Az adatvédelmi hatósághoz fordultunk a védettségi applikációk adatkezelésével kapcsolatban
A koronavírus ellen védettséget ellenőrző személyek, szervek adatkezelést végeznek, amikor az érintett igazolványon vagy applikációban rögzített adatait megnézik. Mivel az oltottság igazolásához nem szükséges a taj-szám, ami az applikációból megismerhető, ezért annak megjelenítése célhoz nem kötött, tehát jogellenes. Az applikáció további adatvédelmi problémákat is felvet, ezért beadványunkban arra kértük a Nemzeti Adatvédelem és Információszabadság Hatóságot, hogy foglaljon állást a jogszerű adatkezelés mellett.
A koronavírus elleni oltottságot a védettségi igazolvánnyal és applikációval lehet igazolni. A hatósági igazolvány tartalmazza többek között az érintett útlevelének, illetve személyazonosító igazolványának számát is, az igazolványon szereplő QR kód beolvasásával pedig egy olyanra oldalra lehet eljutni, ahol ezek az adatok szerepelnek. Az applikáció ezzel szemben nem tartalmazza azokat az azonosítókat, amelyeket a védettségi igazolvány, viszont feltünteti az érintett taj-számát. Hasonló a helyzet az applikációban található QR kód beolvasásával: az ellenőrző felületen az érintett taj-száma jelenik meg, egyéb, személyazonosításra alkalmas okmányok azonosítója nem. A védettség igazolásakor az ellenőrző személyek, szervek a hatósági igazolványban és az applikációban feltüntetett adatok megismerésére jogosultak.
Az Európai Unió általános adatvédelmi rendeletének (GDPR) 5. cikk (1) bekezdés b) pontja alapján a személyes adatok kezelése csak egyértelmű és jogszerű célokkal összeegyeztethető módon történhet. Ez azt jelenti, hogy az adatkezelés megkezdése előtt konkrétan meg kell nevezni az adatkezelési célt, és ennek megfelelően felmérni, hogy ahhoz milyen személyes adatok szükségesek, ezt pedig egyértelműen kell megfogalmazni. Álláspontunk szerint a taj-szám feltüntetése és megismerhetősége a GDPR-ban meghatározott célhoz kötött adatkezelés alapelvébe ütközik, mivel nem indokolt, hogy a védettség ellenőrzésekor az érintett taj-száma is látható legyen. A taj-szám nem szükséges ahhoz, hogy ellenőrizzék az oltottságot, szemben a személyazonosító igazolvány vagy útlevél számával.
Az oltottság ellenőrzésére egy másik applikáció is elérhető EESZT Covid Control néven. Ez az applikáció technikailag alkalmas arra, hogy használója képernyőmentéssel rögzítse az adatokat, ami szerintünk nem áll összhangban az adatkezelési alapelvekkel és a GDPR 25. cikkében foglalt beépített és alapértelmezett adatvédelem elvével. Ez a cikk ugyanis előírja, hogy az adatkezelő az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket hajtson végre, amelyek célja egyrészt az adatvédelmi elvek megvalósítása, másrészt a GDPR-ban foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.
Összefoglalva:
-
A védettségi igazolvány és a védettséget igazoló applikáció (valamint a hozzájuk tartozó QR kóddal elérhető felület) eltérő adattartalmat hordoznak, noha az adatkezelés célja mindkét esetben azonos.
-
Az applikáció felmutatásakor megjeleníti az érintett taj-számát, vagyis az megismerhetővé válik, valamint az applikációban lévő QR-kód olyan felületre vezet, amely szintén tartalmazza az érintett taj-számát.
-
Az oltottság ellenőrzésére szolgáló külön applikáció lehetővé teszi a képernyőkép mentését, vagyis az adatok rögzítését.
A fenti adatvédelmi problémák miatt bejelentést tettünk a NAIH-nál, amiben kértük, hogy vizsgálják ki a helyzetet, és
-
javasolják a jogalkotónak a jogszabály módosítását úgy, hogy a taj-szám feltüntetésének követelményét helyezze hatályon kívül;
-
kötelezzék az applikáció üzemeltetőjét arra, hogy az applikációt úgy módosítsa, hogy ne lehessen képernyőmentést készíteni.
