A GDPR alkalmazandóvá válása óta már számos adatvédelmi bírság kiszabásáról olvashattunk. Egyes országokban viszonylag gyakran nyúlnak a bírságolás eszközéhez (a gyakrabban bírságoló országok listáján találhatjuk pl. Németországot, Spanyolországot, Olaszországot Romániát), más tagállamokban viszont csak néhány alkalommal kellett eddig az adatkezelőknek bírságot fizetniük (az eddig kifejezetten keveset bírságoló országok között szerepel pl. Írország, Horvátország, Finnország, Dánia). 

A Skandináv országok (a szűk értelemben ide tartozó Svédország, Dánia, és Norvégia mellett Finnország, Izland) eddig viszonylag visszafogottan nyúltak a bírságolás eszközéhez. Az elmúlt hónapokban (március-május) Svédországban, Dániában és Finnországban is több ügyben született adatvédelmi bírság (Finnországban első ízben jelent meg bírságolásra vonatkozó döntés májusban, rögtön három különböző esetben), Norvégiában pedig legutóbb február végén került sor bírság megállapítására (két ügyben is). Az alábbiakban röviden ezeket a friss, bírságkiszabással járó eseteket foglalom össze. 

Két friss állásfoglalást tett közzé az adatvédelmi hatóság. Az egyik a kamerafelvételekről készült másolatok kiadásának a kérdésével foglalkozik, a másik pedig a webkamerák működtetésével foglalkozik. A két állásfoglalás főbb megállapításait az alábbiakban foglalom össze.

Az elmúlt időszakban egyre többet olvashatunk, hallhatunk az ún.  ötödik generációs (5G) mobiltechnológiára épülő megoldások megjelenéséről, a kereskedelmi 5G szolgáltatások elindulásáról. Magyarországon a közelmúltban hirdetett eredményt a Nemzeti Média- és Hírközlési Hatóság (NMHH) az 5G-re is használható frekvenciákért megtartott árverésén.   

Az 5G technológia előnyeként különösen azt szokás kiemelni, hogy

• jelentősen nagyobb a letöltési sebesség,
• a válaszadási idő csökken,
• egyszerre sokkal több kapcsolódó eszközt tud kezelni. 

A technológia térnyerése kapcsán számos adatvédelmi és adatbiztonsági kérdés is felmerül, amelyek áttekintésében nyújthat segítséget a spanyol adatvédelmi hatóság (AEPD) frissen (május 13-án) publikált rövid összefoglalója (a spanyol nyelvű verzió elérhető itt).

Az Európai Adatvédelmi Testület múlt heti plenáris ülésén a magyar adatvédelmi hatóság (NAIH) beszámolt a Kormány május 4-én kihirdetett rendeletéről, amely korlátozta az érintetti jogok gyakorlását a koronavírussal összefüggő adatkezelésekkel kapcsolatban (179/2020. (V. 4.) Korm. rendelet). A Testület további tájékozódást tartott szükségesnek a témában, így a soron következő ülésen további részletekről kért tájékoztatást a NAIH-tól.  

A koronavírus miatt bevezetett korlátozó intézkedések lazítása kapcsán számos kérdés merül fel arra vonatkozóan, hogy a lazítás mellett milyen intézkedések bevezetése szükséges és indokolt a vírus terjedésének újbóli jelentős gyorsulásának megelőzése érdekében. Ezek között olyan intézkedések is lehetnek, amelyek adatkezeléssel járnak. Ilyen például a munkahelyi testhőmérséklet ellenőrzés, amellyel a NAIH egy friss állásfoglalásban is foglalkozik.  

Frissítés (2020.10.15.): A NAIH újabb tájékoztatót adott ki a témában, amely az egészségügyi válsághelyzetben bevezetett járványügyi készültség időtartama alatt a testhőmérséklet mérésével összefüggő egyes adatkezelések kérdésével foglalkozik. (Részletek az új tájékoztató kapcsán ebben a posztban olvashatók.)

Az Európai Adatvédelmi Testület két újabb iránymutatást adott ki a koronavírus (COVID-19) járvány kapcsán: (i) egészségügyi adatok kutatási célú kezelése a COVID-19 járvánnyal kapcsolatban (2020/03. sz. iránymutatás); és (ii) a helymeghatározási adatok és a kapcsolatok nyomon követésére szolgáló eszközök alkalmazásáról a COVID-19 járvánnyal összefüggésben (2020/04. sz. iránymutatás).

Az alábbiakban a fenti két iránymutatás legfontosabb megállapításait mutatom be.

Az Apple és a Google április 10-én jelentették be, hogy együttműködnek egy olyan technológiai keretrendszer közös kialakításában, amely alapul szolgálhat a koronavírus terjedésének nyomon követését segítő applikációk fejlesztésében. Az együttműködés jelentőségét az adja, hogy ezzel olyan, az app-ok fejlesztését megkönnyítő keretrendszer alakítható ki, amely elősegíti a sokfelé készülő applikációk interoperabilitását. 

A kezdeményezés révén kialakítandó keretrendszer (Contact Tracing Framework (CTF)) kapcsán a brit adatvédelmi biztos (ICO) április 17-én véleményt bocsátott ki. Az alábbiakban az ICO véleményében szereplő főbb megállapításokat foglalom össze. 

