Szükségesség és arányosság a koronavírus idején

A koronavírus megjelenésével egyidejűleg az egyéb jogviszonyokhoz kapcsolódóan, járulékos jelleggel megjelentek olyan adatbiztonsági és adatkezelési problémák, melyekre az adatkezelőknek és a szakmának rövid időn belül választ kellet adnia. Az L Tender-Consulting Kft. a koronavírussal kapcsolatos adatkezelések tekintetében ügyfeleinek és az érdeklődőknek korábban is támogatást nyújtott a honlapon elérhető tájékoztatói (koronavírus tájékoztató ; frissített tájékoztató ), vagy közvetlen megkeresés útján.

Felmerült azonban az igény egy konferencia megtartására a szolgáltatói szektor, a hatóság szakemberei és az alapjogi, nemzetközi jogi szakterület bevonásával. Ezt az igényt elégítette ki a Magyar Biztonsági Fórum szervezésében 2020. április 15. napján megtartott adtavédelmi online konferencia. Örömünkre szolgált, hogy a konferencián Társaságunk is képviseltethette magát olyan kiemelkedő szakemberek társaságában, mint a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) elnöke Dr. Péterfalvi Attila és elnökhelyettese Dr. Szabó Endre Győző, valamint Dr. Lattmann Tamás nemzetközi jogász.
A konferencia hiánypótló jellegű volt a tekintetben, hogy azon olyan kérdésekben kaptunk megerősítést – a Hatóság részéről is – mely a jogalkalmazóknak segítséget nyújt az adatkezeléssel és adatbiztonsággal kapcsolatos kérdéseik megválaszolásában.

Az L Tender-Consulting Kft. továbbra is elkötelezett az iránt, hogy ügyfeleit és az érdeklődőket naprakész módon tájékoztassa az aktuális jogalkalmazási kérdésekről. Fentiek tükrében a konferencián elhangzottakról az alábbi tájékoztatást adjuk.

Az adatvédelmi jog, mint feltétlenül érvényesülő normatív keret

A konferencia résztvevői egyöntetűen akként foglaltak állást, hogy az adatvédelmi jog nem lehet a járvány elleni védekezés akadálya. A szabályozott adatkezeléseknek különös jelentősége van azokban a helyzetekben, amikor a megszokott rend valamely okból – így a koronavírusra figyelemmel – felborul. A problémát sokkal inkább az okozza, hogy ezidáig nem szereztek az adatkezelők tapasztalatot olyan adatkezelési helyzetekben, mint a jelenlegi. A résztvevők egybehangzó álláspontja, hogy az adatvédelmi jogszabályok, és a védekezéssel kapcsolatban már korábban is előírt jogi kötelezettségek (pandémiás, üzletmenet folytonossági tervek) megfelelő keretet adnak a felmerülő kérdések megválaszolására. Kiemelt szerepe van ugyanakkor a szükségesség és arányosság követelménye érvényesülésének az adatkezelések során, vagyis az adatvédelem nem adathat okot indokolatlan adatkezelésekre, de nem is lehet gátja a járvány elleni védekezésnek, mint kiemelt közérdeknek, ezért kerülendő a túlszabályozás is. Az adatkezeléseknek járványhelyzetben is jogszerű célhoz kötötten kell történnie és az adatkezelőket a koronavírus idején is köti a GDPR szerinti
elszámoltathatóság elve.
Mit jelent ez a gyakorlatban? Tájékoztatónk további részében a legvitatottabb adatkezelési helyzetekkel kapcsolatban adunk – már a konferencián elhangzottak ismeretében – iránymutatást.

1. A járványhelyzetben végzett adatkezelések jogalapja

A konferencián egyértelmű megerősítést kapott Társaságunk a Hatóság részéről, hogy következetes gyakorlatunk – mely szerint a veszélyhelyzet kihirdetését követően, a csoportos megbetegedések szakaszára is figyelemmel – az adatkezelések a korábban alkalmazott, a GDPR 6. cikk (1) bek. f) pontjában rögzített érdekmérlegelés jogalapja helyett, a GDPR 6. cikk (1) bek. d) pontjában rögzített jogalapon („az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges”) folytathatók. A jogalap alkalmazása a gyakorlatban azt jelenti, hogy a veszélyhelyzet fennállása alatt a jogalkalmazóknak nem szükséges érdekmérlegelési tesztet végezniük az adatkezeléseik vonatkozásában. Természetesen a d) jogalap alkalmazása esetén is igaz, hogy a szükséges és arányos adatkezelés követelményének érvényesülnie kell, az egyes adatkezelések érintettre jelentett kockázatait értékelni kell.

