Munkáltatói megelőző intézkedések

Amióta Európába is megérkezett a koronavírus járvány, egyre több munkáltató szembesül azzal a kérdéssel, hogy milyen óvintézkedéseket lehet és kell tennie ilyen helyzetben. Például gyakori kérdés, hogy a munkáltató hogyan tudja jogszerűen kiszűrni azon munkavállalóit, akik fertőzött területről érkeztek vissza vagy potenciálisan fertőzött betegekkel találkozhattak, esetleg maguk is fertőzöttek lehetnek. A legtöbb megelőző intézkedés munkavállalói személyes adatok – bizonyos esetekben a személyes adatok különleges kategóriáinak – kezelésével jár, így kiemelt jelentősége van az adatvédelmi jogi előírások betartásának is.

Összefoglalónk első részében kitérünk a legfontosabb szabályokra és buktatókra, amelyekre a megelőző intézkedésekkel kapcsolatban a munkáltatóknak oda kell figyelniük a járvány fokozódása idején. Az adatvédelmi jogi vonatkozásokkal kapcsolatban rövid európai uniós kitekintést is adunk. Bejegyzésünk következő, második részében közvetlen járványveszély, illetve érintettség esetén alkalmazható munkáltatói intézkedéseket mutatjuk be, így például mit tehet a munkáltató üzemzárás esetén, mi történik karantén elrendelése esetén, illetve otthoni munkavégzésre kötelezhető-e a munkavállaló.

Milyen kötelezettségei vannak a munkáltatónak a koronavírusra tekintettel?

Specifikusan a koronavírus terjedésére tekintettel előírt kötelezettségei a munkáltatóknak Magyarországon jelenleg nincsenek. Azonban lényeges, hogy a munkáltató kötelezettsége mind az általános munkajogi, mind a munkavédelmi szabályok szerint, hogy az egészséget nem veszélyeztető és biztonságos munkavégzési feltételeket biztosítsa. Ebből az általános kötelezettségből számos konkrét kötelező teendő levezethető, így például a munkáltató köteles:

  • a Munkavédelemről szóló törvényben meghatározott kockázatértékeléssel rendelkezni, mellyel kapcsolatban a munkáltató köteles dokumentáltan a veszélyeket és veszélyeztetetteket azonosítani, a kockázatokat értékelni és a megelőző intézkedéseket, határidőket, felelősöket meghatározni;
  • a megelőző fizikai védelmi intézkedéseket megtenni (pl. munkavállalók számára védőfelszerelés beszerzése, kézfertőtlenítés lehetőség nyújtása stb.);
  • a munkavállalókat megfelelően tájékoztatni és utasításokkal ellátni (pl. bevezetett fizikai védelmi intézkedésekről, üzleti utak korlátozásáról, otthoni munkavégzés lehetőségéről),
  • az illetékes állami egészségügyi szolgálatokkal és hatóságokkal együttműködni járványügyi és egyéb intézkedések esetén.

Milyen jogszerű megelőző intézkedéseket tehet a munkáltató?

Természetszerűleg felmerül a kérdés, hogy a munkáltatóknak ebben a helyzetben milyen jogaik vannak. Például kérdés, hogy a munkáltató hogyan tudja jogszerűen kiszűrni azon munkavállalóit, akik fertőzött területről érkeztek vissza vagy potenciálisan fertőzött betegekkel találkozhattak, illetve alkalmazhat-e kötelező lázmérést a beléptetéskor.

A munkajogviszony egyik alapja a felek kölcsönös együttműködési és tájékoztatás kötelezettsége. Nem csak a munkáltatónak kell tehát információval ellátnia a munkavállalóját, hanem a munkavállalónak is be kell számolnia bizonyos, a munkaviszonnyal összefüggő lényeges körülményekről. Emellett a munkáltatónak a fenti, az egészséget nem veszélyeztető és biztonságos munkavégzési feltételek biztosítására vonatkozó kötelezettségéből és a munkáltató utasítási jogából is levezethető, hogy munkáltatónak joga van bizonyos korlátok és garanciák mellett információkat bekérni a munkavállalóktól, illetve bizonyos megelőző intézkedéseket bevezetni.

