A TASZ álláspontja az Eütv. 155/A. § alapján telepített arcfelismerő beléptetőrendszerről

Az Országgyűlés az egészségügyi törvény (Eütv.) módosításával felhatalmazta az állami fenntartású egészségügyi intézményeket arra, hogy egységes beléptetőrendszer alkalmazásával ellenőrizzék az intézményben dolgozók munkaidejének betartását, az intézménybe történő be- és kilépését. Az ellenőrzés céljaként a törvényalkotó az „egészségügyi ellátás folyamatosságának biztosítását” jelölte meg. Az ellenőrzésre adott felhatalmazás 2025. január 1-je óta van hatályban.

A törvény kifejezetten úgy rendelkezik, hogy a dolgozók ellenőrzése arcképmásuk kezelésével történik [Eütv. 155/A. § (3) bekezdés]. Ennek nyomán jelenleg országszerte arcfelismerő kamerarendszerek telepítése zajlik a kórházakban. A látókörünkbe került intézményekben az új beléptetési rendszert munkáltatói utasítással vezetik be, amely egységes adatkezelési tájékoztatót tartalmaz. 

Az arcfelismerő beléptetési rendszer törvényi bevezetését társadalmi egyeztetés nem előzte meg, arról érdemi parlamenti vita nem folyt. Az arcfelismerő azonosítást ráadásul annak ellenére vezette be  a jogalkotó, hogy azt a szabályozást véleményező Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) egyértelműen alapjogsértőnek találta (NAIH-8700-2/2024. sz. állásfoglalás). 

Miért jogsértő az arcfelismerő beléptető rendszer alkalmazása?

Általánosságban elmondható, hogy a munkáltató jogosult a munkaidő betartásának ellenőrzésére, és ebből a célból kezelheti munkavállalói személyes adatait. Ez az ellenőrzés azonban csak az érintettek alapvető jogainak tiszteletben tartásával, az ezt biztosító adatvédelmi követelmények szigorú betartásával történhet.

Önmagában tehát az, hogy a kórházak beléptető rendszert alkalmaznak a munkaidő ellenőrzésére, nem kifogásolható. Baj azzal van, hogy az ellenőrzés biometrikus adat kezelésével valósul meg, amely sokkal súlyosabb beavatkozást jelent az érintett dolgozók magánszférájába, mint a blokkolóóra vagy a kártyás beléptetés. 

Mik azok a biometrikus adatok, amelyeket az arcfelismerő használ? Ezek olyan adatok, amelyeket az ember valamely testi vagy viselkedésbeli jellemzőjéből képeznek úgy, hogy azokat a megfelelő szoftver értelmezni tudja. Biometrikus adat képezhető az arcunk felépítéséből, az ujjlenyomatunkból, a hangunkból, a szemünk szivárványhártyájából, de akár a mozgásunkból is. Ezek az adatok olyan egyedi testi jellemzőinkről árulkodnak, amelyek mindenki mástól megkülönböztetnek bennünket. A biometrikus adat nem pusztán egy kód, nem egy jelszó, amit meg tudunk változtatni. Az arcunkat, ujjlenyomatunkat, mozgásunkat nem cserélhetjük le. A biometrikus adat a lehető legszorosabban kötődik fizikai jellemzőinkhez, így kifejezetten szoros kapcsolatban áll az identitásunkkal .

Az ilyen adatok kezelését – a beavatkozás súlyossága, továbbá az adatokkal való visszaélésből, illetve az illetéktelen hozzáférésből fakadó kockázatokra figyelemmel – az európai adatvédelmi rendelet (GDPR) is fokozottan védi. 

Olyannyira, hogy a biometrikus adatok kezelése – főszabály szerint – tilos a GDPR értelmében [GDPR. 9. cikk (1) bekezdés]. Kivételesen sor kerülhet ugyan biometrikus adatok kezelésére is, de csak szigorú feltételek mellett. Ezek a feltételek pedig nem teljesülnek a minden állami fenntartású egészségügyi intézményben dolgozó személyre kiterjedő ellenőrzés során. Az arcfelismerő azonosítás ezért sérti az érintettek jogát a személyes adatok védelméhez. 

A biometrikus beléptetőrendszer legnagyobb hibája, hogy annak nincs legitim célja (vagyis védhető indoka). Legitim cél hiányában pedig minden jogkorlátozás, így ez az adatkezelés is önkényes.

