Bán-Forgács NóraJog és Társadalom
A koronavírus világjárvány befolyásolta a jogi-kulturális környezetet és a társadalmi viszonyokat, amiben élünk. Állam és polgár viszonyára szinte minden elemében kihatott: a járványügyi intézkedések érintették a kényszerintézkedések és az emberi jogok viszonyát: az egészségügyi önrendelkezésünket, az állami cselekvés és az állami kényszer határait és abszolút korlátait, a tájékoztatáshoz való jogot és számos fontos egyéb kérdést. Ahogy az Európai Unió Bizottsága közleményében megfogalmazta: a COVID-19-világjárvány példátlan kihívást jelent az Unió és a tagállamok egészségügyi rendszerei, életmódja, gazdasági stabilitása és értékei számára.[1]
A közösség, amiben élünk lezárult: a munkahely és a munka világa áttevődött az otthonunkba (home office), ezzel számos beláthatatlan változás kezdődött el, többek között teljesen új technológiák kialakítására volt szükség (új platformok létrehozására, illetve a régiek teljes újragondolására). De nemcsak a munkahely jött be az otthonunkba, hanem az iskola is, az emberi kapcsolatainkban más dimenziók nyíltak, ami kihatott a gyermekek helyzetére, a családjogi viszonyainkra és az idősek körülményeire is. Mindez álláspontom szerint komoly adatvédelmi (és privacy) relevanciával bír. A válság adatvédelmi relevanciájának egy-egy aspektusát szeretné ez a tanulmány megvilágítani.
A krízis okozta változások eredményeként emberek százmillióinak az egyetlen választása az maradt, hogy bízzanak a rendszerekben, amelyeket az állam és a piac szereplői hirtelen rájuk erőltettek.[2] Ahogy arra Christina Etteldorf tanulmánya rámutat, az adatvédelmi hatóságok Európában nemzeti és uniós (szupranacionális) szinten igen korán felismerték a válságot, de a válaszok késlekedtek, aminek kétségtelenül egyik oka, hogy legalább annyira sokkolóan érte a hatóságokat a válság, mint minket, állampolgárokat.[3]
Az Európai Bizottság hangsúlyozza, hogy a járványügyi intézkedések erősen függnek technikai eszközök alkalmazásától. Ezen eszközök adatvédelmi szempontból aggályosak lehetnek. A dilemma lényege tehát, hogy a technológiai fejlesztések fontosak a járvány elleni küzdelemben, másrészt a mobil applikációs technológia ugyanannyi veszélyt is rejt polgárok adatainak és privacyjének a védelmére.
Mobil applikációk és kontakt meghatározás és covid-19
A különböző nyomkövető alkalmazások kifejlesztésének, lakosság általi elfogadásának és használatba vételének előfeltétele a bizalom. Ez vonatkozik a mostani covid krízisre, de ugyanennyire vonatkozik minden további hasonló pandémia alatt alkalmazott mobil alkalmazásra is. A polgároknak biztosnak kell lenniük abban, hogy alapvető jogaik nem sérülnek, hogy az alkalmazásokat csak meghatározott célokra és nem tömeges megfigyelésre fogják használni, valamint hogy az egyének továbbra is ellenőrzésük alatt tarthatják adataikat.[4]
Miről is van pontosan szó? Érdemes tisztázni, hogy milyen informatikai-formai keretben értelmezhetők a helymeghatározó mobil alkalmazások. A modern világban az okostelefon térhódításával felmerült a lehetőség, hogy a telefonok – többnyire bluetooth kapcsolaton keresztül[5] - egymás helyzetét azonosítsák, illetve több már meglévő mobil applikáció, navigációs rendszer eleve használ helymeghatározó adatokat, úgy mint google maps, Waze, stb. Ráadásul a telekommunikációs szolgáltatók – sokszor szélesen bírált[6] – adatmegőrzési kötelezettséggel dolgoznak.
A személyek mozgása tehát telefonon követhető, ez nyomot hagy. Ez anonimizált és nem anonimizált (Magyarországon a Házi Karantén Applikáció például a kezdetektől fogva nem anonimizált) formában lehetséges. Anonimizált formában is értékes az információ, mert látszik, hogy egy terület, ahova a telefon tulajdonosa bemegy, mennyire fertőzött, mennyire veszélyes.
