Már több, mint egy hete elérhető a Nemzeti Adatvédelmi és Információszabadság Hatóság tájékoztatója a COVID-19 járványügyi helyzettel összefüggésben, most viszont elérhetővé vált az uniós European Data Protection Board nyilatkozata is az európai járványügyi helyzet adatvédelmi vonatkozásai kapcsán.
Az Európai Adatvédelmi Testület (EDBP) szerint az adatvédelmi szabályok (mint amilyen például a GDPR) nem akadályozhatják a koronavírus világjárvány elleni küzdelemben hozott intézkedéseket.
Ennek ellenére az EDPB hangsúlyozni kívánja, hogy még ezekben az extrém időkben is az adatkezelőnek és az adatfeldolgozónak biztosítania kell az érintettek személyes adatainak védelmét és a meghozott intézkedéseknek tiszteletben kell tartaniuk az általános elveket, azokkal nem lehetnek ellentétesek.
Megerősítik, hogy a GDPR olyan általános jogszabály, melynek előírásai a személyes adatok kezelésére olyan körülmények között is alkalmazandóak, mint például a COVID-19 járvány. A GDPR lehetővé teszi az illetékes közegészségügyi hatóságok és a munkáltatók számára, hogy a járvánnyal kapcsolatos esetekben a nemzeti jogszabályokkal összhangban, és az ott meghatározott feltételekkel kezeljenek személyes adatokat.
A foglalkoztatási kontextusban a személyes adatok kezelése szükséges lehet a munkáltató számára fennálló jogszabályi kötelezettségek ellátása céljából – például a munkahelyi egészségvédelem és biztonság megőrzése, vagy a közérdekkel összefüggésben – a betegségek és egyéb egészségügyi veszélyek elhárítása érdekében.
A távközlési adatok – például a helymeghatározási adatok – kezelése során tiszteletben kell tartani az elektronikus hírközlési adatvédelmi irányelvet végrehajtó nemzeti jogszabályokat. Elvben a helymeghatározási adatokat csak az adatkezelő kezelheti anonim módon vagy a magánszemélyek hozzájárulásával.
Azonban az irányelv lehetővé teszi a tagállamok számára, hogy jogalkotási intézkedéseket vezessenek be a közbiztonság védelme érdekében. Az ilyen kivételes szabályozás csak akkor lehetséges, ha szükséges, megfelelő és arányos intézkedést jelent egy demokratikus társadalomban.
Ezeknek az intézkedéseknek összhangban kell lenniük az Alapjogi Chartával és Az emberi jogok és alapvető szabadságok védelméről szóló európai egyezménnyel. Ezenkívül az Európai Bíróság és az Emberi Jogok Európai Bírósága igazságügyi ellenőrzése alá tartozik. Vészhelyzet esetén azt szigorúan a kezelt vészhelyzet időtartamára kell korlátozni.
A kitűzött célok eléréséhez szükséges személyes adatokat pontosan meghatározott célhoz kötötten kell kezelni, fontos továbbá megfelelő biztonsági intézkedések és titoktartási politikák bevezetése és elfogadása annak biztosítása érdekében, hogy a személyes adatokat ne tegyék jogosulatlan felek számára hozzáférhetővé. A jelenlegi vészhelyzet kezelése során hozott és a mögöttes döntéshozatali folyamatban végrehajtott intézkedéseket megfelelően dokumentálni kell.
A nyilatkozat kitér arra is, hogy néhány tagállamban a kormányok a COVID-19 megfigyelésének, korlátozásának vagy enyhítésének egyik lehetséges módjaként a mobil helymeghatározási adatok felhasználását tervezik. Ez magában foglalja például annak lehetőségét, hogy az egyének földrajzi helyzetét megfigyelje, vagy közegészségügyi üzeneteket küldjön egy adott területen élő személyeknek telefonon vagy szöveges üzenetben.
Ebben az esetben a hatóságoknak törekedniük kell a helymeghatározási adatok névtelen kezelésére (azaz olyan adatkezelésre, hogy az egyéneket nem lehessen újra beazonosítani), ez lehetővé tenné jelentések készítését a mobil eszközöknek egy adott helyen történő koncentrációjáról („térképészet”).
A személyes adatok védelmére vonatkozó szabályok nem vonatkoznak a megfelelően anonimizált adatokra. Azonban a nem anonimizált helymeghatározási adatok kezelését lehetővé tevő intézkedések bevezetése esetén a tagállam köteles megfelelő biztosítékokat bevezetni, például biztosítani az elektronikus hírközlési szolgáltatásokkal kapcsolatos jogorvoslatot az egyének számára.
Az arányosság elve szintén alkalmazandó. A legkevésbé zavaró megoldásokat mindig előnyben kell részesíteni, figyelembe véve az elérendő konkrét célt. Az invazív intézkedések, például az egyének „nyomon követése” (vagyis a történeti, nem anonimizált helymeghatározási adatok kezelése) kivételes körülmények között és a feldolgozás konkrét módozatától függően arányosnak tekinthetők.
Mindazonáltal fokozott ellenőrzésnek és biztosítékoknak kell alávetni az adatvédelmi elvek tiszteletben tartásának biztosítását (az intézkedés arányossága, az időtartam, és a hatály tekintetében, az adatok korlátozott megőrzése és a cél korlátozása). A nyilatkozat néhány kérdés erejéig kitér a foglalkoztatással összefüggő aktuális kérdésekre is.
A munkáltató például megkövetelheti a látogatóktól vagy az alkalmazottaktól, hogy konkrét egészségügyi információkat szolgáltassanak magukról a COVID-19 kapcsán, de az arányosság elve és az adatminimalizálás itt különösen releváns. A munkáltatónak csak akkor kell megkövetelnie az egészségügyi információkat, ha a nemzeti jogszabályok azt megengedik.
Kérdés továbbá, hogy megengedett-e, hogy a munkáltató orvosi ellenőrzéseket végezzen az alkalmazottakon? A válasz szerint a foglalkoztatásra, az egészségre és a biztonságra vonatkozó nemzeti jogszabályok az irányadók. Tehát a munkaadók csak akkor férhetnek hozzá és dolgozhatnak fel egészségügyi adatokat, ha saját jogszabályi kötelezettségeik azt megkövetelik.
A munkáltatóknak tájékoztatniuk lehet a személyzetet a COVID-19 esetekről és védőintézkedéseket kell tenniük, de a szükségesnél több információt nem szabad átadniuk. A munkáltatók személyes információkat is gyűjthetnek a feladataik ellátása érdekében, a nemzeti jogszabályokban foglaltak szerint, a munka megfelelő megszervezése céljából.
Azokban az esetekben, amikor nyilvánosságra kell hozni a vírussal fertőzött munkavállaló(k) nevét (például a megelőző intézkedések miatt), amennyiben azt a nemzeti jogszabály lehetővé teszi, az érintett munkavállalókat előzetesen tájékoztatni kell, azonban emberi méltóságukat minden esetben tiszteletben kell tartani.
A fenti rendelkezések közvetlenül a GDPR keretei között értelmezendők, azonban figyelembe kell venni, hogy bizonyos területeken a GDPR eltérést engedhet a tagállami jogalkotás számára, így ezek az általános elvek a gyarkolatban a nemzeti normákon keresztül értelmezendők.
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:
