A Nemzeti Adatvédelmi és Információszabadság Hatóság friss tájékoztatója szerint a munkáltató csak kockázatelemzést követően és csak bizonyos munkakörökben kérheti a védettség igazolását munkavállalójától.
Az adatkezelés jogalapjával kapcsolatban a NAIH 2021. április 1-jén közleményt adott ki. Ebben kiemelte, hogy a védettség ténye, vagyis a koronavírus betegségből történő felgyógyulás és az oltás megkapása egészségügyi adat, amely a GDPR szabályok szerint különleges személyes adatnak minősül.
A szervezet ezen felül jelezte, hogy munkajogi, munkavédelmi, foglalkozás-egészségügyi és munkaszervezési céllal nem minden munkavállaló védettségre vonatkozó adata kezelhető. A védettség tényét és részleteit csak egyes munkakörökben vagy egyes foglalkoztatottak esetében ismerheti meg a munkáltató, és akkor is csak a szükséges mértékben. Azoknál a munkaköröknél például, ahol egy előzetes kockázatelemzés alapján megállapítható, hogy nagyobb esélye van a fertőzésnek, szükséges és arányos intézkedésnek minősülhet, hogy a munkáltató rendelkezzen ezzel az információval. Ez az adott munkavállaló, a többi munkavállaló és a velük potenciálisan kapcsolatba kerülő személyek (ügyfelek) életének és egészségének védelméhez járul hozzá. Emellett a munkáltató ilyen irányú adatkezelése járványügyi érdeket, tehát jelentős közérdeket is szolgál.
A NAIH a közleményben arra is felhívta a figyelmét, hogy az adatkezelés kizárólag arra irányulhat, hogy a munkáltató – a munkajogi, munkavédelmi, foglalkozás-egészségügyi és munkaszervezési szabályoknak való megfelelés miatt – megtehesse és meg is tegye a szükséges intézkedéseket. Ennek a célnak valósnak, tehát a munkáltató által alátámaszthatónak kell lennie. Ha bekéri a védettségi adatokat, azokat dokumentálnia kell, és azok alapján köteles is intézkedéseket hoznia. Fontos elvárás még, hogy a kezelt adatok körének alkalmasnak kell lennie a cél elérésére.
A szervezet hangsúlyozza, hogy az adattakarékosság elve alapján csak olyan adatot lehet kezelni, amely a cél megvalósításához elengedhetetlenül szükséges. Kormányrendelet szabályozza, hogy a koronavírus elleni védettség igazolására szolgálhat egyrészt az Elektronikus Egészségügyi Szolgáltatási Tér működtetője által biztosított applikáció, másrészt a kormányrendelet szerinti hatósági igazolvány, az ún. védettségi igazolvány. Ebből következően a munkáltató csak ezek adatait kezelheti, a koronavírus elleni védettség igazolásának céljára semmilyen egyéb adatot nem gyűjthet és kezelhet jogszerűen.
A NAIH által vizsgált másik fontos elv, az arányosság elvének való megfelelés érdekében a munkáltatók kizárólag az említett applikációból származó adatok, illetve a védettségi igazolvány bemutatását követelhetik meg a munkavállalóktól. A munkáltató ezekről másolatot nem készíthet, másolatot semmilyen formában és módon nem tárolhat, és nem is jogosult azt harmadik személy részére továbbítani. Kizárólag azt rögzítheti, hogy az érintett munkavállaló igazolta a koronavírus elleni védettségének a tényét, valamint azt, hogy ezen védettség időtartama mely időpontig áll fenn (ha ez az igazolás bemutatása során megállapítható).
A szükségesség kapcsán a NAIH kiemelte, hogy a munkáltatónak a felmérést munkakörönként vagy foglalkoztatotti személyi körönként kell elvégeznie. Bizonyos alacsony kockázatú munkakörök esetén (például állandó jellegű távmunkavégzés) a szükségesség értelemszerűen nem állapítható meg.