Bird&Bird: Munkajogi és adatvédelmi jogi kihívások a koronavírus terjedésének idején

  • March 13, 2020
A Bird&Bird Munkajogi és adatvédelmi tájékoztatója, a koronavírussal kapcsolatban

Munkáltatói megelőző intézkedések

Amióta Európába is megérkezett a koronavírus járvány, egyre több munkáltató szembesül azzal a kérdéssel, hogy milyen óvintézkedéseket lehet és kell tennie ilyen helyzetben. Például gyakori kérdés, hogy a munkáltató hogyan tudja jogszerűen kiszűrni azon munkavállalóit, akik fertőzött területről érkeztek vissza vagy potenciálisan fertőzött betegekkel találkozhattak, esetleg maguk is fertőzöttek lehetnek. A legtöbb megelőző intézkedés munkavállalói személyes adatok – bizonyos esetekben a személyes adatok különleges kategóriáinak – kezelésével jár, így kiemelt jelentősége van az adatvédelmi jogi előírások betartásának is.

Összefoglalónk első részében kitérünk a legfontosabb szabályokra és buktatókra, amelyekre a megelőző intézkedésekkel kapcsolatban a munkáltatóknak oda kell figyelniük a járvány fokozódása idején. Az adatvédelmi jogi vonatkozásokkal kapcsolatban rövid európai uniós kitekintést is adunk. Bejegyzésünk következő, második részében közvetlen járványveszély, illetve érintettség esetén alkalmazható munkáltatói intézkedéseket mutatjuk be, így például mit tehet a munkáltató üzemzárás esetén, mi történik karantén elrendelése esetén, illetve otthoni munkavégzésre kötelezhető-e a munkavállaló.

Továbbá felhívjuk a figyelmet, hogy a Bird & Bird nemzetközi munkajogi csoportja készített egy koronavírusra fókuszáló munkajogi aloldalt, amely iránymutatásokkal és tanácsokkal segíti a munkáltatókat a munkavállalóik és az üzleti tevékenységük védelme érdekében megtehető lépések tekintetében. Ez az oldal itt található.

Milyen kötelezettségei vannak a munkáltatónak a koronavírusra tekintettel?

Specifikusan a koronavírus terjedésére tekintettel előírt kötelezettségei a munkáltatóknak Magyarországon jelenleg nincsenek. Azonban lényeges, hogy a munkáltató kötelezettsége mind az általános munkajogi, mind a munkavédelmi szabályok szerint, hogy az egészséget nem veszélyeztető és biztonságos munkavégzési feltételeket biztosítsa. Ebből az általános kötelezettségből számos konkrét kötelező teendő levezethető, így például a munkáltató köteles:

  • a Munkavédelemről szóló törvényben meghatározott kockázatértékeléssel rendelkezni, mellyel kapcsolatban a munkáltató köteles dokumentáltan a veszélyeket és veszélyeztetetteket azonosítani, a kockázatokat értékelni és a megelőző intézkedéseket, határidőket, felelősöket meghatározni;
  • a megelőző fizikai védelmi intézkedéseket megtenni (pl. munkavállalók számára védőfelszerelés beszerzése, kézfertőtlenítés lehetőség nyújtása stb.);
  • a munkavállalókat megfelelően tájékoztatni és utasításokkal ellátni (pl. bevezetett fizikai védelmi intézkedésekről, üzleti utak korlátozásáról, otthoni munkavégzés lehetőségéről),
  • az illetékes állami egészségügyi szolgálatokkal és hatóságokkal együttműködni járványügyi és egyéb intézkedések esetén.

Milyen jogszerű megelőző intézkedéseket tehet a munkáltató?

Természetszerűleg felmerül a kérdés, hogy a munkáltatóknak ebben a helyzetben milyen jogaik vannak. Például kérdés, hogy a munkáltató hogyan tudja jogszerűen kiszűrni azon munkavállalóit, akik fertőzött területről érkeztek vissza vagy potenciálisan fertőzött betegekkel találkozhattak, illetve alkalmazhat-e kötelező lázmérést a beléptetéskor.

