Útmutató a személyes adatok kontaktkutatás keretében történő felhasználásával kapcsolatban
Ahogy a COVID-19 második hulláma fellángolt, az üzletek, vállalkozások, illetve munkáltatók is számos intézkedést hoznak, amelyek járvány terjedésének megelőzésére, kezelésére vagy következményeinek elhárítására szolgálnak. Ezek közé tartozik az – a széles körben elterjedt gyakorlat –, miszerint az adatkezelők a látogatók / ügyfelek adatait rögzítik és bizonyos ideig megőrzik. Amennyiben ugyanis a fertőzéssel való kontaktálás veszélye fennáll, e szervezetek utólag is képesek felvenni a kapcsolatot az érintettel, figyelmeztetni őt a veszélyre, illetve tudatosítani benne a további lépések megtételének szükségességét (pl. orvosi vizsgálat, karantén stb.). Az ír adatvédelmi hatóság (Data Protection Commission – DPC) 2020. szeptember 15-én iránymutatást bocsátott, amelynek célja az említett adatkezelők tevékenységének megkönnyítése, a vonatkozó adatkezelések jogszerűségének biztosítása.
A DPC mindenekelőtt kiemelte, hogy az adatkezelők kötelesek a legszükségesebbre korlátozni az általuk gyűjtött adatok körét és mennyiségét is. Ez azt jelenti, hogy csak a kontaktkutatás szempontjából leglényegesebb adatok (név, elérhetőség, a vírussal való lehetséges érintkezés helye és ideje) kerülhetnek rögzítésre, azon túlmenően más információk megadására az érintettek nem kötelezhetők. Ezzel kapcsolatban megjegyeznénk, hogy a Nemzeti Adatvédelmi és Információszabadság vonatkozó gyakorlata szerint az adatalanyok rendszerint egy, általuk preferált elérhetőségi adat megadására kötelezhetők (telefonszám, postai cím, e-mail cím). Fontos tovább kiemelni, hogy az adatok megadásakor az érintettek nem kötelesek személyazonosságukat igazolni.
Az adatkezelőknek megfelelő tájékoztatásban kell részesítenie az érintetteket, amely igazodik az általuk igénybe vett szolgáltatásokhoz, illetve az adatkezelő és az adatalanyközötti kapcsolattartás módjához.
A személyes adatok kezelésének – különös tekintettel az információk tarolására – körülményeit oly módon kell kialakítani, hogy az adatok biztonsága garantálva legyen. Egyrészt figyelni kell az adatok felvételénél arra, hogy a név és kapcsolati információkhoz arra nem jogosult személyek, pl. más látogatók vagy ügyfelek ne férhessenek hozzá. Másrészt a tárolt személyes adatokat a tárolási idő leteltével törölni kell. A kezelt személyes adatokat tilos közvetlen üzletszerzés vagy más, egyéb célból felhasználni. Az adatokhoz csak az arra feljogosított hatóságok férhetnek hozzá, amennyiben a kontaktkutatás szükségessé válik.
A személyes adatok megőrzésének idejét úgy kell meghatározni, hogy az lehetőséget biztosítson a járvánnyal kapcsolatos intézkedések meghozatalára, így a kontaktkutatás lefolytatására (ez Írországban jelenleg 1 hónap). Az adatokat azonban nem szabad korlátlanul tárolni vagy megőrizni, amelyet az adatkezelőknek megfelelő eljárással is garantálnia kell.
Forrás: https://www.dataguidance.com, https://www.dataprotection.ie