Az EU-n belül és világszerte egyaránt – a nemzeti és regionális hatóságok vagy a fejlesztők bejelentették, hogy különböző funkciókkal rendelkező alkalmazásokat vetnek be a vírus elleni küzdelem támogatására.[7] Tehát a különböző mobil applikációk igen korán a homlokterébe kerültek a vírus elleni védekezésnek, mind tagállami kormányzati mind unios intézményi szinten. Vélhetően ezt a Dél-koreai víruskövető rendszer korai sikere is inspirálta.[8]
Az European Data Protection Board (EDPB) igazgatója, Andrea Jelinek 2020. áprilisi 14-i levele hangsúlyozza, [9] hogy több ország próbál iránymutatást szerkeszteni a kormányzat és a telekommunikációs cégek számára a pandémia idején és az EDPB feladata, hogy segítse ebben a nemzeti adatvédelmi hatóságokat. Az EDPB ekkor már felismeri és hangsúlyozza, hogy súlyponti kérdésnek a kontakt azonosító nyomkövető rendszereket tartja, mert itt egyszerre kell megoldani, hogy hatékonyak legyünk a járvány terjedésével szemben és mégis védjük az érintettek magánszféráját. Erre egyébként az önkéntes nyomkövetés egy jó fejlesztési irány volt a kezdetektől fogva.
A European Emergency Number Association (EENA) civil szervezet összefoglalójában 73 ország 108 féle koronavírus applikációját vizsgálta meg és ezeket öt nagy kategóriába sorolta.[10] Az első kategória az információs célra fejlesztett appok, amelyek a hiteles tájékoztatást segítik a fertőzöttség gócpontjairól és a legfontosabb védekezési tudnivalókról.[11] A második kategória az információs applikációk, melyek tipikusan kevés adatkezeléssel járnak. A harmadik kategória az orvosi célra fejlesztett applikációk, ezek tipikusan az ön-diagnózist szoftverrel segítik.[12] A legfontosabb fejlesztések a kontakt azonosító appok,[13] amelyekről még később szó esik. Ezen kívül léteznek multifunkcionális appok[14] és egyéb segédletek.[15] Az applikációk lehetséges funkcióinak a csoportjairól a másik összefoglalást maga a Bizottság adja, amikor kijelenti, hogy Iránymutatása csak az önkéntes alapon használt, a covid-19 világjárvány elleni küzdelmet támogató azon alkalmazásokkal foglalkozik, amelyek az alábbi funkciók közül egyet vagy többet tartalmaznak: tájékoztatást nyújtanak az egyéneknek a covid 19 világjárványról; kérdőíveket biztosítanak az egyéneknek egészségügyi önértékelés és tanácsadás céljából (tünetellenőrző funkció); értesítést küldenek azon személyeknek, akik bizonyos ideig egy fertőzött személy közelében tartózkodtak, és tájékoztatják őket például arról, hogy önkéntes karanténba kell-e vonulniuk, és hol teszteltethetik magukat (kontaktkövető és figyelmeztető funkció); vagy pedig kommunikációs platformot biztosítanak beteg és orvos között önkéntes elszigetelődés esetén vagy amikor további diagnózisra és kezelési tanácsadásra van szükség (a telemedicina révén).[16]
Az Európai Unió Bizottsága és a mobil applikációk a covid-19 járvány alatt
Az Európai Bizottság 2020/C 124 I/01 számon Iránymutatást adott ki „az adatvédelemmel összefüggésben a COVID-19-világjárvány elleni küzdelmet támogató alkalmazásokról.”[17] Eszerint – egyebek mellett - az alkalmazásoknak megbízhatónak es elszámoltathatónak kell lennie: az adatkezelés eszközeiről és céljairól döntő személy (az adatkezelő) meghatározása nélkül nem lehet megállapítani, hogy ki a felelős a személyes adatok védelméért. Ilyen alkalmazások esetében adatkezelő csak nemzeti egészségügyi hatóság (vagy az egészségügy területén közérdekű feladatokat ellátó szerv) lehet.[18] Az alkalmazás különböző funkcióit (pl. tájékoztatási, tünetellenőrző, kontaktkövető és figyelmeztető funkciók) nem szabad összekapcsolni, hogy az egyén minden egyes funkcióhoz külön hozzájárulást adhasson. Amennyiben közelségre vonatkozó adatokat használnak (az egymástól járványügyi szempontból releváns távolságon belül található eszközök között járványügyileg releváns időszakban alacsony energiafelhasználású Bluetoothtech technológiával történő jelcseréből generált adat), azokat a felhasználó eszközén kell tárolni. Amennyiben ezeket az adatokat meg kell osztani az egészségügyi hatóságokkal, azokat csak annak megerősítését követően lehessen megosztani, hogy az érintett személy megfertőződött a COVID-19-el, és azzal a feltétellel, hogy az érintett személy a megosztás mellett dönt. Az így fejlesztett alkalmazásokat deaktiválni kell legkésőbb akkor, amikor a világjárványt ellenőrzés alatt állónak nyilvánítják.[19] A nemezti adatvédelmi hatóságokat teljes mértékben be kell vonni az applikáció fejlesztésébe, és konzultálni kell velük Tekintettel arra, hogy az applikáció kontextusában történő adatkezelés különleges kategóriába tartozó adatok (egészségügyi adatok) nagymértékű kezelésének minősül majd, a Bizottság felhívja a figyelmet az általános adatvédelmi rendelet adatvédelmi hatásvizsgálatról szóló 35. cikkére, e hatóságoknak folyamatosan figyelemmel kell kísérniük az applikáció telepítését.[20]
