A veszélyhelyzet adatvédelmi vonatkozásai

A Veszélyhelyzet kihirdetése, azaz 2020. március 11. óta a munkáltatók és más adatkezelők adatkezelési tevékenysége nagy mértékben megváltozott és átalakult. Ennek során részben Magyarország Kormánya által meghozott rendeletek a hatósági adatkezelés esetköreit kiterjesztették, új adatszolgáltatási kötelezettségeket hoztak létre, továbbá olyan esetkörök jelentek meg, amelyek a hatályos adatvédelmi szabályozás gyakorlatában az egészségügyi adatok nagy mértékű kezelése révén még nem kerültek tisztázásra. A rendkívüli kormányrendeletekben szereplő egyes adatvédelemi rendelkezések ennek megfelelően inkább kiegészítik a korábbi szabályozást és alkalmazásuk a hatályos adatvédelmi rendelkezések együttes értelmezésével kell, hogy történjen, melyet a jelen memorandum keretében mutatunk be.
Az adatkezelés Veszélyhelyzetben való folytatásának céljai között szerepel a járvány megelőzése, illetve következményeinek elhárítása, az állampolgárok egészségének és életének megóvása, valamint a járvány terjedésének modellezése, elemzése. Ezen célok elérése érdekében adatkezelők és magánszemélyek részére előírt általános együttműködési kötelezettség alapján korábban csak szűk körben alkalmazott adatszolgáltatási kötelezettséget tartalmaz az új szabályozás.
Az érintett személyek kérelmei és az ezzel kapcsolatos hatósági, illetve bírósági eljárások a járványveszéllyel összefüggésben folytatott adatok és adatkezelések tekintetében felfüggesztésre kerülnek a Veszélyhelyzet megszűnéséig, míg az adatkezelő ezen adatok tekintetében az előzetes tájékoztatási kötelezettségét kizárólag elektronikus úton is teljesítheti.

Az adatkezelők részére további feladatokat jelent a munkavállalók járványügyi szűrése és ehhez kapcsolódó adatkezelése, valamint az elrendelt otthoni munkavégzés körében jelentkező adatbiztonsági és adatvédelmi kihívások, hiszen a munkavállalók ellenőrzése körében sokkal nagyobb szerepet játszanak az informatikai eszközök és megoldások. Azért is lényeges ez a kérdés, mert a munkavállalók által használt informatikai eszközök jelentős részénél nem volt meg a biztonsági felkészítéshez szükséges időszak, továbbá adott esetben a munkavállalón kívül családtagok is használják az eszközöket.
Munkavégzésre irányuló jogviszonyokon kívül is számos kérdés felmerül, így a kommunikáció és képzés területén alkalmazott szoftverek és platformok jelentenek adatbiztonsági és adatvédelmi kihívásokat.Ugyan 2020. május 4. napját követően Budapest és Pest Megye kivételével számos korlátozás megszüntetésre került, általános tapasztalat szerint a munkáltatók jelentős részénél továbbra is felmerülnek a jelen memorandumban leírt adatvédelmi kérdések, így jelen memorandum a könnyítések mellett is irányadó.

