén tesztek alkalmazására - az egészségügyi szervezetek ajánlásaival összhangban - tipikusan a magas kockázatú munkahelyeken (pl. egészségügyi intézmények) kerülhet sor.  

Külön vizsgálandó, hogy a teszt eredményének a rögzítése szükséges-e és ha igen, akkor ennek feltételei miként teremthetők meg. Ilyen esetekben az alábbi szempontokra mindenképpen ügyelni kell:

  • az adatok rögzítését a minimálisra kell korlátozni, 
  • világos és tisztességes eljárás kialakítása a pozitív, illetve a nem értékelhető eredmények esetén, 
  • teljes és világos tájékoztatás az adatkezelésről, 
  • megfelelő technikai és szervezési intézkedések az adatok biztonságának és bizalmasságának biztosítása érdekében. 

4. Uniós digitális COVID igazolvány

Az EU-ban - a szabad mozgás jogának gyakorlása érdekében bevezetett - digitális COVID igazolás munkahelyi kontextusban történő alkalmazása is adatkezeléssel jár. Az európai adatvédelmi biztos az iránymutatásában különböző eseteket vizsgál meg ezzel kapcsolatban (ezek egy része a 2018/1725 rendelet alapján nem minősül adatkezelésnek, ugyanakkor egyéb, nem uniós intézmények adatkezelése esetében megvalósíthat adatkezelést - lásd a fenti keretes írást ezzel kapcsolatban). 

Tekintettel arra, hogy egészségügyi adatok kezelésére kerülhet sor (például korábbi megbetegedésre utaló adatok), így az adatkezelés kapcsán ennek figyelembevételével kell eljárni. Szükséges vizsgálni, hogy a kevésbé intruzív eszközök mellett (pl. aggregált adatok alkalmazása) valóban szükséges és arányos intézkedés-e az igazolványok kezelése és erre milyen jogalapon kerülhet sor (beleértve a különleges adatok kezelésére vonatkozó szabályoknak való megfelelést is). 

Abban az esetben, ha az adatkezelő automatizált módon kívánja kezelni az adatokat és így automatizált döntéshozatalra kerül sor (2018/1725 rendelet 24. cikk, vö. GDPR 22. cikk), akkor vizsgálandó, hogy ennek a feltételei fennállnak-e. Az emberi közreműködés az esetek döntő többségében vélhetően szükséges lesz. (Jogszabályi felhatalmazás hiányában automatizált döntéshozatal alkalmazására szűk körben kerülhet sor, különösen arra tekintettel, hogy a kifejezett hozzájárulás beszerzése a munkavállalók estében nem feltétlenül biztosítható önkéntes módon.) 

Az európai adatvédelmi biztos iránymutatása is külön pontban foglalkozik a hozzájárulás önkéntességével kapcsolatos kérdésekkel (lásd az iránymutatás 6.6. pontját). Az EDPS felhívja a figyelmet a magánszférát erősítő technológiák (privacy enhancing technologies) jelentős szerepére a hozzájárulások önkéntességének biztosíthatósága kapcsán. Továbbá az iránymutatás említ néhány olyan szervezeti és technikai intézkedést, amelyek hozzájárulhatnak a hozzájárulás önkéntességének biztosításához.

Számos egyéb szempontra is figyelemmel kell lenniük az adatkezelőknek: a beépített és alapértelmezett adatvédelem elveinek megfelelőeb kell kialakítaniuk az adatkezelést, adatvédelmi hatásvizsgálat elvégzésére is szükség lehet. 

5. Összegzés

Az európai adatvédelmi biztos iránymutatása elsősorban uniós intézményeknek szól, de más adatkezelők is meríthetnek belőle (figyelemmel arra, hogy a rájuk alkalmazandó adatvédelmi szabályok eltérhetnek a 2018/1725 rendeletben foglaltaktól, illetve további követelményeket állapíthatnak meg). Az iránymutatás alapján alaposan mérlegelni kell, hogy az egyes intézkedések valóban szükségesek és arányosak-e, illetve van-e esetleg kevésbé intruzív alternatívájuk (pl. aggregált adatok használata). A jogszerű adatkezelés feltételeinek megteremtése során a különleges adatok kezelésére vonatkozó szabályokra is figyelemmel kell lenni, illetve szükség lehet adatvédelmi hatásvizsgálat elvégzésére. A beépített és alapértelmezett adatvédelem elveinek alkalmazása különösen hangsúlyos, amikor az adatkezelés kereteinek kialakítására sor kerül.   

(A NAIH is több állásfoglalásban foglalkozott a koronavírussal kapcsolatos adatkezeléssel, legutóbb, áprilisban a munkavállaló koronavírus elleni védettsége tényének munkáltató általi megismerhetőségéről adott ki tájékoztatót.)

Szólj hozzá!
Címkék: iránymutatás portfolioblogger Európai Unió HU európai adatvédelmi biztos különleges adatok munkahelyi adatkezelés koronavírus egészségügyi adatok 2018/1725 rendelet

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr3316655332

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása