1
Április
2020
S
sg
AZ EDPB nyilatkozata a személyes adatok kezeléséről a COVID-19 járvány kitörésével összefüggésben
Blog
egészségügykülönleges adatkoronavírus
Az Európai Adatvédelmi Testület 2020. március 19-én nyilatkozatot adott ki a COVID-19 járvány kitörésével összefüggő személyes adatok kezeléséről
Az Európai Adatvédelmi Testület az alábbi nyilatkozatot fogadta el:
A kormányok, állami és magánszervezetek egész Európában intézkedéseket hoznak a
COVID-19 korlátozására és enyhítésére. Ez magában foglalhatja különböző típusú
személyes adatok kezelését.
Az adatvédelmi szabályok (például a GDPR) nem akadályozhatják a koronavírus
világjárvány elleni küzdelemben hozott intézkedéseket. A fertőző betegségek elleni
küzdelem minden nemzet közös célkitűzése, ezért azt a lehető legjobb módon kell
támogatni. Az emberiség érdeke, hogy megfékezze a betegségek terjedését, és modern
technikákat alkalmazzon a világ nagy részeit érintő csapások elleni küzdelemben. Ennek
ellenére az EDPB hangsúlyozni kívánja, hogy még ezekben az extrém időkben is az
adatkezelőnek és az adatfeldolgozónak biztosítania kell az érintettek személyes adatainak
védelmét. Ezért számos szempontot figyelembe kell venni a személyes adatok jogszerű
kezelésének garantálása érdekében, és minden esetben emlékeztetni kell arra, hogy az
ebben az összefüggésben hozott intézkedéseknek tiszteletben kell tartaniuk az általános
elveket, azokkal nem lehetnek ellentétesek. A vészhelyzet olyan jogi feltétel, amely
legitimálhatja az egyének szabadságának korlátozását, feltéve, hogy ezek a korlátozások
arányosak és csak a vészhelyzet idejére korlátozódnak.
1. Az adatkezelés jogalapja
A GDPR olyan általános jogszabály, melynek előírásai a személyes adatok kezelésére
olyan körülmények között is alkalmazandóak, mint például a COVID-19 járvány. A GDPR
lehetővé teszi az illetékes közegészségügyi hatóságok és a munkáltatók számára, hogy a
járvánnyal kapcsolatos esetekben a nemzeti jogszabályokkal összhangban és az ott
meghatározott feltételekkel kezeljenek személyes adatokat. Például, ha az adatok
kezelésére a közegészségügy területén jelentős közérdek miatt van szükség. Ilyen
körülmények között nincs szükség az egyének hozzájárulására.
1.1 A személyes adatok - ideértve az adatok különleges kategóriáit - az illetékes
hatóságok (például közegészségügyi hatóságok) általi kezelését illetően az EDPB úgy
véli, hogy a GDPR 6. és 9. cikke lehetővé teszi a személyes adatok kezelését, különösen
akkor, amikor ez a hatóságoknak a nemzeti jogszabályok által biztosított törvényes
hatáskörébe tartozik és megfelel a GDPR-ban előírt kötelezettségeknek.
1.2 A foglalkoztatási kontextusban a személyes adatok kezelése szükséges lehet a
munkáltató számára fennálló jogszabályi kötelezettségek ellátása céljából – például a
munkahelyi egészségvédelem és biztonság megőrzése, vagy a közérdekkel
összefüggésben – a betegségek és egyéb egészségügyi veszélyek elhárítása érdekében.
A GDPR eltérést enged a személyes adatok egyes különleges kategóriáinak, például az
egészségügyi adatok kezelésének tilalma alól, amennyiben az a közegészségügy
területén fennálló jelentős közérdek miatt szükséges (9. cikk (2) bekezdés i) pont), vagy az
érintett alapvető érdekeinek védelme érdekében szükséges (9. cikk (2) bekezdés c) pont),
illetve a (46) preambulumbekezdés kifejezetten utal a járvány idején történő
adatkezelésekre.
1.3 A távközlési adatok - például a helymeghatározási adatok - kezelése során
tiszteletben kell tartani Az elektronikus hírközlési adatvédelmi irányelvet végrehajtó
nemzeti jogszabályokat. Elvben a helymeghatározási adatokat csak az adatkezelő
kezelheti anonim módon vagy a magánszemélyek hozzájárulásával. Azonban az
elektronikus hírközlési adatvédelmi irányelv 15. cikke lehetővé teszi a tagállamok
számára, hogy jogalkotási intézkedéseket vezessenek be a közbiztonság védelme
érdekében. Az ilyen kivételes szabályozás csak akkor lehetséges, ha szükséges,
megfelelő és arányos intézkedést jelent egy demokratikus társadalomban. Ezeknek az
intézkedéseknek összhangban kell lenniük az Alapjogi Chartával és Az emberi jogok és
alapvető szabadságok védelméről szóló európai egyezménnyel. Ezenkívül az Európai
Bíróság és az Emberi Jogok Európai Bírósága igazságügyi ellenőrzése alá tartozik.
Vészhelyzet esetén azt szigorúan a kezelt vészhelyzet időtartamára kell korlátozni.
