A válasz részben európai uniós, részben magyarországi szabályozási szinten keresendő.
A munkáltató fent említett kérése a GDPR hatálya alá esik, a vonatkozó tevékenysége pedig adatkezelésnek minősül.
A munkavállaló egészségi állapotára, esetleges betegségkockázatára, a számára nyújtott egészségügyi szolgáltatásokra vonatkozó adat egyértelműen egészségügyi adat, amely a személyes adatok különleges kategóriájába tartozik, és mint ilyen, fokozott védelemben részesül.
Ez azt jelenti, hogy főszabály szerint az ilyen adatok kezelése csak szigorú korlátok betartása mellett megengedett. De miután a koronavírus-járvánnyal a GDPR hatályba lépésekor még senki nem számolt, nagy segítség, hogy az Európai Adatvédelmi Testület (European Data Protection Board), melynek célja a GDPR rendelet következetes alkalmazásának a biztosítása, folyamatosan foglalkozik a felvető problémákkal és elfogadott egy nyilatkozatot a személyes adatoknak a COVID-19 járvánnyal összefüggésben történő kezeléséről.
A Nyilatkozat megerősíti, hogy a munkahelyi egészséggel és biztonsággal kapcsolatban, valamint közérdekből (így többek között a betegségek és egyéb egészséget fenyegető veszélyek elleni védekezés érdekében), személyes egészségügyi adatok – mint különleges adatok – kezelése a munkáltató részéről szükséges lehet. De milyen körülmények alapozzák meg az egészségügyi adatok, mint különleges adatok kezelésének jogszerűségét?
A GDPR 9. cikke határoz meg olyan adatkezelési célokat, melyek esetében egészségügyi adat, mint különleges adat kezelhető. A tárgyalt kérdésünk tekintetében a következő célok említendők, amelyek a Nyilatkozatban említettekkel is összhangban állnak:
- ha az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése érdekében vagy
- megelőző egészségügyi vagy munkahelyi egészségügyi célból szükséges, vagy
- az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem.
A fentiek alapján tehát az adatkezelési cél már adott. A kérdés most az, hogy ezt milyen alapon kezelheti a munkáltató. Ugyanis az adatkezelés jogszerűségének biztosítása érdekében a GDPR 6. cikkében megjelölt jogalapok közül legalább az egyiknek fenn kell állnia.
Itt szükséges megemlíteni, hogy a munkavállaló és munkáltató közötti alá-fölérendeltségi viszonyra tekintettel a munkavállaló által adott hozzájárulás nem szolgálhat érvényes jogalapként. A hozzájárulás meghatározó feltétele az önkéntesség, amely a munkáltató hatalmi helyzetére és a munkavállaló egzisztenciális kényszerére figyelemmel megkérdőjelezhető és nehezen értelmezhető.
Azonban a munkáltató által a vizsgált kérdésünk szempontjából felhívható jogalapnak tekintendő a már fennálló szerződés, valamint a jogi kötelezettség teljesítése, mint lehetséges jogalapok.
Erre figyelemmel forduljunk most a nemzeti jog irányába és nézzük meg, mit mond a hazai szabályozás ennek kapcsán. A Munka Törvénykönyvéről szóló 2012. évi I. törvény (Mt.) vonatkozó bekezdése alapján a munkaszerződés teljesítésének körében a munkáltató alapvető kötelezettsége az egészséget nem veszélyeztető és biztonságos munkavégzés követelményeinek a biztosítása.
A Munkavédelemről szóló 1993. évi XCIII. törvény (Mvt.) szerint az egészséget nem veszélyeztető és biztonságos munkavégzés érdekében a munkáltató köteles figyelembe venni többek között a veszélyek elkerülését, valamint az egységes és átfogó megelőzési stratégia kialakítását, mint általános követelményeket. Ugyanezen szakasz szerint a munkáltató köteles rendszeresen meggyőződni arról, hogy a munkakörülmények megfelelnek-e a követelményeknek, és teljes felelősséggel megtenni minden szükséges intézkedést a munkavállalók biztonsága és egészségvédelme érdekében.
A hivatkozott Mt. és Mvt. rendelkezések tehát megalapozhatják az adatkezelés jogszerűségét, tekintettel a munkáltató ezen kötelezettségére, amelyet az Európai Adatvédelmi Testület által kiadott nyilatkozat is említ.
Az Európai Adatvédelmi Testület, illetve az európai uniós jog annak a kérdésnek a megválaszolását, hogy kérhető-e a védettség igazolása a munkavállalótól, a nemzeti jogokra bízza. Tehát a munkáltató csak a nemzeti jog által megengedett mértékben írhat elő egészségügyi információk közlésére vonatkozó kötelezettséget.
