A kérdés konkrétan így szólt: "Segítségét kérem abban, hogy a GDPR szerinti munkáltatói tájékoztatási kötelezettség milyen részletességet kíván meg a foglalkozás-egészségügyi szolgáltató által végzett kötelező alkalmassági vizsgálat eszközeit, módszereit illetően. Elképzelhető, hogy FEOR kód alapján kerülnek meghatározásra a vizsgálat módszerei és eszközei a belső szabályzatban? A foglalkozás-egészségügyi szolgáltató adatfeldolgozónak minősül, ezáltal adatfeldolgozói szerződés kötése indokolt? Ennek kötelezően tartalmaznia kell az adott megbízónál alkalmazott FEOR és egészségügyi kód besoroláshoz tartozó alkalmassági vizsgálat eszközeit, módszereit? Amennyiben ezek az adatok nem állnak az adatkezelő rendelkezésére (mert az üzemorvos ezeket nem adja ki), akkor honnan szerezhet ezekre vonatkozó pontos információkat?"

SZAKÉRTŐNK VÁLASZA:

Első lépésben azt kell megvizsgálni, hogy a munkáltató, illetve a foglalkozás-egészségügyi szolgáltató adatkezelési szempontból minek minősül. A 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) 4. cikke tartalmazza a definíciókat:

Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.

Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak.

A munkáltató egyértelműen adatkezelő, akinek a GDPR 13–15. cikkei alapján tájékoztatást kell adnia a munkaviszonnyal összefüggő adatkezelésekről, beleértve az adattovábbításokat is. Azon személyek, akik a személyes adatot megkapják, címzettnek minősülnek. 

A tájékoztatás terjedelme attól függ, hogy minek minősül a címzett. Adatfeldolgozó esetében az adatfeldolgozót egyértelműen be  kell azonosítani, a tájékoztatási kötelezettség az adatkezelőt terheli. Önálló adatkezelő esetében azonban az adattovábbító adatkezelőt az önálló adatkezelő adatkezeléséről tájékoztatási kötelezettség nem terheli, az a címzett feladata.

A foglalkozás-egészségügyi szolgáltató önálló adatkezelő, akit a munkahelyi adatkezelési szabályzatban ebben a minőségben nevesíteni kell, de akinek az adatkezeléseiről tájékoztatást a munkáltatónak nem kell adnia, hiszen önálló adatkezelőről van szó, aki az orvosszakmai szabályok alapján, jogszabályban előírt adatkezelési lépésekkel dolgozik (például kötelező tárolás), amire a munkáltatónak ráhatása sincsen.

A témában bővebben tájékozódhat itt és itt.

adozona.hu