Tájékoztató a NAIH-tól a koronavírus járvány kapcsán végzett adatkezelés vonatkozásában.

Az adatkezelő – tehát az ellenőrzést elrendelő munkáltató, az egészségügyi ellátást végző orvos – az első számú felelős az adatkezelés jogszerűségéért. Az Infotv. hatálya alá tartozó bűnüldözési, honvédelmi és nemzetbiztonsági célú adatkezelést folytató szervek kivételével minden adatkezelő, így a munkáltatók is kötelesek alkalmazni a GDPR előírásait.

Fontos elvárás, hogy személyes adatok kezelése csak akkor és annyiban lehet indokolt, amennyiben az adatkezelés célját nem lehetséges adatkezelést nem igénylő eszközökkel elérni. Ilyen eszközök lehetnek pl.:

  • alapvető higiéniai intézkedések rögzítése
  • munkaeszközök, munkahelyek alaposabb takarítása
  • fertőtlenítőszerek biztosítása és fokozott használatuk megkövetelése
  • ügyfélfogadás rendjének szabályozása
  • üvegfal alkalmazása az ügyfélszolgálaton

Amennyiben az ilyen típusú eszközök nem elegendőek, és feltétlenül szükségessé válik az adatkezelés, akkor az alábbi lépéseket kell megtenni:

  • elsőként az adatkezelés pontos célját és jogalapját kell meghatároznia az adatkezelőnek
  • be kell tartani az adattakarékosság elvét (csak olyan adatokat lehet gyűjteni és tárolni, melyek a cél megvalósításához elengedhetetlenül szükségesek)
  • a munkáltató feladata az egészséget nem veszélyeztető, biztonságos munkavégzés körülményeinek a biztosítása
  • pandémiás üzletmenet folytonossági cselekvési terv kidolgozása (megelőző lépések és a fertőzés megjelenésekor alkalmazandó intézkedések)
  • részletes tájékoztató kidolgozása és a munkavállalók rendelkezésre bocsátása
  • szükség esetén az üzletmenet, valamint az üzleti utak/események átszervezése, esetleges munkahelyen kívüli munkavégzés lehetőségének a biztosítása
  • nyomatékos figyelemfelhívás arra, hogy a koronavírussal feltételezett érintkezésük esetén, valamint a tájékoztatóban meghatározott esetekben saját maguk és munkatársaik védelmében haladéktalanul jelentsék azt, az arra kijelölt személy részére, valamint haladéktalanul forduljanak üzemorvoshoz vagy más kezelőorvoshoz
  • munkavállalói bejelentés esetén, vagy ha a munkáltató a kitettség gyanúját az általa megadott adatokból megállapíthatónak véli, úgy a munkáltató rögzítheti a bejelentés időpontját és a munkavállaló személyazonosságának megállapításához szükséges személyes adatait:
    • a Hatóság a megjelölt adatkörre kiterjedően elfogadhatónak tartja akár kérdőívek kitöltését is
    • a kérdőívek nem tartalmazhatnak az érintettre kórtörténetére vonatkozó adatokat és a munkáltató egészségügyi dokumentáció becsatolását sem írhatja elő
    • a megadott adatok kezelésének jogalapja jogos érdek (GDPR 6.cikk (1) bekezdés f) pontja szerint) illetve közfeladatot ellátó / közhatalmat gyakorló szervezetek esetén alapfeladatuk zavartalan ellátásának szükségessége (GDPR 6.cikk (1) bekezdés e) pontja szerint)
    • a munkáltató kizárólag egészségügyi szakember által vagy szakmai felelőssége mellett végzett vizsgálatokat rendelhet el, a munkáltató csak a vizsgálatok eredményének megismerésére jogosult.
  • az általánosan, minden dolgozóra kiterjedően elrendelt munkáltatói intézkedés, amely bármilyen diagnosztikai eszköz (különösen, de nem kizárólagosan lázmérő) használatával szűrővizsgálatok végzését írja elő,  nem indokolt a Hatóság állásfoglalása szerint az üzemorvosok és az egészségügyi ellátók adatkezelőként kötelesek megfelelni az adatvédelmi előírásoknak.

forrás: https://naih.hu/files/NAIH_2020_2586.pdf