A koronavírus (COVID-19) járvány megelőzése és kezelése körében számos olyan intézkedés merül fel, amely elkerülhetetlenül együtt jár személyes adatok kezelésével. Az adatvédelmi hatóságok sorra adták ki a vonatkozó állásfoglalásaikat (az egyes állásfoglalások összehasonlítása elérhető itt a Hogan Lovells gyűjtésében), köztük a NAIH is (március 10-i tájékoztató). 

Az Európai Adatvédelmi Testület először egy rövid sajtóközleményt adott ki, majd március 19-én egy részletesebb állásfoglalással jelentkezett (frissítés (2020.03.23.): a NAIH honlapján elérhetővé tették az állásfoglalás magyar nyelvű fordítását). Az állásfoglalás kiemeli, hogy az adatvédelmi szabályok nem gátjai a járvány elleni küzdelemnek, ugyanakkor a személyes adatok védelmét a rendkívüli körülmények között is biztosítani kell. A fennálló vészhelyzet ugyan szükségessé teheti bizonyos szabadságjogok átmeneti korlátozását, de ennek minden esetben szükségesnek és arányosnak kell lennie. 

Az állásfoglalás az alábbi témákat érinti: 

• adatkezelés jogszerűsége, 
• adatkezelési alapelvek,  
• mobil helymeghatározási adatok használata, 
• munkaviszony.

A magyar adatvédelmi hatóság (NAIH) fotó Facebookon történő engedély nélküli közzététele miatt hozott elmarasztaló határozatot, amelyben 100.000 Ft összegű bírságot szabott ki.

A tényállás szerint a VIII. kerületi önkormányzat jelenlegi alpolgármestere az önkormányzati választási kampányban tett közzé az érintettet is ábrázoló képet, amelyen választási plakátok eltávolításával kapcsolatban készült, bár maga a kép a letépést követően készült (a kérelmezett előadása szerint: "A képen az látható, hogy egy közfeladat ellátásával megbízott személy választási időszakban önhatalmúlag egy választási hirdetményt semmisít meg.").

A közzététel kapcsán a kérelmezett arra hivatkozott, hogy a "képfelvételt tartalmazó bejegyzés közzétételének alapja a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog, célja pedig a közhatalom gyakorlása szempontjából közérdeklődésre számot tartó eseményről való tájékoztatás volt." "A fényképfelvétel elkészítésére és közzétételére tehát a Kérelmező cselekményének rögzítése és nyilvánosság elé tárása céljából került sor, a választások tisztaságának és a választók kiegyensúlyozott tájékoztatásának biztosítása érdekében. A képmás elkészítésének jogalapja a véleménynyilvánításhoz, a választások tisztaságához és a választók kiegyensúlyozott tájékozódásához fűződő jog volt." 

A kérelmező sérelmezte azt is, hogy a fotón szereplő kiskorú lányának arcát kitakarták ugyan, de a bejegyzésben utaltak a jelenlétére, így könnyen beazonosíthatóvá vált.

A kérelmez sérelmesnek találta,. hogy a kérelmezett a bejegyzés eltávolításával kapcsolatos megkeresésére nem is reagált.

A koronavírus megelőzése érdekében tett munkáltatói lépések számos adatvédelmi kérdést is felvetnek, mivel az intézkedések gyakran együtt járnak személyes adatok kezelésével. A munkáltatók nehéz helyzetben vannak, hiszen egyrészt meg kell felelniük azon jogszabályi elvárásoknak, miszerint az egészséges és biztonságos munkavégzés feltételeit és körülményeit biztosítaniuk kell, másrészt ezt úgy kell teljesíteniük, hogy a jogszabályi környezet számos bizonytalanságot hordoz ilyen rendkívüli helyzetekhez kapcsolódó adatkezelések vonatkozásában. 

Az egyértelmű, hogy az életet és testi épséget veszélyeztető helyzetben a szükséges mértékű és a megfelelő keretek között végzett adatkezelés elfogadható, ugyanakkor érdemes megfontoltan eljárni, mivel a vírus terjedése okozta helyzet nem ad felmentést a személyes adatok kezelésére vonatkozó szabályok alkalmazása alól (lásd ehhez kapcsolódóan Eduardo Ustaran véleménycikkét "The coronavirus privacy dilemma"). Érdemes elolvasni az olasz adatvédelmi hatóság (Garante) közleményét (elérhető olaszul és angolul), amely felhívja a figyelmet arra, hogy a munkáltatóknak körültekintően kell eljárniuk és tartózkodniuk kell az előzetes és általános, szisztematikus adatgyűjtésektől ("On the other hand, employers must refrain from collecting, in advance and in a systematic and generalised manner, including through specific requests to the individual worker or unauthorized investigations, information on the presence of any signs of influenza in the worker and his or her closest contacts, or anyhow regarding areas outside the work environment.")

Nem szabad azt sem szem elől téveszteni, hogy a vírus terjedésének megelőzésével összefüggő adatkezelés nagyon könnyen csaphat át egészségügyi adatok, azaz különleges adatok kezelésébe, amelyre szigorúbb követelmények vonatkoznak.  

(Frissítés 2020.03.11.: Időközben megjelent a NAIH közleménye is a koronavírussal összefüggésben tett intézkedésekkel kapcsolatos adatkezelési kérdésekről. Korábban, többek között, a dán és a francia adatvédelmi hatóság is adott ki iránymutatást.)  