2.  Idősávok bevezetése

A 71/2020. (III. 27.) Korm. rendelet a kijárási korlátozás bevezetésével jelentős terhet rótt az üzletekre, az ott tartózkodók életkorának ellenőrzésével összefüggésben. A rendelet meghatározza, hogy 9.00 óra és 12.00 óra közötti időben csak a 65. életévét betöltött személy tartózkodhat az üzletben, kivételt képeznek ez alól az ott foglalkoztatott személyek. Ennek a korlátozásnak az érvényesítése a helyiség üzemeltetőjének felelősségét képezi. Annak érdekében, hogy az üzletek ezen rendelkezést képesek legyenek betartani, szükségszerűen kérhetik az érintettektől hatósági igazolvány bemutatását (személyazonosító hatósági igazolvány, útlevél, járművezetői engedély).

Pusztán az a tény, hogy az üzletben foglalkoztatott személy betekint az érintett hatósági igazolványába, már adatkezelést valósít meg, így ezzel egyidejűleg a GDPR szabályainak köteles megfelelni. Annak következtében, hogy a jogalkotó a felelősséget a helyiség üzemeltetőjére telepíti, így ezen szabály betartásával összefüggésben mérlegelni kell, hogy az adatkezelés – jelen esetben a hatósági igazolvány ellenőrzése- az elérni kívánt céllal arányos és egyben szükséges, valamint azt, hogy az adatkezelés célját nem lehetséges adatkezelést nem igénylő eszközökkel elérni. A GDPR előírja a tájékoztatási kötelezettséget, ugyanakkor meghatároz a tájékoztatási kötelezettség alól kivételeket. A lakosság széleskörűen tájékoztatásra került a jelen szabályok életbelépéséről, így elvárt az  érintett állampolgárok jogkövető magatartása. Felmerült, hogy a Korm. rendelet nem tartalmaz részletes szabályt arra vonatkozóan, hogy milyen eszközökkel lehet a rendeletben meghatározott szabályokat betartani és betartatni, de Társaságunk álláspontja és a konferencián elhangzottak alapján is hatékony eszköznek tekinthető a hatósági igazolvány bemutatásának a kérése. Az erről való tájékoztatás megadása történhet a bejáratnál közvetlenül, a pénztáraknál esetlegesen a plexire való kitétellel, valamint mindenképpen javasoljuk a honlapra való feltöltést is. A helyszínen nyújtott tájékoztatónak a helyzetre való gyors reagálást tekintve elegendő csupán minimum követelményeket tartalmaznia, legfőképp az adatkezelő személyét, az adatkezelés célját, valamint a részletes tájékoztatás elérhetőségi helyének megjelölését.

3. Testhőmérséklet mérés

Több ügyfelünknél is felmerült az igény a testhőmérséklet mérésére különböző diagnosztikai eszközök útján a járvány hatékonyabb megfékezése érdekében. A konferencia során is szóba került ennek szükségessége és arányossága. A Hatóság a veszélyhelyzet előtt kelt tájékoztatójában hangsúlyozta, hogy nem tartja arányosnak a minden munkavállalóra általánosan kiterjedő  testhőmérsékletre vonatkozó vizsgálatot. A Hatóság erre vonatkozó álláspontját jelenleg továbbra is fenntartja.
Társaságunk tapasztalata, hogy a munkáltatók a csoportos megbetegedések szakaszában az biztonságos munkakörülmények megteremtése érdekében a területekre belépő valamennyi érintett vonatkozásában alkalmazni kívánják a testhőmérsékletmérést. Társaságunk a nevezett intézkedést az alábbiak szerint megfelelőnek tartja.
Adatvédelmi szempontból fontos a megfelelő tájékoztatás megadása, mind a munkavállalók részére, mind pedig a külső megbízók, beszállítók részére. Ebben ki kell térni arra a minimum hőmérsékletre, amely a belépés megtagadásának indokául szolgálhat, valamint az ennek során felvett adatokra, továbbá arra, hogy amennyiben a belépés megtagadásra kerül, úgy abban az esetben milyen további kötelezettség terheli az adott személyt (üzemorvos, háziorvos felkeresése). Jelen adatkezelés esetén is jogszerűnek találjuk a GDPR 6. cikk (1) d) pontja szerinti érintett vagy más természetes személy létfontosságú érdekeinek védelme miatt szükséges adatkezelési jogalap alkalmazását.

