A szabályozás szerint a különböző szolgáltatók, amelyek egyelőre csak a védettségi igazolvánnyal rendelkezők számára állnak nyitva – például éttermek, szállodák, edzőtermek, mozik – csak az igazolvány (vagy a mobilalkalmazás) felmutatását kérhetik a vendégektől, de kifejezetten tiltott számukra minden további adatkezelés – azaz az igazolvány adatainak rögzítése vagy arról másolat készítése

A védettségi igazolvánnyal rendelkező személyek tehát egyértelműen élvezhetnek bizonyos előnyöket, de a szolgáltatók nem jogosultak a védettséggel kapcsolatos adatok kezelésére.

Félreérthető iránymutatást kaptak a munkáltatók

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) egy erősen vitatott, meglehetősen félreérthető iránymutatásban foglalkozott ezzel a kérdéssel.

Az adatvédelmi hatóság arra a következtetésre jutott, hogy a munkáltatók megkérdezhetik munkavállalóiktól, hogy védettek-e a Covid-19 ellen, de csak nagyon korlátozott körülmények között és kizárólag bizonyos feltételek teljesülése esetén.

Bár az iránymutatás bizonyos kérdésekben biztosítja a szükséges egyértelműséget, sok minden még nem tisztázott, és maga az iránymutatás is hangsúlyozza, hogy az főként a munkaviszonyban álló alkalmazottakra irányadó, más jogviszonyokra (pl. megbízási szerződéssel foglalkoztatottak esetében) nem. Utal arra is, hogy a probléma egységes, törvényi szintű kezelésére van szükség.

A NAIH egyértelművé tette, hogy a munkavállalók ilyen típusú egészségügyi adatai kezelésének szükségesnek és arányosnak kell lennie, és előzetes, jól dokumentált, objektív kockázatértékelésen kell alapulnia. A szükségesség meglétét esetről esetre kell vizsgálni, és a NAIH szerint csak bizonyos magas kockázatú foglalkozások vagy munkavállalói csoportok esetében áll fenn, mint például kórházi karbantartók, szociális munkások vagy épp a sok ügyféllel találkozó alkalmazottak.

Ezekben az esetekben a munkavállalók védelmi státuszának ismerete döntő fontosságú lehet a munkavállalók, a betegek és az ügyfelek megfertőződésének elkerülése érdekében. Ezzel szemben az iránymutatás megfogalmazása azt sugallja, hogy az egyszerű irodai munka a legtöbb esetben alacsony kockázatú munkának minősül, ahol a szükségesség aligha állapítható meg.

Irodai munka kockázata

„A GDPR arányossági és adatminimalizálási elveinek megfelelően a munkáltatók csak a védettségi igazolvány vagy a mobilalkalmazás bemutatását kérhetik a munkavállalóktól, és csak a Covid-19 elleni védelem tényét (és adott esetben a védelem lejártát) rögzíthetik. Másolat nem készülhet, és további adatkezelés sem megengedett” – foglalja össze Harza Kinga, a Taylor Wessing adatvédelmi szakértője.

A NAIH azt is hangsúlyozta, hogy a védettségre vonatkozó adatokat csak a vonatkozó munkajogi kötelezettségek teljesítése, azaz a munkahelyi egészségvédelem és biztonság biztosítása, valamint munkaszervezési célokból, konkrét intézkedések bevezetése érdekében lehet kezelni. Ilyen intézkedés lehet például a védett munkavállaló munkaállomásának a nem védett munkavállaló munkaállomása mellé történő helyezése vagy a nem védett munkavállalók számára állandó jellegű otthoni munkavégzés biztosítása.

Ez utóbbi javaslat meglehetősen furcsa, mivel az irodai dolgozók - akik az egyetlenek, akik ésszerűen otthonról dolgozhatnak - Covid-19 védelmi státuszának kezelése a legtöbb esetben a NAIH iránymutatása alapján nem tűnik megengedettnek.

Továbbra sem egyértelmű az útmutatás

Ez megkérdőjelezi, hogy az irodai dolgozók definíció szerint alacsony kockázatú csoportnak minősülnek-e, vagy elképzelhető-e egy olyan objektív kockázatértékelés, ami az esetükben is alátámaszthatja a védettségi adatok munkáltató általi kezelését.

„Az adatvédelmi hatóság iránymutatását sokan üdvözölték, mivel választ ad néhány igen kétértelmű kérdésre a munkáltatók lehetőségeivel kapcsolatban, de sajnos még mindig hagyja a munkáltatókat találgatni. Hogy a munkáltatók kezelhetik-e az irodai dolgozók Covid-19 védelmi státuszát vagy hogy az oltott munkavállalóknak nyújtott juttatások (pl. extra fizetett szabadság) felajánlása jogszerűnek minősül-e, még nem derült ki” – zárja gondolatait Ódor Dániel, a Taylor Wessing budapesti adatvédelmi csapatának vezetője.