A GDPR alapján az adatkezelőknek kiemelt figyelmet kell fordítaniuk a kezelt adatok biztonságára, a megfelelő technikai és szervezési intézkedések megtételére. A gyakorlatban ugyanakkor sokszor nehezen határozható meg, hogy adott adatkezelés tekintetében mi tekinthető megfelelő adatbiztonsági intézkedésnek. Az ír adatvédelmi hatóság (DPC) friss útmutatója ehhez ad néhány konkrét kapaszkodót az adatkezelőknek. 

A NAIH egy frissen közzétett határozatában az adattakarékosság és az átlátható adatkezelés elvének megsértésével történő harmadik személyek felé történő adattovábbítás miatt 600.000 Ft összegű bírságot szabott ki a Zala Megyei Kormányhivatal Keszthelyi Járási Földhivatallal szemben.

Az Európai Bizottság február 19-én közzétette az európai adatstratégiára, vonatkozó anyagát, valamint a mesterséges intelligenciára vonatkozó fehér könyvet.

Mindkét anyag kiemeli, hogy a keletkező adatok mennyisége elképesztő tempóban növekszik: a 2018-as 33 zettabyte értékről 2025-re 175 zettabyte-ra. A várakozások szerint ráadásul az adatok feldolgozása és elemzése egyre inkább áthelyeződik az adatközpontokból az összekapcsolt okos eszközök (pl. okosautók, okos háztartási eszközök és ipari megoldások) irányába. 

A NAIH egy frissen közzétett határozatában elutasított egy részvényes által előterjesztett kérelmét, amely a Társaság rendes közgyűlésén készült teljes hangfelvétel (azaz a Kérelmező saját hangját tartalmazó felvételrészleten kívüli hangfelvétel) kiadására vonatkozott. 

Tényállás 

A közgyűlési jegyzőkönyvet a Társaság a közgyűlésen készített hangfelvétel alapján foglalta írásba. A Kérelmező részvényes álláspontja szerint a jegyzőkönyv több ponton is hibás volt és kiegészítésre, helyesbítésre szorult. A Kérelmező az eljárásban előadta, hogy a közgyűlésen német-magyar szinkrontolmács is részt vett, így a közgyűlésről készített hangfelvétel tartalmazza az eredeti hozzászólók hangját és a szinkrontolmács hivatalos fordítását is.A Társaság biztosította a Kérelmező saját hangját tartalmazó felvételek másolatának kiadását, ugyanakkor a teljes hangfelvétel másolatának (azaz a részvényes kérdésein kívül az arra a Társaság tisztségviselői által adott válaszokat is tartalmazó hangfelvétel, kivéve más részvényesek hozzászólásai és kérdései) kiadására vonatkozóan megtagadta a hozzáférési jogát. A Társaság az elutasítás indokaként előadta, hogy ".... más személlyel azonosítható kérdést, választ vagy nyilatkozatot kifejező hang - akár magyar vagy német nyelven - az adott személy személyes adatának minősül, ennek megfelelően ezen megnyilvánulások - ideértve a Kérelmező kérdéseire, észrevételeire a Kérelmezett vezető tisztségviselői által adott válaszok - rendelkezésre bocsátására a Kérelmező jogos igényt nem formálhat."

Az adatkezelések érintettjeinek védelme azt a célt szolgálja, hogy az érintettek ne csak tárgyai, hanem alanyai legyenek az adatkezelésnek. Fontos, hogy megfelelő ismeretekkel rendelkezzenek az őket érintő adatkezelésekkel kapcsolatban és kellően fel legyenek vértezve az adataikkal való esetleges visszaélések esetére. 

Az adatkezelőkkel szemben alapvető elvárás, hogy az adatkezelés műveletek végzése során biztosítsák az érintettek számára az őket megillető jogok gyakorlását. Ennek egyik előfeltétele, hogy az adatkezelés folyamatának átláthatónak kell lennie (lásd erről részletesen a 29-es Cikk szerinti Munkacsoport iránymutatását). A Rendelet preambuluma (39) az alábbi követelményeket határozza meg az átláthatósággal kapcsolatban: 

A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett személyes adatainak tisztességes és átlátható kezelése, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról. A természetes személyt a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat.   

Lassan pont került a Brexit-folyamat első felvonására, mivel az Európai Parlament is jóváhagyta a Brexit-megállapodást. A kilépés tehát rendezett formában valósul meg január 31-én, azaz az Egyesült Királyság elhagyja az Európai Uniót és február elsején kezdetét veszi a 11 hónapos átmeneti időszak. 

Korábban áttekintettem, hogy milyen lehetőségek merülnek fel az Egyesült Királyságba történő adattovábbításokra a különböző Brexit-forgatókönyvek mellett. Mostanra a  helyzet egyszerűsödött, hiszen a megállapodás jóváhagyásra került, így a forgatókönyvek köre szűkült. Az alábbiakban röviden összefoglalom, hogy mire kell készülni az adattovábbítások kapcsán 2020. február 1. után, illetve az átmeneti időszak végén. 

A NAIH több, még 2019-ben a GDPR alapján hozott határozatot tett közzé a napokban. A határozatok több, különböző adatkezeléssel kapcsolatos kérdést is érintettek és az egyik határozatban bírság kiszabására is sor került, 1.5 millió Ft összegben. 

A határozatok az alábbi főbb témákat érintik:

• kamerás megfigyelés jogellenessége (NAIH/2019/5421),
• törléshez való jog megsértése, jogalap nélküli adatkezelés, célhoz kötöttség, adattakarékosság és átláthatóság elvének megsértése (NAIH/2019/4424),
• célhoz kötöttség és adattakarékosság elvének megsértése, jogalap nélküli adatkezelés, adattovábbítás jogszerűségének vizsgálata, tájékoztatási kötelezettség (NAIH/2019/28/15),
• hozzáféréshez való jog gyakorlása (NAIH/2019/3202).