Adatvédelmi hatóság: A munkáltató kérhet védettségi igazolást a munkába való visszatéréskor

A koronavírus-járvány már több mint egy éve velünk van, és a távoktatásra való átállás, a home office számos helyen történő elrendelése, valamint a szabadidős tevékenységek online térbe való átköltöztetése adatvédelmi szempontból kiemelt terhet jelent a hatóságok számára. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által közzétett 2020-as beszámoló rávilágít, hogy 2018 óta folyamatosan emelkedik az adatvédelmi vizsgálati ügykörbe tartozó ügyek száma, és míg 2018-ban még csak 827 ilyen esetet regisztráltak, addig a tavalyi évben már 2400-at.

Az Európai Unió adatvédelmi reformjával (GDPR) összefüggő törvénymódosítások óta indult hatósági eljárások száma is tovább emelkedett. Idehaza például a járvány alatt volt olyan honlap, amely egészségügyi felszereléseket árusított többszörös áron, majd vásárlóik adatait anélkül használták fel, hogy arról a fogyasztók tudtak volna - ebben az ügyben vizsgálat indult.

Tavaly szabta ki az Nemzeti Adatvédelmi és Információszabadság Hatóság az eddigi legmagasabb, 100 millió forintos bírságát, ugyanis a megállapítás szerint korábban a DIGI weboldalán keresztül nyilvánosan lekérhetővé vált a távközlési szolgáltató egyes ügyfeleinek és hírlevél-regisztráltjainak személyes adata. Ezeket a NAIH szerint a DIGI gondatlansága és jogsértései okozták. A Hatósághoz 2020-ban összesen 781 adatvédelmi incidens-bejelentés érkezett, amely szám a megelőző év bejelentéseinek több, mint másfélszerese.

Kérhetnek-e tesztet, lázmérést vagy vakcinaigazolást a munkahelyen?

Az egyén szintjén sem volt egyszerű alkalmazkodni az új körülmények adta kihívásokhoz, az iskolások és a tanárok számára is gördített akadályokat a digitális oktatás elrendelése, ahogy a dolgozók és az alkalmazottak is új helyzethez alkalmazkodtak. A tesztek kezelése, a lázmérések eredményeinek dokumentálása, vagy éppen oltásra történő jelentkezést ellenőrző oldal feltűnése adatvédelmi szempontból sok kérdést vetett fel. Többek közt ezek szabályrendszerét is rögzíti a frissen kiadott dokumentum, amelyből kiderül, hogy mind az analóg, mind pedig a digitális lázmérővel mért testhőmérséklet lejegyzése adatkezelésnek minősül.

Ezekkel az adatokkal pedig könnyen vissza lehet élni, ezért is jelentette ki a kormány már a járvány kezdetekor, hogy nem lehet diszkriminálni azt a munkavállalót, aki találkozik a fertőzéssel. És mivel az oltást sem tette kötelezővé a kormány, így a munkáltató sem kérheti elvileg számon a dolgozóján, hogy beadatta-e magának a vakcinát. Ennek kissé ellentmond, hogy magát a védettség tényét viszont megismerheti a munkaadó - igaz, csak ha annak munkaszervezési oka van, vagy személyes érintettség játszik közre.

A munkavállaló koronavírus-tesztjének eredménye – akár pozitív, akár negatív – a személyes adatok különleges kategóriáiba tartozó egészségügyi adatnak minősül, így az védett adat, amit csak megfelelő jogalappal lehet továbbítani. Munkahelyi fertőzésveszély esetén a munkaadó pusztán arról bizonyosodhat meg, hogy a munkavállalója érintkezett-e koronavírus fertőzésben szenvedő vagy potenciálisan fertőzött személlyel - az érintett nevét a többi munkavállalóval megosztani nem célszerű a Hivatal álláspontja szerint. "Egészségügyi kórtörténetre vonatkozó adatokat a munkáltató nem kérhet be, egészségügyi dokumentáció csatolását pedig nem írhatja elő" - tehát a koronavírus-tesztelésről szóló igazolást nem kérhet kötelezően.

"A Hatóság hangsúlyozza, hogy az adatkezelés célja kizárólag az lehet, hogy a munkáltató megtehesse és meg is tegye a szükséges intézkedéseket a munkajogi, munkavédelmi, foglalkozásegészségügyi, valamint munkaszervezési szabályoknak történő megfelelés miatt, és e cél elérése érdekében jogosult legyen megismerni a munkavállalók koronavírus elleni védettsége tényét." 

Azonban az is kiderül, hogy a munkáltató kizárólag a koronavírusos betegek lekövetésére tervezett applikáció, valamint a védettségi igazolvány adatait kezelheti, a koronavírus elleni védettség igazolásának céljára semmilyen egyéb adatot nem gyűjthet és kezelhet jogszerűen. Azokról másolatot nem készíthet, nem tárolhatja, és nem is jogosult azokat harmadik személy részére továbbítani - derül ki a hivatal állásfoglalásából. 

Az oltásra való regisztráció tényének munkáltató általi megismeréséről korábban úgy fogalmazott a 168.hu-nak Péterfalvi Attila, a NAIH vezetője, hogy gyakorlatban a munkáltató élhet ezzel az eszközzel, azonban az jogellenes adatkezelésnek minősül - a lekérdezéseket pedig naplózzák, ami által büntethetővé válik. Kiemelte, csak az jogosult lekérdezni az adatokat, aki regisztrált, vagy az, akinek felhatalmazást adott a regisztráló.

A hivatal mindazonáltal felhívja a figyelmet, hogy a munkavállalóknak is vannak felelősségei a járvány alatt: a járványügyi intézkedések be nem tartása büntetőjogi felelősségre vonást is eredményezhet. A rendőrség az ezzel kapcsolatos eljárásai során bizonyítási eszközöket, többek közt a közterületi térfigyelő kamerák felvételeit is felhasználhatja.

A távoktatás a diákoknak és a tanároknak is nagy falat volt

A járvány idején bevezetett digitális oktatás számos adatvédelmi és adatbiztonsági kérdést vetett fel, különösen a tananyagok, a diákok feladatainak elvégzését igazoló videofelvételek és más egyéb dokumentumok feltöltése, megosztása és tárolása kapcsán. A hivatal szerint az adatvédelmi szabályozásban a gyermekek személyes adatait fokozott, különös védelem illeti meg, tekintettel arra, hogy ők kevésbé lehetnek tisztában a személyes adataik kezelésével összefüggő körülményekkel, ideértve az adatkezelés esetleges kockázatait is.

Diákok, hallgatók esetén többek között a név és egyéb azonosító adatok, a számonkérések tartalma, órai hozzászólások, vagy akár a vizsgaeredmények is személyes adatnak minősülnek. Az adattakarékosság elve alapján, ha az iskolai feladat elvégzését videofelvétellel kell a diáknak igazolni, abban az esetben elvárás, hogy a felvételen ne szerepeljen a tanulón kívül más személy, és az otthoni, privát teréből, környezetéből is minél kevesebb látszódjon.

A pedagógus által a tanórák keretében elmondottak kapcsán a hangja és a képmása, a munkahelyi tevékenységére vonatkozó adatok is személyes adatok. Fentiek mellett a pedagógust titoktartási kötelezettség terheli a diákokkal  kapcsolatosan tudomására jutott adatok vonatkozásában. jó gyakorlat: a pedagógusok részére munkahelyi e-mail címek létrehozása a nem az oktatási keretrendszerben, internetes felületen zajló kommunikáció céljára. A pedagógus saját eszköz használata esetén is köteles az alapvető biztonsági követelmények betartására.

Még mindig a sok a munkahelyi kamerás megfigyelés

A hatóság arról is beszámolt, hogy 2020-ban is számos munkahelyi kamerás megfigyeléssel kapcsolatos bejelentést kaptak. A bejelentések és az elmúlt évek tapasztalata alapján kijelenthető, hogy rendkívül elterjedt munkáltatói gyakorlatnak számít, hogy kamerákat szerelnek fel a munkavállalók megfigyelése érdekében, sok esetben rejtett módon.

A Hatóság álláspontja szerint azonban a munkavállaló azzal, hogy átlépi a munkahelye küszöbét, nem veszíti el a magánélethez való, valamint a képmáshoz és hangfelvételhez fűződő jogát, ugyanakkor tudomásul kell vennie, hogy a munkáltató a munkaviszonnyal de csakis azzal összefüggésben ellenőrizheti. Ennek keretében a munkáltató technikai eszközt is alkalmazhat, erről a munkavállalót előzetesen írásban tájékoztatni köteles.

(Kiemelt kép: MTI | Balázs Attila)