1. A biometrikus azonosítással megvalósuló munkaidő-ellenőrzés eleve alkalmatlan eszköz annak a célnak az elérésére, amit a szabályozás szerint szolgálni hivatott, nevezetesen az egészségügyi ellátás folyamatosságának biztosítására. A fennakadásokat az ellátásban ugyanis alapvetően nem az okozza, hogy a dolgozók ne töltenék ki a munkaidejüket. Könnyű belátni azt is, hogy az intézményben tartózkodásból önmagában még nem következik rendelkezésre állás. Következésképpen annak ellenőrzése, hogy egy dolgozó az intézménybe belépett-e az előírt időpontban, nem biztosítja azt, hogy az illető rendelkezésre álljon, amikor szükség van rá. 
2. A biometrikus azonosítás szükségtelen ahhoz  a célhoz, amit a szabályozás szerint szolgálni hivatott: a munkaidő betartásának ellenőrzését kevésbé invazív beavatkozással is meg lehet oldani (pl. beléptetőkártyák, véletlenszerű ellenőrzések, mulasztások feltárását segítő belső panaszmechanizmusok, illetve ezek kombinációja). Általánosságban elmondható, hogy beléptetés során a biometrikus azonosítás akkor elfogadható, ha valamely területre – az alapvető jogok, illetve nyomós közérdek védelmében – csak erre felhatalmazott személyek léphetnek be, és a technológia szükséges az illetéktelenek kizárásához, a visszaélések felfedéséhez (pl. atomerőmű, fegyverraktár, fokozottan védendő labor). 
3. Érdemes rámutatni arra, hogy sem a kormányzat, sem a kórházak nem mutattak fel eddig semmilyen kimutatást, bizonyítékot arra, hogy érdemi összefüggés áll fenn az egészségügyi ellátás problémái és a dolgozói munkaidő megtartása között. Ahogy arra sem, hogy ha lenne is ilyen összefüggés, akkor arra ne lehetne enyhébb eszközökkel válaszolni, mint a biometrikus adatokon alapuló ellenőrzés. Márpedig azt, hogy a biometrikus adatok kezelése alkalmas az adatkezeléssel szolgált cél elérésére, illetve elengedhetetlenül szükséges ahhoz, az adatkezelőknek (vagyis a kórházaknak) bizonyítani kell tudniuk. Ezt – ahogy bemutattuk – lehetetlen igazolni.

A fenti kiemeltek mellett számos ponton lehet bírálni a kórházak adatkezelési szabályzatában kidolgozott adatkezelési konstrukciót. Így például azon az alapon, hogy az abban megjelölt jogalap, a GDPR 9. cikk (2) bekezdés h) pontja semmilyen összefüggésbe nem hozható a beléptetőrendszerrel. Miként az is bírálható, hogy az adatkezelési tájékoztató az Országos Kórházi Főigazgatóságot (OKFŐ) a kórházak (mint adatkezelők) adatfeldolgozójaként határozza meg. Ez ugyanis azt feltételezi, hogy a kórházak – az adatkezelés terén – utasításokat adhatnak az őket irányító OKFŐ-nek, ami teljesen életszerűtlen. Egy fölérendelt szerv nem lehet egy alárendelt szerv adatfeldolgozója, mert ez ellentmond az irányítási viszonyoknak. Az ilyen hibás besorolás nemcsak életszerűtlen, de jogilag is aggályos: átláthatatlanná teheti az adatkezelést, gyengítheti az elszámoltathatóságot, és veszélyeztetheti az érintettek jogainak érvényesülését. Az irányítási helyzetből logikusan az következne, hogy a kórházak és az OKFŐ is önálló adatkezelőként működjenek.  

Tekintettel azonban arra, hogy az adatkezelésnek nincs legitim célja, az adatkezelés a fenti hibák kijavításával sem válna jogszerűvé. 

Miért jelent kockázatot az újfajta beléptetés az egészségügyi ellátás folyamatosságának biztosítása szempontjából?

Az egészségügy az elmúlt években jelentős átalakításon esett át, amely együtt járt a dolgozók kötelezettségeinek szigorításával, munkavállalói mozgásterük szűkítésével és a magánszférájukba való egyre intenzívebb beavatkozással.

A magánszférába való lényegi beavatkozást jelentett a 2021 januárjában bevezetett megbízhatósági vizsgálat, amelynek keretei között az egészségügyi dolgozóval szemben akár titkos információgyűjtést is folytathatnak (például megfigyelhetik, követhetik a telefonhasználatát, kikérhetik a banki adatait).

