Az egészségügyi adatok az adatvédelmi törvények szerint olyan
speciális személyes adatok, amelyek - tekintettel azok érzékeny
természetére - fokozott védelmet élveznek. Az adatkezelési
nyilvántartásban ezért részletesen fel kell tüntetni azt, hogy
milyen adatokat (pl. testhőmérséklet, teszt eredmény) hol és
milyen formában kezelünk, és azokhoz ki férhet hozzá –
figyelmeztetett a Deloitte.
Mindegy, hogy „egyszerű” vagy érzékeny személyes adatokról
van szó, a jogalap azonosítása elkerülhetetlen. A GDPR 9. cikk 2.
bek. h) pontja felülírja az egészségügyi adatok kezelésének
tilalmát, amennyiben az adatkezelés megelőző egészségügyi vagy
munkahelyi egészségügyi célokból, a munkavállaló munkavégzési
képességének felmérése vagy orvosi diagnózis felállítása
érdekében szükséges.
Ha a munkáltató igazolni tudja, hogy a kialakult helyzet kezelése
jogszerű, tisztességes, szükségszerű és a körülményekkel
arányos, akkor nem valószínű, hogy a bevezetett intézkedések
adatvédelmi akadályba ütköznek. A belső adatvédelmi szabályozás
kialakítása azonban sosem lehet egy és ugyanazon séma szerinti:
az adatvédelmi jogszabályi és gyakorlati kereteken belül mindig a
munkáltatónak kell felmérnie azt, hogy a speciális egészségügyi
és biztonsági követelményekre és ágazati szabályozásokra
tekintettel is az adott intézkedés az adott körülményekhez
képest megfelel-e ennek a követelményrendszernek.
„Ha egy munkáltató úgy dönt, hogy megelőző intézkedésként
tesztelnie vagy ellenőriznie kell a munkavállalók tüneteit, mert
adott esetben azt pl. az adott munkakör a fokozottabb interakciók
miatt megkívánja, akkor alaposan győződjön meg arról, hogy az
információkhoz jogszerűen jut hozzá” – hívta fel a figyelmet
dr. Kustos Petra, a Deloitte Legal ügyvédje és adatvédelmi
csoportjának vezetője.
A GDPR 6. cikkének rendelkezéseit sem lehet figyelmen kívül
hagyni. Abból kiindulva ugyanis, ha a szóban forgó adatkezelés az
adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez
szükséges, az adatkezelőnek érdekmérlegelési teszt formájában
azt is meg kell vizsgálnia, hogy az adatkezelés összeegyeztethető-e
azzal a céllal, amelyből a személyes adatokat eredetileg
gyűjtötték. Ez pedig maga után vonja a kérdést: hogyan kezeljük
jogszerűen a COVID tesztek eredményeit?
A teszt eredménye a munkavállaló személyes adata, akár negatív,
akár pozitív. Az adattakarékosság elvével ellentétes, ha a
munkáltató a teljes teszteredményt tárolja, benne a munkavállaló
összes személyes adatával, az azonosításhoz szükséges adatokon
felül a teljes anamnézissel együtt. Az elv szerint a tárolt
személyes adatoknak az adatkezelés célja szempontjából a
szükségesre kell korlátozódniuk. A munkáltató már azzal eléri
a munkahelyi egészség és az ehhez szükséges intézkedések
biztosítását, ha kizárólag arról a tényről szerez tudomást,
hogy a munkavállaló által rendelkezésére bocsátott
teszteredmény negatív vagy pozitív, és erről meggyőződik,
esetleg rögzíti, de nem tárolja a teljes teszteredményt. Végső
soron a munkáltató csak azt ismerheti meg, hogy az érintett
alkalmas-e munkavégzésre vagy sem.
„Ha valamilyen oknál fogva a tárolás mégis elengedhetetlen, pl.
mert az adott munkakör intenzívebb tesztelést igényel, a
munkavállaló egészségi állapotának nyomonkövetése és annak
szenzitív munkahelyi hatásai miatt, különös tekintettel a többi
munkavállaló vagy ügyfél egészségére is, a munkavállalókat
teljeskörűen tájékoztatni kell a tárolás körülményeiről,
annak időtartamáról és az adatokkal kapcsolatos, pl. a
hozzáférési jogukról is” – mondta dr. Kustos Petra.
Amennyiben egy szervezet tesztel és egészségügyi információkat
dolgoz fel, akkor adatvédelmi hatásvizsgálatot (DPIA) kell
lefolytatnia az új kockázati területekre összpontosítva. A
kamerás megfigyelés a munkavállalói magatartás ellenőrzésére
és annak igazolására, hogy a munkavállalók betartják az előírt
távolságot nem biztos, hogy szükségszerű. Ennél kevésbé
drasztikus megoldás, ha a munkáltató a kezdetektől fogva
világosan és közérthetően kommunikálja a tervezett
intézkedéseket és azok adatvédelmi vonatkozásait. Ezzel
hatékonyan lehet növelni az alkalmazottak adatvédelmi
tudatosságát.
A munkáltatónak kötelessége biztosítani minden alkalmazottjának egészségét és biztonságát, ezért nyilvánvalóan közölnie kell, ha valaki teszteredménye pozitív lett. A közlés azonban csak és kizárólag megszabott keretek között működhet, lehetőség szerint kerülni kell az érintett megnevezését, és nem kell kiadni több információt a szükségesnél.
