Kirúgási kötelezettség: mit csinál(t)unk rosszul?

Kirúgási kötelezettség

Bár már javában zajlik az egészségügyi szolgáltatóknál az oltás felvételének számonkérése, az elmúlt hetekben hozzám érkező megkeresésekből következtetve hasznos lehet egy összefoglaló cikk a témában. Sok félreértés tapasztalható ugyanis az előírt kötelezettség végrehajtásának módját illetően, és ezek a félreértések komoly adatvédelmi bírsághoz vezethetnek.

Alig van pár nap hátra az egészségügyi szolgáltatás nyújtásában közreműködő személyeknek, hogy a munkáltatójuk felé igazolják a COVID-19 elleni oltás felvételét. Aki ezt szeptember 15-ig nem tette meg, az még 15 nap határidőt kapott erre. Ezt követően azonban – a jelenleg hatályos jogszabály szerint – a munkáltatója már nem mérlegelhet; ha továbbra sem igazolja az oltás felvételét a munkavállaló, meg kell szüntetni vele a jogviszonyt.

Hát, izgalmas időket élünk. És mint szinte mindennek, ennek a témának is izgalmas adatvédelmi vonzatai vannak. Nézzük meg, hogy munkáltatóként mire kell különösen odafigyelnünk, hogy a meglehetősen érdekfeszítő kötelezettségünknek úgy tegyünk eleget, hogy közben ne kövessünk el – a legjobb indulattal – olyan jogosulatlan adatkezeléseket, amik miatt megbírságolhatnak minket. Itt ugyanis egészségügyi adatok kezeléséről van szó, amit sokkal szigorúbb feltételek szerint folytathatunk a GDPR előírásai miatt. Ha ebben hibázunk, a szokásosnál jóval szigorúbb szankciónak vagyunk kitéve.

Rengeteg olyan gyakorlatról hallottam az elmúlt időszakban az oltások igazolásával kapcsolatban, ami többszörösen sérti a GDPR alapelveit. Finomsága a dolognak, hogy ha egyszer rosszul csináltunk valamit, akkor az hiába futott már le, több esetben továbbra is kockázatot jelentő állapot áll fenn. A „de hát ez már így történt és eddig nem volt belőle baj, úgyhogy most már mindegy” hozzáállás itt nem megoldás. Ugyanis a legtöbb esetben még akkor is „tárolódnak” nálunk adatok – amiket nem kezelhetnénk – ha nem is az volt a célunk, hogy megőrizzük azokat. (Gondoljunk csak egy bejövő e-mailre, amit továbbítunk egy kollégánknak. Már most három példány szkennelt vakcinaigazolvány pihen a céges e-mail fiókokban, ha így kértük be azokat. De ilyet ugye senki nem csinált(!).) Tehát önmagában az adatok tárolása is lehet jogsértő, hiába nem használjuk már fel azokat.

Pedig csak a jogi előírásoknak való megfelelés érdekében – és azért, hogy bizonyítani tudják, hogy végrehajtották a feladatot – tették meg az általuk észszerűnek tartott intézkedéseket a szóban forgó cégek, akikre fentebb utaltam. Nem írom le a rossz példákat – rengeteget írhatnék –, a cikkben közelítsünk mindjárt a helyes gyakorlat felől. 

Előtte azonban tisztázzuk a legérdekfeszítőbb kérdést a témában: mégpedig, hogy kikre – milyen munkakörökben, illetve „hol” foglalkoztatott személyekre – terjed ki az oltás igazolásának követelménye.

Kitől kell megkövetelni az oltás igazolását?

A koronavírus elleni védőoltás kötelező igénybevételéről szóló 449/2021. (VII. 29.) Korm. rendelet teszi kötelezővé az egészségügyi szolgáltatás nyújtásában közreműködő személyeknek az oltás igazolását munkahelyükön. A munkáltatóknak pedig meg kell követelniük ezt.

Első és fontos tényező, hogy nem csak a munkaviszonyban foglalkoztatottakra terjed ki az előírás, hanem minden, foglalkoztatásra irányuló jogviszonyra; tehát adott esetben a megbízottunkra, alvállalkozónkra is alkalmazni kell. Nevezzük tehát a szóban forgó csoportot a cikk hátralévő részében foglalkoztatottaknak (csodálatos ez a magyar nyelv :)).

Tehát akkor a foglalkoztatottak mely csoportjára vonatkozik ez a szigorú szabály?

Sajnos a jogszabályi környezet szövegei első olvasatra nem adnak a gyakorlatban mindenütt egyértelműen értelmezhető iránymutatást. Ugyanakkor ésszerű értelmezés szerint elsősorban azon szervezeti egységekre értendő a kötelezettség, amelyek fel vannak jogosítva az egészségügyi szolgáltatás nyújtására. Pl. ha egy gyógyfürdő és egy szálloda – mely a vendégek szempontjából egy szolgáltatóként érzékelhető – az üzemeltető vállalat szervezetét meghatározó dokumentumok szerint külön szervezeti egység, abban az esetben véleményem szerint biztosan elegendő csak a gyógyászati szolgáltatásokat nyújtó fürdőre értelmezni a kötelezettséget. Elsősorban. Lentebb kitérünk ugyanis az e szervezeti egységhez nem tartozó, de oda kapcsolódó feladatokat ellátó személyekre. De előbb menjünk végig az érintett szervezeti egység meghatározásának szempontjain. 

Az érintett szervezeti egységek meghatározásánál figyelembe kell venni továbbá az egészségügyi szolgáltatás nyújtására jogosító működési engedélyben megjelölt címet is, és az ahhoz tartozó szervezeti egységből kell kiindulni. Ez persze egyes esetekben akkor lesz csak segítség, ha a működési engedély szövegében is jól elkülöníthető az esetlegesen ugyanazon a címen működő egészségügyi szolgáltatásokat nyújtó szervezeti egység a többi szervezeti egységtől.

Miért nem ilyen „egyszerű” a képlet? A szabályozás elsősorban az egészségügyi szolgáltatás nyújtásában közreműködőkre, és a szolgáltatás nyújtásához szükséges folyamatok és infrastruktúra üzemelésének biztosításához kapcsolódó feladatokat ellátókra koncentrál. Tehát az egyes személyek munkaköri feladatait is figyelembe kell venni a  munkavégzés helye mellett  az érintettek körének meghatározása során. 

Leegyszerűsített példával élve, ha adott takarító munkakörben foglalkoztatott személy a szálloda alkalmazottja, és a szállodától elkülönült szervezeti egységként működő gyógyászati részlegben is takarít, akkor vonatkozik rá az oltás-igazolási kötelezettség – hiába nem az egészségügyi szolgáltatást nyújtó szervezeti egységnél dolgozik.

Tehát az oltásigazolási (annak hiányában munkáltatói oldalról pedig kirúgási) kötelezettséggel érintettek köre:

  • az egészségügyi szolgáltatást nyújtó szervezeti egységnél (nem csak a munkaviszonyban!) foglalkoztatott személyek – mivel normális esetben mindegyikükre igaz, hogy az egészségügyi szolgáltatás nyújtásában, vagy annak nyújtásához szükséges folyamatok és infrastruktúra üzemelésének biztosításában közreműködnek a feladataik ellátása során;
  • valamint a más szervezeti egységnél foglalkoztatott, de olyan feladatokat ellátó személyek, mely feladatok az egészségügyi szolgáltatás nyújtásához szükséges folyamatok és infrastruktúra üzemelésének biztosításához kapcsolódnak.

És akkor itt utalnék vissza még egyszer arra, hogy minden foglalkoztatásra irányuló jogviszonyra alkalmazni kell a szabályt. Tehát ha nem is másik – az egészségügyi szolgáltatást nyújtótól eltérő – szervezeti egység, hanem egészen másik vállalkozás által – bármilyen módon – foglalkoztatott személy működik közre a szolgáltatás nyújtásában, vagy az ahhoz szükséges folyamatok és infrastruktúra üzemeltetésének biztosításában, akkor ugye mindez rá is vonatkozik.

Számonkérés: hogyan?