Változatlan alapelv, hogy az adatkezelés jogszerűségéért az adatkezelő, azaz az járványügyi ellenőrzést folytató munkáltató, az ellátást végző orvos, illetve intézmény felelős. Az adatkezelésre az általános adatvédelmi rendelet (az Európai Parlament és a Tanács (EU) 2016/679 Rendelete, a továbbiakban: „GDPR”) előírásait kell alkalmazni, kivéve az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) hatálya alá tartozó, különösen a bűnüldözési, honvédelmi, nemzetbiztonsági célú adatkezelőket.
A hatályos adatvédelmi szabályozást teljes mértékben alkalmazni kell, így a részben különlegesen védett, egészségügyi adatok gyűjtését, továbbítását, felhasználását is megvalósító adatkezelésnél is. Személyes adatok kezelésére akkor kerülhet sor, amennyiben az adatkezelés célját nem lehetséges adatkezelést nem igénylő eszközökkel elérni, illetve ezen adattakarékos megoldások kialakítását folyamatosan vizsgálni kell.
Amennyiben a személyes adatok kezelése feltétlenül szükséges, akkor az adatok kezelésének pontos célját és az adatkezelés jogszerűségét alátámasztó jogalapot kell elsőként az adatkezelőnek meghatároznia. Figyelembe kell venni a további adatvédelmi alapelveket, különös figyelemmel az adattakarékosság elvére, csak olyan adatot lehet kezelni (gyűjteni és tárolni), amely a cél megvalósításához elengedhetetlenül szükséges és azzal arányos. Az adatkezelőknek rendelkezniük kell továbbá az adatkezelés átláthatóságáról, az adatok pontosságáról és biztonságáról is.
A GDPR 13. cikke alapján az adatkezelési tájékoztató elkészítése valamennyi adatkezelési cél vonatkozásában kötelező előírás. Abban szükséges az érintettek számára közérthetően és kellően részletesen meghatározni az őket érintő adatkezelés célját, jogalapját, meg kell határozni továbbá az adatok megőrzésének időtartamát, valamint az adatokhoz hozzáférésre jogosultak körét; jogos érdekre alapozott adatkezelés esetén pedig szükséges az érdekmérlegelési teszt elvégzése annak igazolására, hogy az adatkezeléssel elérni kívánt célhoz fűződő érdek jelentősebb, mint az érintett magánszemélyek jogai, szabadságai vagy jogos érdekei.

A Veszélyhelyzetben elfogadott kormányrendeletek a személyes adatok vonatkozásában kibővítik és általánosan meghatározzák az adatszolgáltatásra jogosult és kötelezett szervezeteket, lényegesen kibővítve a katasztrófavédelemről és egyéb törvények módosításáról szóló 2011. évi CXXVIII. törvény által rögzített előírásokat.
A veszélyhelyzet kihirdetését követően meghozott 46/2020. (III. 16.) Korm. rendelet 10. §-a a járvány megelőzése, illetve következményeinek elhárítása, a magyar állampolgárok egészségének és életének megóvása érdekében a járvány terjedésének modellezése, elemzése céljából feljogosítja az innovációért és technológiáért felelős minisztert bármely rendelkezésre álló adat megismerésére, kezelésére. Adatszolgáltatásra kötelezettek az állami és önkormányzati szervek, gazdálkodó szervezetek és magánszemélyek.
Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény 5. §-a rendelkezései korábban is megalapozták az egyes személyes és egészségügyi adatok átadását a kezelőorvos, tisztiorvos, közegészségügyi-járványügyi felügyelő és adatkezelő részére, illetve a veszélyeztetett személyek és ezen személyek személyes, illetve egészségügyi adatait kezelő szervezetek részére. A 81/2020. (IV. 1.) Korm. rendelet 3. § (4) bekezdése a jogosultak körét kibővítette a rendőrséggel, amely így minden személyes adathoz hozzáférhet a járványügyi feladatainak ellátása körében.
A 93/2020. (IV. 6.) Korm. rendelet 2. §-a feljogosítja az Operatív Törzset a koronavírusos megbetegedések megelőzése, megismerése, felderítése és továbbterjedésének megakadályozása, valamint az állami szervek összehangolt feladatellátásának megszervezése céljából bármely szervtől, jogi személytől vagy jogi személyiséggel nem rendelkező szervezettől ingyenes adatszolgáltatásra, amely nincs korlátozva, így kiterjed a személyes és különösen védett személyes adatokra is.
Összességében tehát elmondható, hogy az innovációért és technológiáért felelős miniszter, illetve minisztérium, a rendőrség és az Operatív Törzs a feladatköreik ellátásához szükséges minden személyes adathoz teljes mértékben hozzáférhetnek, legyen az magánszemély vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet kezelésében, de tipikus adatkezelőként az érintett munkáltatója, az egészségügyi szolgáltatója és hírközlési szolgáltatója is meghatározható.

