Sok cégvezető fejében megfordult az elmúlt hónapokban az a gondolat, hogy a világjárvány kellős közepén zavartalanul tudnak-e működni, nem fertőződnek-e meg tömegesen munkatársaik a koronavírussal, ami akár leállást és hatalmas veszteséget okoz a vállalkozás további működésében. Különösen fontos ez, most a negyedik hullám küszöbén. Nem csak itthon Európában is egyre nagyobb és fontosabb hangsúly helyeződik az oltások szükségességére, ad abszurdum a kötelezővé tételére. Rónaszéki Péter a FORTIX Consulting ügyvezetője lapunknak elmondta, két héttel ezelőtt nem ez lett volna a téma, hanem sokkal inkább az oltásokkal kapcsolatos adatvédelmi kérdés, ám ma már erről is szót kell ejteni.
Mivel az oltás jelenleg az egyetlen hatékony eszköz a fertőzés ellen, joggal jutottak arra a cégvezetők:
jó lenne mindenkit rávenni arra, hogy oltassa be magát. És itt jött az első kérdés: vajon a munkahely további működése érdekében, kötelezheti-e munkavállalóit a vakcina felvételére? Ha pedig a dolgozó ezt nem vállalja, akkor alkalmazhat-e szankciókat vele szemben?
László Júlia, a FORTIX vezető adatvédelmi tanácsadója
Ez is mutatja, hogy a munkáltatók jellemzően a védettségi igazolvány személyes adatok kezelésére vonatkozóan nem rendelkeztek elég információval. A 2021. áprilisában kiadott magyar adatvédelmi hatóság (NAIH) állásfoglalása (NAIH-3903-1-2021) szerint kezelhetők a védettségre vonatkozó munkavállalói személyes adatok, ám ez csak egyfajta ajánlás – jegyezte meg László Júlia a FORTIX vezető adatvédelmi tanácsadója. A felelősség a munkáltatót terheli, hogy minden szükséges intézkedést megtegyen és a jogszerű adatkezelést megvalósítsa. Fontos tudni, hogy kizárólag a Munka Törvénykönyve hatálya alatt foglalkoztatottak esetében alkalmazandók az adatvédelmi hatóság áprilisban megjelent irányelvei. A munkáltató szigorú feltételek mellett kezelhet személyes adatot, így a munkavállaló koronavírus elleni védettségét igazoló dokumentumot is.
A védettségi igazolvány bemutatási kötelezettségét belső eljárásrenddel, utasítással elő is írhatja.
(Ám ebben az esetben nem spórolható meg a munkáltatói intézkedés kiadása és eljuttatása a kollegák felé). A munkáltatónak jogos érdeke merülhet fel a védettségi igazolvány kapcsán, de jogos érdekét úgynevezett érdekmérlegelési teszttel köteles alátámasztani (például a munkaegészségügyi, munkavédelmi és munkabiztonsági kockázatok). Ezután az oltottság ténye rögzíthető és a védettség időbeli mértéke is. Azt mindenképpen fontos kiemelni, hogy a munkáltató a vakcina regisztrációjára és annak felvételére nem kötelezheti a munkavállalót ugyanakkor az oltási hajlandóságot népszerűsítő kampányokat folytathat. Emellett az oltás napján munkaidőkedvezményt adhat a munkatársaknak, illetve annak másnapján. Pénzbeli ellentételezés viszont nem javasolt.
Nem kerülhető meg az adatvédelmi hatóság állásfoglalásában az, hogy rendelkezhet a munkáltató úgy, hogy a munkára képes állapot egyik feltételének tekinti a védettséget.
Ez nyilván azt jelenti, hogy védettség igazolásának hiányában ez az állapot nem áll fenn. Ezt igazolatlan, nem fizetett távollétként rögzíti a munkáltató, így a dolgozó ezen időszak alatt nem felel meg a munkára képes állapot kritériumainak, így bért sem kap erre az időszakra. Ezt a gyakorlatot az állásfoglalás óta több munkáltató iránytűként használja, még azzal a nehezítéssel is, hogy a bizonyítási teher az övé.
Ebből következik, hogy a munkaviszony megszűntetése a fentiek szerinti feltételek fennállása esetén lehetséges olyan munkakörök/munkakör csoportok esetében, ahol csak az oltottsággal (védettséggel) tartható fent a munkaviszony. A munkáltató kárfelelőssége kisebb kockázattal jár(hat), amennyiben oltottak (védettek) a munkavállalói. Jellemzően például a termelő cégeknél, valamint az egészségügyben, közétkeztetésben illetve a közoktatásban dolgozóknál fordulhat elő a munkaviszony megszüntetése a vakcinát nem felvevő dolgozók esetében.
Munkáltatói oldalon a legnagyobb problémát a jogszabály értelmezése, a NAIH állásfoglalások folyamatos figyelemmel kísérése okozza.
Az átfogó adatvédelmi jogharmonizáció elmaradása miatt a személyes adatkezelések sok esetben szakmai ajánlások mellett történnek. Pedig nagy büntetésekre számíthat az a munkáltató, aki nem figyel, arra, hogyan kezeli munkatársai adatait, például a védettségére vonatkozó információkat.
Az általános Adatvédelmi Rendelet szerint – amit 2016-ban fogadott el az Európai Parlament és az Európai Tanács – szankciók alkalmazandók a védettségre vonatkozó szabálytalan személyes adatkezelések esetében is.
Ez önmagában érdekes felvetés, ugyanis emlékezetes, hogy például 2020 nyarán, amikor Európa számos országa lazított a járványügyi szabályokon, bizonyos regisztrációs intézkedéseket fenntartott. Ilyen volt az a szabály, hogy a vendéglátó és turisztikai egységeknek kötelességük volt elkérni a vendégeik elérhetőségét (nevét, telefonszámát, állampolgárságát és email címét), amivel adatkezelővé váltak. Borítékolható, hogy ezeket az adatokat nem a GDPR szabályoknak megfelelően kezelték. Vagyis László Júlia és Rónaszéki Péter véleménye szerint, vannak olyan esetek, ilyen például a járványhelyzet, amikor a szabályokat felülírja az élet.
Ezt pedig át kellene venni a hétköznapi szabályértelmezésbe is.
Amennyiben az adatkezelő vagy adatfeldolgozó szándékosan vagy gondatlanságból a rendelet több rendelkezését is megsérti, a bírság az adatkezelő és az adatfeldolgozó, a tanúsító, illetve az ellenőrző szervezet esetében legfeljebb 10 millió euró összegű közigazgatási bírság, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 százalékát kitevő összegre lehet büntetni, de a kettő közül a magasabb összeget kell kiszabni. Van ennél súlyosabb büntetés is: az adatkezelés elvei, az érintettek jogai, személyes adatoknak harmadik országbeli címzett vagy nemzetközi szervezet részére történő továbbítása, vagy a szabályok ilyen irányú megsértése esetén akár 20 millió euró összegű közigazgatási bírsággal is számolni lehet. Itt a százalékos arány is ugrik kettőről négyre.
(Borítókép: Rattanasak Khuentana, PuzzlePix/Shutterstock)
