A 2020/3649 számú NAIH állásfoglalást már több helyen elkezdték megmagyarázni, ezért itt az ideje annak, hogy az abban foglaltak segítségével közérthetően bemutassam a korábbi hibás logikát és gyakorlatot, továbbá azt is, hogy mi lehet egy lehetséges megoldás.
Kezdjük is mindjárt a legfontosabb tudnivalóval:
Az nem Adatkezelés [1], amikor nem készül Adatbázis a megismert információból.
Éppen ezért a "lázmérés" fogalma önmagában még csak nem is tartozik a GDPR hatálya alá.
Meglepő?
Gondolom igen, pedig egyáltalán nem kellene annak lennie. Azt fontos ugyanis megérteniük, hogy önmagában azért, mert valami személyes adatnak számít, vagy annak a megismerése sértheti valakinek a Ptk. szerinti személyiségi jogait, abból még nem következik az, hogy az esettel a NAIH-ot egyáltalán meg lehetne keresni.
A GDPR szerinti Panaszhoz ugyanis legalább arra van szükség, hogy:
- az Adatkezelés megvalósuljon, azaz rögzítsék is az adatot,
és
- az Adatkezeléssel legalább egy érintettnek sérelmet okozzon.
Ami nyilvánvalóan nem valósul meg, ha csak egy lázmérést kérnek. Gondoljunk azonban bele a jelen esetbe más irányból nézve:
Miért lenne jó a munkáltatónak, ha ezt az adatot rögzítené? Milyen Célt szolgálna a kezelésbe vétel? Meddig tárolná azt? Tudna egyáltalán ezekre a kérdésekre válaszolni? Nem? Akkor ebből az következik, hogy ha csak ezekbe a GDPR alapján kötelezően megválaszolandó kérdésekbe belegondolnak, akkor máris láthatóvá válik:
Valójában semmi értelme ezt a Személyes adatot kezelésbe venni.
Nem is érdemes tehát azon gondolkodni, hogy "lehet-e". Nem érdemes jogászkodással kísérletezni, mert az lehetetlen lenne. Hiszen, ha jobban belegondolok, akkor a fentiekhez képest már valójában csak szőrszálhasogatás lenne, ha azt is elmondanám, hogy a Különleges adatok körébe tartozó Egészségügyi adatok kezelése Tilos [2], ezért azokat eleve csak akkor lehetne kezelésbe venni egy munkavállaló esetén, ha arra a jogszabályok köteleznék a munkáltatót, vagy ahhoz a munkavállaló Önkéntesen járulna hozzá.
Megállapítható tehát, hogy a testhőmérséklet azért nem vehető kezelésbe, mert ennek a Személyes adatnak a kezelésbe vételét semmivel sem lehet megindokolni, mivel annak semmi értelme nem lenne.
Ez azonban a legkevésbé sem jelenti azt, hogy a GDPR kizárná a testhőmérséklet mérésének az előírását.
Újra meglepődtek?
Miért? A GDPR a kezelésbe vételt tiltja meg, és nem a megismerhetőségét. Éppen ezért ezt a noninvazív mérést nem a munkaviszonyhoz kell kapcsolni, hanem a beléptetéshez, lásd például a Ferihegyi (un. Liszt Ferenc) repülőtér esetét. A beléptetés érdekében ugyanis a megfelelően sterilizált hőmérő [3] biztosításával kötelezni lehet minden belépni szándékozót arra, hogy mielőtt a belépéshez szükséges dokumentumot átadnák vagy aláírnák, vagy a kártyájukat érvényesítenék, vagy a liften a hívógombot megnyomnák, még az előtt ellenőrizzék, hogy lázasak-e. [4].
Ebben az esetben ugyanis a testhő mérése nem a munkavállaláshoz fog kapcsolódni, hanem a magánterületre való belépésnek válik a feltételévé. [5]
Azt ugyanis, hogy egy magánterületre ki léphet be, azt mindig a magánterület tulajdonosa határozhatja meg.
A fenti logika ráadásul a valódi anonimitást is biztosíthatja, hiszen a beléptetést végzők addig semmiféle Személyes adatot nem ismernek meg, ameddig a lázmentesség igazolásra nem kerül. Érdemes megfigyelni, hogy az így elvégzett mérés nem több annál, mint amikor kötelezően előírják a kézfertőtlenítést, vagy azt, hogy a kihelyezett kesztyűt vegye fel valaki a belépés előtt.
Véleményem szerint a fentiekből jól látható, hogy nem az a baj, ha egy munkáltató a lázas betegeket, vendégeket, beszállítókat hazaküldi, vagy be sem engedi a saját és a többi munkavállaló jól felfogott érdekében, hanem az,
amikor rossz hivatkozási alappal kívánnak olyan Személyes adatokat kezelésbe venni, amire egyébként semmi szükségük nincs.
Jó egészséget kívánva mindenkinek.
Hivatkozások:
[1] Az ATASI® GDPR módszertan alapján a GDPR szerint hivatkozást a nagy betűvel kezdett kifejezés jelöli.
[2] Az egész GDPR-ban egy helyen szerepel a "Tilos" szó, mégpedig ezeknél a Személyes adatoknál. Ezeknek az esetén a jogszabály csak kivételes eseteket tesz lehetővé a kezelésbe vételre.
[3] Bizony, nem lehet valaki más után ugyanazzal a sterilizálatlan hőmérővel testhőmérsékletet mérni. Gondoltak erre?
[4] Arra is gondot kell fordítani, hogy tilos a belépni szándékozót kellemetlen, vagy megalázó helyzetbe hozni. Éppen ezért tilos a hónaljban való hőmérést előírni. Ami szóba jöhet, az a fülben vagy a homlokon való mérés - lehetőség szerint érintésmentes hőmérővel. Ne feledjél el ugyanis azt, hogy nem a pontos testhőmérséklet mérése a lényeges, hanem a láz vizsgálata, azt pedig érintés nélkül is érzékelik a jobb hőmérők.
[5] A beléptetés feltételeit és annak megvalósítását nem is olyan egyszerű megfogalmazni, ezért ennek az előírásnak jellemzően az őrutasításban is meg kell megjelennie.
