Ebben a bejegyzésben azt fogom bemutatni, hogy mivel jár az, amikor látszólag jogszerűen, az emberek érdekében, de mégis jogszerűtlenül kívánnak a COVID-19-re való hivatkozással Személyes adatokat kezelésbe venni. Egy norvég hatósági határozat [1] ugyanis rendkívül sok tanulsággal szolgál az Adatkezelők számára.
Az eset egészen röviden arról szól, hogy készítettek kontakt kutatás céljára egy applikációt, ami GPS koordináták alapján figyelte azt, hogy kik találkoznak, továbbá ebből szerettek volna statisztikai adatokat létrehozni a járvány elleni védekezés érdekében.
Ezeknél legitimebb, jobb szándékú Cél kevés képzelhető el, és különösen annak fényében nem, hogy a GPDR alapján a járvány elleni védekezés érdekében végzett Adatkezelést jogszerűnek kell tekinteni [2].
És mégis, mindez még mindig nem elegendő akkor:
Ha van olyan megoldás, aminek a segítségével kevesebb Személyes adat kezelésbe vétele is elengedő a Cél eléréséhez és ha nem csak egy Cél érdekében kérnek Adatkezelési hozzájárulást.
Miről van szó ebben az esetben?
Arról, hogy a két különböző Célból megismerni kívánt Személyes adatokhoz, azaz:
1. A hol és mennyien tartózkodnak statisztikai adatai,
2. A kik találkoztak egymással
adathalmazokhoz egyrészt nem lehet egyszerre hozzájárulást kérni és kapni, másrészt azokhoz valójában más Személyes adatok kezelésbe vételére van szükség. Így például:
- az 1. esetben a GPS koordináta kezelhető, de ott nem számít, hogy ki tartózkodik az adott helyen. Ne feledjük, mivel statisztikai célú adatgyűjtésről van szó, ezért az érintett nem lehet azonosítható. Abban az esetben ugyanis ha azonosítható az érintett, akkor az már nyomkövetés, azaz a személyi szabadság súlyos korlátozása, és ez különösen akkor igaz, ha mindezt úgy adják elő, hogy "az Adatkezelés annonim", mert nem képesek az érintett Személy azonosítására, azaz a valódi személyazonosságának a felfedésére.
- a 2. esetben egyértelmű, hogy szükséges és elengedhetetlen az érintettek azonosítása, ehhez azonban nincs szükség a GPS koordinátákra, hiszen mindegy, hogy az érintettek földrajzilag hol találkoztak! Arra való tekintettel tehát, hogy van olyan megoldás, ami a "közelséget" megbízhatóan mutatja, nevezetesen a Bluetooth kapcsolat létrejötte, ezért teljesen felesleges a GPS koordináták kezelésbe vétele.
Első látásra ez ezúttal sem több, mint "kötekedés", holott a valóságban mi sem állhatna ennél távolabb a szándékaimtól. Érdemes az alábbiakba belegondolni, kezdve a műszaki oldallal:
- a GPS zárt térben nem tud precízen függőleges koordinátákat megadni, ezért például egy applikáció egy több emeletes emeletes épület pincéjében és a felső szintjén lévő személyt akár "kontaktként" is tud értelmezni, vagyis adott esetben olyan embereket is karanténra kényszeríthetnek akik a fertőzött személy közelében sem jártak. Ehhez képest a Bluetooth korlátozott hatótávolsága sokkal megbízhatóbban mutatja a közelséget, mivel ebben az esetben a falak okozta árnyékolás egyben a kontakt megtörténtének a kizárását is jelenti. Ebben az eseteben tehát a hátrány valójában előnnyé válik, hiszen ebben az esetben mindegy, hogy a gyenge jel oka a távolság, vagy az árnyékoló fal, mert mindkettő kizárja a fizikai kapcsolat megtörténtét.
Megállapítható tehát, hogy műszakilag és technológiailag is alkalmasabb a Bluetooth a kontakt keresésre, mint a GPS koordináták figyelése. Nézzünk most rá az Adatbázisra:
- felépül valami, amiben az állam bárkit nyomon követhet, tudhatja, hogy merre jár, miközben azzal áltatja az érintetteket, hogy "ez csak statisztikai célú adatkezelés és a járványügyi védekezés része". És ha valakit közben meg akarnak vádolni valamivel, akkor a hatóságok betekinthetnek a kezelt Személyes adatokba? Minden további nélkül. Jó ez az állampolgároknak? Nyilvánvalóan nem.
