GDPR

Adatvédelem mindenkinek / Data protection for everyone

Újabb iránymutatások az Európai Adatvédelmi Testülettől a koronavírus járvánnyal kapcsolatban

2020. április 27. 10:30 - poklaszlo

Az Európai Adatvédelmi Testület két újabb iránymutatást adott ki a koronavírus (COVID-19) járvány kapcsán: (i) egészségügyi adatok kutatási célú kezelése a COVID-19 járvánnyal kapcsolatban (2020/03. sz. iránymutatás); és (ii) a helymeghatározási adatok és a kapcsolatok nyomon követésére szolgáló eszközök alkalmazásáról a COVID-19 járvánnyal összefüggésben (2020/04. sz. iránymutatás).

Az alábbiakban a fenti két iránymutatás legfontosabb megállapításait mutatom be.

1. Egészségügyi adatok kutatási célú kezelése a COVID-19 járvánnyal kapcsolatban 

  • Az iránymutatás kiemeli, hogy az adatvédelmi szabályok nem akadályozzák a járvánnyal szembeni küzdelmet, a szükséges tudományos kutatások folytatását. A GDPR biztosítja a tudományos kutatás céljára történő adatkezelések feltételeit. Az alapjogok tiszteletben tartása mellett kell az egészségügyi adatokat a kutatási tevékenység során kezelni.
  • Az egészségügyi adatok (GDPR 4. cikk 15. pont) körében kell kezelni azon adatokat is, amelyek a kontextustól függően válnak egészségügyi adatokká (pl. utazásra vonatkozó adatok a diagnózis készítésével összefüggésben).
  • A tudományos kutatás fogalmát nem határozza meg a GDPR, ugyanakkor a GDPR Preambuluma (159) szerint:

E rendeletet a személyes adatok tudományos kutatási célú kezelése esetében is alkalmazni kell. E rendelet alkalmazásában a személyes adatok tudományos kutatási célú kezelését tág körűen kell értelmezni, oly módon, hogy az magában foglalja többek között a technológiafejlesztési és demonstrációs tevékenységeket, az alapkutatást, az alkalmazott kutatást, és a magánfinanszírozású kutatást. Emellett az ilyen célú adatkezelés összefüggésében figyelembe kell venni az EUMSZ 179. cikkének (1) bekezdésében foglalt, az európai kutatási térség létrehozására irányuló célkitűzést. A tudományos kutatási célok közé kell sorolni a népegészségügy terén folytatott közérdekű kutatásokat is. (…..)

