KORONAVÍRUS - Rendkívül szigorú adatvédelmi ajánlásokat dolgozott ki a legnagyobb európai ügyvédszervezet a fertőzés-nyomkövető alkalmazásokra

Az Európa Ügyvédi Kamara és Ügyvédi Társaságok Tanácsa (CCBE) képviseli 45 ország ügyvédi kamaráit és ügyvédi társaságait, ezen keresztül több mint egymillió európai ügyvédet. A CCBE - a szorosan vett jogi-szakmai témakörökkel való foglalkozás mellett - tagjai nevében rendszeresen válaszol az európai polgárokat és ügyvédeket érintő politikai kérdésekre is.

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Ezzel a nyilatkozattal a CCBE szeretne hangot adni aggodalmainak, és megfogalmaz egy sor alapelvet, amelyeket tiszteletben kell tartani, amikor a kormányok és a magánszereplők az fertőzés-nyomkövetési számítástechnikai alkalmazások használatához fordulnak a szélesebb körű fertőzések korlátozásának és a Covid-19 világjárvány ellenőrzésének során.

(Ez az állásfoglalás az annak mellékletét képező, a Covid-19 fertőzés-nyomkövetési számítástechnikai alkalmazásokra vonatkozó CCBE-megfontolásokban szereplő részletesebben kidolgozot megállapításokra épül.)

A CCBE elismeri a nemzeti kormányok kötelezettségeit atekintetben, hogy mindent meg kell hogy tegyenek a polgárok egészségének védelme és a fertőzés terjedésének sürgős korlátozása érdekében. Megjegyzendő, hogy a nemzeti kormányok egész Európában bevezetik vagy javasolják az fertőzés-nyomkövetési számítástechnikai alkalmazásokat, ugyanakkor a CCBE azt is észrevételezi, hogy az ilyen számítástechnikai alkalmazások az alapvető jogok, egyebek között a magánélethez való jog és a személyes adatok feldolgozásának korlátozására vonatkozó jogok megsértéséhez vezethetnek. Az ilyen jogsértések csak akkor fogadhatók el, ha azt az arányosság alapján indokolni lehet.

Alapelvek

A CCBE ezért a következő elveket tekinti eligazítónak:

1. A fertőzés-nyomkövetési számítástechnikai alkalmazások rendszerét csak a jogállamisággal összhangban szabad telepíteni.

2. A fertőzés-nyomkövetési számítástechnikai alkalmazással történő eljárás nem alapulhat az állami hatóságok által a mobil forgalomra vonatkozó adatok vagy a földrajzi helymeghatározási adatok egyéb formáinak gyűjtésén, és egyetlen számítástechnikai nyomkövető alkalmazás sem gyűjthet ilyen adatokat, kivéve a közegészségügyi okokból teljes mértékben indokolt módon, és amelyek nyitottak, átláthatók és amelyekhez a felhasználó kifejezett hozzájárulását adta.

3. Bármely nyomkövető alkalmazás működtetésekor tiszteletben kell tartani az alapvető jogokat, és arányosság követelményét. Hangsúlyosan összhangban kell lennie a jogszabályokkal és demokratikus társadalomban bizonyíthatóan szükségesnek kell lennie a közegészség védelme érdekében.

4. Egy ilyen számítástechnikai alkalmazás működtetése során tiszteletben kell tartani az általános adatvédelmi rendelet (GDPR) rendelkezéseit, különösen is összhangban kell működnie az adatkezelésnek a GDPR 5. cikkében meghatározott alapelveivel.

5. Nyilvánosnak és átláthatónak kell lennie az ilyen számítástechnikai alkalmazások működési hátterének, valamint az adatok gyűjtésére és tárolására vonatkozó részletekre.

6. A polgárokat nem kötelezhetők és nem ösztönözhetők egy olyan számítástechnikai alkalmazás telepítésére vagy használatára, amely viszonylag hátrányos helyzetbe hozhatja azokat, akik úgy döntöttek, hogy nem telepítik és nem használják az alkalmazást.

7. Az alkalmazás működését a felhasználónak ellenőrzése alatt kell tudni tartania, és tudnia kell annak működését bármikor ideiglenesen szüneteltetni, vagy az egész alkalmazást eltávolítani.

8. Megfelelő lépéseket kell tenni annak lehetővé tétele érdekében, hogy a felhasználó kizárhassa a személyes adatok gyűjtését, ha ezek az adatok a felhasználók közötti, illetve az állampolgár és az ügyvéd alálkozásának tényére és körülményeire vonatkoznak, és ahol a jogi szakmai megbeszélés, tanácsadás a szakmai titok védelme alatt áll.