- Valaki hozzáférést szerez ehhez a rendszerhez és megszerzi azt az információt, amivel megzsarolhat valakit mondjuk egy válóper kikényszerítése, vagy éppen annak az elkerülése érdekében.
- Mondjuk az adóhivatal ellenőrzi, hogy valóban ott volt-e valaki, ahol az útnyilvántartása alapján lennie kellett volna.
A visszaélések lehetőségének a széles tárháza nyílik meg tehát, amit csak tetéz az, hogy ha az Adatkezelő nem fogja fel a felelősségét, akkor minden bizonnyal a Személyes adatok megvédése érdekében sem fog kellő erőfeszítéseket tenni.
Ez pedig már egyáltalán nem vicces, sőt, inkább ijesztővé kezd válni. Éppen ezért is döntött úgy a hatóság, hogy berendeli magához az Adatkezelésben részt vállalókat, mert így és ebben a formában még a COVID-19-re hivatkozva sem lehet Személyes adatokat kezelni. És mivel nem lehet, ezért egy elegáns mozdulattal:
Töröltettek minden kezelésbe vett Személyes adatot.
Mik ebből a tanulságok?
- soha, de soha ne próbáljanak több Cél érdekében egyetlen hozzájárulást kérni. Az "elfogadom az ÁSZF-et, az adatkezelési szabályzatot, hozzájárulok a cookiek-hoz" típusú chkbox-ok idejének vége van.
- komolyan kell venni azt az előírását a GDPR-nak, hogy minden egyes Adatkezelési Célt külön KELL megvizsgálni és kizárólag csak az ahhoz elengedhetetlenül szükséges Személyes adatokat szabad kezelésbe venni.
- a papír, a jogászkodás sok mindent elbír, de a GDPR-ral nem bír.
- ha ugyanezt az Adatkezelést egy magánvállalkozás végezte volna el, akkor már most számottevő bírságban részesült volna [3].
Egyszerűen összefoglalva tehát azt lehet kijelenteni, hogy az állampolgárok számottevő védelemben részesülnek az állammal szemben is.
Aki tehát úgy érzi, hogy az állam valóban megsértette a Személyes adatai védelméhez, kezeléséhez kapcsolódó jogait, az már nem csak hosszadalmas bírósági útban reménykedhet, hanem egy ingyenes, és a részvételét sem igénylő hatósági eljárást is megindíthat.
Már csak ezért is fontos minden Adatkezelő számára az, hogy rendbe tegye a működését, mert soha nem tudhatja, hogy mikor csap le rá egy köztörvényes bűnöző - lásd a Digi esetét az un. "etikus hackerrel" [4] - vagy egy sértett munkavállaló bosszúja.
COVID-tól és bírságtól mentes boldog nyarat kívánok mindenkinek!
1. https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/midlertidig-stans-av-appen-smittestopp/
2 . GDPR Preambulum (46)
3. Nem szabad olyan megoldásokkal sem kísérletezni, hogy például a Kúriáig vigyen el valaki egy próbapert, mert az ítéletben foglaltak - jó esetben - csak egyetlen esetre lesznek értelmezhetők. Ennek az oka pedig csak részben az, hogy Magyarországon csak korlátozott precedensjog van. Sokkal fontosabb arra utalni, hogy a GDPR Európai uniós jogszabály, amelynek az értelmezésére legfeljebb - és csak korlátozottan - a NAIH lehet jogosult. Ez a hatóság pedig rendkívül következetes. Minden egyes véleményükben kiemelik, hogy az adott válasz mindig csak egy konkrét esetre vonatkozik, azt máshol, más célból nem lehet felhasználni. Azt is kiemelik ezen kívül, hogy mindig az Adatkezelő felelőssége az, hogy jogszerűen kezeljen adatot, azt tehát - tessék kapaszkodni - nemhogy egy jogász, egy Adatvédelmi tisztviselő, vagy akár a Kúria, hanem még a NAIH sem tudja elvenni. A saját személyes véleményem pedig az, hogy mivel a GDPR liberalizálta az Adatkezelést, ezért önmagában kétes az, amikor valaki nem a szabályoknak akar megfelelni, hanem megpróbálja azokat megkerülni.