  • Különbséget kell tenni azon esetek között, amikor kifejezetten a kutatási célból gyűjtenek adatokat, illetve amikor egyéb célból gyűjtött adatokat használnak fel kutatási célra is. Utóbbi esetben az adatkezelés jogalapja, a célhoz kötöttség, a tájékoztatási kötelezettség kapcsán is különösen körültekintően kell eljárni.
  • Az adatkezelés jogalapja kapcsán arra hívja fel a figyelmet az iránymutatás, hogy a GDPR 6. cikke szerinti jogalap megléte mellett - a különleges adatok kezelése miatt - a 9. cikk (2) bekezdése szerinti kivételek valamelyikének a fennállását is vizsgálni kell.
  • Az iránymutatás - kiemelve, hogy a GDPR-ban szereplő jogalapok között nincsen "sorrend" - a hozzájárulás és a nemzeti jogokban szereplő rendelkezések kérdéseivel foglalkozik részletesebben.
  • A hozzájárulás kapcsán a felek (adatkezelő és érintett) közötti "erőegyensúly" kérdésére különösen figyelemmel kell lenni a hozzájárulás érvényessége kapcsán, valamint arra is, hogy a hozzájárulás visszavonhatóságát biztosítani kell. A hozzájárulás visszavonása esetén - ha nincs megfelelő más jogalap a további adatkezelésre - a hozzájárulás alapján kezelt személyes adatokat törölni kell.  
  • A nemzeti jogszabályok kapcsán az iránymutatás leszögezi, hogy a GDPR 6.cikk e) pont (közérdekű adatkezelés) vagy 6. cikk f) pont (jogos érdeken alapuló adatkezelés) és a 9. cikk (2) bekezdés (i) vagy (j) pontja együttesen jelenthetnek megfelelő adatkezelési jogalapot. Az, hogy pontosan milyen keretek között és milyen garanciák mellett folytathatók ezek a vizsgálatok nagyon jelentősen függnek az adott nemzeti jogban - a GDPR 9. cikk (2) bekezdés i) vagy j) pontjával összhangban - meghatározott konkrét szabályoktól.  
  • Az adatkezelési alapelvek érvényesülésére is folyamatosan törekedni kell ezen adatkezelések során. A transzparencia és tájékoztatás kapcsán gyakran a GDPR 14. cikke szerinti eljárást kell követni, azaz olyan adatkezelésekre vonatkozóan kell tájékoztatást adni, amikor a kutatáshoz használt adatokat nem közvetlenül az érintettektől gyűjtik. Fontos, hogy megfelelő időben, az eredetitől eltérő kutatási célra történő felhasználás előtt kapjanak tájékoztatást az érintettek, hogy szükség esetén gyakorolni tudják a jogaikat. A tájékoztatás alóli kivételek kapcsán a Testület leszögezi, hogy a tájékoztatás "lehetetlensége" egy objektív kategória, nincsenek fokozatai, azaz vagy valóban lehetetlen megadni a tájékoztatást (ezt az adatkezelőnek kell igazolnia) vagy nem kerül sor egyáltalán tájékoztatásra (ha utóbb elhárul az akadály, akkor haladéktalanul pótolni kell az elmaradt tájékoztatást). Az "aránytalanul nagy erőfeszítést igénylő" tájékoztatás kapcsán az adatkezelőnek dokumentált mérlegelési teszt keretében be kell mutatnia a tájékoztatás elmaradása kapcsán az erőfeszítések aránytalanságát a GDPR Preambulum (62) bekezdésére is figyelemmel. Azon esetekben, amikor a tájékoztatás "valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését", az adatkezelőnek igazolnia kell ezen tényezők fennállását a tájékoztatás 14. cikk (1) bekezdése szerinti konkrét tartalomra tekintettel.    
  • A célhoz kötöttség és az eredeti céllal való összeegyeztethetőség vélelme (5. cikk (1) bekezdés b) pontja) kapcsán különös jelentőséggel bír a 89. cikk (1) bekezdése szerinti garanciák megléte, így különösen az adattakarékosság elvének, a beépített és alapértelmezett adatvédelem elveinek, valamint az adatbiztonság követelményeinek biztosítása.   
  • Az adatmegőrzési időknek a kutatás céljával összhangban arányosnak kell lenniük, figyelemmel az esetleges nemzeti jogban szereplő konkrét szabályokra.
  • Az adatbiztonság érvényesülése érdekében konkrét, elvárt minimum intézkedéseket is megjelöl az iránymutatás: álnevesítés, titkosítás, titoktartási megállapodások aláírása, szigorú hozzáférési szabályok alkalmazása, logolás. Természetesen a nemzeti jogszabályok is meghatározhatnak konkrét előírásokat a kutatásokkal kapcsolatban.
  • Az érintetti jogok gyakorlásának korlátozása kapcsán a Rendeletben szereplő korlátozási lehetőségek mellett, az egyes tagállami szabályok is tartalmazhatnak korlátozásokat. Ugyanakkor ezen korlátozásoknak a szükséges mértékre kell korlátozódniuk.   
  • Az iránymutatás külön felhívja a figyelmet a kutatások során - a nemzetközi együttműködések miatt előforduló - EGT-n kívüli adattovábbítások feltételeire. A koronavírus járvány jelentette rendkívüli helyzetben a GDPR 49. cikk szerinti eltérések (különös helyzetekben biztosított eltérések) alkalmazására is sor kerülhet.

