A koronavírus (COVID-19) járvány megelőzése és kezelése körében számos olyan intézkedés merül fel, amely elkerülhetetlenül együtt jár személyes adatok kezelésével. Az adatvédelmi hatóságok sorra adták ki a vonatkozó állásfoglalásaikat (az egyes állásfoglalások összehasonlítása elérhető itt a Hogan Lovells gyűjtésében), köztük a NAIH is (március 10-i tájékoztató).
Az Európai Adatvédelmi Testület először egy rövid sajtóközleményt adott ki, majd március 19-én egy részletesebb állásfoglalással jelentkezett (frissítés (2020.03.23.): a NAIH honlapján elérhetővé tették az állásfoglalás magyar nyelvű fordítását). Az állásfoglalás kiemeli, hogy az adatvédelmi szabályok nem gátjai a járvány elleni küzdelemnek, ugyanakkor a személyes adatok védelmét a rendkívüli körülmények között is biztosítani kell. A fennálló vészhelyzet ugyan szükségessé teheti bizonyos szabadságjogok átmeneti korlátozását, de ennek minden esetben szükségesnek és arányosnak kell lennie.
Az állásfoglalás az alábbi témákat érinti:
- adatkezelés jogszerűsége,
- adatkezelési alapelvek,
- mobil helymeghatározási adatok használata,
- munkaviszony.
1. Adatkezelés jogszerűsége
A közfeladatot ellátó szervek esetében a GDPR biztosítja a különleges adatok kezelésének a megfelelő jogalapját a 6. cikk és 9. cikk keretében. Ebben a körben tipikusan a vonatkozó jogszabályok határozzák meg az adatkezelés jogalapját és részleteit.
Munkaviszony keretében is szükség lehet az adatkezelésre a jogi kötelezettségek (pl. az egészséges és biztonságos munkavégzés feltételeinek biztosítása) teljesítése érdekében. A különleges adatok kezelése körében is ismer a GDPR 9. cikk (2) bekezdése olyan kivételeket az általános tilalom alól, amelyek ebben a rendkívüli helyzetben is alkalmazhatók.
A telekommunikációs adatok (különösen a helymeghatározási adatok) kezelése kapcsán az e-Privacy irányelvet ("hírközlési adatvédelmi irányelv") a nemzeti jogokba átültető jogszabályokra kell figyelemmel lenni (Magyarországon ezeket a rendelkezéseket elsősorban az elektronikus hírközlésről szóló 2003. évi C. törvény tartalmazza). Az e-Privacy irányelv 15. cikke lehetővé teszi a tagállamoknak, hogy nemzetbiztonsági célból (és a jelen helyzet is besorolható lehet ebbe a körbe) jogi kötelezettséget teremtsenek ezen adatok kezelésére.
Természetesen az ilyen előírások tekintetében nagyon szigorú jogi kontrollnak kell érvényesülnie, beleértve az Európai Bíróság és az Emberi Jogok Európai Bíróság esetleges eljárását. (A hírközlési adatok felhasználására a járvány elleni küzdelemben már jelenleg is több példa látszik különböző európai országból is.)
2. Az adatkezelés elvei
Az adatkezelés célhoz kötöttségének ebben a helyzetben is kiemelt jelentősége van, csakúgy, mint a transzparenciának, azaz annak, hogy az adatkezelők megfelelő tájékoztatást nyújtsanak a járvány megelőzésével kapcsolatos adatkezelésről.
Nem szabad megfeledkezni az adatbiztonsági intézkedésekről, illetve arról sem, hogy az elszámoltathatóság jegyében, megfelelően dokumentálásra kerüljenek az intézkedések.
3. Mobil helymeghatározási adatok használata
A közfeladatokat ellátó szerveknek elsődlegesen anonim adatok használatára kell törekedniük (pl. aggregált adatok). A megfelelően anonimizált adatokra az adatvédelmi szabályok már nem alkalmazandók (vö. a GDPR Preambulum (26) bekezdésével: "Az adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható. Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve.").
Amennyiben az adatok anonim módon történő felhasználása nem elégséges a cél eléréséhez, akkor az e-Privacy irányelv 15. cikke szerinti felhatalmazással élve fogadhatnak el megfelelő szabályokat a tagállamok (lásd a fenti 1, pontban írtakat). Az arányosság elvére azonban figyelemmel kell lenni és a magánszférára legkevésbé hátrányos intézkedést kell választani.
4. Munkaviszonnyal összefüggő adatkezelés
Az arányosság és adattakarékosság elvének különös jelentősége van ebben a körben. A nemzeti jogszabályokra is kiemelt figyelemmel kell eljárni, amikor a munkáltató munkavállalók, illetve látogatók tekintetében adott esetben egészségügyi adatnak minősülő adatot kezelne.
A nemzeti jogszabályok alapján ítélhető meg, hogy a munkavállalók egészségi állapotát érintő ellenőrzést a munkáltatók végezhetnek-e. A munkáltatók egészségügyi adatot csak akkor kezelhetnek, ha erre a rájuk vonatkozó jogi kötelezettség teljesítéséhez szükség van.
A munkáltatóknak különös gonddal kell eljárniuk az arról való tájékoztatás során, hogy valaki megfertőződött a COVID-19 vírussal. Nyilván szükséges a megfelelő intézkedések megtétele során erre vonatkozóan tájékoztatást adni, de ügyelni kell arra, hogy a tájékoztatás a szükséges információkra korlátozódjon. Figyelemmel kell lennie az érintettek integritására és emberi méltóságára is olyan esetekben, amikor a jogszabályi kereteken belül, szükségessé válik akár a személyes adatok (név) felfedése (pl. annak kiderítése érdekében, hogy ki kerülhetett közvetlen kapcsolatba a fertőzött személlyel).
