Az álnevesítés alkalmazása kapcsán számos esetben találkozhatunk félreértésekkel, amelyek gyakran abból a - téves - megközelítésből erednek, hogy az adatok az álnevesítéssel elveszítik személyes adat jellegűket és így már nem alkalmazandók rájuk az adatvédelmi szabályok. Ezzel szemben fontos rögzíteni, hogy az álnevesített adatok személyes adatnak minősülnek és ennek megfelelően kell ezeket kezelni.
A NAIH által a közelmúltban közzétett határozat éppen az álnevesítés kérdésével és az álnevesített adatokat érintő hozzáférési jog gyakorlásával foglalkozik.
1. Tényállás
A panaszos azzal fordult az adatkezelőhöz (egészségpénztár), hogy - többek között - az adatkezelő által, a panaszost is érintően kötött csoportos biztosítás kapcsán a biztosító részére történő adattovábbításra vonatkozóan kérjen tájékoztatást (azaz a GDPR 15. cikke szerinti hozzáférési jogát gyakorolta).
Az adatkezelő azonban nem adott a hozzáférési jogra megfelelő választ, mert részben általános tájékoztatást adott, hivatkozással az adatkezelési tájékoztatójában foglaltakra, másrészt arra hivatkozott, hogy a biztosító részére személyes adatok átadására nem kerül sor, mivel az adatkezelő a biztosító részére ún. elmaszkolt adatállományt ad át, amelyet az adatkezelő anonimizált adatállománynak tekintett:
Az elmaszkolás olyan informatikai eljárás, amellyel az adatállományban található pénztártagi és kedvezményezetti személyes adatok elveszítik személyes adat jellegüket, és csak a pénztártag/kedvezményezett által, az egészségbiztosítási szolgáltatás igénybevételekor megadott személyes adatok megfelelő beazonosítását követően kerülnek az adatok megismerhetővé kizárólag az egészségbiztosítási szolgáltatás igénybevételéhez szükséges biztosítási fedezet ellenőrzése céljából. (2019. november 1. napjától hatályos adatkezelési tájékoztató, II.11. pontja)
A maszkolási eljárással kapcsolatban az adatkezelő az alábbi információkat adta a Hatóságnak az eljárás során (lásd Határozat, 4. o.):
- A biztosító részére havonta egy XML állomány került átadásra, azokról, akik jogosultak voltak a biztosító szolgáltatására. Az adatállomány a biztosításra vonatkozó adatok (pl. biztosítás típusa) mellett a tag/kedvezményezett/biztosított/társbiztosított vonatkozásában a születési dátumot, adóazonosító jelet/társadalombiztosítási azonosító jelet és egy 10 fix karakterből álló sort SHA512-vel kódolva tartalmazott.
- A kódolás nem volt visszafejthető, így ezek a kódolt adatok önmagában értelmezhetetlenek, az átadáskor egy összefüggéstelen karaktersorozat jelenik meg. Ez a karaktersorozat egyedi, ugyanazokat az adatokat kódolva, ugyanaz a maszk, karaktersorozat kerül előállításra, ezért, ha a biztosító ugyanazokat a nyers adatokat kódolja az SHA512-vel, ugyanazt az eredményt kapja, mint az adatkezelő.
- A biztosító, illetve az ellátásszervező a biztosított által kezdeményezett kapcsolatfelvétel – telefonhívás – kezdetén a biztosítottól/kedvezményezettől, stb. kéri be az adatkezelő által titkosítással védett személyes adatokat, amelyeket a fenti eljárással kódol. Az ellátásszervező, illetve a biztosító csak a biztosított által megadott adatok birtokában tud meggyőződni arról, hogy van-e egyezőség az érintettől bekért és az adatkezelőtől kapott állományban szereplő adatok között. Egyezőség esetén az ellátásszervező azt tudja megállapítani, hogy a kapcsolatfelvételt kezdeményező személy biztosított státusza fennáll-e.
Az adatkezelő arra is hivatkozott, hogy a panaszos 2019. október 15-i kérelmében a személyes adatai már megtörtént átadásáról kért tájékoztatást, de az adatkezelő erről azért nem tudott tájékoztatást adni, mert az egészségbiztosítási szolgáltatás csak 2019. november 1-jén lépett életbe és így ekkor a biztosító részére még semmilyen adat nem került átadásra.
2. A Hatóság megállapításai
A hatósági megállapítások egy része a formai megfelelőségre vonatkozott, miszerint a GDPR 15. cikke szerinti hozzáférési jog gyakorlása esetén az adatkezelők nem járnak el megfelelően, ha csupán a GDPR 13-14. cikkeknek történő megfelelés érdekében készített adatkezelési tájékoztatójukra hivatkozva igyekeznek teljesíteni a kérelmet. A GDPR 15. cikke szerinti hozzáférési kérelem esetében (hiába használja az érintett a "tájékoztatás kérés" vagy hasonló fordulatot) a konkrét, az érintett személyes adataira vonatkozó kérelemről van szó, amely nem teljesíthető az általános tájékoztatást tartalmazó dokumentumokra való utalással.
A hozzáférési jog lényege, hogy az érintett ellenőrizni tudja az adatkezelés megfelelőségét, azt, hogy az adatkezelő ténylegesen milyen adatkezelési műveleteket hajt végre a személyes adatain. A hozzáférési kérelem jogszerűen nem teljesíthető az adatkezelési tájékoztatóra való utalással, mivel ebben az esetben az érintettnek a saját konkrét adatai kezeléséről kell tájékoztatást nyújtani, kitérve azon adatkezelés körülményekre, amelyek kapcsán az érintett a hozzáférési kérelme alapján tájékoztatást kívánt kapni. Tehát amíg az adatkezelési tájékoztató – amely a GDPR 13.-14.cikkének való megfelelést biztosítja – általános jellegű, addig a hozzáférési kérelemre adott válasznak speciálisan a hozzáférési jogát gyakorló érintettre, az ő személyes adatai kezelésére vonatkozónak kell lennie. (Határozat, IV.1. pont, 8. o.)
A tartalmi megfelelés kapcsán a Hatóság megállapította, hogy
- a pénztártagok az átadott XML állományban található adatok alapján közvetlenül nem azonosíthatók,
- a biztostó és az ellátásszervező ugyan rendelkezik azzal a kódolási technológiával, amellyel az adatkezelő a kódolást végrehajtja, azonban a technológia rendelkezésre állása önmagában nem lenne elegendő az érintettek azonosítására, ugyanakkor
- az átadott adatok személyes adatnak minősültek, mivel "a Biztosítóval való kapcsolatfelvétel során a Biztosító, illetve az Ellátásszervező rendelkezésére bocsátott személyes adatok felhasználásával, azok kódolásával az azonosítás megvalósítható, – sőt ez is a célja a technológia megosztásának, illetve az érintettek felhívásának a személyazonosításra alkalmas adataik közlésére a kapcsolatfelvételkor – azaz az érintett és az XML fájlban szereplő adatok között a kapcsolat helyreállítható." (Határozat, IV.2. pont, 9. o., kiemelés tőlem)
Fontos eleme a folyamatnak, hogy az adatátadás célja éppen a későbbi beazonosítás lehetőségének a megteremtése, hiszen a biztosításra való jogosultság ellenőrzése csak így oldható meg, azaz az adatátadás célja éppen az érintettek azonosítása.
Tekintettel arra, hogy a Hatóság megállapítása alapján személyes adat kezelésére került sor, így az adatkezelő tévesen tájékoztatta az érintettet arról, hogy a maszkolással az adatok elvesztették a személyes adat jellegűket.
3. Mi következik a hatósági döntésből?
Az adatkezelőknek fontos szem előtt tartaniuk, hogy az álnevesítés - amint azt a GDPR (28) preambulumbekezdése is mutatja, egy adatbiztonsági intézkedésnek tekintednő, anélkül, hogy a kezelt adatok személyes adat jellegét megváltoztatná. Éppen ezért az adatvédelmi szabályok továbbra is alkalmazandóak ezen adatok tekintetében, beleértve az érintetti joggyakorlás szabályait is.
Adott esetben vizsgálandó lehet, hogy a személyes adatokon alkalmazott valamely eljárás elvezethet-e oda, hogy végül anonim adatokról legyen szó, azaz ezen adatok kikerüljenek az adatvédelmi szabályok hatálya alól.
Ahogy a NAIH által is hivatkozott kúriai ítélet kimondja, „anonimizált adat olyan anonim adat, amely korábban azonosítható személyre vonatkozott, de amelynél az azonosítás többé már nem lehetséges." (Kúria Kfv.III.37.911/2017/8. számú ítélet, 19. pont)
E körben érdemes lehet tanulmányozni a Kúria egy másik döntését (BH 2019.272) is, amely a személyes adat fogalmának értelmezése körében tesz - részben vitatható - megállapításokat. (Erről a döntésről itt írtam részletesebben.) Ebben - még a GDPR előtti időkre visszanyúló - ügyben a Kúria lényegében arra a kérdésre keresett választ, hogy egy állami szerv (átvevő szerv) által statisztikai céllal kezelt adatbázisban szereplő adatok, amelyeket egy másik állami szerv (átadó szerv) ad át olyan formában, hogy azokat az adattovábbítás előtt álnevesíti (pszeudonimizálja), személyes adatnak tekinthetők-e az átvevő szervezetnél.
Hasonló kérdések az Európai Bíróság előtt is megjelentek már. Egy egészen friss ügyben (T‑557/20. sz. ügyben, amely kapcsán fellebbezés folytán további eljárás van még folyamatban), éppen arról a különbségtételről folyt a vita, hogy a kódolva átadott adatok, amelyek az átadó szempontjából álnevestített adatnak minősülnek, az átvevőnél lehetnek-e anonim adatok, ha az átvevő nem rendelkezik olyan „további információkkal”, amelyek felhasználhatók az adatok konkrét érintettekhez való hozzárendeléséhez. Az ügy - amely a fellebbezés folytán nem került még lezárásra - szintén fontos szempontokkal gazdagíthatja majd a személyes adatok fogalmának értelmezését, illetve az adatok személyes adatként való kezelésének határait. (Fontos hangsúlyozni, hogy a T-557/20. sz. ügyben nem került kimondásra, hogy az átadott adatok nem minősülnek személyes adatnak, egyelőre csupán azt állapította meg a bíróság, hogy az európai adatvédelmi biztosnak további vizsgálatokat kell lefolytatnia atekintetben, hogy az újraazonosítás lehetősége fennálhat-e az adatokat átvevő félnél.)