A munkahelyek koronavírus elleni védelme tárgyában született, és azóta hatályát veszett 598/2021. (X. 28.) Korm. rendelet (a továbbiakban: Korm. rendelet) számos gyakorlati és talán még több munkajogi kérdést vetett fel.[2] A pusztán munkajogi megközelítésen kívül azonban nem volt elhanyagolható a munkáltató által kötelezően elrendelt SARS-CoV-2 koronavírus elleni védőoltással (a továbbiakban: védőoltás) kapcsolatos adatkezelési kérdések tárgyalása sem.
1. A Korm. rendelet adatkezelésre vonatkozó szabályai
2. A GDPR mint alkalmazandó jogforrás
3. Milyen alapelveket kell betartani a védőoltással kapcsolatos adatkezelés során?
4. Milyen jogalapon kezelheti a munkáltató a védőoltással kapcsolatos adatokat?
5. Az érintettek tájékoztatása
6. Egyéb gyakorlati szempontok
7. Összegzés
Ha a Korm. rendelet szövegét figyelmesen olvassuk, látható, hogy annak 3. §-a foglalkozott a védőoltással kapcsolatos adatkezeléssel: a Korm. rendelet ezen szakasza értelmében a munkáltató kezeli a foglalkoztatottnak
a) a Korm rendelet 2. § (6) bekezdése szerinti hatósági igazolványban és dokumentumokban[3] szereplő, a védőoltás felvételére, valamint
b) a Korm rendelet 2. § (5) bekezdése szerinti orvosi szakvéleményben szereplő, a védőoltás felvételének ellenjavalltságára[4]
vonatkozó adatokat.
A Korm. rendelet 3. § (2) bekezdése akként rendelkezett, hogy a munkáltató a 3. § (1) bekezdése szerinti adatokat csak az adatkezelés céljának megvalósításához szükséges mértékben és ideig, de legfeljebb a veszélyhelyzet kihirdetéséről és a veszélyhelyzeti intézkedések hatálybalépéséről szóló 27/2021. (I. 29.) Korm. rendelet szerinti veszélyhelyzet megszűnéséig kezelheti.
Látszólag tehát a Korm. rendelet szabályozta a védőoltással kapcsolatos munkáltatói adatkezelést, azonban le kell szögeznünk, hogy ez pusztán a munkáltatói adatkezelés tágabb kereteit teremtette meg és nem vonható le belőle olyan következtetés, amely szerint a munkáltatónak semmilyen más kötelezettsége nem merül fel az adatok kezelésével kapcsolatban.
- 55/56 -
Kérdés, hogy ha maga a Korm. rendelet nem elegendő az adatkezelés jogszerűségéhez, akkor mely más jogszabály jöhet szóba e téren. A válasz nem más, mint az általános adatvédelmi rendelet[5] (a továbbiakban: GDPR). A GDPR-nak a munkaviszonyban történő alkalmazása nem vitás, és az is nyilvánvaló, hogy a védőoltás felvételének ténye, illetve a védőoltás felvétele alóli mentesség: személyes adatok,[6] mégpedig különleges kategóriába eső, egészségügyi adatok. Erre figyelemmel a munkáltató által kötelező jelleggel elrendelt védőoltással kapcsolatban (ideértve azt az esetet is, ha a munkavállaló az oltás felvétele alól egészségügyi indokok miatt mentesül) felmerülő adatkezelés során is feltétlenül szükséges betartani az adatvédelmi rendelkezéseket. Generális jelleggel az alábbi szabályokra kell figyelemmel lenni:
- az adatkezelés minden fázisában be kell tartani bizonyos általános alapelveket, így például az adatok kezelésének célhoz kötöttnek kell lennie;
- az adatok kezelése tekintetében megfelelő jogalappal kell rendelkeznie a munkáltatónak;
- az érintetteket tájékoztatni kell az adatkezelésről;
- az adatok kezelése csak meghatározott ideig jogszerű;
- figyelemmel kell lenni arra, hogy az egészségügyi adatok kezelésére speciális adatvédelmi szabályok vonatkoznak;
- biztosítani kell, hogy az érintettek (azaz a foglalkoztatottak) élni tudjanak a GDPR által biztosított jogaikkal;
- megfelelő adatbiztonsági szintet kell felállítani és alkalmazni;
- ha adatvédelmi incidens történik, azt be kell jelenteni a hatóság felé.
A fentieken túl nem szabad megfeledkeznünk arról sem, hogy a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) is tartalmaz a munkáltatói adatkezelés tekintetében szabályokat. Így például a munkáltatói adatkezelés során okirat bemutatása követelhető,[7] azonban a hatósági gyakorlat szerint az okirat másolására nincsen lehetőség:[8] azaz a munkáltató a védőoltással, illetve az az alól való mentességgel kapcsolatos adatokat megtekintheti, lejegyezheti, de másolatot nem készíthet.
A GDPR általános jellegű alapelveit minden adatkezelőnek és adatfeldolgozónak be kell tartania,[9] ezek a következők.
Egyrészt, a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni. Azaz, az érintettnek tudnia kell, hogy a rá vonatkozó személyes adatait hogyan gyűjtik, használják fel, azokba hogyan tekintenek bele vagy milyen egyéb módon kezelik. A személyes adatok kezelésével összefüggő tájékoztatásnak, illetve kommunikációnak könnyen hozzáférhetőnek és közérthetőnek kell lennie; azt világosan és egyszerű nyelvezettel kell megfogalmazni. Röviden fogalmazva: a védőoltással kapcsolatos adatkezelés során megfelelő tartalmú tájékoztatást kell adni a személyes adatok kezeléséről.
Másrészt irányadó a célhozkötöttség elve: a GDPR értelmében a személyes adatok gyűjtése és kezelése csak meghatározott, egyértelmű és jogszerű célból történhet. A cél(ok)nak egyértelműen megfogalmazottaknak és jogszerűnek, továbbá már a személyes adatok gyűjtésének időpontjában meghatározottaknak kell lenniük. A munkáltatónak a védőoltás felvételével, illetve a védőoltás alóli mentesüléssel kapcsolatban kezelt adatok kapcsán meg kell jelölnie az adatkezelés célját: ez jelen esetben az lehet, hogy a munkáltató meggyőződhessen arról, hogy a foglalkoztatott eleget tett-e a munkáltató védőoltás felvételére vonatkozó utasításának vagy pedig arról, hogy ezen munkáltatói utasítás alól mentesül, figyelemmel az orvosilag igazolt mentességre.
Harmadrészt, az adattakarékosság körében elmondható, hogy a személyes adatok körét a célhoz szükséges minimumra kell korlátozni: például, ha a munkavállaló bemutatja a védettségi (oltási) igazolványát, az oltóorvos által az oltás beadásakor kiállított igazolás már nem kérhető.
Ezen túlmenően irányadó a korlátozott tárolhatóság elve is - azaz a személyes adatok kezelése céljainak eléréséhez szükséges ideig szabad az adatokat tárolni. Ebben egyébként maga a Korm. rendelet segítségünkre volt, hiszen a 3. §-a értelmében a munkáltató a védőoltás felvételével, illetve a védőoltás alóli mentesüléssel kapcsolatos adatokat csak az adatkezelés céljának megvalósításához szükséges mértékben és ideig, de legfeljebb a veszélyhelyzet kihirdetéséről és a veszélyhelyzeti intézkedések hatálybalépéséről szóló 27/2021. (I. 29.) Korm. rendelet szerinti veszélyhelyzet megszűnéséig kezel-
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
