info@raczpaliroda.hu +36 1 413 7552

PCR tesztek tárolása

PCR tesztek tárolása

írta: dr. Pál Zoltán, 2021.03.31.

Elsősorban az Európai Parlament és a Tanács (EU) 2016/679 általános adatvédelmi rendeletét (a továbbiakban: GDPR) és a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) kapcsolódó állásfoglalásait, valamint egyes hazai veszélyhelyzeti normákat érdemes szem előtt tartani.

Mindenekelőtt fontos leszögezni, hogy a koronavírus-járvány nyomán felmerülő adatkezelési problémákat is az általános – minden más adatkezelést meghatározó – adatvédelmi alapelvek messzemenő figyelembevételével szükséges megközelíteni. Az egyes PCR-tesztek eredményeinek (mint személyes adatoknak) a kezelése és felhasználása kizárólag akkor lehetséges, ha az adatkezelésnek van legitim célja, és jogalapja. Előbbi vonatkozásában a NAIH 2020/2586. számú tájékoztatójában úgy foglalt állást, hogy a személyes adatok kezelése csak akkor és annyiban lehet indokolt, amennyiben az adatkezelés célját nem lehetséges más – adatkezelést nem igénylő – eszközökkel elérni. Érdemes lehet tehát megvizsgálni, hogy az elérni kívánt cél megvalósítható-e adatkezelés nélkül (például a munkavállalók folyamatos tájékoztatása, a higiéniai előírások szigorítása, vagy az ügyfélfogadás rendjének szabályozása által).
Az adatkezelés jogalapjának megléte és megjelölése szintén nagyon fontos. Ez azt jelenti, hogy Önök a munkavállalóik PCR-tesztjeinek eredményeit kizárólag a GDPR 6. cikke szerinti feltételek legalább valamelyikének fennállása esetén tárolhatják és kezelhetik. A NAIH fent nevezett állásfoglalásában kifejti, hogy jogos érdekre alapozott adatkezelés (GDPR 6. cikk (1) bekezdés f) pont) esetén szükséges az ún. érdekmérlegelési teszt elvégzése annak igazolására, hogy az adatkezeléssel elérni kívánt célhoz fűződő érdek jelentősebb, mint az érintett magánszemélyek jogai, szabadságai vagy jogos érdekei. Lényeges szempont ezek mellett, hogy a PCR-teszt eredménye a GDPR értelmezéséből adódóan nem pusztán személyes adat, hanem azoknak egy különleges kategóriájába tartozik, mivel egészségügyi adatnak minősül. A GDPR fogalommeghatározása szerint egészségügyi adat: "egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról." A személyes adatok különleges kategóriáinak kezelése és felhasználása sokkalta szigorúbb feltételek fennállásához van kötve. A NAIH az egészségügyi és biometrikus adatok, mint különleges adatok kapcsán a következőket hangsúlyozta: "A személyes adatok különleges kategóriáinak kezelése a GDPR 9. cikk (1) bekezdése alapján főszabály szerint még a GDPR 6. cikk szerinti feltételek fennállása mellett is tilos. Különleges személyes adatoknál, mint a természetes személyek egyedi azonosítását célzó biometrikus adatok, a GDPR 9. cikk (2) bekezdésének valamely feltétele is meg kell, hogy valósuljon az általános jogalapon felül. Azt, hogy konkrétan az adott esetben mi valósul meg, csak az adatkezelő tudja az eset összes körülménye és az általa megvalósítani kívánt cél ismeretében eldönteni."

Tekintettel arra, hogy a munkáltatót általános kötelezettség terheli az egészséget nem veszélyeztető és biztonságos munkavégzés körülményeinek biztosítása körében – ez munkajogi előírás–, valamint, hogy a koronavírusos fertőzöttek száma emelkedik, álláspontom szerint az adatkezelőnek jogos érdeke fűződhet a munkavállalók teszteléséhez, valamint – bizonyos keretek között – az azokból származó adatok kezeléséhez és tárolásához. Az adatkezelésnek tehát legitim célja lehet a munkavállalók egészségének védelme. A NAIH e körben hangsúlyozza, hogy amennyiben a munkáltató a megbetegedésnek való kitettséggel fokozottan érintett munkakörökben szükségesnek tartja, jogosult egészségügyi szakember által vagy ilyen személy szakmai felelőssége mellett végzett vizsgálatokat elrendelni, ugyanakkor a munkavállaló is jogosult a vizsgálatok eredményének megismerésére.

Az adatkezelés jogalapjaként jelen esetben a GDPR 6. cikk (1) bekezdésének f) pontja és a 9. cikk (2) bekezdésének b) és h) pontjai jelölhetők meg. Utóbbi oly módon írja felül az egészségügyi adatok kezelésének tilalmát, hogy mégis lehetővé teszi az adatkezelést, ha az megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, vagy orvosi diagnózis felállítása érdekében szükséges. Természetesen nem kizárt az sem, hogy Önök az érintett munkavállalók hozzájárulása alapján (GDPR 6. cikk (1) bek. a) pont) kezeljék a PCR-teszt eredményeket, de mivel a hozzájárulás bármikor visszavonható, ez a jogalap meglehetősen ingatag az intézkedéssel elérni kívánt érdek súlyához képest.