A munkajogviszony egyik alapja a felek kölcsönös együttműködési és tájékoztatás kötelezettsége. Nem csak a munkáltatónak kell tehát információval ellátnia a munkavállalóját, hanem a munkavállalónak is be kell számolnia bizonyos, a munkaviszonnyal összefüggő lényeges körülményekről. Emellett a munkáltatónak a fenti, az egészséget nem veszélyeztető és biztonságos munkavégzési feltételek biztosítására vonatkozó kötelezettségéből és a munkáltató utasítási jogából is levezethető, hogy munkáltatónak joga van bizonyos korlátok és garanciák mellett információkat bekérni a munkavállalóktól, illetve bizonyos megelőző intézkedéseket bevezetni.

Tehát a munkáltató jogosult arra, hogy felhívja a munkavállalók figyelmét, hogy a koronavírussal való feltételezett érintkezésüket vagy fertőzött területre történt vagy tervezett utazások tényét haladéktalanul jelentsék be a munkáltatónak. Ilyen munkavállalói bejelentés vagy a kitettség gyanújának észlelése esetén, megfelelő garanciák és bizonyos korlátozások mellett a munkavállalókkal további kérdőívek töltethetők ki. Ezekben a kérdőívekben többek között az alábbi adatok rögzíthetőek: a bejelentés időpontja, munkavállaló azonosításához szükséges adatok, utazás helyszíne és időpontja amennyiben kockázatos országról van szó és a fertőzött személlyel történő érintkezés ténye.

Továbbá adott körülmények között szűk körben jogszerű lehet az a munkáltatói intézkedés, hogy a fertőzésgyanús munkavállalók a munkahelyre kizárólag testhőmérséklet-mérés után léphetnek be. Természetesen itt kiemelten figyelemmel kell lenni arra, hogy a munkáltató ne sértse meg különleges adatok kezelésre vonatkozó követelményeket (erről lentebb részletesen írunk), illetve az egyenlő bánásmód követelményét és tiszteletben tartsa a munkavállaló személyiségi jogait (így például emberi méltóságát).

Ezen túlmenően a munkáltató arra is jogosult lehet, hogy soron kívüli személyi higiénés alkalmassági vizsgálatot kezdeményezzen, amennyiben a munkavállaló a tüneteket (pl. köhögés, láz) magán vagy vele közös háztartásban élő személyen észleli.

A munkáltató megelőző intézkedései körében javasolt áttekinteni a belső szabályzatokat és eljárásrendet és amennyiben indokolt, a szükséges módosításokat elvégezni (például „home office” szabályzat).

A gyűjtött személyes adatokat hogyan kezelheti jogszerűen a munkáltató?

Hangsúlyozandó, hogy a GDPR és a szektor specifikus adatvédelmi jog rendelkezéseire a járvánnyal járó különleges helyzetben is figyelemmel kell lenni. Bizonyos esetekben a kezelt adatok egészségügyi adatoknak minősülnek és a személyes adatok különleges kategóriájába tartoznak, így speciális védelemben részesülnek, ahogyan azt a NAIH március 10-én kiadott tájékoztatójában is kifejtette.

A NAIH megállapításai szerint különös figyelemmel kell lenni a fokozatosság elvére, így megelőző, adatkezeléssel nem járó intézkedéseket kell a munkáltatóknak implementálnia (például alaposabb takarítás), adatkezelésre pedig csak akkor kerülhet sor, ha ezek az intézkedések nem vezetnek eredményre. A munkáltatónak ki kell dolgoznia egy „cselekvési tervet” és kockázatelemzést is kell végeznie mielőtt megkezdi az adatkezelési műveletet.

Egészségügyi adat kezelésére kerül sor többek között, amikor a munkáltató testhőmérséklet-mérést alkalmaz, de bizonyos tartalmú kérdőívek is tartalmazhatnak egészségügyi adatra vonatkozó kérdéseket (például kérdés arra vonatkozóan, hogy a munkavállaló érezte-e magán a vírus valamelyik tünetét). A GDPR 9. cikke alapján főszabály szerint tilos az egészségügyi adatok kezelése az ott meghatározott kivételekkel. Jelen esetben a munkaviszonnyal kapcsolatos adatkezelés körében több kivétel is szóba jöhet:

  • jogszerű az adatkezelés, ha az a munkáltatóra vagy a munkavállalóra vonatkozó munkajogi, illetve munkavédelmi előírásokból fakadó kötelezettségek teljesítése és konkrét jogok gyakorlása érdekében szükséges, ha megfelelő garanciákról is rendelkező jogszabály ezt lehetővé teszi. E körben a Munkavédelemről szóló törvény rendelkezései jelentenek alapot az egészségügyi adat kezelésére.
  • jogszerű az adatkezelés, ha a megelőző egészségügyi vagy munkahelyi egészségügyi célokból szükséges és megfelelő garanciákra figyelemmel történik, valamint – a NAIH tájékoztatója szerint – a munkavállaló bejelentése alapján vagy egyedi esetben az összes körülmény mérlegelése alapján vagy a munkáltató által elvégzett kockázatértékelés alapján, bizonyos a megbetegedésnek való kitettséggel fokozottan érintett munkakörökben az adatkezelés elengedhetetlenül szükséges. Ilyen garancia a GDPR szerint, ha az adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki jogszabály által meghatározott szakmai vagy más titoktartási kötelezettség hatálya alatt áll. E körben egy orvos szakember által vagy felelőssége mellett történő kötelező lázmérés bevezetése jogszerű intézkedés lehet.

A munkavállalók bármely személyes adata (nem csak egészségügyi adata) csak meghatározott és jogszerű célból kezelhető. Lényeges a cél pontos meghatározása és annak feltüntetése a munkavállalói adatkezelési tájékoztatóban. Egészségügyi adat kezelése esetén az adatkezelési cél meghatározásánál figyelemmel kell lenni az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló törvényben kifejtettekre is a GDPR megfelelő alkalmazása mellett. Így az adatkezelési célnak összhangban kell lennie az ezen törvényben meghatározott célokkal.

Az adatkezelési tevékenység természetesen önmagában nem lenne jogszerű megfelelő jogalap nélkül. Az említett esetekben alapvetően a munkáltató jól megalapozott és megfelelő érdekmérlegelési teszttel alátámasztott jogos érdeke lehet a megfelelő jogalap figyelembe véve természetesen az egyedi körülményeket. Minden esetben alapos érdekmérlegelés szükséges annak megállapításához, hogy a munkáltatói jogos érdek fennáll-e. Így például nem indokolt a NAIH meglátása szerint szisztematikusan, válogatás nélkül mindenki lázát mérni vagy minden munkavállalóval kérdőíveket kitöltetni, amennyiben nem áll fenn a megalapozott gyanúja annak, hogy fertőzött lehet a munkavállaló vagy ilyen személyekkel érintkezett, esetleg fertőzött területen járt. Ugyanígy nem áll fenn a munkáltató jogos érdeke, ha családi vagy baráti kapcsolatairól, esetleg a munkavállaló egészségügyi kórtörténetéről érdeklődik a munkáltató vagy orvosi igazolást kér be előzetesen arról, hogy a munkavállaló nem fertőzött.