De hogyan kérjük számon azt a személyt, akit nem mi foglalkoztatunk, nem is vagyunk vele ilyen értelemben közvetlen kapcsolatban, de mégis megfelel a fenti feltételeknek, hiszen fizikai értelemben nálunk dolgozik? Sehogy! Semmiképpen ne kérjük tőle, hogy nekünk igazolja az oltás felvételét, és főleg ne készítsünk feljegyzést erről. Viszont az őt alkalmazó vállalkozást – akitől megrendeltük az érintett által elvégzendő feladatok ellátását – fel kell szólítanunk annak igazolására, hogy ő ellenőrizte az általa, „nálunk” foglalkoztatott személyeket.

Az erről szóló tájékoztatásban semmiképp ne kérjünk – ne fogadjunk el – konkrét személyekre vonatkozó adatokat. Egyszerűen jelentse ki felénk az alvállalkozónk, hogy ő elvégezte az előírt ellenőrzést és megfelelnek az általa foglalkoztatott személyek a követelményeknek. Se névsor, se Sinopharm meg Comirnaty, se orvosi felmentés oka. És főleg nem e-mailben küldve, de ahogy írtam; sehogy nem kell az nekünk az ilyen személyekről. És ami nem kell nekünk (márpedig a jogszabály erre nekünk ebben a szituációban nem adott felhatalmazást), azt nem kérhetjük, nem kezelhetjük.

Természetesen a munkaviszonytól eltérő jogviszonyban, de általunk közvetlenül foglalkoztatott természetes személyektől a mi dolgunk megkövetelni az oltás igazolását.

Miután amennyire lehet, tisztáztuk, hogy hogyan határozhatjuk meg az érintettek körét, nézzük meg, hogy mit kell figyelembe vennünk munkáltatóként az oltások igazolásának megkövetelése során. Az itt összefoglalt szempontok alapján megállapíthatjuk, ha eddig rossz gyakorlatot folytattunk, és annak jogsértő állapotot jelentő következményeit megszüntethetjük („takaríthatunk” :)).

Mikor kérhetjük az oltás igazolását? 

A kormányrendelet a veszélyhelyzet idejére írja elő a védőoltás felvételére vonatkozó adatok megismerését. Ez egyben azt is jelenti, hogy amennyiben megszűnik a veszélyhelyzet, nem lehet tovább kérni az oltás igazolását. Fontos megérteni, hogy a kormányrendeletben elrendelt adatkezelés – oltottság tényének megismerése – a jogszabályban foglalt keretek között kötelezően végrehajtandó, azonban ez nem jelent felhatalmazást arra, hogy a kereteken túlterjeszkedve – pl. a veszélyhelyzet megszűnése után „önszorgalomból” – kérjük az igazolást.

Mit kérhetünk az oltás igazolása érdekében?

Az oltás felvételének igazolásához

  • uniós digitális Covid-igazolvány, 
  • vagy védettségi igazolvány illetve applikáció, 
  • vagy az oltást igazoló orvos által kiállított igazolás, 
  • vagy az Egészségügyi Világszervezet által kiadott nemzetközi oltási bizonyítvány,
  • vagy – ha a foglalkoztatott egészségügyi okból nem oltható be – orvosi szakvélemény,

valamint a vele együtt felmutatandó személyazonosságot igazoló hatósági igazolvány bemutatását lehet kérni

Mit nem tehetünk meg?

A bemutatott dokumentumokról:

  • másolatot nem készíthetünk, azokat 
  • semmilyen formában és módon nem tárolhatjuk, és 
  • nem továbbíthatjuk azokat harmadik személyeknek.

Akkor hogyan fogjuk bizonyítani, hogy ellenőriztük az oltás felvételét?

