Az alábbiakban részletet közlünk Sárközi Gabriella: A biztonságos munkakörnyezet megteremtése koronavírus-járvány alatt című cikkéből ( megjelent: Joggyakorlat a közoktatásban, 2020 április).
Az “Adatkezelés járvány esetén” című dokumentumok már elérhetők a Dokumentumtárban óvodák és iskolák részére is!
Egészségügyi adatkezelés
A járványveszély fennállása alatt a munkáltató a munkavállaló munkahelyen kívüli tevékenységével, különösen külföldre történő utazásával kapcsolatosan információkat kérhet a munkavállalótól. Kérheti azt, hogy a munkavállaló jelentse be, amennyiben járvány szempontjából veszélyeztetett régióba utazik vagy onnan vendége érkezik. Ezt a személyes adatot a munkavállaló a munkáltató előírásai szerint köteles átadni.
A munkáltató szintén jogszerűen kötelezheti arra a munkavállalókat, hogy jelentsék be a munkáltató részére, amennyiben családtagjaik, hozzátartozóik vagy közvetlen környezetükben koronavírusos megbetegedést észleltek.
A munkaidőn kívül tevékenységre, egészségügyi állapotra és a hozzátartozók egészségügyi állapotára vonatkozó adatokat a munkáltató a GDPR követelményei szerint kezelheti és a járványveszély elmúltával köteles azokat törölni.
A munkáltató úgy tud legjobban felkészülni az esetleges szükséghelyzetre, ha munkáltatói utasításban kötelezi a munkavállalóit a fentiekben meghatározott információk, személyes adatok átadására, higiénés intézkedéseket tesz a járvány megelőzésére, korlátozza a munkavállalók utazásait, illetve tömegrendezvényen való részvételét, egyeztet az üzemorvossal, továbbá felméri, melyek azok a munkafolyamatok, melyek otthon is elvégezhetők.
Az iskola és az óvoda adatkezelő, a járvánnyal kapcsolatosan egészségügyi adatokat is kezel, az egészségügyi adat pedig különleges adat.
Adatkezelésnek minősül a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés (GDPR 4. cikk 2.).
Az adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza (GDPR 4. cikk 7.).
A különleges adat
A személyes adatok speciális kategóriája a különleges adat. A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok mind különleges adatok.
A különleges adatokat a GDPR alapján kell kezelni.
Különleges adatok kezelése főszabály szerint tilos a GDPR 9. cikk (1) bekezdésének értelmében. A különleges adatokat kezelni csak a GDPR 9. cikk (2) bekezdésében foglalt esetekben lehet.[1]
Jogeset: Egy koronavírus-gyanús pedagógus rosszul lesz és mentőt kell hozzá hívni, átadhatók a mentős számára adatok?
Orvosnak, mentősnek természetesen megadhatók a vele kapcsolatos egészségügyi adatok. Az egészségügyi adat továbbításnak a jogalapja ekkor a GDPR. 9. cikk (2) bekezdés c) pontja alapján az érintett létfontosságú érdeke.
A jelen koronavírus járvány alatt egészségügyi adatok kezelésének jogalapja a GDPR 9. cikke alapján az alábbiak lehetnek:
b) az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;
c) az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
h) az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása érdekében szükséges;
i) az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan.
Jogeset
Az óvodavezető minden szükséges intézkedést megtett a járvány megfékezése érdekében, azonban az egyik óvónőt koronavírus gyanújával mentő szállította el. Szükséges tájékoztatni ilyenkor a szülőket? Természetesen igen. Az óvópedagógus a fertőzést átadhatta a gyerekeknek, így az ő létfontosságú érdeküket szem előtt tartva, az az egészségügyi adat, miszerint koronavírus-gyanús a pedagógus, átadható a GDPR 9. cikk (2) bekezdés c) pontja alapján a szülőknek.
A fentiek közül több jogalap is megállja a helyét a most zajló koronavírus járvánnyal kapcsolatos munkáltató általi egészségügyi adatok kezelése során.
Egészségügyi ellátók, így az üzemorvosok is kötelesek megfelelni a rájuk irányadó adatkezelési előírásoknak: az egészségügyi és az ezekhez kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvénynek (Eüak. tv.) és a GDPR-nak. A 18/1998. (VI. 3.) NM rendelet 25. §-a az egészségügyi szolgáltató bejelentési és nyilvántartási kötelezettségét írja elő a fertőző betegek és a fertőző betegségre gyanús személyek vonatkozásában, többek között a rendelet 1. számú mellékletben meghatározott esetdefinícióknak megfelelően (amelyek között a SARS-coronavírus is felsorolásra kerül), továbbá a fertőző betegségek jelentésének rendjéről és az egészségügyi ellátással összefüggő fertőzések megelőzéséről szóló jogszabályban,[1] valamint az Eüak tv.-ben foglaltak szerint.
A fentiek mellett a Nemzeti Népegészségügyi Központ által 2020. március 2. napján készített, a 2020. évben azonosított új koronavírussal kapcsolatos eljárásrend[2] tartalmazza a kezelőorvos által követendő járványügyi és infekciókontroll szabályokat, amely az Egészségügyi Világszervezet és az Európai Betegségmegelőzési és Járványügyi Központ ajánlásai és előírásai alapján került összeállításra, tehát jogszabálynak nem minősül, azonban a kezelőorvosok az eljárásuk során kötelesek azt alkalmazni.
Személyes adatokat kezelni csak jogalappal szabad az adatkezelés elveinek betartásával. Ahhoz, hogy az adatkezelés jogszerű legyen, az adatkezelőnek a személyes adatok kezelésénél megfelelő jogalapra kell tudnia hivatkozni, de az nem elég a jogszerű adatkezeléshez, az adatkezelés elveinek betartását is tudnia kell bizonyítani (GDPR 5. cikk).
– az adatkezelésnek jogszerűnek és tisztességesnek kell lennie,
– az adatkezelést az érintett számára átlátható módon kell végezni, az érintettet arról tájékoztatni kell,
– az adatkezelésnek célhoz kötöttnek kell lennie. Az adat gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet. Az adatkezelés történhet közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból is;
– az adattakarékosság elvét mindig szem előtt kell tartania (csak annyi adatot vegyünk fel, amennyi az adatgyűjtés célja szempontjából megfelelő és releváns);
– az adatkezelésnek pontosnak és szükség esetén naprakésznek kell lennie. Minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék;
– az adatkezelésnek meg kell felelnie a korlátozott tárolhatóság elvének: az adat tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé;
– az adatkezelés integritása és bizalmas jellege: az adatbiztonságra fokozottan figyelni kell, adat illetéktelenek kezébe nem kerülhet. Az adatkezelést oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve;
– az elszámoltathatóság elve, mely arra utal, hogy az előbbiekben felsorolt adatkezelési elveknek meg kell felelni és az adatkezelőnek ezt igazolnia is tudnia kell. Az adatkezelő felelős azért, hogy adatkezelése a jogelveknek megfelelően történik és adatkezelésének konkrét jogalapja van.
A teljes cikk a Joggyakorlat a közoktatás című kiadványunk áprilisi számában olvasható. Ha nem szeretne lemaradni az ehhez hasonló aktuális cikkekről, fizessen elő kiadványunkra (akár online verzióban is):
[1] Az egészségügyi ellátással összefüggő fertőzések megelőzéséről, e tevékenységek szakmai minimumfeltételeiről és felügyeletéről szóló 20/2009. (VI. 18.) EüM rendelet
[2] Az eljárásrend letölthető a https://www.nnk.gov.hu/ weboldalról