Hangsúlyozandó, hogy az adatok megfelelő kezelésével kapcsolatos minden felelősség, azok jogszerű, átlátható, biztonságos és az érintetti jogok gyakorlását is lehetővé tevő felhasználása az adatkezelőt terheli. Ennek kapcsán utalnék a GDPR 5. cikkében foglalt, a személyes adatok kezelésének korlátait kijelölő alapelvekre. Felmerülhet ugyanis a kérdés, hogy a ,,pontosság” követelménye miként érvényesül a PCR-tesztek eredményeinél, hiszen például az egyik nap még negatív eredményt produkáló munkavállaló a következő napon már pozitív lehet és fordítva. Az adatkezelés céljai szempontjából pontatlan adatokat haladéktalanul törölni, vagy helyesbíteni kell, az adatkezelőnek (jelen esetben Önöknek) tehát erre is figyelemmel kell lenniük.
Szintén alapvető követelmény a munkavállalók megfelelő tájékoztatása, mind az adatkezelésre, mind általában a cég védekezési stratégiájára vonatkozóan. A GDPR 13. cikke alapján a munkavállalókat többek között teljes körűen informálni kell a tárolás körülményeiről, annak időtartamáról és az adatokkal kapcsolatos hozzáférési jogukról is. Ez az ún. adatvédelmi tájékoztató elkészítése útján valósulhat meg. Ehhez kapcsolódik a teszteredmények közlése a munkavállalóval, ami természetesen kötelező a cég részéről. A közlés azonban kizárólag megszabott keretek között működhet, így lehetőség szerint kerülni kell az érintett megnevezését, és a szükségesnél több információ közlését.

Az adattakarékosság és a korlátozott tárolhatóság elvei – melyek szerint a tárolt személyes adatoknak az adatkezelés célja szempontjából a szükségesre kell korlátozódniuk – a pozitív-negatív eredmény kontextusában válhatnak meghatározóvá. Negatív teszteredmény esetén ugyanis az adat tárolása nem indokolt, mivel a cél (azaz a biztonságos munkavégzés és a munkavállalók egészségének védelme) adatkezelés nélkül is megvalósul, tekintve, hogy az illető munkavállaló feltehetően nem fertőzhet meg senkit a koronavírussal.

Rendkívüli adatkezelési helyzetről lévén szó, nem hanyagolhatók el az adatbiztonsági szempontok sem. Az adatkezelőnek különös tekintettel kell lenni arra, hogy a járvány terjedésének megelőzésével kapcsolatos adatkezelés nem megfelelően végezve az érintettekre nézve jelentős érdeksérelmet okozhat (pl. egyenlő bánásmód elvének sérelme, diszkrimináció). A visszaélések elkerülése végett az adatkezelőnek rendelkeznie kell arról, hogy kik jogosultak hozzáférni a teszteredményekhez, valamint, hogy ezen személyek milyen módon oldják meg az tesztek eredményeihez fűződő intézkedések foganatosítását. Úgy vélem, az adatbiztonság követelményének megfelel, ha az ügyvezető, valamint az általa kijelölt maximum 2 ember hozzáfér az adatokhoz. Fokozott figyelmet igényelnek az egyes technikai kérdések (pl.: a munkavállalók beléptetése, leolvasó rendszerek stb.) és ezekkel összefüggésben az adatok illetéktelen befolyástól és megváltoztatástól való mentességének a biztosítása is.
A fentieken túl az adatkezelőnek az elszámoltathatósági kritériumnak is meg kell felelnie, azaz tudnia kell igazolni az említett elvek maradéktalan érvényesülését. Ennek egyik módja lehet az adatvédelmi hatásvizsgálat (ún. DPIA).

A biztonságos munkavégzés körülményeit, valamint az ahhoz kapcsolódó adatvédelmi mechanizmust tehát a munkáltatónak kell megterveznie és kiviteleznie. A NAIH fentebb hivatkozott állásfoglalásában kifejti, hogy ennek körében a munkáltatótól elvárható lehet ún. pandémiás folytonossági cselekvési terv kidolgozása, megelőző, biztonsági lépések megtétele, részletes tájékoztató kidolgozása és a munkavállalók rendelkezésére bocsátása, valamint a munkavállalók figyelmének felhívása arra, hogy a koronavírussal való feltételezett érintkezésük esetén ezt saját maguk és munkatársaik egészségének védelme érdekében haladéktalanul jelentsék az arra kijelölt személyek részére. Mindezen intézkedések adatvédelmi kockázatainak a mérlegelését szintén érdemes elvégezni. Amennyiben ezen követelményeknek az adatkezelő eleget tesz, úgy nincs akadálya a pozitív PCR-tesztek eredményei tárolásának sem, feltéve, hogy az említett eszközök elégtelennek bizonyulnak a cél elérésére.

Összegezve a leírtakat, úgy vélem, hogy a jelenlegi körülmények között az adatkezelőnek, mint munkáltatónak mind a legitim cél, mind pedig a megfelelő jogalap rendelkezésére áll munkavállalói pozitív PCR-teszt eredményeinek a tárolásához és kezeléséhez, mindezt természetesen az adatkezelés elveinek megfelelve és szabályainak maximális betartása mellett  – a fent kifejtettek szerint. Kiemelném még, hogy a GDPR szerint a személyes adatok tárolása a lehető legrövidebb időtartamra kell, hogy korlátozódjon. A pozitív eredmények tárolását a jelenlegi járványügyi szabályokhoz igazodva (házi karantén), 10 napos időtartamhoz kötve gondolnám elfogadhatónak, a mindenkori felülvizsgálat lehetőségének fenntartása mellett, és a visszaélések kiküszöbölésével.