1
Április
2020
S
sg

AZ EDPB nyilatkozata a személyes adatok kezeléséről a COVID-19 járvány kitörésével összefüggésben

Blog
egészségügykülönleges adatkoronavírus
Az Európai Adatvédelmi Testület 2020. március 19-én nyilatkozatot adott ki a COVID-19 járvány kitörésével összefüggő személyes adatok kezeléséről
Az Európai Adatvédelmi Testület az alábbi nyilatkozatot fogadta el: A kormányok, állami és magánszervezetek egész Európában intézkedéseket hoznak a COVID-19 korlátozására és enyhítésére. Ez magában foglalhatja különböző típusú személyes adatok kezelését. Az adatvédelmi szabályok (például a GDPR) nem akadályozhatják a koronavírus világjárvány elleni küzdelemben hozott intézkedéseket. A fertőző betegségek elleni küzdelem minden nemzet közös célkitűzése, ezért azt a lehető legjobb módon kell támogatni. Az emberiség érdeke, hogy megfékezze a betegségek terjedését, és modern technikákat alkalmazzon a világ nagy részeit érintő csapások elleni küzdelemben. Ennek ellenére az EDPB hangsúlyozni kívánja, hogy még ezekben az extrém időkben is az adatkezelőnek és az adatfeldolgozónak biztosítania kell az érintettek személyes adatainak védelmét. Ezért számos szempontot figyelembe kell venni a személyes adatok jogszerű kezelésének garantálása érdekében, és minden esetben emlékeztetni kell arra, hogy az ebben az összefüggésben hozott intézkedéseknek tiszteletben kell tartaniuk az általános elveket, azokkal nem lehetnek ellentétesek. A vészhelyzet olyan jogi feltétel, amely legitimálhatja az egyének szabadságának korlátozását, feltéve, hogy ezek a korlátozások arányosak és csak a vészhelyzet idejére korlátozódnak. 1. Az adatkezelés jogalapja A GDPR olyan általános jogszabály, melynek előírásai a személyes adatok kezelésére olyan körülmények között is alkalmazandóak, mint például a COVID-19 járvány. A GDPR lehetővé teszi az illetékes közegészségügyi hatóságok és a munkáltatók számára, hogy a járvánnyal kapcsolatos esetekben a nemzeti jogszabályokkal összhangban és az ott meghatározott feltételekkel kezeljenek személyes adatokat. Például, ha az adatok kezelésére a közegészségügy területén jelentős közérdek miatt van szükség. Ilyen körülmények között nincs szükség az egyének hozzájárulására. 1.1 A személyes adatok - ideértve az adatok különleges kategóriáit - az illetékes hatóságok (például közegészségügyi hatóságok) általi kezelését illetően az EDPB úgy véli, hogy a GDPR 6. és 9. cikke lehetővé teszi a személyes adatok kezelését, különösen akkor, amikor ez a hatóságoknak a nemzeti jogszabályok által biztosított törvényes hatáskörébe tartozik és megfelel a GDPR-ban előírt kötelezettségeknek.
1.2 A foglalkoztatási kontextusban a személyes adatok kezelése szükséges lehet a munkáltató számára fennálló jogszabályi kötelezettségek ellátása céljából – például a munkahelyi egészségvédelem és biztonság megőrzése, vagy a közérdekkel összefüggésben – a betegségek és egyéb egészségügyi veszélyek elhárítása érdekében. A GDPR eltérést enged a személyes adatok egyes különleges kategóriáinak, például az egészségügyi adatok kezelésének tilalma alól, amennyiben az a közegészségügy területén fennálló jelentős közérdek miatt szükséges (9. cikk (2) bekezdés i) pont), vagy az érintett alapvető érdekeinek védelme érdekében szükséges (9. cikk (2) bekezdés c) pont), illetve a (46) preambulumbekezdés kifejezetten utal a járvány idején történő adatkezelésekre. 1.3 A távközlési adatok - például a helymeghatározási adatok - kezelése során tiszteletben kell tartani Az elektronikus hírközlési adatvédelmi irányelvet végrehajtó nemzeti jogszabályokat. Elvben a helymeghatározási adatokat csak az adatkezelő kezelheti anonim módon vagy a magánszemélyek hozzájárulásával. Azonban az elektronikus hírközlési adatvédelmi irányelv 15. cikke lehetővé teszi a tagállamok számára, hogy jogalkotási intézkedéseket vezessenek be a közbiztonság védelme érdekében. Az ilyen kivételes szabályozás csak akkor lehetséges, ha szükséges, megfelelő és arányos intézkedést jelent egy demokratikus társadalomban. Ezeknek az intézkedéseknek összhangban kell lenniük az Alapjogi Chartával és Az emberi jogok és alapvető szabadságok védelméről szóló európai egyezménnyel. Ezenkívül az Európai Bíróság és az Emberi Jogok Európai Bírósága igazságügyi ellenőrzése alá tartozik. Vészhelyzet esetén azt szigorúan a kezelt vészhelyzet időtartamára kell korlátozni. 2. A személyes adatok kezelésére vonatkozó alapelvek A kitűzött célok eléréséhez szükséges személyes adatokat pontosan meghatározott célhoz kötötten kell kezelni. Ezenkívül az érintetteknek átlátható információkat kell kapniuk a végrehajtandó adatkezelési tevékenységekről és azok főbb jellemzőiről, ideértve a gyűjtött adatok megőrzési idejét és az adatkezelés céljait. A közölt információknak könnyen hozzáférhetően és egyértelmű, érthető nyelven kell rendelkezésre állniuk. Fontos továbbá megfelelő biztonsági intézkedések és titoktartási politikák bevezetése és elfogadása annak biztosítása érdekében, hogy a személyes adatokat ne tegyék jogosulatlan felek számára hozzáférhetővé. A jelenlegi vészhelyzet kezelése során hozott és a mögöttes döntéshozatali folyamatban végrehajtott intézkedéseket megfelelően dokumentálni kell. 3. A mobil helymeghatározási adatok felhasználása • Használhatják-e a tagállamok kormányai az egyének mobiltelefonjával kapcsolatos személyes adatokat a COVID-19 megfigyelésére, korlátozására vagy enyhítésére irányuló erőfeszítéseik során?