4. A kérdőívek alkalmazása

A konferencia résztvevői álláspontja szerint indokolt lehet kérdőívek felvétele a koronavírussal összefüggésben, mely kérdőívek adattartalma kiterjedhet akár különleges adatokra (jellemzően egészségügyi adatok), vagy magánéletre (tipikusan magánutak) vonatkozó adatokra is. A Hatóság álláspontja szerint továbbra is körültekintően kell eljárni az adatkezeléssel érintettek körének meghatározása során, a túl általános adatkezelések továbbra is kerülendők. Különös figyelmet kell fordítani arra is, hogy kizárólag a valóban szükséges adatok felvételére kerüljön sor. A Hatóság e tekintetben továbbra is a koronavírussal kapcsolatban korábban közzétett tájékoztatójában foglaltakat tartja irányadónak.

5. Magán elérhetőségi adatok (telefonszámok, e-mail címek)

Társaságunknál – egyes ügyfeleink vonatkozásában – igény merült fel a munkavállalók magán elérhetőségi adatainak kezelésére a munkáltató részéről. Az igények indoka jellemzően az, hogy nem valamennyi – jelenleg távmunka végzéssel, otthoni munkavégzéssel érintett – munkavállaló vonatkozásában biztosított a céges telefon, céges e-mail cím. Társaságunk fenntartja álláspontját, hogy – járványhelyzeten kívül – az adatbiztonságot és az információs önrendelkezési jog érvényesülését is a legteljesebb mértékben a magán és céges elérhetőségek következetes elválasztása biztosítja. Jelen helyzetben azonban – a fentebb már rögzített jogalapon és elvek mentén – jogszerű lehetőséget látunk jelzett adatok kezelésére.

6. Adatbiztonság

Az atipikus munkavégzési formák (távmunka végzés, otthoni munkavégzés) bevezetéséhez kapcsolódóan nagyszámban merültek fel Társaságunk ügyfelei részéről kérdések az adatbiztonság megvalósításával kapcsolatban. Társaságunk ábrákkal illusztrált, közérthető tájékoztatót továbbított ügyfelei részére, valamint honlapján általános tájékoztatót tett közzé a szükséges intézkedésekről (Koronavírussal kapcsolatos adatkezelési és jogi tájékoztatás). Az L Tender-Consulting Kft. a jelzett dokumentumokban foglaltakat továbbra is fenntartja.

Konklúzió

A konferencia legfontosabb tanulsága a következők szerint foglalható össze:
A jogalkotótól nem elvárható veszélyhelyzeti jogalkotás esetén, hogy az adatkezelés valamennyi körülményét (kezelt adatok fajtája, adatkezelés időtartama, stb) túlságosan esetszerűen meghatározza. A jogalkalmazókat is felelősség terheli abban a tekintetben, hogy felismerjék azokat a jogszabályi fordulatokat, melyek szükségszerűen adatkezeléssel járnak. A kötelező jogalkalmazás (GDPR 6. cikk (1) bek c) és e) pontja) tárgyalt eseteiben a jogalkalmazóknak kell meghatároznia azokat a szükséges és arányos adatkezelési tevékenységeket, melyeket – az adatkezelést előíró norma címzettjeként – alkalmaznak. A szükséges intézkedések kialakítása sokszor teljesen magától értetődő (pl. szemrevételezéssel nem állapítható meg az életkor, ezért szükségszerű a személyazonosításra alkalmas hatósági igazolványokba történő betekintés).
Az adatvédelmi jog alkalmazása valóban okozhat időnként fejtörést, mindezek ellenére kerülendő a “faltól-falig” gondolkodás; a gyakorlatisas, de a tisztességes és jogszerű adatkezelés elveinek alkalmazásra kell törekedni. Szintén fontos végkövetkeztetése a konferenciának az, hogy a koronavírus adatkezelési gyakorlatát az utókor értékelni fogja, vagyis a koronavírus idején bevezetett veszélyhelyzeti adatkezelések nem feltétlenül alkalmazhatóak a járvány megszűnését követően. Lehetnek olyan adatkezelések, melyek fenntartása (például esetleges jogi igényekre figyelemmel) a járványhelyzet megszűnését követően is indokolt, azonban az adatkezelések egy részét a szükségesség megszűnésével egyidejűleg meg kell szüntetni. Társaságunk fontosnak tartja, hogy ügyfelei és az érdeklődők a koronavírus járvány megszűnését követően se maradjanak magukra a szükséges intézkedésekkel összefüggésben. Forduljanak Hozzánk bizalommal a jövőben is.

Jó egészséget és – ha már adatkezelésről van szó – szükséges és arányos védekezést kíván az L Tender-Consulting Kft. csapata.

Scroll to top