Nyomkövető alkalmazások Magyarországon
A fő fókusz Európában a kontakt azonosító és helymeghatározó mobil applikációk adatvédelmi vonatkozásaira terelődött. Magyarországon is központi kérdés lett a Házi Karantén applikáció fejlesztése. 181/2020. (V. 4.) Korm. rendelet szerint a házi karantén 14 napos időszakára érvényes applikáció letölthető a https://hazikaranten.hu oldalról. Ha az applikációt választja az érintett, akkor kötelezettséget vállal arra, hogy azt telepíti és az előírásoknak megfelelően használja. Ennek megsértése – a személyes ellenőrzés alóli kibúváshoz hasonlóan – a Kormányrendelet 1. § (4) bek. b) pontja szerint szabálysértésnek minősül.[21] A HKR hozzáfér a kamerához, a GPS-hez, és a Bluetooth-hoz is. A távellenőrzés során a HKR az érintett fényképét összeveti a központi nyilvántartásában tárolt fotóval (ez alapján adják ki a hivatalos dokumentumokat, személyigazolványokat). NAIH/2020/3796/3. számú ügye rámutat arra a némileg aggasztó tényre, hogy ebben a nagy horderejű kérdésben „előzetes konzultációra nem került sor, a kormány csak utólag, a fenti Kormányrendelet kihirdetését követően juttatta el a HKR háttéranyagait a Hatóság részére.”
A NAIH/2020/3796 ügy rámutat, hogy a fejlesztések másik iránya a kontaktuskutatások voltak. Az ITM által megbízott fejlesztő mobil applikációja a „vírusradar”. A VírusRadar appot Magyarországon két külföldi cég: a NextSense és a Biztributor Kft. fejlesztette ki.[22] Az alkalmazás célja a Covid-19 fertőzés elleni küzdelemben való lakossági részvétellel a fertőzöttség terjedésének feltérképezése, az egészség védelme, a járvány terjedésének visszaszorítása. A VírusRadar hozzáfér a Bluetooth-hoz. A földrajzi helymeghatározás használatának engedélyét csak néhány Android-eszköz kéri, mivel az app hozzáférést igényel a Bluetooth Low Energy-hez.[23] Az app. által továbbított adatokat a Kormányzati Informatikai Fejlesztési Ügynökség adatfeldolgozóként a szerverén, titkosítva, 30 napig őrzi.[24] Az alkalmazás fejlesztését és üzemeltetését az említett adatfeldolgozó cég végzi. Naprakész adatot nem lehet találni, hogy az alkalmazást hányan töltötték le, de úgy tűnik, hogy külön kormányzati kampány hiányában ez a szám százezres nagyságrendű, tehát a lakosság 1-2%-át érinti. Az Oxford Egyetem koronavírus kutatása szerint ennek az aránynak 60% körül kellene lennie, hogy epidemiológiailag hatásos legyen.[25] Több ázsiai országban kötelezővé tették a kontaktkövető alkalmazásokat, és India az egyetlen demokrácia, amelyik kötelezi a program használatára állampolgárait. Érdekes, hogy Magyarország, amely alaptörvényi szintre emelte az állampolgárok jogokkal szembenálló állampolgári kötelezettségek elvét[26] pont a koronavírus járvány idején a közérdekre, mások megbetegedésének elkerülésére hivatkozva nem tett lépéseket nemhogy az applikáció kötelezővé tételére, de népszerűsítésére sem. Ösztönzők bevezetésére sem került hazánkban sor, a karantént ellenőrző applikáció például egészen elterjedt, mert használatával el lehetett kerülni, hogy a rendőr naponta becsöngessen állampolgárok otthonába.[27] Az applikáció fejlesztések szerte Európában egy időben kezdődtek a Deutsche Telekom az SAP-vel közösen fejlesztette ki a német nyomkövető applikációt. A német egészségügyi miniszter felhívást tett közzé 2020 szeptemberében, amelyben azt kéri mindenkitől, hogy töltsék le és használják az úgynevezett Corona Warn applikációt.[28] Az ABC News 2020 szeptemberében összefoglalót tett közzé az európai országok applikáció fejlesztéséről,[29] amely rámutat, hogy Finnországban és Írországban a lakosság egyharmada töltötte le a helyi kontaktkutató-alkalmazást, Németországban 22 százalék, míg Franciaországban alig 4 százalék. Több kontaktkutató-alkalmazás működését rövidebb-hosszabb ideig fel kellett már függeszteni adatvédelmi aggályok miatt. Például a norvég és a brit applikációkról derült ki, hogy nem felelnek meg az adatvédelmi előírásoknak.[30] Ugyanakkor az EDPB igazgatója hangsúlyozza: annak ellenére, hogy ezek az applikációk csak akkor hatásosak, ha széles körben elterjedtek, támogatni kell minden önkéntes letöltést, akár népszerűsítő kampánnyal vagy a kiskorúak technikai segítésével. Ugyanakkor csakis önkéntes alapon várható eredmény, senkit nem érhet hátrány, azért, mert nem használja az applikációt.[31]
Összefoglalva elmondható, hogy a nyomkövető mobil applikációk fejlesztésében és terjesztésében új korszakot jelent a covid elleni nemzetközi védekezés. Erősen kérdéses ugyanakkor, hogy ezen technológiák sorsa hogyan alakul a post covid időszakban, amikor a szükséges és arányos privacy korlátozás megköveteli, hogy ismét előtérbe kerüljön a személyes adatok védelme a technológiai újításokkal szemben.