A jelen Veszélyhelyzetben számos munkáltató tesz rendkívüli lépéseket annak érdekében, hogy szűrjék munkatársaikat, továbbá kiszűrjék a munkatársaik egészségét fenyegető, esetlegesen fertőzött személyeket, ezen túlmenően kérdőívek, vagy mérőeszközök segítségével személyes adatokat, részben egészségügyi adatokat gyűjtenek az érintett személyekről. Az adatgyűjtés túlnyúlik a munkavégzés területén, sokszor kiterjed az érintettek teljes magánszférájára is.
A munkavédelemről szóló 1993. évi XCIII. törvény (a továbbiakban: „Munkavéd. tv.”) 2. § (2) bekezdése alapján a munkáltató felelőssége az egészséget nem veszélyeztető és biztonságos munkavégzés követelményeinek megvalósítása. A Munkavéd. tv. 2. § (3) bekezdése alapján az egészséget nem veszélyeztető és biztonságos munkavégzés követelménye megvalósításának módját – a jogszabályok és a szabványok keretein belül – a munkáltató jogosult meghatározni. Az egészséges és biztonságos munkavégzés megvalósítása érdekében a munkáltatónak és a munkavállalóknak egymással együtt kell működniük [Munkavéd. tv. 6. §-a]. Ez kötelezettség teljesítése szükségszerűen magában hordozza a személyes adatok, illetve a különösen védett személyes adatok kezelését.
Ennek keretében a munkáltató köteles a folyamatszabályozás és alapértelmezett adatvédelem figyelembevételével:
– ún. pandémiás cselekvési tervet kidolgozni, ami kiterjed a veszélyeztetettség csökkentése érdekében megtételre kerülő megelőző lépésekre; az esetleges fertőzés megjelenésekor alkalmazandó intézkedésekre;
– az alkalmazott intézkedések adatvédelmi kockázatainak előzetes mérlegelésére, a szervezeten belüli hatásköri és felelősségi kérdésekre, valamint az érintettek tájékoztatását elősegítő hatékony és megfelelő kommunikációs csatornák kiépítésére, érdemi tájékoztatás kivitelezésére;
– előzetes intézkedések keretében részletes tájékoztató kidolgozására és a munkavállalók rendelkezésére bocsátására a koronavírussal kapcsolatos legfontosabb tudnivalókról és arról, hogy szükség esetén kihez fordulhatnak;
– a munkahelyen kívüli, otthoni kívüli munkavégzés lehetőségét a biztosítani.
Személyes adatok köre
A munkáltató járványügyi adatkezelése érinti:
– az érintett munkavállaló személyazonosságának a megállapításához szükséges személyes adatait;
– az esetleges releváns külföldi tartózkodás tényét;
– a fertőzésgyanús személlyel történő érintkezésének tényére vonatkozó adatokat;
– a munkáltató által megtett intézkedéseket (pl. önkéntes otthoni karantén);
– a fókuszált járványügyi kérdőíveket a szükséges és arányos mértékű korlátozás alkalmazása mellett.
Adatkezelés jogalapja
Az adatkezelés jogalapja alapvetően a GDPR 6. cikk (1) bekezdés f) pontja, ugyanakkor – az előző bekezdésben írtak figyelembevételével – a GDPR 9. cikk (2) bekezdésének b) pontja szerinti feltétel fennállása is megállapítható lehet, hiszen a munkáltatónak a munkajogi előírásokból fakadó kötelezettsége a munkavállalói számára egészséges és biztonságos munkavégzési körülményeket biztosítani. Konkrét fertőzésveszély esetén szóba jöhet még a GDPR 6. Cikk (1) bekezdés d) pontja szerinti érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme szolgálhat jogalapként. A GDPR 9. cikk (4) bekezdés szerinti korlátozásokat figyelembe véve pedig adatkezelés akkor folytatható, ha a munkáltató adatkezelése a munkavállaló munkavégzésre való alkalmasságának megállapításához szükséges (vö. az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény 4. § (2) o) pont, amelyhez szükséges és indokolt intézkedéseket a munkáltató jogosult elrendelni (47/2020. (III. 18.) Korm. rendelet 6. § (2) bek c) pont).