2. A helymeghatározási adatok és a kapcsolatok nyomon követésére szolgáló eszközök alkalmazásáról a COVID-19 járvánnyal összefüggésben

Helymeghatározási adatok:

  • A helymeghatározási adatok kapcsán az "elektronikus hírközlési adatvédelmi irányelv" (e-Privacy irányelv) rendelkezéseire, illetve ennek a nemzeti jogokba történt átültésére figyelemmel kell eljárni.
  • Az elektronikus hírközlési adatvédelmi irányelv 15. cikke biztosít eltérési lehetőséget a tagállamok számára a nemzeti jogban meghatározott rendelkezések révén.
  • A meglévő adatok újrahasznosítása más célból vagy egy újabb hozzájárulás vagy a nemzeti jogban szereplő felhatalmazás alapján történhet.
  • Az anonimizált adatok használatát kell lehetőség szerint előnyben részesíteni a személyes adatok használatával szemben. Az anonimizált adatok használata kapcsán a visszafejthetőség lehetőségét tesztelni kell és csak akkor beszélhetünk anonim adatokról (és kerülhet ki az adatkezelés a GDPR hatálya alól), ha a visszafejthetőség lehetősége "ésszerű erőfeszítések" mellett nem lehetséges. Az anonimizálás és a pszeudonimizálás (álnevesítés) különbözőségérére és eltérő adatvédelmi megítélésére külön is kitér az iránymutatás (a témáról lásd ezt a korábbi posztot is).    

Kapcsolatok nyomon követése (contact tracing):

