A munkáltatók számára egyre sürgetőbb kérdés, hogy megkérdezhetik-e a munkavállalóktól, hogy beoltották-e őket, megtehetik-e, hogy csak a beoltott alkalmazottakat engedik vissza az irodába, vagy biztosíthatnak-e extra fizetett szabadnapokat azoknak, akik rendelkeznek védettségi igazolvánnyal. Bár az adatvédelmi hatóság kiadott egy iránymutatást a témában, a legtöbb kérdésre továbbra sem egyértelmű a válasz – foglalják össze a Taylor Wessing nemzetközi ügyvédi iroda budapesti adatvédelmi szakértői.

A szabályozás szerint a különböző szolgáltatók, amelyek egyelőre csak a védettségi igazolvánnyal rendelkezők számára állnak nyitva – például éttermek, szállodák, edzőtermek, mozik – csak az igazolvány (vagy a mobilalkalmazás) felmutatását kérhetik a vendégektől, de kifejezetten tiltott számukra minden további adatkezelés – azaz az igazolvány adatainak rögzítése vagy arról másolat készítése.

A védettségi igazolvánnyal rendelkező személyek tehát egyértelműen élvezhetnek bizonyos előnyöket, de a szolgáltatók nem jogosultak a védettséggel kapcsolatos adatok kezelésére. Felmerül tehát a kérdés, hogy vajon ugyanez vonatkozik-e a munkáltatókra is?

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) egy erősen vitatott, meglehetősen félreérthető iránymutatásban foglalkozott ezzel a kérdéssel. Az adatvédelmi hatóság arra a következtetésre jutott, hogy a munkáltatók megkérdezhetik munkavállalóiktól, hogy védettek-e a COVID-19 ellen, de csak nagyon korlátozott körülmények között és kizárólag bizonyos feltételek teljesülése esetén. Bár az iránymutatás bizonyos kérdésekben biztosítja a szükséges egyértelműséget, sok minden még nem tisztázott, és maga az iránymutatás is hangsúlyozza, hogy az főként a munkaviszonyban álló alkalmazottakra irányadó, más jogviszonyokra (pl. megbízási szerződéssel foglalkoztatottak esetében) nem. Utal arra is, hogy a probléma egységes, törvényi szintű kezelésére van szükség.

A NAIH egyértelművé tette, hogy a munkavállalók ilyen típusú egészségügyi adatai kezelésének szükségesnek és arányosnak kell lennie, és előzetes, jól dokumentált, objektív kockázatértékelésen kell alapulnia. A szükségesség meglétét esetről esetre kell vizsgálni, és a NAIH szerint csak bizonyos magas kockázatú foglalkozások vagy munkavállalói csoportok esetében áll fenn, mint például kórházi karbantartók, szociális munkások vagy épp a sok ügyféllel találkozó alkalmazottak.

Ezekben az esetekben a munkavállalók védelmi státuszának ismerete döntő fontosságú lehet a munkavállalók, a betegek és az ügyfelek megfertőződésének elkerülése érdekében. Ezzel szemben az iránymutatás megfogalmazása azt sugallja, hogy az egyszerű irodai munka a legtöbb esetben alacsony kockázatú munkának minősül, ahol a szükségesség aligha állapítható meg.

„A GDPR arányossági és adatminimalizálási elveinek megfelelően a munkáltatók csak a védettségi igazolvány vagy a mobilalkalmazás bemutatását kérhetik a munkavállalóktól, és csak a COVID-19 elleni védelem tényét (és adott esetben a védelem lejártát) rögzíthetik. Másolat nem készülhet, és további adatkezelés sem megengedett – foglalja össze Dr. Harza Kinga, a Taylor Wessing adatvédelmi szakértője.

A NAIH azt is hangsúlyozta, hogy a védettségre vonatkozó adatokat csak a vonatkozó munkajogi kötelezettségek teljesítése, azaz a munkahelyi egészségvédelem és biztonság biztosítása, valamint munkaszervezési célokból, konkrét intézkedések bevezetése érdekében lehet kezelni. Ilyen intézkedés lehet például a védett munkavállaló munkaállomásának a nem védett munkavállaló munkaállomása mellé történő helyezése vagy a nem védett munkavállalók számára állandó jellegű otthoni munkavégzés biztosítása.

Ez utóbbi javaslat meglehetősen furcsa, mivel az irodai dolgozók – akik az egyetlenek, akik ésszerűen otthonról dolgozhatnak – COVID-19 védelmi státuszának kezelése a legtöbb esetben a NAIH iránymutatása alapján nem tűnik megengedettnek. Ez megkérdőjelezi, hogy az irodai dolgozók definíció szerint alacsony kockázatú csoportnak minősülnek-e, vagy elképzelhető-e egy olyan objektív kockázatértékelés, ami az esetükben is alátámaszthatja a védettségi adatok munkáltató általi kezelését.

„Az adatvédelmi hatóság iránymutatását sokan üdvözölték, mivel választ ad néhány igen kétértelmű kérdésre a munkáltatók lehetőségeivel kapcsolatban, de sajnos még mindig hagyja a munkáltatókat találgatni. Hogy a munkáltatók kezelhetik-e az irodai dolgozók COVID-19 védelmi státuszát vagy hogy az oltott munkavállalóknak nyújtott juttatások (pl. extra fizetett szabadság) felajánlása jogszerűnek minősül-e, még nem derült ki – zárja gondolatait Ódor Dániel, a Taylor Wessing budapesti adatvédelmi csapatának vezetője.