A Nemzeti Adatvédelmi és Információszabadság Hatóság nem tartja arányosnak a munkáltatói intézkedéssel elrendelt, minden munkavállalóra általánosan kiterjedő, bármilyen diagnosztikai eszközt alkalmazó szűrővizsgálatok előírását, testhőmérsékletére kötelezően kiterjedő vizsgálat bevezetését, tekintettel arra, hogy a koronavírus tüneteivel kapcsolatos információk összegyűjtése, értékelése, valamint azokból következmények levonása az egészségügyi szakemberek, illetve hatóságok feladata.
Amennyiben a munkáltató a dolgozó bejelentése vagy egyedi esetben az összes körülmény mérlegelése vagy a Munkavéd. tv. 54. § (2) bekezdése szerint általa elvégzett kockázatértékelés alapján bizonyos, a megbetegedésnek való kitettséggel fokozottan érintett munkakörökben elengedhetetlenül szükségesnek tartja, a GDPR 6. cikk (1) bekezdés f) pont szerinti jogalap (jogos érdek), úgy a munkáltató a GDPR 9. cikk (2) bekezdés h) pontjában, továbbá (3) bekezdésében foglalt feltételek alkalmazásával járhat el jogszerűen, így kizárólag egészségügyi szakember által vagy szakmai felelőssége mellett végzett vizsgálatokat rendelhet el, a munkáltató pedig kizárólag ezen vizsgálatok eredményének a megismerésére jogosult, illetőleg diagnosztikai adatok megismerésére a munkáltató emiatt nem jogosult.
A magyar adatvédelmi hatóság adatvédelmi hatásvizsgálati feketelistája szerint ún. hatásvizsgálat köteles tevékenységnek minősülnek az egészségügyi adatokra vonatkozó adatkezelések; illetve a különleges adatok nagy számban való kezelése. Emiatt a diagnosztikai vizsgálatok nagy számú vagy tömeges munkahelyi elrendelése és végrehajtása adatvédelmi hatásvizsgálat lefolytatását igénylő tevékenységnek minősül, illetve magas kockázat azonosítása esetén konzultáció lefolytatása is szükséges az adatvédelmi hatósággal.

A kijárási korlátozásról szóló 71/2020. (III. 27.) számú kormányrendelet (a továbbiakban: „II. Kormányrendelet”) 2020. március 28. napjától Magyarország teljes területére kijárási korlátozást rendelt el. A II. Kormányrendelet 10. § (2) bekezdése alapján a kijárási korlátozás 2020. április 11. napjáig tartott volna, azonban a kijárási korlátozás meghosszabbításáról szóló 95/2020. (IV. 9.) számú kormányrendelet a korlátozást határozatlan ideig meghosszabbította.
A fentieknek megfelelően a II. Kormányrendelet rendelkezései a jelen memorandum keltének a napján is hatályban vannak, így a II. Kormányrendelet 3. §-a alapján „[a] lakóhely, a tartózkodási hely, illetve a magánlakás elhagyására […] meghatározott alapos indokkal kerülhet sor”. A II. Kormányrendelet 4. § (1) bekezdés a) pontja a munkavégzés céljából történő lakóhelyelhagyást a fenti alapos indokként határozza meg. Ennek megfelelően a munkahelyre történő utazás miatt a munkavállaló nem szegi meg a II. Kormányrendelet rendelkezéseit. Sem a II. Kormányrendelet, sem más jogszabály alapján nincs olyan előírás sem, hogy a munkáltatónak a lakóhelyelhagyásra vonatkozóan munkáltatói igazolást kellene kiállítania a munkavállaló részére, bár annak akadálya nincs, sőt adott esetben – egy esetleges rendőri intézkedés (igazoltatás) esetére – célszerű is lehet ilyen igazolást előzetesen a munkavállaló részére kiállítani. Ezen adatkezelés jogalapja GDPR 6. cikk (1) bekezdés f) pont szerinti jogalap (jogos érdek) lehet.
Adatvédelmi szempontból lényeges, hogy a munkáltató által kiállított igazolás az adattakarékosság elvének érvényesítése mellett a munkavállaló személyes adatai közül a legszükségesebbeket tartalmazza, amely a hatósági ellenőrzéshez elegendő, így a természetes személyazonosító adatok mellett a munkáltató megnevezése és a munkavégzés helye kerüljön feltüntetésre.

