A biztonságos munkakörnyezet biztosítása érdekében egyre több munkáltató ellenőrzi a munkavállalók egészségi állapotát oly módon, hogy a munkaterületre való belépés előtt lázmérőt alkalmazva szűrővizsgálatot írnak elő. Elengedhetetlen, hogy a munkáltató bármilyen intézkedése során az irányadó jogszabályoknak megfelelően járjon el. Dr. Bartal Ivánt, az Oppenheim Ügyvédi Iroda partnerét és adatvédelmi szakértőjét kérdeztük meg, hogy a lázmérés mint szűrővizsgálat a munkavállalók egészségi állapotának ellenőrzése érdekében szükséges és indokolt, de legfőképpen jogszerű munkáltatói intézkedésnek tekinthető-e, illetve összhangban áll-e az intézkedés az irányadó GDPR szabályokkal és a 47/2020 (III. 18.) számú Korm. rendelet 6. § (2) bekezdésének c) pontjával.
Mostanra már az unalomig ismételt közhely, hogy mivel a tervezett szűrővizsgálat a munkavállalók egészségi állapotával kapcsolatos adatokat eredményez, ezért ügyelni kell az adatvédelmi szabályok betartására is.
A helyzet az, hogy a tervezett intézkedéssel (lázmérés) kapcsolatban több adatvédelmi aggály is felhozható. Ezeket, és a lehetséges megoldásokat, kitörési pontokat az alábbiakban foglalom össze, előrebocsátva, hogy ez részben egészségügyi szakkérdés is.
1./ Az adatvédelmi hatóság tájékoztatója szerint a koronavírussal kapcsolatban nem lehetséges minden munkavállalóra kiterjedő hatállyal kötelezően előírni diagnosztikai eszközök használatát, szűrővizsgálat (pl. lázmérés) alkalmazását. A hatóság szerint ilyen vizsgálatot kötelezően előírni legfeljebb konkrét gyanú, bejelentés, vagy külön kockázatértékelés alapján lehetséges, de ilyen esetben is csak meghatározott személyek, pozíciók tekintetében. Egyes munkáltatók ezt a problémát kreatívan úgy ugorták meg, hogy kockázatértékelésükben minden munkavállalójuk kapcsán a vizsgálat szükségességét állapították meg, de szerintünk ez kockázatos megoldás. Meg kell továbbá említeni, hogy a lázmérés nem csak egy egyszeri aktus előzmények és következmények nélkül, hanem egy egészségügyi vizsgálat, melynek során be kell tartani az irányadó jogszabályok (Mt., GDPR, Infotörvény stb.) rendelkezéseit is. Többek között adatvédelmi szempontból a jogszerű mérésekhez elengedhetetlen a megfelelően kidolgozott GDPR-keretrendszer (belső szabályzatok, nyilvántartások, eljárások, tájékoztatók, kinevezett felelősök, a vizsgálatot végző orvossal megfelelően megkötött adattovábbítási szerződés, eredményesen elvégzett érdekmérlegelés, megfelelően elvégzett adatvédelmi hatásvizsgálat stb.) megléte, továbbá figyelembe kell venni a hatóság által az ilyen esetekre előírt további követelményeket is (pandémiás cselekvési/üzletmenet folytonossági terv kidolgozása a munkajogi és adatvédelmi szabályok figyelembe vétele mellett, frissítése, külön tájékoztatók elkészítése, vizsgálati eredmények orvos általi megismerése és munkáltatóval csak a munkajogi intézkedés meghozatalához szükséges információ közlése, jogalap pl. jogos érdek megfelelő biztosítása stb.). Van olyan cég is, ahol pl. hozzájárulást kérnek a teszt elvégzéséhez, de mivel munkajogviszonyban a hozzájárulás önkéntessége kétségbe vonható, és a teszt megtagadásához a munkáltató általában szeretne szankciót/joghátrányt fűzni és/vagy a tesztet kötelező jelleggel előírni (különben az intézkedés általános jellege nem biztosítható), ezért ezt nem tartjuk annyira életképes ötletnek.
2./ Adatvédelmi szempontból továbbá fontos, hogy egy szűrővizsgálat csak akkor végezhető, ha a vizsgálat során gyűjtött adatok alkalmasak a tervezett felhasználási célra, azaz joggal elvárható, hogy a lázmérés során nyert adatok alapján megállapítható legyen, hogy a vizsgált munkavállaló fertőzött/ beteg-e, vagy sem. Márpedig a lázmérés erre ugyebár nem alkalmas; a magas láz vagy testhőmérséklet csak egy lehetséges indikációja a fertőzöttségnek a légszomj, hasmenés, köhögés, fáradékonyság stb. mellett, és ismereteim szerint a vírus jelenlétét inkább vérszérumból, vagy a légzőrendszerből vett mintából szokták kimutatni. Ezzel együtt talán még lehet azzal érvelni – bár ez vitatható –, hogy mivel a kérdésben idézett jogszabályhely kellően általános, és a munkáltató megítélésére bízza, hogy ő mit tart szükségesnek és indokoltnak, ezért talán elfogadható, ha egy munkáltató saját döntése alapján a lázmérés mellett dönt. Az üzleti döntés meghozatalát (elérni kívánt cél, megfontolt eszközök, adatvédelmi tisztviselő és orvosi vélemény kikérése, a döntés részükről kifejezett támogatása stb.) érdemes minden esetben megfelelően dokumentálni, persze önmagában ettől nem lesz jogszerű a megoldás, de a kockázatok csökkentésére alkalmas lehet.
