A járványhelyzetben felmerül a kérdés, hogy a munkáltató jogosult-e kezelni a foglalkoztatottak koronavírus elleni védettségére vonatkozó adatait. Ezzel kapcsolatban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) adott ki általános iránymutatást. A hatályos adatvédelmi szabályok alapján a munkáltatónak mindenekelőtt meg kell határoznia a személyes adatok kezelésének pontos célját és az adatkezelés jogszerűségét alátámasztó jogalapot. A védettség ténye - akár a betegségből felgyógyulás, akár az oltottság - a GDPR szerint a személyes adatok különleges kategóriájába tartozó egészségügyi adatnak minősül. Emellett a Munka törvénykönyve is szabályozza, milyen esetekben korlátozható a munkavállaló személyiségi joga.
A NAIH iránymutatása alapján a védettség meglétét a munkáltató csak munkajogi, munkavédelmi, foglalkozás-egészségügyi vagy munkaszervezési okokból ismerheti meg. Az adatkezelés célja csak az lehet, hogy a munkáltató megtehesse és meg is tegye a munkavállalók és a velük kapcsolatba kerülők élete és egészsége védelmében szükséges intézkedéseket. A munkáltató ezen adatkezelése járványügyi érdeket - mint jelentős közérdeket - is szolgál.
A munkáltatónak munkakörönként kell mérlegelnie, szükséges-e az adatkezelés: alacsony kockázatú munkaköröknél - például távmunka - ez nem indokolt, ugyanakkor természetesen szükséges lehet például egy Covid-osztály orvostechnikai eszközeinek karbantartója vagy egy szociális intézmény dolgozója esetén.
Az adattakarékosság elve miatt csak olyan adatot lehet kezelni, amely a cél megvalósításához elengedhetetlenül szükséges és azzal arányos. Ilyen adat csak a védőoltást igazoló applikáció és a védettségi igazolvány lehet, de azokról a munkáltató másolatot nem készíthet, azokat nem tárolhatja és nem is továbbíthatja. A védettség tényén és időtartamán kívül a munkáltató semmilyen egyéb adatot nem gyűjthet és kezelhet jogszerűen.
Az egészségügyi adatok jogellenes kezelése komoly bírsággal is járhat - mondta Markóczy Réka, az act Bán és Karika jogásza. Az érintetti jogok megsértését a magyar jogszabály 100 ezertől 20 millió forintig terjedő bírsággal szankcionálja, a GDPR alapján pedig alsó határ nélkül akár 20 millió euróig - vagy akár az éves forgalom 4 százalékáig - terjedhet a büntetés.”