Ami a koronavírussal összefüggő adatkezelési célokat illeti, a 2020. május 5-én hatályba lépett 179/2020. (V.4.) számú kormányrendelet lényegesen korlátozza az érintett személy jogainak gyakorlását és az adatkezelők előzetes tájékoztatása körében is jelentős könnyítést vezet be.
A koronavírusos megbetegedések megelőzése, megismerése, felderítése, valamint továbbterjedésének megakadályozása érdekében ezen adatkezelési célból kezelt személyes adat tekintetében az érintett személyek kérelmeinek intézését a Veszélyhelyzet megszűnéséig fel kell függeszteni, a kérelmekre és intézkedésekre irányadó határidők kezdő napja a Veszélyhelyzet megszűnésének napját követő nap. A felfüggesztésről az érintettet a veszélyhelyzet megszűnését követően haladéktalanul, de legkésőbb a kérelem beérkezésétől számított kilencven napon belül tájékoztatni kell. Ennek megfelelően az érintettek a GDPR 15-22. cikkében és az Infotv. 14. §-ában rögzített jogaikat gyakorolhatják, de kérelmük csak a felfüggesztést követően intézhető el. A felfüggesztés mind a Nemzeti Adatvédelmi és Információszabadság Hatóság eljárásaira, mind az ilyen tárgyú bírósági eljárásokra is kiterjed.
Az adatkezelők részére a koronavírusos megbetegedések megelőzése, megismerése, felderítése, valamint továbbterjedésének megakadályozása érdekében ezen adatkezelési célból kezelt személyes adat tekintetében lényeges könnyítést jelent, hogy előzetes tájékozódáshoz való jog tekintetében biztosítandó tájékoztatást elegendő kizárólag elektronikus úton közzétett módon és a tartalmában is szűkebb körben teljesíteni.