Az elmúlt hetekben sorra jelennek meg híradások a koronavírus megfékezése érdekében fejlesztett vagy tervezett applikációkról. A cél az, hogy olyan megoldások kerüljenek kialakításra, amelyek segíthetnek a vírus terjedésének lassításában azáltal, hogy értesítést küldenek abban az esetben, ha valaki igazolt vírushordozóval került kapcsolatba, még akkor is, ha a felek teljesen ismeretlenek egymás számára (pl. egymás mellett álltak egy tömegközlekedési járművön, vagy a boltban). Az egyik gyakran emlegetett alkalmazás a szingapúri TraceTogether, de újra és újra hivatkozott példa Dél-Korea is, ahol a vírus elleni küzdelemben mobil applikációt is alkalmaznak. A járványhelyzetre tekintettel még az Apple és a Google is együttműködésbe kezdett a koronavírus nyomon követésére szolgáló applikációk fejlesztésének elősegítése érdekében, az operációs rendszer szintjén megjelenő megoldások kialakításával. (Az Apple és Google együttműködése kapcsán a brit adatvédelmi hatóság már ki is adott egy véleményt, amelyről itt írtam részletesebben.)   

Európában is egyre többet lehet olvasni, hallani applikációk fejlesztéséről, amelyek a korlátozó intézkedések enyhítése során is alkalmazásra kerülhetnek, mivel gyors beavatkozást tehetnek lehetővé az esetleges vírussal történő érintkezés könnyebb és automatizált felderíthetősége révén. Az Európai Bizottság által a korlátozó intézkedések koordinált feloldására javaslatot tévő anyag ("Joint European Roadmap towards lifting COVID-19 containment measures") is külön kitér arra, hogy a korlátozások feloldásához szükséges eszköztár része lehet a koronavírussal való kapcsolat nyomon követésére szolgáló applikáció (lásd különösen 7-8. o.). A Bizottság április 8-i ajánlása ("Commission Recommendation on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data") pedig külön részt szentel a mobil applikációknak, kitérve az adatvédelmi követelmények kiemelt jelentőségére (lásd különösen 9-11.o.). A Bizottság kiemelt célja, hogy pán-európai megoldásokat keressen és a tagállamok törekvéseit a lehetőségekhez képest összehangolja, beleértve a mobil applikációk fejlesztését és alkalmazását is. Az EU-s elvárások részletese összefoglalását tartalmazza az eHealth Network keretében, a tagállamok számára összeállított anyag is, amely különböző eszközöket és megoldásokat gyűjt össze és kínál az applikációk fejlesztéséhez ("Mobile applications to support contact tracing in the EU’s fight against COVID-19 - Common EU Toolbox for Member States")  (Pán-európai fejlesztésre példa a PEPP-PT projekt.)

Az Európai Adatvédelmi Testület, amely már korábban is adott ki állásfoglalást a koronavírus elleni küzdelem adatvédelmi vonatkozásai kapcsán, április 14-én a Bizottság megkeresése kapcsán írt levelében ad további szempontokat az adatvédelmi szempontból is megfelelő applikációk fejlesztéséhez. A vélemény főbb megállapításait az alábbiakban foglalom össze.

A közelmúltban tette közzé a NAIH a 2019. évre vonatkozó éves beszámolóját. A Hatóság éves beszámolója több szempontból is nagyon fontos olvasmány: egyrészt képet ad az adatvédelem és információszabadság területén zajló főbb folyamatokról, másrészt néhány, a beszámolóban kiemelt ügy révén hasznos segítséget jelenthet a jogalkalmazáshoz, harmadrészt pedig a jövőre nézve is jelezhet olyan területeket, témákat, amelyek a Hatóság szempontjából kiemelt figyelmet élvezhetnek. A 2019-es beszámoló azért is különösen érdekes, mivel 2019. volt az első teljes év a GDPR alkalmazandóvá válását követően, így az új adatvédelmi szabályozás hatásai is jobban láthatóak lehetnek. 

Az alábbiakban a beszámoló néhány fontos, az adatvédelem területét érintő pontját emelem ki. 

A koronavírus (COVID-19) járvány megelőzése és kezelése körében számos olyan intézkedés merül fel, amely elkerülhetetlenül együtt jár személyes adatok kezelésével. Az adatvédelmi hatóságok sorra adták ki a vonatkozó állásfoglalásaikat (az egyes állásfoglalások összehasonlítása elérhető itt a Hogan Lovells gyűjtésében), köztük a NAIH is (március 10-i tájékoztató). 

Az Európai Adatvédelmi Testület először egy rövid sajtóközleményt adott ki, majd március 19-én egy részletesebb állásfoglalással jelentkezett (frissítés (2020.03.23.): a NAIH honlapján elérhetővé tették az állásfoglalás magyar nyelvű fordítását). Az állásfoglalás kiemeli, hogy az adatvédelmi szabályok nem gátjai a járvány elleni küzdelemnek, ugyanakkor a személyes adatok védelmét a rendkívüli körülmények között is biztosítani kell. A fennálló vészhelyzet ugyan szükségessé teheti bizonyos szabadságjogok átmeneti korlátozását, de ennek minden esetben szükségesnek és arányosnak kell lennie. 

Az állásfoglalás az alábbi témákat érinti: 

• adatkezelés jogszerűsége, 
• adatkezelési alapelvek,  
• mobil helymeghatározási adatok használata, 
• munkaviszony.