Néhány tagállamban a kormányok a COVID-19 megfigyelésének, korlátozásának vagy enyhítésének egyik lehetséges módjaként a mobil helymeghatározási adatok felhasználását tervezik. Ez magában foglalja például annak lehetőségét, hogy az egyének földrajzi helyzetét megfigyelje, vagy közegészségügyi üzeneteket küldjön egy adott területen élő személyeknek telefonon vagy szöveges üzenetben. A hatóságoknak törekedniük kell a helymeghatározási adatok névtelen kezelésére (azaz olyan adatkezelésre, hogy az egyéneket nem lehessen újra beazonosítani), ez lehetővé tenné jelentések készítését a mobil eszközöknek egy adott helyen történő koncentrációjáról („térképészet”). A személyes adatok védelmére vonatkozó szabályok nem vonatkoznak a megfelelően anonimizált adatokra. Ha nem lehetséges anonim adatok kezelése, az elektronikus hírközlési adatvédelemi irányelv lehetővé teszi a tagállamok számára, hogy jogalkotási intézkedéseket hozzanak a közbiztonság védelme érdekében (15. cikk). A nem anonimizált helymeghatározási adatok kezelését lehetővé tevő intézkedések bevezetése esetén a tagállam köteles megfelelő biztosítékokat bevezetni, például biztosítani az elektronikus hírközlési szolgáltatásokkal kapcsolatos jogorvoslatot az egyének számára. Az arányosság elve szintén alkalmazandó. A legkevésbé zavaró megoldásokat mindig előnyben kell részesíteni, figyelembe véve az elérendő konkrét célt. Az invazív intézkedések, például az egyének „nyomon követése” (vagyis a történeti, nem anonimizált helymeghatározási adatok kezelése) kivételes körülmények között és a feldolgozás konkrét módozatától függően arányosnak tekinthetők. Mindazonáltal fokozott ellenőrzésnek és biztosítékoknak kell alávetni az adatvédelmi elvek tiszteletben tartásának biztosítását (az intézkedés arányossága, az időtartam, és a hatály tekintetében, az adatok korlátozott megőrzése és a cél korlátozása). 4. Foglalkoztatás • A munkáltató megkövetelheti-e a látogatóktól vagy az alkalmazottaktól, hogy konkrét egészségügyi információkat szolgáltassanak magukról a COVID-19 kapcsán? Az arányosság elve és az adatminimalizálás itt különösen releváns. A munkáltatónak csak akkor kell megkövetelnie az egészségügyi információkat, ha a nemzeti jogszabályok azt megengedik. • Megengedett-e, hogy a munkáltató orvosi ellenőrzéseket végezzen az alkalmazottakon?
A válasz a foglalkoztatásra, az egészségre és a biztonságra vonatkozó nemzeti jogszabályokra támaszkodik. A munkaadók csak akkor férhetnek hozzá és dolgozhatnak fel egészségügyi adatokat, ha saját jogszabályi kötelezettségeik azt megkövetelik. • A munkaadók felfedhetik-e a COVID-19-el fertőzött munkavállalót kollégái vagy a külső személyek előtt? A munkáltatóknak tájékoztatniuk kell a személyzetet a COVID-19 esetekről és védőintézkedéseket kell tenniük, de a szükségesnél több információt nem szabad átadniuk. Azokban az esetekben, amikor nyilvánosságra kell hozni a vírussal fertőzött munkavállaló(k) nevét (pl. megelőző intézkedések miatt), amennyiben azt a nemzeti jogszabály lehetővé teszi, az érintett munkavállalókat előzetesen tájékoztatni kell, azonban emberi méltóságukat tiszteletben kell tartani. • Milyen információkat gyűjthetnek a munkáltatók a COVID-19 járvánnyal összefüggésben? A munkáltatók személyes információkat gyűjthetnek a feladataik ellátása érdekében a nemzeti jogszabályokban foglaltak szerint, a munka megfelelő megszervezése céljából.
További információra lenne szüksége?
Keressen minket bizalommal!