A koronavírus megelőzése érdekében tett munkáltatói lépések számos adatvédelmi kérdést is felvetnek, mivel az intézkedések gyakran együtt járnak személyes adatok kezelésével. A munkáltatók nehéz helyzetben vannak, hiszen egyrészt meg kell felelniük azon jogszabályi elvárásoknak, miszerint az egészséges és biztonságos munkavégzés feltételeit és körülményeit biztosítaniuk kell, másrészt ezt úgy kell teljesíteniük, hogy a jogszabályi környezet számos bizonytalanságot hordoz ilyen rendkívüli helyzetekhez kapcsolódó adatkezelések vonatkozásában. 

Az egyértelmű, hogy az életet és testi épséget veszélyeztető helyzetben a szükséges mértékű és a megfelelő keretek között végzett adatkezelés elfogadható, ugyanakkor érdemes megfontoltan eljárni, mivel a vírus terjedése okozta helyzet nem ad felmentést a személyes adatok kezelésére vonatkozó szabályok alkalmazása alól (lásd ehhez kapcsolódóan Eduardo Ustaran véleménycikkét "The coronavirus privacy dilemma"). Érdemes elolvasni az olasz adatvédelmi hatóság (Garante) közleményét (elérhető olaszul és angolul), amely felhívja a figyelmet arra, hogy a munkáltatóknak körültekintően kell eljárniuk és tartózkodniuk kell az előzetes és általános, szisztematikus adatgyűjtésektől ("On the other hand, employers must refrain from collecting, in advance and in a systematic and generalised manner, including through specific requests to the individual worker or unauthorized investigations, information on the presence of any signs of influenza in the worker and his or her closest contacts, or anyhow regarding areas outside the work environment.")

Nem szabad azt sem szem elől téveszteni, hogy a vírus terjedésének megelőzésével összefüggő adatkezelés nagyon könnyen csaphat át egészségügyi adatok, azaz különleges adatok kezelésébe, amelyre szigorúbb követelmények vonatkoznak.  

(Frissítés 2020.03.11.: Időközben megjelent a NAIH közleménye is a koronavírussal összefüggésben tett intézkedésekkel kapcsolatos adatkezelési kérdésekről. Korábban, többek között, a dán és a francia adatvédelmi hatóság is adott ki iránymutatást.)  

A GDPR alapján az adatkezelőknek kiemelt figyelmet kell fordítaniuk a kezelt adatok biztonságára, a megfelelő technikai és szervezési intézkedések megtételére. A gyakorlatban ugyanakkor sokszor nehezen határozható meg, hogy adott adatkezelés tekintetében mi tekinthető megfelelő adatbiztonsági intézkedésnek. Az ír adatvédelmi hatóság (DPC) friss útmutatója ehhez ad néhány konkrét kapaszkodót az adatkezelőknek. 

A NAIH egy frissen közzétett határozatában az adattakarékosság és az átlátható adatkezelés elvének megsértésével történő harmadik személyek felé történő adattovábbítás miatt 600.000 Ft összegű bírságot szabott ki a Zala Megyei Kormányhivatal Keszthelyi Járási Földhivatallal szemben.

Az Európai Bizottság február 19-én közzétette az európai adatstratégiára, vonatkozó anyagát, valamint a mesterséges intelligenciára vonatkozó fehér könyvet.

Mindkét anyag kiemeli, hogy a keletkező adatok mennyisége elképesztő tempóban növekszik: a 2018-as 33 zettabyte értékről 2025-re 175 zettabyte-ra. A várakozások szerint ráadásul az adatok feldolgozása és elemzése egyre inkább áthelyeződik az adatközpontokból az összekapcsolt okos eszközök (pl. okosautók, okos háztartási eszközök és ipari megoldások) irányába. 

A NAIH egy frissen közzétett határozatában elutasított egy részvényes által előterjesztett kérelmét, amely a Társaság rendes közgyűlésén készült teljes hangfelvétel (azaz a Kérelmező saját hangját tartalmazó felvételrészleten kívüli hangfelvétel) kiadására vonatkozott. 

Tényállás 

A közgyűlési jegyzőkönyvet a Társaság a közgyűlésen készített hangfelvétel alapján foglalta írásba. A Kérelmező részvényes álláspontja szerint a jegyzőkönyv több ponton is hibás volt és kiegészítésre, helyesbítésre szorult. A Kérelmező az eljárásban előadta, hogy a közgyűlésen német-magyar szinkrontolmács is részt vett, így a közgyűlésről készített hangfelvétel tartalmazza az eredeti hozzászólók hangját és a szinkrontolmács hivatalos fordítását is.A Társaság biztosította a Kérelmező saját hangját tartalmazó felvételek másolatának kiadását, ugyanakkor a teljes hangfelvétel másolatának (azaz a részvényes kérdésein kívül az arra a Társaság tisztségviselői által adott válaszokat is tartalmazó hangfelvétel, kivéve más részvényesek hozzászólásai és kérdései) kiadására vonatkozóan megtagadta a hozzáférési jogát. A Társaság az elutasítás indokaként előadta, hogy ".... más személlyel azonosítható kérdést, választ vagy nyilatkozatot kifejező hang - akár magyar vagy német nyelven - az adott személy személyes adatának minősül, ennek megfelelően ezen megnyilvánulások - ideértve a Kérelmező kérdéseire, észrevételeire a Kérelmezett vezető tisztségviselői által adott válaszok - rendelkezésre bocsátására a Kérelmező jogos igényt nem formálhat."