2. A személyes adatok kezelésére vonatkozó alapelvek
A kitűzött célok eléréséhez szükséges személyes adatokat pontosan meghatározott
célhoz kötötten kell kezelni.
Ezenkívül az érintetteknek átlátható információkat kell kapniuk a végrehajtandó
adatkezelési tevékenységekről és azok főbb jellemzőiről, ideértve a gyűjtött adatok
megőrzési idejét és az adatkezelés céljait. A közölt információknak könnyen
hozzáférhetően és egyértelmű, érthető nyelven kell rendelkezésre állniuk.
Fontos továbbá megfelelő biztonsági intézkedések és titoktartási politikák bevezetése és
elfogadása annak biztosítása érdekében, hogy a személyes adatokat ne tegyék
jogosulatlan felek számára hozzáférhetővé. A jelenlegi vészhelyzet kezelése során hozott
és a mögöttes döntéshozatali folyamatban végrehajtott intézkedéseket megfelelően
dokumentálni kell.
3. A mobil helymeghatározási adatok felhasználása
• Használhatják-e a tagállamok kormányai az egyének mobiltelefonjával kapcsolatos
személyes adatokat a COVID-19 megfigyelésére, korlátozására vagy enyhítésére
irányuló erőfeszítéseik során?
Néhány tagállamban a kormányok a COVID-19 megfigyelésének, korlátozásának vagy
enyhítésének egyik lehetséges módjaként a mobil helymeghatározási adatok
felhasználását tervezik. Ez magában foglalja például annak lehetőségét, hogy az egyének
földrajzi helyzetét megfigyelje, vagy közegészségügyi üzeneteket küldjön egy adott
területen élő személyeknek telefonon vagy szöveges üzenetben. A hatóságoknak
törekedniük kell a helymeghatározási adatok névtelen kezelésére (azaz olyan
adatkezelésre, hogy az egyéneket nem lehessen újra beazonosítani), ez lehetővé tenné
jelentések készítését a mobil eszközöknek egy adott helyen történő koncentrációjáról
(„térképészet”).
A személyes adatok védelmére vonatkozó szabályok nem vonatkoznak a megfelelően
anonimizált adatokra.
Ha nem lehetséges anonim adatok kezelése, az elektronikus hírközlési adatvédelemi
irányelv lehetővé teszi a tagállamok számára, hogy jogalkotási intézkedéseket hozzanak a
közbiztonság védelme érdekében (15. cikk).
A nem anonimizált helymeghatározási adatok kezelését lehetővé tevő intézkedések
bevezetése esetén a tagállam köteles megfelelő biztosítékokat bevezetni, például
biztosítani az elektronikus hírközlési szolgáltatásokkal kapcsolatos jogorvoslatot az
egyének számára.
Az arányosság elve szintén alkalmazandó. A legkevésbé zavaró megoldásokat mindig
előnyben kell részesíteni, figyelembe véve az elérendő konkrét célt. Az invazív
intézkedések, például az egyének „nyomon követése” (vagyis a történeti, nem anonimizált
helymeghatározási adatok kezelése) kivételes körülmények között és a feldolgozás
konkrét módozatától függően arányosnak tekinthetők. Mindazonáltal fokozott
ellenőrzésnek és biztosítékoknak kell alávetni az adatvédelmi elvek tiszteletben tartásának
biztosítását (az intézkedés arányossága, az időtartam, és a hatály tekintetében, az adatok
korlátozott megőrzése és a cél korlátozása).
4. Foglalkoztatás
• A munkáltató megkövetelheti-e a látogatóktól vagy az alkalmazottaktól, hogy
konkrét egészségügyi információkat szolgáltassanak magukról a COVID-19
kapcsán?
Az arányosság elve és az adatminimalizálás itt különösen releváns. A munkáltatónak csak
akkor kell megkövetelnie az egészségügyi információkat, ha a nemzeti jogszabályok azt
megengedik.
• Megengedett-e, hogy a munkáltató orvosi ellenőrzéseket végezzen az
alkalmazottakon?
A válasz a foglalkoztatásra, az egészségre és a biztonságra vonatkozó nemzeti
jogszabályokra támaszkodik. A munkaadók csak akkor férhetnek hozzá és dolgozhatnak
fel egészségügyi adatokat, ha saját jogszabályi kötelezettségeik azt megkövetelik.
• A munkaadók felfedhetik-e a COVID-19-el fertőzött munkavállalót kollégái vagy a
külső személyek előtt?
A munkáltatóknak tájékoztatniuk kell a személyzetet a COVID-19 esetekről és
védőintézkedéseket kell tenniük, de a szükségesnél több információt nem szabad
átadniuk. Azokban az esetekben, amikor nyilvánosságra kell hozni a vírussal fertőzött
munkavállaló(k) nevét (pl. megelőző intézkedések miatt), amennyiben azt a nemzeti
jogszabály lehetővé teszi, az érintett munkavállalókat előzetesen tájékoztatni kell,
azonban emberi méltóságukat tiszteletben kell tartani.
• Milyen információkat gyűjthetnek a munkáltatók a COVID-19 járvánnyal
összefüggésben?
A munkáltatók személyes információkat gyűjthetnek a feladataik ellátása érdekében a
nemzeti jogszabályokban foglaltak szerint, a munka megfelelő megszervezése céljából.