I datori di lavoro possono chiedere di vedere i certificati di immunità COVID-19 in Ungheria?
Una domanda sempre più urgente per i datori di lavoro in Ungheria in questo momento è se possono chiedere ai dipendenti se sono stati vaccinati. Mentre alcuni datori di lavoro stanno valutando la possibilità di consentire il ritorno in ufficio solo ai dipendenti vaccinati, altri preferirebbero un approccio più indulgente, offrendo giorni aggiuntivi di ferie retribuite a coloro che hanno un certificato di immunità. Gli esperti di protezione dei dati di Taylor Wessing Ungheria elaborato sulla questione.
Il Certificato di Immunità è valido solo con un ID o un passaporto, e i titolari di certificato sono attualmente gli unici a godere di determinati privilegi: possono visitare ristoranti, hotel, palestre, cinema e questi fornitori di servizi possono solo chiedere ai propri clienti di mostrare il proprio certificato (o l’applicazione mobile utilizzata anche ufficialmente per dimostrare l’immunità) ma viene esplicitamente negato qualsiasi ulteriore trattamento dei dati (cioè registrazione, copia).
Quindi, alle persone con Certificati di Immunità è chiaramente concesso il godimento di determinati benefici, ma i fornitori di servizi non hanno il diritto di elaborare questo tipo di dati Sorge quindi una domanda logica: lo stesso vale per i datori di lavoro?
La DPA ungherese ha affrontato la questione con una guida molto contestata e piuttosto ambigua.
La DPA ha concluso che ai datori di lavoro può essere consentito di chiedere ai propri dipendenti se sono protetti contro il COVID-19, anche se solo in circostanze molto limitate e soggetti a determinate condizioni (e, naturalmente, una politica sulla privacy separata e le basi giuridiche appropriate visto che si tratta di una categoria speciale di dati personali) Sebbene la guida fornisca una certa chiarezza tanto necessaria su determinate questioni, resta ancora molto da vedere, e la linea guida stessa sottolinea che si applica per lo più ai rapporti di lavoro, ma non ad altri status simili all’occupazione (ad esempio settore pubblico, appaltatori, ecc.). Accenna anche alla necessità di una gestione unificata e statutaria del problema.
La DPA ha chiarito che il trattamento di questo tipo di dati sanitari dei dipendenti deve essere necessario, proporzionato e deve basarsi su una valutazione del rischio preventiva, ben documentata e obiettiva.
La necessità deve essere valutata caso per caso e, secondo il DPA, si applica solo in caso di determinate occupazioni o gruppi di dipendenti ad alto rischio. Esempi di ciò includono gli addetti alla manutenzione negli ospedali, gli assistenti sociali e i dipendenti che incontrano molti clienti.
In questi casi, la conoscenza dello stato di protezione dei dipendenti potrebbe essere cruciale per evitare l’infezione dei dipendenti, dei pazienti e dei clienti. Al contrario, la formulazione della guida suggerisce che il semplice lavoro d’ufficio nella maggior parte dei casi si qualifica come un lavoro a basso rischio, dove difficilmente è possibile stabilire la necessità.
“Conformemente ai principi di proporzionalità e minimizzazione dei dati del GDPR, i datori di lavoro possono richiedere ai dipendenti solo di presentare il certificato di immunità o l’applicazione mobile e possono essere autorizzati a registrare solo il fatto della protezione contro COVID-19 (e la scadenza di tale protezione, se applicabile), ma non verrà effettuata alcuna copia e non sarà consentito alcun successivo trattamento dei dati, afferma” Kinga Harza, Associate presso Taylor Wessing.
Il Garante ha sottolineato che, anche se tutto quanto sopra viene rispettato, questi dati possono essere trattati solo per ottemperare agli obblighi pertinenti del diritto del lavoro, vale a dire per garantire la salute e la sicurezza sul lavoro e per scopi di organizzazione del lavoro. Poiché lo scopo deve essere reale e verificabile da parte del datore di lavoro, il datore di lavoro deve effettivamente adottare misure ragionevoli in possesso dei dati sull’immunità. Secondo il Garante, queste misure includono l’affiancamento della postazione di lavoro di un dipendente protetto a quella di un dipendente non protetto o l’offerta di lavoro a tempo indeterminato da casa per i dipendenti non protetti.
Quest’ultimo suggerimento è piuttosto curioso, poiché l’elaborazione dello stato di protezione COVID-19 degli impiegati che lavorano ragionevolmente da casa sembra non essere consentita nelle circostanze.
Ciò rende discutibile se gli impiegati siano un gruppo a basso rischio per definizione (come apparentemente suggerito dal Garante) o se una valutazione oggettiva del rischio possa, in casi specifici, supportare la conclusione che i datori di lavoro elaborino legalmente i loro dati sull’immunità.
“La guida del DPA è stata accolta con favore da molti, in quanto risponde ad alcune domande altamente ambigue sulle possibilità dei datori di lavoro, ma purtroppo lascia ancora i datori di lavoro a indovinare Se ai datori di lavoro è consentito elaborare lo stato di protezione COVID-19 degli impiegati, o se offrire benefici (ad esempio ferie retribuite aggiuntive) ai dipendenti vaccinati sarebbe considerato lecito dal punto di vista della protezione dei dati, resta da vedere, conclude il” Dániel Ódor, responsabile della Pratica di protezione dei dati di Taylor Wessing a Budapest.