Az új beléptetőrendszer tovább szűkíti az egészségügyi dolgozók magánszféráját: az állam immár fizikai jellemzőiket, testi tulajdonságaikat is nyilván akarja tartani. Mindezek az intézkedések – amelyek álláspontunk szerint szükségtelenek és túlságosan invazívak – sokakat elrettenthetnek attól, hogy az állami egészségügyben helyezkedjenek el, illetve abban maradjanak. Az arcfelismerő rendszer bevezetése így az egészségügyi ellátás folyamatosságának biztosítása helyett az egészségügyi dolgozók állami egészségügyből való elvándorlását fogja felerősíteni. Márpedig ha a szakemberek nem akarnak az állami egészségügyben elhelyezkedni vagy kilépnek az állami foglalkoztatásból, akkor az új előírások épp az ellenkezőjét érik el eredeti céljuknak.

Összességében úgy véljük, hogy a megfelelő kapacitású és minőségű egészségügyi ellátást nem rendészeti eszközökkel, hanem a munkafeltételek javításával, a méltányos bérezéssel és a munkaterhek csökkentésével lehet és kell biztosítani.

Van-e kiút? Mit tehetnek most az egészségügyi dolgozók?

Minden érintettnek joga van tiltakozni az arcfelismerésen alapuló beléptetéssel szemben (ezt a jogot a GDPR 21. cikke garantálja), legalábbis azokban az intézményekben, ahol az adatkezelő arra hivatkozik, hogy a munkavállaló biometrikus adatainak kezelése közérdekből történik ( GDPR 6. cikk (1) bekezdés e) pont). . 

A tiltakozásnak „saját helyzettel kapcsolatos okokból” kell történnie. Lehet arra hivatkozni például, hogy az érintett személy szerint a magánszférája súlyos sérelmének éli meg a biometrikus adatai kezelését, ettől  kiszolgáltatottnak érzi magát. De akár arra is ki lehet térni, hogy az arcfelismerős beléptetőrendszer negatívan hat a munkájára. 

A tiltakozás hatására az adatkezelőnek kell bizonyítania, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben.Bár a tiltakozásban nem kell jogi elemzést levezetni, már ekkor ki lehet fejteni azt, amit korábban mi is leírtunk: a munkaidő-nyilvántartás vezetéséhez biometrikus adatok kezelése nem szükséges, a kívánt cél ennél sokkal enyhébb eszközökkel is elérhető. Ha az adatkezelő nem ad helyt a tiltakozásnak, a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) lehet fordulni. 

A NAIH-hoz akár egyből, tiltakozás nélkül is lehet fordulni, eljárást lehet kezdeményezni arra hivatkozással, hogy az adatkezelés jogszerűtlen. Ennek a részletei itt találhatók: https://www.naih.hu/online-ugyinditas 

Megtagadhatja-e az egészségügyi dolgozó a beléptetőrendszer használatát?

A munkáltató ugyan hivatkozhat arra, hogy a nyilvántartást kell vezetnie a munkaidő kezdő és befejező időpontjáról [Mt. 134. §], ehhez azonban nem feltétlenül szükséges biometrikus adatot kezelnie. Álláspontunk szerint az egészségügyi törvény erre nem ad egyértelmű felhatalmazást, mert csak az arcképmás mint személyes adat kezelését teszi lehetővé, amely önmagában nem biometrikus adat. Ezért az egészségügyi dolgozó megtagadhatja a munkáltatói utasítás teljesítését, mert a munkáltató utasítása a munkaviszonyra vonatkozó jogszabályba – a személyes adatok védelmének előírásaiba – ütközik. Persze sejthető, hogy a jogalkotó valójában a biometrikus adatok kezelését akarta engedélyezni, az, azonban, hogy a törvény pontatlan, nem eshet a dolgozó kárára. 

Ha a munkáltató mégis fellép az ellen a dolgozó ellen, aki az arcfelismerő beléptetőrendszer  használatát megtagadja, akkor nem sok választása van. Ha a dolgozó saját szerződésében szerepelnek konkrét szankciók az utasítás megtagadása esetére, akkor ezekkel élhet. Magyarországon azonban kevéssé jellemző, hogy ilyen szerepel a szerződésben. Így viszont csak az azonnali hatályú felmondással élhet, amelynek a feltétele, hogy az egészségügyi dolgozó 

1. a szolgálati jogviszonyból származó lényeges kötelezettségét szándékosan vagy súlyos gondatlansággal jelentős mértékben megszegje, vagy
2. egyébként olyan magatartást tanúsítson, amely a foglalkoztatás fenntartását lehetetlenné teszi.

Nyomós érvek szólnak amellett, hogy attól, hogy valaki nem egyezik bele biometrikus adatainak kezelésébe, még nem sérti meg jelentős mértékben a szolgálati jogviszonyból eredő lényeges kötelezettségét, és nem teszi lehetetlenné a jogviszony fenntartását sem.