Mivel a rendelet nem a védettség, hanem az oltás felvételének igazolását írja elő, ezért a – a korábbi, védettség tényének igazolására vonatkozó cikkemben írtaktól eltérően – jelen esetben kizárólag azt vagyunk jogosultak rögzíteni, hogy az érintett igazolta a koronavírus elleni védőoltás felvételét (név + „védőoltást igazolta”). Itt azonban fontos megjegyezni, hogy ezt a Hatóság egy korábbi, és nem erre a szituációra közreadott tájékoztatójára alapozva állítom. Mivel a Hatóság nem adott közre azóta a tárgyalt helyzetre vonatkoztatható más iránymutatást, ezért a hatósági gyakorlat elvárásait illetően másból nem indulhatunk ki, mint korábbi, a munkaviszonyban történő védettség tényének igazolására vonatkozóan NAIH-3903-1/2021 számon kiadott tájékoztatóból. Ettől eltekintve a hatályos jogszabályok szövege alapján – mivel a kormányrendelet csak az oltás felvételének igazolását írja elő – csak a fent megjelölt igazolványok/applikáció bemutatását kérhetnénk, és nem rögzíthetnénk semmilyen módon az igazolás tényét. A Hatóság azonban a hivatkozott, védettség tényének igazolására vonatkozó korábbi tájékoztatójában arányos intézkedésnek tartotta, ha az igazolás tényét rögzítette a munkáltató, ezért feltehetően jelen esetben is elfogadná az oltás igazolására vonatkozó, minimális (fenti) adatkörrel történő rögzítést.

De kell nekünk bizonyítani azt, hogy végrehajtottuk az ellenőrzést?

A helyzet az, hogy egy jogszabály által elrendelt kötelező adatkezelésről van szó, és ez azt jelenti – ahogy fentebb is írtam – hogy a jogszabály által meghatározott keretek között kell maradni az adatkezelés során. Ez pedig semmiféle feljegyzés készítését nem írja elő, ahogy azt sem, hogy bizonyítanunk kellene az ellenőrzés elvégzését. Pillanatnyilag egyéb jogszabályban sem találjuk meg azt a kötelezettséget, amivel nyugodtan indokolhatnánk az oltottak listázását.

Azért is érdekes kérdés ez az általánosságban rögzült bizonyítási kényszerünk, mivel egy esetleges hatósági ellenőrzés esetén az adott hatóság bizonyára rendelkezik azzal a jogosultsággal, hogy maga is meggyőződjön közvetlenül a foglalkoztatottól, vagy a foglalkoztatott adatait megismerve az EESZT-ből a védőoltás felvételéről. Akkor miért is kellene listáznunk az oltottakat? Kiderül hamar, hogy nem tettünk eleget a kormányrendeletnek, ha a végső határidő után olyan személyt foglalkoztatunk, aki az EESZT-ben nem szerepel oltottként. Ha pedig benne van, akkor jók vagyunk.

Itt is kell komoly indoklás az adatkezeléshez, mint a védettség tényének megismerésénél?

A kormányrendelet alapján végzett adatkezelés jogalapja jogi kötelezettség, így jelen esetben a jogalap alátámasztására nincsen szükség. A korábban, a munkáltató saját döntése alapján végzett, védettség megismerésével kapcsolatos adatkezelésnél előírt kockázatelemzés nem kell.

Tehát röviden: azért nem kell, mert itt nem a saját döntésünk alapján akarunk ellenőrizni, hanem jogszabály kötelez minket rá.

Végül a mindig elengedhetetlen tájékoztatás 

Mint mindig, most is kötelesek vagyunk tájékoztatni az adatkezelésről az érintetteket. Ezen az sem változtat, hogy jogszabály rendelte el kötelezően az oltásra vonatkozó adatok megismerését. A megfelelő tájékoztatás helyes tartalommal megírt adatkezelési tájékoztatóval teljesíthető, ennek elkészítéséhez szakember igénybevételét javaslom. Az adatkezelési tájékoztatót az érintett munkavállaló rendelkezésére kell bocsátani, legkésőbb az igazolásra felhívásakor.

A fent írtak a cikk közzétételének napján hatályos jogszabályi rendelkezésekre és elérhető hatósági állásfoglalásokra tekintettel érvényesek.

ADATJOGÁSZWEBSHOPJOGÁSZ, ADATBIZTONSÁGI ÉS ADATVÉDELMI SZAKJOGÁSZ

Sziráczki István adatvédelmi joggal és online kereskedők és szolgáltatók jogszerű működésének támogatásával foglalkozik.

Olvass még a témában