Az adatkezelések érintettjeinek védelme azt a célt szolgálja, hogy az érintettek ne csak tárgyai, hanem alanyai legyenek az adatkezelésnek. Fontos, hogy megfelelő ismeretekkel rendelkezzenek az őket érintő adatkezelésekkel kapcsolatban és kellően fel legyenek vértezve az adataikkal való esetleges visszaélések esetére. 

Az adatkezelőkkel szemben alapvető elvárás, hogy az adatkezelés műveletek végzése során biztosítsák az érintettek számára az őket megillető jogok gyakorlását. Ennek egyik előfeltétele, hogy az adatkezelés folyamatának átláthatónak kell lennie (lásd erről részletesen a 29-es Cikk szerinti Munkacsoport iránymutatását). A Rendelet preambuluma (39) az alábbi követelményeket határozza meg az átláthatósággal kapcsolatban: 

A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett személyes adatainak tisztességes és átlátható kezelése, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról. A természetes személyt a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat.   

Lassan pont került a Brexit-folyamat első felvonására, mivel az Európai Parlament is jóváhagyta a Brexit-megállapodást. A kilépés tehát rendezett formában valósul meg január 31-én, azaz az Egyesült Királyság elhagyja az Európai Uniót és február elsején kezdetét veszi a 11 hónapos átmeneti időszak. 

Korábban áttekintettem, hogy milyen lehetőségek merülnek fel az Egyesült Királyságba történő adattovábbításokra a különböző Brexit-forgatókönyvek mellett. Mostanra a  helyzet egyszerűsödött, hiszen a megállapodás jóváhagyásra került, így a forgatókönyvek köre szűkült. Az alábbiakban röviden összefoglalom, hogy mire kell készülni az adattovábbítások kapcsán 2020. február 1. után, illetve az átmeneti időszak végén. 

A NAIH több, még 2019-ben a GDPR alapján hozott határozatot tett közzé a napokban. A határozatok több, különböző adatkezeléssel kapcsolatos kérdést is érintettek és az egyik határozatban bírság kiszabására is sor került, 1.5 millió Ft összegben. 

A határozatok az alábbi főbb témákat érintik:

• kamerás megfigyelés jogellenessége (NAIH/2019/5421),
• törléshez való jog megsértése, jogalap nélküli adatkezelés, célhoz kötöttség, adattakarékosság és átláthatóság elvének megsértése (NAIH/2019/4424),
• célhoz kötöttség és adattakarékosság elvének megsértése, jogalap nélküli adatkezelés, adattovábbítás jogszerűségének vizsgálata, tájékoztatási kötelezettség (NAIH/2019/28/15),
• hozzáféréshez való jog gyakorlása (NAIH/2019/3202).

Az ír hatóság (DPC) - folytatva a tavalyi impozáns sort - újabb gyakorlatias hatósági iránymutatást adott ki a test- és más akciókamerákhoz kapcsolódó adatvédelmi kérdések kapcsán. Az iránymutatás kiadását indokolta, hogy az ilyen jellegű eszközök elterjedtsége egyre növekszik, ráadásul számos más hordozható, mozgó eszközhöz  (pl. fedélzeti kamerák, drónok) hasonlóan jelentős adatvédelmi kihívásokat jelenthet, hiszen gyakran az érintettek általi észlelhetősége is kérdéses lehet. A kockázatokat növeli, ha ezeket az eszközöket olyan, a magánszférára jelentős hatást gyakorló technológiákkal kombinálják, mint a hangrögzítés vagy az arcfelismerés. A rögzített személyes adatok tárolásának módja pedig könnyen az adatok elvesztéséhez, illetéktelen hozzáférésekhez vezethet. 

Az év eleje egyrészt az új évre való előretekintésre, másrészt az elmúlt évre való visszatekintésre alkalmas időszak. Az adatvédelem kapcsán is lehetőséget ad ez arra, hogy átgondoljuk a mögöttünk hagyott egy évet (a GDPR alkalmazásának első teljes évét), de egyúttal készüljünk a következő év kihívásaira is. A GDPR első teljes éve, illetve a most már közel két éves új európai adatvédelmi szabályozás számos olyan fejleményt hozott, amely a következő időszakra nézve is jelentős hatással lehet. Ráadásul Európa határain túl is igen eseménydús éven vagyunk túl, ami az adatvédelmet érinti.