9. Az összegyűjtött adatokat csak az illetékes egészségügyi hatóságok kezelhetik, és nem állhatnak más testület vagy ügynökség rendelkezésére.

10. A nemzeti vagy más határ átlépésére vonatkozó szabadság gyakorlása nem függhet a kapcsolatfelvételi alkalmazás letöltésétől, birtoklásától vagy működtetésétől.

11. Megfelelő szabályozást kell hozni annak biztosítása érdekében, hogy az alkalmazás működéset, valamint a személyes adatok tárolásat és feldolgozását miként kell megszüntetni, és a vészhelyzet végén minden, a személyes adatokat tartalmazó adatbázist (beleértve az álnevezett személyes adatokat) miként kell megsemmisíteni;

12. Amennyiben az alkalmazás használatát vagy működtetését vészhelyzeti hatáskörök szabályozzák vagy megkönnyítik, a vészhelyzeti hatásköröket engedélyező jogszabályoknak tartalmazniuk kell egy megfelelő megszüntetési záradékot.

Adatvédelmi minimum-követelmények

Ezen alapelvek támogatása érdekében az alkalmazásnak meg kell felelnie a következő minimum-követelményeknek:

• A kapcsolatfelvételi rendszer egészének tiszteletben kell tartania az adatminimalizálás elvét, és a személyes adatok gyűjtését és feldolgozását bizonyíthatóan csak közegészségügyi célokra szabad felhasználni.
• Az adatok gyűjtésénwk és feldolgozásának kizárólag a Covid-19 pandémián belüli fertőzés és a vírus bármilyen mutációjának ellenőrzése, illetve ezen belül a fertőzés-kapcsolatfelvételre kell korlátozódnia.
• Az alkalmazás nem jár eredményezheti olyan adatok gyűjtését vagy feldolgozását, amelyek nem szükségesek a fertőzés-kapcsolattartás nyomon követéséhez.
• Elindítása előtt az alkalmazást teljes adatvédelmi hatásvizsgálatnak kell alávetni.
• A program forráskódját - hatékonyságának és biztonságának független ellenőrzése érdekében - független testület rendelkezésre kell bocsátani, a forráskód közzétételével.
• Az alkalmazás folyamatos kiértékelése hatékonyságának, valamint az alapvető jogok és a vonatkozó adatoknak való megfelelés szempontjából.
• Az alkalmazásnak bármikor eltávolíthatónak kell lennie anélkül, hogy ez nyomon követhető lenne.
• Az alkalmazást úgy kell megtervezni, hogy lehetővé tegye a felhasználók számára annak eldöntését, hogy továbbítják-e a saját fertőzésükre vonatkozó adatokat.
• Az adatokhoz csak az illetékes közegészségügyi hatóságok férhetnek hozzá. Mind a műszaki, mind a jogi ellenőrzésnek biztosítania kell bármely egyéb célú hozzáférés korlátozását.
• A személyes adatokat (ideértve az álnévvel ellátott személyes adatokat is) csak annyi ideig lehet megőrizni, amelyre az a gyűjtésükhöz szükséges, és ezeket az adatokat - lehetőleg automatikusan - törölni kell, mihelyt azok már nem szükségesek a Covid-19 vírus terjedésével kapcsolatos adatok ellenőrzéséhez.
• Ajánlott, hogy a kapcsolatfelvételi alkalmazások fejlesztésekor a nemzeti hatóságok törekedjenek arra, hogy amennyire lehetséges, biztosítsák az ilyen alkalmazások átjárhatóságát más államokban, ideértve a szomszédos államokban használt alkalmazásokkal.
• Ajánlott, hogy az illetékes nemzeti adatvédelmi hatóság kapjon lehetőséget az alkalmazáshoz kapcsolódó szoftver, adminisztratív és egyéb eljárások megvizsgálására, hogy mielőtt az alkalmazást a nyilvánosság számára elérhetővé tenné, ellenőrizze az arányosságnak és az adatminimalizálási alapelveknek való megfelelést.

MELLÉKLET:

• CCBE-megfontolások a Covid-19 kapcsolattartó alkalmazásokkal kapcsolatban

A CCBE nyilatkozatának és mellékletének eredeti, angol nyelvű változata ide kattintva olvasható.