Két friss állásfoglalást tett közzé az adatvédelmi hatóság. Az egyik a kamerafelvételekről készült másolatok kiadásának a kérdésével foglalkozik, a másik pedig a webkamerák működtetésével foglalkozik. A két állásfoglalás főbb megállapításait az alábbiakban foglalom össze.
Az elmúlt időszakban egyre többet olvashatunk, hallhatunk az ún. ötödik generációs (5G) mobiltechnológiára épülő megoldások megjelenéséről, a kereskedelmi 5G szolgáltatások elindulásáról. Magyarországon a közelmúltban hirdetett eredményt a Nemzeti Média- és Hírközlési Hatóság (NMHH) az 5G-re is használható frekvenciákért megtartott árverésén.
Az 5G technológia előnyeként különösen azt szokás kiemelni, hogy
A technológia térnyerése kapcsán számos adatvédelmi és adatbiztonsági kérdés is felmerül, amelyek áttekintésében nyújthat segítséget a spanyol adatvédelmi hatóság (AEPD) frissen (május 13-án) publikált rövid összefoglalója (a spanyol nyelvű verzió elérhető itt).
Az Európai Adatvédelmi Testület múlt heti plenáris ülésén a magyar adatvédelmi hatóság (NAIH) beszámolt a Kormány május 4-én kihirdetett rendeletéről, amely korlátozta az érintetti jogok gyakorlását a koronavírussal összefüggő adatkezelésekkel kapcsolatban (179/2020. (V. 4.) Korm. rendelet). A Testület további tájékozódást tartott szükségesnek a témában, így a soron következő ülésen további részletekről kért tájékoztatást a NAIH-tól.
A koronavírus miatt bevezetett korlátozó intézkedések lazítása kapcsán számos kérdés merül fel arra vonatkozóan, hogy a lazítás mellett milyen intézkedések bevezetése szükséges és indokolt a vírus terjedésének újbóli jelentős gyorsulásának megelőzése érdekében. Ezek között olyan intézkedések is lehetnek, amelyek adatkezeléssel járnak. Ilyen például a munkahelyi testhőmérséklet ellenőrzés, amellyel a NAIH egy friss állásfoglalásban is foglalkozik.
Frissítés (2020.10.15.): A NAIH újabb tájékoztatót adott ki a témában, amely az egészségügyi válsághelyzetben bevezetett járványügyi készültség időtartama alatt a testhőmérséklet mérésével összefüggő egyes adatkezelések kérdésével foglalkozik. (Részletek az új tájékoztató kapcsán ebben a posztban olvashatók.)
Az Európai Adatvédelmi Testület két újabb iránymutatást adott ki a koronavírus (COVID-19) járvány kapcsán: (i) egészségügyi adatok kutatási célú kezelése a COVID-19 járvánnyal kapcsolatban (2020/03. sz. iránymutatás); és (ii) a helymeghatározási adatok és a kapcsolatok nyomon követésére szolgáló eszközök alkalmazásáról a COVID-19 járvánnyal összefüggésben (2020/04. sz. iránymutatás).
Az alábbiakban a fenti két iránymutatás legfontosabb megállapításait mutatom be.
Az Apple és a Google április 10-én jelentették be, hogy együttműködnek egy olyan technológiai keretrendszer közös kialakításában, amely alapul szolgálhat a koronavírus terjedésének nyomon követését segítő applikációk fejlesztésében. Az együttműködés jelentőségét az adja, hogy ezzel olyan, az app-ok fejlesztését megkönnyítő keretrendszer alakítható ki, amely elősegíti a sokfelé készülő applikációk interoperabilitását.
A kezdeményezés révén kialakítandó keretrendszer (Contact Tracing Framework (CTF)) kapcsán a brit adatvédelmi biztos (ICO) április 17-én véleményt bocsátott ki. Az alábbiakban az ICO véleményében szereplő főbb megállapításokat foglalom össze.
Az elmúlt hetekben sorra jelennek meg híradások a koronavírus megfékezése érdekében fejlesztett vagy tervezett applikációkról. A cél az, hogy olyan megoldások kerüljenek kialakításra, amelyek segíthetnek a vírus terjedésének lassításában azáltal, hogy értesítést küldenek abban az esetben, ha valaki igazolt vírushordozóval került kapcsolatba, még akkor is, ha a felek teljesen ismeretlenek egymás számára (pl. egymás mellett álltak egy tömegközlekedési járművön, vagy a boltban). Az egyik gyakran emlegetett alkalmazás a szingapúri TraceTogether, de újra és újra hivatkozott példa Dél-Korea is, ahol a vírus elleni küzdelemben mobil applikációt is alkalmaznak. A járványhelyzetre tekintettel még az Apple és a Google is együttműködésbe kezdett a koronavírus nyomon követésére szolgáló applikációk fejlesztésének elősegítése érdekében, az operációs rendszer szintjén megjelenő megoldások kialakításával. (Az Apple és Google együttműködése kapcsán a brit adatvédelmi hatóság már ki is adott egy véleményt, amelyről itt írtam részletesebben.)
Európában is egyre többet lehet olvasni, hallani applikációk fejlesztéséről, amelyek a korlátozó intézkedések enyhítése során is alkalmazásra kerülhetnek, mivel gyors beavatkozást tehetnek lehetővé az esetleges vírussal történő érintkezés könnyebb és automatizált felderíthetősége révén. Az Európai Bizottság által a korlátozó intézkedések koordinált feloldására javaslatot tévő anyag ("Joint European Roadmap towards lifting COVID-19 containment measures") is külön kitér arra, hogy a korlátozások feloldásához szükséges eszköztár része lehet a koronavírussal való kapcsolat nyomon követésére szolgáló applikáció (lásd különösen 7-8. o.). A Bizottság április 8-i ajánlása ("Commission Recommendation on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data") pedig külön részt szentel a mobil applikációknak, kitérve az adatvédelmi követelmények kiemelt jelentőségére (lásd különösen 9-11.o.). A Bizottság kiemelt célja, hogy pán-európai megoldásokat keressen és a tagállamok törekvéseit a lehetőségekhez képest összehangolja, beleértve a mobil applikációk fejlesztését és alkalmazását is. Az EU-s elvárások részletese összefoglalását tartalmazza az eHealth Network keretében, a tagállamok számára összeállított anyag is, amely különböző eszközöket és megoldásokat gyűjt össze és kínál az applikációk fejlesztéséhez ("Mobile applications to support contact tracing in the EU’s fight against COVID-19 - Common EU Toolbox for Member States") (Pán-európai fejlesztésre példa a PEPP-PT projekt.)
Az Európai Adatvédelmi Testület, amely már korábban is adott ki állásfoglalást a koronavírus elleni küzdelem adatvédelmi vonatkozásai kapcsán, április 14-én a Bizottság megkeresése kapcsán írt levelében ad további szempontokat az adatvédelmi szempontból is megfelelő applikációk fejlesztéséhez. A vélemény főbb megállapításait az alábbiakban foglalom össze.
A közelmúltban tette közzé a NAIH a 2019. évre vonatkozó éves beszámolóját. A Hatóság éves beszámolója több szempontból is nagyon fontos olvasmány: egyrészt képet ad az adatvédelem és információszabadság területén zajló főbb folyamatokról, másrészt néhány, a beszámolóban kiemelt ügy révén hasznos segítséget jelenthet a jogalkalmazáshoz, harmadrészt pedig a jövőre nézve is jelezhet olyan területeket, témákat, amelyek a Hatóság szempontjából kiemelt figyelmet élvezhetnek. A 2019-es beszámoló azért is különösen érdekes, mivel 2019. volt az első teljes év a GDPR alkalmazandóvá válását követően, így az új adatvédelmi szabályozás hatásai is jobban láthatóak lehetnek.
Az alábbiakban a beszámoló néhány fontos, az adatvédelem területét érintő pontját emelem ki.
A koronavírus (COVID-19) járvány megelőzése és kezelése körében számos olyan intézkedés merül fel, amely elkerülhetetlenül együtt jár személyes adatok kezelésével. Az adatvédelmi hatóságok sorra adták ki a vonatkozó állásfoglalásaikat (az egyes állásfoglalások összehasonlítása elérhető itt a Hogan Lovells gyűjtésében), köztük a NAIH is (március 10-i tájékoztató).
Az Európai Adatvédelmi Testület először egy rövid sajtóközleményt adott ki, majd március 19-én egy részletesebb állásfoglalással jelentkezett (frissítés (2020.03.23.): a NAIH honlapján elérhetővé tették az állásfoglalás magyar nyelvű fordítását). Az állásfoglalás kiemeli, hogy az adatvédelmi szabályok nem gátjai a járvány elleni küzdelemnek, ugyanakkor a személyes adatok védelmét a rendkívüli körülmények között is biztosítani kell. A fennálló vészhelyzet ugyan szükségessé teheti bizonyos szabadságjogok átmeneti korlátozását, de ennek minden esetben szükségesnek és arányosnak kell lennie.
Az állásfoglalás az alábbi témákat érinti:
A magyar adatvédelmi hatóság (NAIH) fotó Facebookon történő engedély nélküli közzététele miatt hozott elmarasztaló határozatot, amelyben 100.000 Ft összegű bírságot szabott ki.
A tényállás szerint a VIII. kerületi önkormányzat jelenlegi alpolgármestere az önkormányzati választási kampányban tett közzé az érintettet is ábrázoló képet, amelyen választási plakátok eltávolításával kapcsolatban készült, bár maga a kép a letépést követően készült (a kérelmezett előadása szerint: "A képen az látható, hogy egy közfeladat ellátásával megbízott személy választási időszakban önhatalmúlag egy választási hirdetményt semmisít meg.").
A közzététel kapcsán a kérelmezett arra hivatkozott, hogy a "képfelvételt tartalmazó bejegyzés közzétételének alapja a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog, célja pedig a közhatalom gyakorlása szempontjából közérdeklődésre számot tartó eseményről való tájékoztatás volt." "A fényképfelvétel elkészítésére és közzétételére tehát a Kérelmező cselekményének rögzítése és nyilvánosság elé tárása céljából került sor, a választások tisztaságának és a választók kiegyensúlyozott tájékoztatásának biztosítása érdekében. A képmás elkészítésének jogalapja a véleménynyilvánításhoz, a választások tisztaságához és a választók kiegyensúlyozott tájékozódásához fűződő jog volt."
A kérelmező sérelmezte azt is, hogy a fotón szereplő kiskorú lányának arcát kitakarták ugyan, de a bejegyzésben utaltak a jelenlétére, így könnyen beazonosíthatóvá vált.
A kérelmez sérelmesnek találta,. hogy a kérelmezett a bejegyzés eltávolításával kapcsolatos megkeresésére nem is reagált.