Tehát megfelelő garanciák mellett, a fertőzés megalapozott gyanúja esetén a munkavállalók kötelezhetőek arra, hogy tájékoztatást nyújtsanak arról, hogy ők és családtagjaik jártak-e az elmúlt időszakban fertőzéssel érintett területen vagy terveznek-e ilyen helyre utazni, esetleg voltak-e olyan társaságban, akik ilyen területről érkeztek vagy már megerősítésre került fertőzöttségük.

Továbbá adott körülmények között szűk körben jogszerű lehet az a munkáltatói intézkedés, hogy a munkavállalók a munkahelyre kizárólag testhőmérséklet-mérés után léphetnek be. Természetesen itt kiemelten figyelemmel kell lenni arra, hogy a munkáltató ne sértse meg különleges adatok kezelésre vonatkozó követelményeket (erről lentebb részletesen írunk), illetve az egyenlő bánásmód követelményét és tiszteletben tartsa a munkavállaló személyiségi jogait (így például emberi méltóságát).

Ezen túlmenően a munkáltató arra is jogosult lehet, hogy soron kívüli személyi higiénés alkalmassági vizsgálatot kezdeményezzen, amennyiben a munkavállaló a tüneteket (pl. köhögés, láz) magán vagy vele közös háztartásban élő személyen észleli.

A munkáltató megelőző intézkedései körében javasolt áttekinteni a belső szabályzatokat és eljárásrendet és amennyiben indokolt, a szükséges módosításokat elvégezni (például „home office” szabályzat).

A gyűjtött személyes adatokat hogyan kezelheti jogszerűen a munkáltató?

Hangsúlyozandó, hogy a GDPR és a szektor specifikus adatvédelmi jog rendelkezéseire a járvánnyal járó különleges helyzetben is figyelemmel kell lenni. Bizonyos esetekben a kezelt adatok egészségügyi adatoknak minősülnek és a személyes adatok különleges kategóriájába tartoznak, így speciális védelemben részesülnek.

Egészségügyi adat kezelésére kerül sor többek között, amikor a munkáltató testhőmérséklet-mérést alkalmaz, de bizonyos tartalmú kérdőívek is tartalmazhatnak egészségügyi adatra vonatkozó kérdéseket (például kérdés arra vonatkozóan, hogy a munkavállaló érezte-e magán a vírus valamelyik tünetét). A GDPR 9. cikke alapján főszabály szerint tilos az egészségügyi adatok kezelése az ott meghatározott kivételekkel. Jelen esetben a munkaviszonnyal kapcsolatos adatkezelés körében több kivétel is szóba jöhet:

  • jogszerű lehet az adatkezelés, ha az a munkáltatóra vagy a munkavállalóra vonatkozó munkajogi, illetve munkavédelmi előírásokból fakadó kötelezettségek teljesítése és konkrét jogok gyakorlása érdekében szükséges, ha megfelelő garanciákról is rendelkező jogszabály ezt lehetővé teszi. E körben a Munkavédelemről szóló törvény rendelkezései jelenthetnek alapot az egészségügyi adat kezelésére.
  • jogszerű lehet az adatkezelés, ha az megelőző egészségügyi vagy munkahelyi egészségügyi célokból szükséges és megfelelő garanciákra figyelemmel történik. Ilyen garancia a GDPR szerint, ha az adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki jogszabály által meghatározott szakmai vagy más titoktartási kötelezettség hatálya alatt áll. E körben egy orvos szakember által vagy felelőssége mellett történő kötelező lázmérés bevezetése jogszerű intézkedés lehet.

A munkavállalók bármely személyes adata (nem csak egészségügyi adata) csak meghatározott és jogszerű célból kezelhető. Lényeges a cél pontos meghatározása és annak feltüntetése a munkavállalói adatkezelési tájékoztatóban. Egészségügyi adat kezelése esetén az adatkezelési cél meghatározásánál figyelemmel kell lenni az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló törvényben kifejtettekre is a GDPR megfelelő alkalmazása mellett. Így az adatkezelési célnak összhangban kell lennie az ezen törvényben meghatározott célokkal.