Kiemelten fontos a munkavállalók és más érintettek megfelelő, előzetes tájékoztatása az adtok kezelésével kapcsolatban. A tájékoztatónak a GDPR-ban meghatározott információkat kell világosan tartalmaznia (adatkezelés jogalapja, kezelt adatok köre, megőrzési idő stb.). Javasoljuk ezeket az információkat adatkezelési célonként külön-külön megadni. Továbbá a NAIH szerint a munkáltatónak részletes tájékoztatási kötelezettsége kiterjed az adatkezelésen kívül a fertőzéssel és a járvány kezelésével kapcsolatos legfontosabb tudnivalók közlésére is.

Az adatok csak a cél eléréshez szükséges ideig tárolhatóak. Ezt esetről estre javasolt megvizsgálni, mert a megőrzés idő számos körülménytől függhet (pl. a gyanú beigazolódása, hogy valóban fertőzött az adott személy, a gyűjtött adatok kategóriái).

Mi az adatkezelési gyakorlat az EU-ban a járvány kapcsán?

Noha a GDPR egységes szabályozást teremt az Európai Unióban, mégis mind az egészségügyi adatok kezelésével kapcsolatos ágazati jogszabályok (hasonlóan Magyarországhoz), mind az adatvédelmi hatóságok különböző állásfoglalásai némileg eltérő gyakorlatot alakíthatnak ki országonként. Bejegyzésünk megjelenéséig a NAIH mellett az olasz, a francia, a dán és egy egyedi esetben a lengyel adatvédelmi hatóság adott ki állásfoglalást a koronavírussal kapcsolatos adatkezelések terén.

A legkonzervatívabb álláspontot az olasz Garante fogalmazta meg március 2-án. Az olasz adatvédelmi hatóság szerint ugyanis a munkáltatóknak alapvetően tartózkodniuk kell a koronavírussal kapcsolatos adatkezeléstől. Kivételes esetben azonban – amennyiben a munkavállaló fokozott kockázatú munkahelyen dolgozik – a munkáltató utasíthatja az üzemorvost, hogy vizsgálja meg az érintett munkavállalót.

Valamivel megengedőbb a francia CNIL állásfoglalása, amely március 6-án látott napvilágot. A francia adatvédelmi hatóság alapvetően ugyancsak indokolatlannak tartja, hogy a munkáltatók egészségügyi adatokat kezeljenek munkavállalóikról, szisztematikusan ellenőrizzék testhőmérsékletüket és mindenkit válogatás nélkül (ideértve a munkavállalókat, hozzátartozóikat és egyéb látogatókat) kérdőívek kitöltésére kötelezzenek. Ezekhez az adatkezelésekhez megfelelő jogalapnak és legitim célnak kell fennállnia. Az állásfoglalás alapján a fertőzés jól megalapozott gyanúja esetén, egyedi esetekben megelőző intézkedések érvénybe léptetése érdekében lehetséges bizonyos körben az adatkezelés.

A dán adatvédelmi hatóság március 5-én kiadott sajtóközleményében kimondja, hogy ha a munkáltató által alkalmazott intézkedések megfelelnek az általános munkajogi és munkavédelmi előírásoknak, akkor azok vélhetően az adatvédelmi szabályokba sem fognak ütközni.

A lengyel adatvédelmi gyakorlat ugyancsak konzervatívabb nézőpontot vett fel. Nem javasoltak az általános, mindenkire kiterjedő lázmérések vagy kérdőívezések, inkább a munkavállalók önbevallásán alapuló, belső szabályzatokkal körülbástyázott megoldást követik a munkáltatók. A lengyel hatóság (UODO) február 28-án a hozzá intézett egyedi kérdés kapcsán megállapította, hogy jogszerű a lengyel állam terve, miszerint SMS-t küldenének minden, az ország területére belépő személy telefonjára a járvány kezelésének tárgyában.

Szerzők:

dr. Tarján Zoltán

senior ügyvéd

Zoltan.Tarjan@twobirds.com

dr. Sziládi Péter

ügyvédjelölt

Peter.Sziladi@twobirds.com

Forrás: Twobirds Ideas Hungary - The Bird&Bird blog