2020. március 19. napján hatályba lépett a koronavírus világjárvány nemzetgazdaságot érintő hatásának enyhítése érdekében szükséges azonnali intézkedésekről szóló 47/2020. (III. 18.) számú kormányrendelet (a továbbiakban: „I. Kormányrendelet”). Az I. Kormányrendelet 6. § (2) bekezdés b) pontja ad lehetőséget arra, hogy a munkáltató egyoldalú utasításban elrendelje a munkavállalók kötelező otthoni munkavégzését. Az alábbiakban ezért az otthoni munkavégzés adatvédelmi vonatkozásaira hívjuk fel a figyelmet.
Papír alapú dokumentumok védelme
A papíralapú dokumentumokat biztonságosan kell szállítani, javasolt a munkahelyi környezetben alkalmazott adatvédelmi előírásokat az otthoni munkavégzésben is érvényesíteni, így a személyes adatokat tartalmazó dokumentumokat úgy kell megőrizni az otthoni irodában, hogy jogosulatlan személyek hozzáférését elkerüljük, lehetőség szerint zárt szekrényben, vagy zárható szobában kerüljenek ezen iratok tárolásra. Amennyiben otthoni nyomtatás történik, úgy a nyomtató, illetve a személyes adatokat tartalmazó kinyomtatott dokumentumok is külön figyelmet igényelnek. Lényeges nagyobb számú dokumentum esetén a megsemmisítendő személyes adatokat tartalmazó dokumentumok összegyűjtésének és iratmegsemmisítésének kialakítása.
Alapvető adatbiztonság kialakítása
Minden, személyes adat tárolására használt mobil elektronikus tárolóeszköz (USB-meghajtók, külső merevlemez-meghajtók) és készülékek (laptopok, táblagépek és okostelefonok) lehetőség szerint jelszóvédelemmel és titkosítással kerüljenek a felhasználóknak átadásra. Szükséges a privát és munkavégzés célú felhasználás elválasztása, továbbá a rendszeres adatmentés kialakítása. Amíg a munkáltató által rendelkezésre bocsátott eszközök esetében az adatbiztonságért való felelősség a munkáltatót terheli, a munkavállaló felelőssége, hogy otthonában a hálózathoz való csatlakozás során jelszóval védett, biztonságos hálózatokon használja a rendelkezésére bocsátott eszközöket, valamint betartsa a munkáltató által részére előírt információbiztonsági szabályokat, az eszközöket alapvetően a munkavégzésre felhasználva. Egyúttal a munkavállaló felelőssége a rá bízott eszközök biztonságos tárolása és az esetleges adatvédelmi incidensek észlelése, bejelentése.
Munkahelyi kommunikáció, telefon- és videókonferenciák
A munkáltató feladata a munkavállaló részére átadott eszközökön az otthoni munkavégzéshez szükséges kommunikációs csatornák létrehozása annak teljes adatbiztonsági megvalósításával együtt.
Amennyiben a távollét alatt a munkáltató nem tud saját eszközt a munkavállaló rendelkezésére bocsátani, ebben az esetben az otthoni munkavégzés, illetve a Veszélyhelyzet időtartamára indokolt lehet a munkavállaló privát elérhetőségi adatainak a kötelező kezelése, melynek adatkezelési jogalapja a munkáltató jogos érdeke lehet.
Hang- és videókonferencia megoldások alkalmazása esetében az adattakarékosság elvével összhangban mérlegelni szükséges, hogy valóban teljes video- és audio konferencia tartása indokolt vagy pusztán telefonálással megoldható lehet a szükséges kommunikáció.
Hang- és videókonferenciák esetében javasolt a megfelelő titkosítással ellátott szoftverek és szolgáltatók igénybevétele, különös tekintettel arra, hogy a szolgáltató a hang és videótartalom továbbítása során az adott szolgáltató az Európai Unió területén levő letelepedéssel bírjon, illetőleg a GDPR rendelkezéseinek megfelelő szolgáltatás nyújtson. Ezt megfelelő adatfeldolgozói vagy adattovábbítási szerződés megkötésével; a szolgáltató esetleges információbiztonsági tanúsítványainak, jó hírnevének ellenőrzésével, illetőleg a kollaborációs eszközöket használó kollégák megfelelő tréningjével javasolt biztosítani.
Az ilyen jellegű konferenciák esetleges rögzítése esetén és függetlenül attól, hogy csak hang, fénykép, vagy videó kerül rögzítésre, nem mellőzhető az adatkezelési jogalap biztosítása (így a résztvevők GDPR 6. Cikk (1) bekezdés a) pontja szerinti hozzájárulásának beszerzése), továbbá az adatkezelési tájékoztató megadása.
A munkavállaló felelősségi körébe eső szabályozási kérdés, hogy a konferenciákon elhangzott információk és hozzáférhetővé tett személyes adatok bizalmasságát saját otthonában megőrizze.

A munkavállalók otthon tartózkodásával kapcsolatosan szintén lényeges probléma, hogy milyen ellenőrző eszközöket alkalmazhat a munkáltató a munkavállalók tevékenységének és magatartásának ellenőrzésére. Továbbra is irányadó az a szabály, hogy a munkavállaló csak a munkaviszonnyal összefüggő magatartása körében ellenőrizhető, a munkáltató magánszférája indokolatlanul nem sérthető meg, illetőleg a munkáltatónak részletes tájékoztatást kell adnia az ellenőrzésről, annak módjáról, illetve arról, hogy az ilyen ellenőrzést ki és milyen feltételekkel jogosult lefolytatni.

(Készült az MTSZA és a Provaris Varga & Partners Ügyvédi társulás együttműködésében)