Az adatkezelési tevékenység természetesen önmagában nem lenne jogszerű megfelelő jogalap nélkül. Az említett esetekben alapvetően a munkáltató jól megalapozott és megfelelő érdekmérlegelési teszttel alátámasztott jogos érdeke lehet a megfelelő jogalap figyelembe véve természetesen az egyedi körülményeket. Minden esetben alapos érdekmérlegelés szükséges annak megállapításához, hogy a munkáltatói jogos érdek fennáll-e. Így például nem feltétlenül szükséges szisztematikusan, válogatás nélkül mindenki lázát mérni vagy minden munkavállalóval kérdőíveket kitöltetni, amennyiben nem áll fenn a megalapozott gyanúja annak, hogy fertőzött lehet a munkavállaló vagy ilyen személyekkel érintkezett, esetleg fertőzött területen járt. Ugyanígy nem állhat fenn a munkáltató jogos érdeke, ha családi vagy baráti kapcsolatairól érdeklődik a munkáltató vagy orvosi igazolást kér be előzetesen arról, hogy a munkavállaló nem fertőzött.

Kiemelten fontos a munkavállalók és más érintettek megfelelő, előzetes tájékoztatása az adtok kezelésével kapcsolatban. A tájékoztatónak a GDPR-ban meghatározott információkat kell világosan tartalmaznia (adatkezelés jogalapja, kezelt adatok köre, megőrzési idő stb.). Javasoljuk ezeket az információkat adatkezelési célonként külön-külön megadni.

Az adatok csak a cél eléréshez szükséges ideig tárolhatóak. Ezt esetről estre javasolt megvizsgálni, mert a megőrzés idő számos körülménytől függhet (pl. a gyanú beigazolódása, hogy valóban fertőzött az adott személy, a gyűjtött adatok kategóriái).

Mi az adatkezelési gyakorlat az EU-ban a járvány kapcsán?

Noha a GDPR egységes szabályozást teremt az Európai Unióban, mégis mind az egészségügyi adatok kezelésével kapcsolatos ágazati jogszabályok (hasonlóan Magyarországhoz), mind az adatvédelmi hatóságok különböző állásfoglalásai némileg eltérő gyakorlatot alakíthatnak ki országonként. Bejegyzésünk megjelenéséig az olasz és a francia adatvédelmi hatóság adott ki állásfoglalást a koronavírussal kapcsolatos adatkezelések kapcsán. A NAIH hivatalos közleményt vagy más állásfoglalást eddig nem tett közzé.

A legkonzervatívabb álláspontot az olasz Garante fogalmazta meg március 2-án. Az olasz adatvédelmi hatóság szerint ugyanis a munkáltatóknak alapvetően tartózkodniuk kell a koronavírussal kapcsolatos adatkezeléstől. Kivételes esetben azonban – amennyiben a munkavállaló fokozott kockázatú munkahelyen dolgozik – a munkáltató utasíthatja az üzemorvost, hogy vizsgálja meg az érintett munkavállalót.

Valamivel megengedőbb a francia CNIL állásfoglalása, amely március 6-án látott napvilágot. A francia adatvédelmi hatóság alapvetően ugyancsak indokolatlannak tartja, hogy a munkáltatók egészségügyi adatokat kezeljenek munkavállalóikról, szisztematikusan ellenőrizzék testhőmérsékletüket és mindenkit válogatás nélkül (ideértve a munkavállalókat, hozzátartozóikat és egyéb látogatókat) kérdőívek kitöltésére kötelezzenek. Ezekhez az adatkezelésekhez megfelelő jogalapnak és legitim célnak kell fennállnia. Az állásfoglalás alapján a fertőzés jól megalapozott gyanúja esetén, egyedi esetekben megelőző intézkedések érvénybe léptetése érdekében lehetséges bizonyos körben az adatkezelés.

A lengyel adatvédelmi gyakorlat ugyancsak konzervatívabb nézőpontot vett fel. Nem javasoltak az általános, mindenkire kiterjedő lázmérések vagy kérdőívezések, inkább a munkavállalók önbevallásán alapuló, belső szabályzatokkal körülbástyázott megoldást követik a munkáltatók.

Finnországban az egészséges és biztonságos munkakörülmények kialakítása körében – amennyiben az szükséges a jogszabályi kötelezettségek teljesítéséhez – a munkáltató jogosult bizonyos egészségügyi személyes adatokat kezelni a többi munkavállaló egészségének megóvása érdekében.