  • Tekintettel a magánszférába történő jelentős beavatkozásra, a kapcsolatok nyomon követésére szolgáló technikák alkalmazását önkéntességen alapuló módon látja elfogadhatónak a Testület. Ennek megfelelően, azokat, akik nem járulnak hozzá ilyen eszköz alkalmazásához, nem érheti hátrány.  
  • Az elszámoltathatóság érdekében is az adatkezelő személyének egyértelműen meghatározásra kell kerülnie (tipikusan az egészségügyi hatóságokhoz telepíthető ez a szerep). A kapcsolatok nyomon követésében közreműködő egyéb szereplők szerepét és felelősségi körét is rendezni kell.    
  • A célhoz kötöttség elvére is tekintettel, a járvány elleni küzdelmen túli adatkezelésre nem kerülhet sor.
  • Az adattakarékosság, valamint a beépített és alapértelmezett adatvédelem elveinek érvényesülése érdekében: (i) helymeghatározási adatok kezelése nem szükséges a kapcsolatok nyomon követéséhez, (ii) az érintettek közvetlen azonosítására tipikusan nincs szükség a cél eléréséhez, és (iii) az adatokat az érintett végberendezésén kell tárolni és csak a legszükségesebb mértékben kerülhet sor az adatok továbbítására.
  • A felhasználó eszközén tárolt adatokhoz való hozzáférés kapcsán az elektronikus hírközlési adatvédelmi irányelv 5. cikk (3) bekezdésében foglaltakra tekintettel kell eljárni, azaz ha a hozzáférés elengedhetetlenül szükséges a szolgáltatás nyújtásához, akkor nem kell külön hozzájárulás, egyéb esetben azonban csak az érintett hozzájárulása mellett lehetséges.
  • A közérdekű adatkezelés (GDPR 6. cikk (1) bekezdés e) pont) feltételeinek eleget kell tenni. Az egyes tagállami jogok rendezhetik az adatkezelés feltételeit a 6. cikk (3) bekezdésének megfelelően. Ez nem zárja ki azt, hogy magának az applikáció használatának önkéntesnek kell lennie. (Más jogalap alkalmazása is elképzelhető, különösen a hozzájárulás alkalmazása merülhet fel. Ilyen esetben a szigorú adatkezelési feltételek meglétéről az adatkezelőnek kell gondoskodnia.)  
  • A kapcsolatok nyomon követésére szolgáló applikációk működtetése együtt járhat egészségügyi adatok kezelésével. Ilyenkor a 9. cikk (2) bekezdés i) vagy h) pontjában foglalt kivételnek kell fennállnia vagy elképzelhető lehet a 9. cikk (2) bekezdés a) pontja szerinti kifejezett hozzájárulás. (A kutatási célú adatkezelés kapcsán pedig a (2) bekezdés j) pontja is alkalmazható lehet.)      
  • Az adatok megőrzési ideje nem lehet aránytalanul hosszú. A járvány elmúltával - főszabály szerin - az adatokat törölni vagy anonimizálni kell.
  • Az emberi felügyelet biztosítása az alkalmazás működésében nélkülözhetetlen. A következő követendő lépésekről adandó tájékoztatás és instrukciók nem lehetnek teljesen automatizáltak.  
  • Az alkalmazott algoritmusokat rendszeresen felül kell vizsgálni és független szakértők által ellenőrizhetőnek kell lenniük. A forráskódot nyilvánosan elérhetővé kell tenni.
  • Adatvédelmi hatásvizsgálat elvégzése szükséges az applikáció alkalmazása előtt. Az elkészült hatásvizsgálat közzététele erősen ajánlott. 
  • Az alábbi ajánlásokat fogalmazza meg a Testület:
    • csak a legszükségesebb adatok kezelésére kerüljön sor (adattakarékosság, beépített és alapértelmezett adatvédelem);
    • olyan azonosítókat kell alkalmazni, amelyek kizárólag az app működéséhez kapcsolódnak, az app által generáltak, álnevesítettek és megfelelő gyakorisággal változnak;
    • lehetőség szerint előnyben kell részesíteni a decentralizált megoldásokat, de elképzelhető centralizált megoldás alkalmazása is, a tervezés megfelelő fázisában ezeket az opciókat alaposan meg kell vizsgálni, figyelemmel a különböző megoldások érintettekre gyakorolt potenciális hatására,
    • a központi szerveren, amelyen a kontaktok értesítése kapcsán tárolásra kerülnek adatok, csak a legszükségesebb adatok kerüljenek tárolásra,
    • ha további adat szükséges a kapcsolatok vizsgálatához, azokat a felhasználók eszközein kell tárolni és csak a feltétlenül szükséges mértékig kezelhetők, előzetes és erre irányuló hozzájárulás alapján,  
    • korszerű kriptográfiai megoldások alkalmazandók,
    • a koronavírus fertőzöttség jelentése csak megfelelő azonosítás mellett legyen lehetséges,
    • a központilag készített kapcsolat nyomon követő appok letöltését kell elősegíteni, kerülendő a harmadik feles megoldások alkalmazását.
  • Az iránymutatás melléklete konkrét követelményeket is megfogalmaz az applikációkkal kapcsolatban az alábbi kategóriákra bontva: (i) általános (General), (ii) cél (Purpose), (iii) funkcionalitás (Functional considerations), (iv) adatok (Data), (v) technikai jellemzők (Technical properties), (vi) Biztonság (Security), (vii) természetes személyek adatainak és magánszférájának védelem (Protection of personal data and privacy of natural persons), (viii) elvek, amelyek csak akkor alkalmazandók, ha az app elküldi a kapcsolatok listáját a szerverre(Principles that apply only when the application sends to the server a list of contacts), (ix) elvek, amelyek csak akkor alkalmazandók, ha az app elküldi a saját azonosítók listáját (Principles that apply only when the application sends to a server a list of its own identifiers).

(Az Európai Adatvédelmi Testület korábbi véleményéről a kapcsolatok nyomon követésére szolgáló app-okkal kapcsolatban itt írtam.)

Szólj hozzá!

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr115640038

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása