A koronavírus miatt bevezetett korlátozó intézkedések lazítása kapcsán számos kérdés merül fel arra vonatkozóan, hogy a lazítás mellett milyen intézkedések bevezetése szükséges és indokolt a vírus terjedésének újbóli jelentős gyorsulásának megelőzése érdekében. Ezek között olyan intézkedések is lehetnek, amelyek adatkezeléssel járnak. Ilyen például a munkahelyi testhőmérséklet ellenőrzés, amellyel a NAIH egy friss állásfoglalásban is foglalkozik.  

Frissítés (2020.10.15.): A NAIH újabb tájékoztatót adott ki a témában, amely az egészségügyi válsághelyzetben bevezetett járványügyi készültség időtartama alatt a testhőmérséklet mérésével összefüggő egyes adatkezelések kérdésével foglalkozik. (Részletek az új tájékoztató kapcsán ebben a posztban olvashatók.)

Az Európai Adatvédelmi Testület két újabb iránymutatást adott ki a koronavírus (COVID-19) járvány kapcsán: (i) egészségügyi adatok kutatási célú kezelése a COVID-19 járvánnyal kapcsolatban (2020/03. sz. iránymutatás); és (ii) a helymeghatározási adatok és a kapcsolatok nyomon követésére szolgáló eszközök alkalmazásáról a COVID-19 járvánnyal összefüggésben (2020/04. sz. iránymutatás).

Az alábbiakban a fenti két iránymutatás legfontosabb megállapításait mutatom be.

Az Apple és a Google április 10-én jelentették be, hogy együttműködnek egy olyan technológiai keretrendszer közös kialakításában, amely alapul szolgálhat a koronavírus terjedésének nyomon követését segítő applikációk fejlesztésében. Az együttműködés jelentőségét az adja, hogy ezzel olyan, az app-ok fejlesztését megkönnyítő keretrendszer alakítható ki, amely elősegíti a sokfelé készülő applikációk interoperabilitását. 

A kezdeményezés révén kialakítandó keretrendszer (Contact Tracing Framework (CTF)) kapcsán a brit adatvédelmi biztos (ICO) április 17-én véleményt bocsátott ki. Az alábbiakban az ICO véleményében szereplő főbb megállapításokat foglalom össze. 

Az elmúlt hetekben sorra jelennek meg híradások a koronavírus megfékezése érdekében fejlesztett vagy tervezett applikációkról. A cél az, hogy olyan megoldások kerüljenek kialakításra, amelyek segíthetnek a vírus terjedésének lassításában azáltal, hogy értesítést küldenek abban az esetben, ha valaki igazolt vírushordozóval került kapcsolatba, még akkor is, ha a felek teljesen ismeretlenek egymás számára (pl. egymás mellett álltak egy tömegközlekedési járművön, vagy a boltban). Az egyik gyakran emlegetett alkalmazás a szingapúri TraceTogether, de újra és újra hivatkozott példa Dél-Korea is, ahol a vírus elleni küzdelemben mobil applikációt is alkalmaznak. A járványhelyzetre tekintettel még az Apple és a Google is együttműködésbe kezdett a koronavírus nyomon követésére szolgáló applikációk fejlesztésének elősegítése érdekében, az operációs rendszer szintjén megjelenő megoldások kialakításával. (Az Apple és Google együttműködése kapcsán a brit adatvédelmi hatóság már ki is adott egy véleményt, amelyről itt írtam részletesebben.)   

Európában is egyre többet lehet olvasni, hallani applikációk fejlesztéséről, amelyek a korlátozó intézkedések enyhítése során is alkalmazásra kerülhetnek, mivel gyors beavatkozást tehetnek lehetővé az esetleges vírussal történő érintkezés könnyebb és automatizált felderíthetősége révén. Az Európai Bizottság által a korlátozó intézkedések koordinált feloldására javaslatot tévő anyag ("Joint European Roadmap towards lifting COVID-19 containment measures") is külön kitér arra, hogy a korlátozások feloldásához szükséges eszköztár része lehet a koronavírussal való kapcsolat nyomon követésére szolgáló applikáció (lásd különösen 7-8. o.). A Bizottság április 8-i ajánlása ("Commission Recommendation on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data") pedig külön részt szentel a mobil applikációknak, kitérve az adatvédelmi követelmények kiemelt jelentőségére (lásd különösen 9-11.o.). A Bizottság kiemelt célja, hogy pán-európai megoldásokat keressen és a tagállamok törekvéseit a lehetőségekhez képest összehangolja, beleértve a mobil applikációk fejlesztését és alkalmazását is. Az EU-s elvárások részletese összefoglalását tartalmazza az eHealth Network keretében, a tagállamok számára összeállított anyag is, amely különböző eszközöket és megoldásokat gyűjt össze és kínál az applikációk fejlesztéséhez ("Mobile applications to support contact tracing in the EU’s fight against COVID-19 - Common EU Toolbox for Member States")  (Pán-európai fejlesztésre példa a PEPP-PT projekt.)

Az Európai Adatvédelmi Testület, amely már korábban is adott ki állásfoglalást a koronavírus elleni küzdelem adatvédelmi vonatkozásai kapcsán, április 14-én a Bizottság megkeresése kapcsán írt levelében ad további szempontokat az adatvédelmi szempontból is megfelelő applikációk fejlesztéséhez. A vélemény főbb megállapításait az alábbiakban foglalom össze.

A közelmúltban tette közzé a NAIH a 2019. évre vonatkozó éves beszámolóját. A Hatóság éves beszámolója több szempontból is nagyon fontos olvasmány: egyrészt képet ad az adatvédelem és információszabadság területén zajló főbb folyamatokról, másrészt néhány, a beszámolóban kiemelt ügy révén hasznos segítséget jelenthet a jogalkalmazáshoz, harmadrészt pedig a jövőre nézve is jelezhet olyan területeket, témákat, amelyek a Hatóság szempontjából kiemelt figyelmet élvezhetnek. A 2019-es beszámoló azért is különösen érdekes, mivel 2019. volt az első teljes év a GDPR alkalmazandóvá válását követően, így az új adatvédelmi szabályozás hatásai is jobban láthatóak lehetnek. 

Az alábbiakban a beszámoló néhány fontos, az adatvédelem területét érintő pontját emelem ki. 

A koronavírus (COVID-19) járvány megelőzése és kezelése körében számos olyan intézkedés merül fel, amely elkerülhetetlenül együtt jár személyes adatok kezelésével. Az adatvédelmi hatóságok sorra adták ki a vonatkozó állásfoglalásaikat (az egyes állásfoglalások összehasonlítása elérhető itt a Hogan Lovells gyűjtésében), köztük a NAIH is (március 10-i tájékoztató). 

Az Európai Adatvédelmi Testület először egy rövid sajtóközleményt adott ki, majd március 19-én egy részletesebb állásfoglalással jelentkezett (frissítés (2020.03.23.): a NAIH honlapján elérhetővé tették az állásfoglalás magyar nyelvű fordítását). Az állásfoglalás kiemeli, hogy az adatvédelmi szabályok nem gátjai a járvány elleni küzdelemnek, ugyanakkor a személyes adatok védelmét a rendkívüli körülmények között is biztosítani kell. A fennálló vészhelyzet ugyan szükségessé teheti bizonyos szabadságjogok átmeneti korlátozását, de ennek minden esetben szükségesnek és arányosnak kell lennie. 

Az állásfoglalás az alábbi témákat érinti: 

• adatkezelés jogszerűsége, 
• adatkezelési alapelvek,  
• mobil helymeghatározási adatok használata, 
• munkaviszony.

A magyar adatvédelmi hatóság (NAIH) fotó Facebookon történő engedély nélküli közzététele miatt hozott elmarasztaló határozatot, amelyben 100.000 Ft összegű bírságot szabott ki.

A tényállás szerint a VIII. kerületi önkormányzat jelenlegi alpolgármestere az önkormányzati választási kampányban tett közzé az érintettet is ábrázoló képet, amelyen választási plakátok eltávolításával kapcsolatban készült, bár maga a kép a letépést követően készült (a kérelmezett előadása szerint: "A képen az látható, hogy egy közfeladat ellátásával megbízott személy választási időszakban önhatalmúlag egy választási hirdetményt semmisít meg.").

A közzététel kapcsán a kérelmezett arra hivatkozott, hogy a "képfelvételt tartalmazó bejegyzés közzétételének alapja a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog, célja pedig a közhatalom gyakorlása szempontjából közérdeklődésre számot tartó eseményről való tájékoztatás volt." "A fényképfelvétel elkészítésére és közzétételére tehát a Kérelmező cselekményének rögzítése és nyilvánosság elé tárása céljából került sor, a választások tisztaságának és a választók kiegyensúlyozott tájékoztatásának biztosítása érdekében. A képmás elkészítésének jogalapja a véleménynyilvánításhoz, a választások tisztaságához és a választók kiegyensúlyozott tájékozódásához fűződő jog volt." 

A kérelmező sérelmezte azt is, hogy a fotón szereplő kiskorú lányának arcát kitakarták ugyan, de a bejegyzésben utaltak a jelenlétére, így könnyen beazonosíthatóvá vált.

A kérelmez sérelmesnek találta,. hogy a kérelmezett a bejegyzés eltávolításával kapcsolatos megkeresésére nem is reagált.

A koronavírus megelőzése érdekében tett munkáltatói lépések számos adatvédelmi kérdést is felvetnek, mivel az intézkedések gyakran együtt járnak személyes adatok kezelésével. A munkáltatók nehéz helyzetben vannak, hiszen egyrészt meg kell felelniük azon jogszabályi elvárásoknak, miszerint az egészséges és biztonságos munkavégzés feltételeit és körülményeit biztosítaniuk kell, másrészt ezt úgy kell teljesíteniük, hogy a jogszabályi környezet számos bizonytalanságot hordoz ilyen rendkívüli helyzetekhez kapcsolódó adatkezelések vonatkozásában. 

Az egyértelmű, hogy az életet és testi épséget veszélyeztető helyzetben a szükséges mértékű és a megfelelő keretek között végzett adatkezelés elfogadható, ugyanakkor érdemes megfontoltan eljárni, mivel a vírus terjedése okozta helyzet nem ad felmentést a személyes adatok kezelésére vonatkozó szabályok alkalmazása alól (lásd ehhez kapcsolódóan Eduardo Ustaran véleménycikkét "The coronavirus privacy dilemma"). Érdemes elolvasni az olasz adatvédelmi hatóság (Garante) közleményét (elérhető olaszul és angolul), amely felhívja a figyelmet arra, hogy a munkáltatóknak körültekintően kell eljárniuk és tartózkodniuk kell az előzetes és általános, szisztematikus adatgyűjtésektől ("On the other hand, employers must refrain from collecting, in advance and in a systematic and generalised manner, including through specific requests to the individual worker or unauthorized investigations, information on the presence of any signs of influenza in the worker and his or her closest contacts, or anyhow regarding areas outside the work environment.")

Nem szabad azt sem szem elől téveszteni, hogy a vírus terjedésének megelőzésével összefüggő adatkezelés nagyon könnyen csaphat át egészségügyi adatok, azaz különleges adatok kezelésébe, amelyre szigorúbb követelmények vonatkoznak.  

(Frissítés 2020.03.11.: Időközben megjelent a NAIH közleménye is a koronavírussal összefüggésben tett intézkedésekkel kapcsolatos adatkezelési kérdésekről. Korábban, többek között, a dán és a francia adatvédelmi hatóság is adott ki iránymutatást.)  

A GDPR alapján az adatkezelőknek kiemelt figyelmet kell fordítaniuk a kezelt adatok biztonságára, a megfelelő technikai és szervezési intézkedések megtételére. A gyakorlatban ugyanakkor sokszor nehezen határozható meg, hogy adott adatkezelés tekintetében mi tekinthető megfelelő adatbiztonsági intézkedésnek. Az ír adatvédelmi hatóság (DPC) friss útmutatója ehhez ad néhány konkrét kapaszkodót az adatkezelőknek. 

A NAIH egy frissen közzétett határozatában az adattakarékosság és az átlátható adatkezelés elvének megsértésével történő harmadik személyek felé történő adattovábbítás miatt 600.000 Ft összegű bírságot szabott ki a Zala Megyei Kormányhivatal Keszthelyi Járási Földhivatallal szemben.