Munkavállalók egészségügyi adatai – COVID vs GDPR
A COVID világjárvány terjedése idején a munkáltatók előszeretettel gyűjtötték be a munkavállalóiknak a betegséghez kapcsolódó adatait annak érdekében, hogy az egészséges munkahelyet és a biztonságos munkavégzési körülményeket fenntartsák. A járvány enyhülésével azonban felmerül, hogy mennyire jogszerű a COVID kapcsán vezetett nyilvántartás.
A legtöbb cégnél az egyeztetések során az alábbi adatok gyűjtését, tárolását azonosítottuk:
név
betegség fennállásának, illetve átesés ténye
munkahelyen végzett tesztek eredménye
gyógyultak
gyanús esetek
Tekintve, hogy a fenti adatok különleges adatok, kezelésük különösen nagy odafigyelést igényel, illetve lehetőség szerint kezelésüket el kell kerülni.
A GDPR rendelet 9. cikk (1) bekezdése alapján ugyanis a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.
A Rendelet alapján „egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról.
A fentiekben felsorolt, illetve ehhez hasonló jellegű, munkáltató által gyűjtött adatok tehát ebbe a kategóriába tartoznak, a 9. cikk. (2) bekezdése pedig nagyon szűk körben ad lehetőséget a kezelésükre.
Az egészségügyi adat kezelésének lehetőségét a GDPR 9. cikk (2) bek. b) pontja biztosíthatja egy munkáltató számára, amely szerint az adatgyűjtés jogalapja a foglalkoztatást szabályozó jogi előírásokból fakadó kötelezettségek teljesítése (az egészséget nem veszélyeztető és biztonságos munkavégzés feltételeinek biztosítására irányuló munkavédelmi előírások alapján) Az adatkezelés jogalapja a GDPR 6. cikk (1) bek. c) pontja: jogi kötelezettség teljesítése, amely pedig a 1993. évi XCIII. törvény 2. § (2) A munkáltató felelős az egészséget nem veszélyeztető és biztonságos munkavégzés követelményeinek megvalósításáért.
Tekintettel arra, hogy jelenleg a járványügyi helyzet nem kritikus, a kormány a veszélyhelyzetet már nyár elején megszüntette, véleményem szerint nem áll fenn olyan körülmény, amely miatt az adatok gyűjtésére szükség lehet.
Bár a GDPR rendelet 9. cikk (2) a) pontja a hozzájárulás alapján való adatgyűjtést is lehetővé teszi a különleges adatok vonatkozásában, azonban a munkaviszonyban az önkéntes hozzájárulás a NAIH álláspontja szerint nem értelmezhető, így az (mint más jogalap) nem alkalmazható ebben az esetben.
A fentiek alapján tehát rendkívül rizikósnak tartom a munkavállalók egészségügyi állapotára vonatkozó adatok gyűjtését még akkor is, ha csak statisztikai adatok kerülnek eltárolásra.