3./ A harmadik fő probléma, hogy a GDPR az egészségügyi adatok kezelésével kapcsolatban olyan pluszkövetelményeket ír elő, amelyek nemcsak a lázmérés, de más, a vírussal kapcsolatos szűrővizsgálatok esetében nehezen teljesíthetőek, legalábbis a jelenlegi állás szerint. A GDPR 9. cikk (2) bekezdésének h) pontja szerint egészségügyi adatok gyűjtése akkor lehetséges, ha az „megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében”. Mint látjuk, a GDPR csak az alapvető követelményt (szükségesség) állítja fel, de a szükségesség konkrét intézkedések kapcsán tartalommal való megtöltését leginkább a közösségi, illetve tagállami jogra utalja. Mivel valószínűtlen, hogy lenne olyan egészségügyi szakember, aki a jelen helyzetben szerződésben jelentené ki (vagy legfeljebb a felelősség és kockázatok munkáltatóra történő hárítása mellett, aminek a kikényszeríthetősége jogi szempontból kérdéses), hogy a lázmérés vagy más diagnosztikai szűrővizsgálat a fertőzöttek kiszűrése érdekében szükséges, ezért leginkább hazai, vagy közösségi jognak kellene kimondania, hogy a tervezett intézkedés (a jelen esetben: lázmérés) valóban szükséges (ha úgy tetszik, alkalmas) erre a célra. Ilyen jogszabályi rendelkezés pedig egyelőre nem ismeretes. A jó hír az, hogy az adatvédelmi hatóság a már idézett tájékoztatójában a kérdésnek ezzel az aspektusával egyáltalán nem foglalkozik (pedig a tájékoztató kiadásának időpontjában még a kérdésben konkrétabban fogalmazó Kormányrendelet sem volt hatályban), így egyáltalán nem biztos, hogy ez a probléma az intézkedés megvalósítását követő esetleges hatósági fellépéskor visszaköszönne. Felmerült már az is, hogy az ilyen típusú vizsgálatokra a kicsit enyhébb követelményeket támasztó GDPR 9. cikkének másik pontja az irányadó [(2) bekezdés b) pont], de szerintünk az inkább a vírussal és/vagy a fertőzöttséggel kapcsolatos adatok (és nem kifejezetten a szűrővizsgálatok eredményeinek) munkáltató általi kezelésére, az egészséges munkakörnyezet biztosításának kötelezettségére vonatkoztatható.
Amint a fentiekből is kiderül, bár a kérdés egyszerűnek tűnik, még adatvédelmi szempontból sem válaszolható egyértelműen minden részletre kiterjedően. A Kormányrendelet elvileg meghatározhatta volna azokat a jogalkotó szerint szükséges és indokolt eljárásokat, illetve lefektethette volna azokat a szabályokat, amelyek egyértelműen orientálnák a munkáltatókat ebben a kérdésben, de erre egyelőre nem került sor. Az, hogy az adatvédelmi hatóság ebben a körben nem bocsátkozik további fejtegetésekbe (és pl. nem frissítette erre tekintettel a tájékoztatóját), érthető, mivel ez nem adatvédelmi, hanem elsősorban (köz)egészségügyi szakkérdés.
Persze a nagy jogászkodásban nem feledhetjük azt sem, hogy a munkáltatók döntéseik meghozatalakor sok szempontot kénytelenek figyelembe venni (és ebből a jogi megfelelőség csak egy szempont), illetve döntésüket külső tényezők (csoportszintű, anyavállalati elvárások) is befolyásolják. Éppen ezért a kérdést sokan nem is úgy teszik fel, hogy „jogszerű-e a tervezett megoldás”, hanem, hogy társaságuknál / az anyavállalat részéről / a cégcsoportban üzleti döntés született az intézkedés bevezetéséről, és hogyan csökkenthetik az intézkedés kockázatait, vagy éppen milyen érvekkel tudják megakadályozni a döntés hazai bevezetését. Remélem, hogy az egyes problémakörök részletes bemutatásával a fentiekben sikerült az ilyen típusú felvetésekre is választ adnunk.
Dr. Bartal Iván LL.M.
Ügyvéd/Partner
0036/30/3839934
Oppenheim Ügyvédi Iroda
***
A szerzői jog jogosultja fenntart minden másolással, terjesztéssel, többszörözéssel kapcsolatos jogot. Tilos a cikkek, egyéb tartalmak teljes vagy rövidített formában történő másolása, nyilvánossághoz közvetítése, újraközlése. Tilos továbbá a honlap tartalmát adatbázisba lementeni. A honlapon található tartalom bármely eleme csak a szerzői jog jogosultjának előzetes engedélyével használható fel. Tájékoztatjuk továbbá, hogy a jelen írás nem minősül jogi tanácsnak!