A munkáltató általi adatkezelésre a Munka Törvénykönyve tartalmaz néhány kiegészítő rendelkezést, amelyek a GDPR rendelettel együtt alkalmazandók. Az Mt. szerint a munkáltató követelheti olyan nyilatkozat megtételét vagy személyes adat közlését, amely lényeges a munkaszerződés teljesítése, valamint az Mt.-ből származó igény érvényesítése szempontjából. Ez alapján okirat bemutatás is követelhető.
Továbbá az Mt. előírja a kölcsönös tájékoztatási kötelezettséget is. A felek kötelesek egymást minden olyan tényről, adatról, körülményről vagy ezek változásáról tájékoztatni, amely a törvényben meghatározott jogok gyakorlása és kötelezettségek teljesítése szempontjából lényeges. A munkáltatót fent említett kötelezettségét figyelembe véve ilyen lényeges adatnak minősülhet számára az is, hogy az adott munkavállaló megkapta-e a koronavírus elleni védőoltást (esetleg átesett-e már a betegségen), azaz mekkora betegségkockázatot rejt magában
A Munka Törvénykönyve mellett támpontként szolgál a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a 2021. április 1-jén kelt tájékoztatója is, amely állást foglal a témában. A Tájékoztató szerint munkajogi, munkavédelmi, foglalkozás-egészségügyi, valamint munkaszervezési céllal egyes munkakörökben vagy foglalkoztatotti személyi kör esetében szükséges és arányos intézkedésnek minősülhet a munkavállaló koronavírus elleni védettsége tényének munkáltató általi megismerése. Ez indokolt lehet egyrészt az érintett munkavállaló, másrészt a többi munkavállaló, harmadrészt a munkavállalóval potenciálisan kapcsolatba kerülő harmadik személyek (ügyfelek) életének és egészségének védelme miatt, valamint a munkáltatói, egészséget nem veszélyeztető munkahely biztosítását célzó kötelezettségek teljesítése szempontjából is. Mindezek mellett a munkáltató ezen adatkezelése járványügyi érdeket – mint jelentős közérdeket – is szolgál.
A NAIH Tájékoztatóban foglalt álláspont szerint tehát egyes munkakörökben és egyes foglalkoztatotti körnél, elvégzett kockázatelemzés alapján, lehetséges és nem jogszerűtlen az egyedi egészségügyi adatra vonatkozó információ kérése.
Meghatározó feltétel a szükségesség és arányosság, amelyre hivatkozást az Munka Törvénykönyvében is találunk.
A szükségesség itt arra utal, hogy az adatkezelés nem lehet általános jellegű, hanem munkakörönként vagy foglalkoztatott személyi körönként kell elvégezni. Így az adatkezelés szükségessége nem állapítható meg például az alacsony kockázatú munkakörök esetén, mint például az állandó jellegű távmunkavégzés esetében.
Az arányosság vonatkozásában a NAIH Tájékoztató azt emeli ki, hogy az adatok megismerése mértékének arányban kell állnia az adatkezelési céllal, így például az oltottság igazolása körében az Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) által biztosított applikáció megjelenítését, illetve a védettségi igazolvány bemutatását kérheti a munkavállalóktól, de azokat semmilyen formában és módon nem tárolhatja, és nem is jogosult azokat harmadik személy részére továbbítani, kizárólag azt jogosult rögzíteni, hogy az érintett munkavállaló igazolta védettsége tényét, valamint, hogy védettségének időtartama meddig áll fenn.
Összegzésül elmondható, az Európai Adatvédelmi Testület és a NAIH által kiadott állásfoglalásra is tekintettel, hogy a munkáltató kérhet a munkavállalótól nyilatkozatot a védettségére vonatkozóan, valamint felszólíthatja védettségi igazolványának bemutatására is. Ugyanakkor az egészségügyi adat érzékenységét is figyelembe véve és fokozott védelmét tiszteletben tartva, az adatkezelés során irányadónak kell tekinteni a szükségesség és arányosság követelményét, azaz munkakörönként vagy foglalkoztatotti körönként vizsgálni az adatkezelés szükségességét. Úgy tűnik azonban, hogy például a határátlépéshez kapcsolódó közjogi előírásokkal ellentétben a munkáltató adatigénye a konkrét oltóanyagra vonatkozó tájékoztatásra már nem terjedhet ki.
Ukrajnáról eddig nem is igazán volt szó. 