__________________________________________________________
[1] Iránymutatás az adatvédelemmel összefüggésben a COVID-19-világjárvány elleni küzdelmet támogató alkalmazásokról. Bizottság 2020. április 17-i közleménye. 1.o. Lásd: https://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:52020XC0417(08)&from=HU
[2] Alan Butler & Enid Zhou, Disease and Data in Society: How the Pandemic Expanded Data
Collection and Surveillance Systems, 70 AM. U. L. REV. 1577 (2021).1613.o.
[3] Christina Etteldorf, EU Member State Data Protection Authorities Deal with Covid-19: An Overview, 6 EUR. DATA PROT. L. REV. (2020). 279.o.
[4] Iránymutatás az adatvédelemmel összefüggésben a COVID-19-világjárvány elleni küzdelmet támogató alkalmazásokról. 1-2.o.
[5] Más technikai megoldások is léteznek. European Emergency Number Association EENA. 5-6.o. https://eena.org/knowledge-hub/documents/covid-19-apps/
[6] Lásd: az adatmegőrzési irányelv felemelkedése és bukása. https://www.liberties.eu/hu/stories/emberi-jogok/400
[7] Iránymutatás az adatvédelemmel összefüggésben a COVID-19-világjárvány elleni küzdelmet támogató alkalmazásokról. Bizottság 2020. április 17-i közleménye. 1.o. Lásd: https://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:52020XC0417(08)&from=HU
[8] Christina Etteldorf, EU Member State Data Protection Authorities Deal with Covid-19: An Overview, 6 EUR. DATA PROT. L. REV. (2020). 266.o.
[9] Ref: OUT2020-0028. EDPB level Olivier Micolnak, Head of Unit European Commission DG for Justice and Consumers Unit C.3 – Data protection Belgium. Brüsszel, 2020. április 14.
[10] European Emergency Number Association EENA. 7.o. https://eena.org/knowledge-hub/documents/covid-19-apps.
[11] Ezek az applikációk népszerűek több Dél-amerikai országban, pl. Kolumbiában, Braziliában vagy Boliviában, de Dél-Kelet Ázsiában is megtalálhatóak, pl. Indonéziában vagy Vietnámban. Emergency Number Association EENA 7-9.o. https://eena.org/knowledge-hub/documents/covid-19-apps
[12] Ezek az applikációk elsősorban a tünetekre kérdeznek rá részletesen, illetve, hogy milyen eséllyel találkozott fertőzött személlyel az érintett. Elsősorban az egészségügyi szolgáltatókat tehermentesítik így, mivel a vírushullám csúcsain a tesztelési kapacitás mindenhol véges. Csak Franciaországban három ilyen appot fejlesztettek, népszerű Kanadában és Amerika déli részén is. European Emergency Number Association EENA. 10-18.o. https://eena.org/knowledge-hub/documents/covid-19-apps/
[13] Ezek az applikációk tipikusan a fertőzöttek mozgását követik, a legtöbb adatkezeléssel ezek a szoftverek járnak, általában két céljuk van, egyrészt a karanténszabályok hatósági ellenőrzése, másik részük pedig alkalmas a covid pozitív fertőzöttek kontaktkutatására. Izraeltől Ghanán át Kenyáig ismertek ilyen fejlesztések és Magyarországon is van ilyen applikáció. European Emergency Number Association EENA. 19-26.o. https://eena.org/knowledge-hub/documents/covid-19-apps/
[14] Ezek az applikációk legalább két korábbi applikációt vegyítenek: információs applikációt, az orvosi applikációt és a nyomkövető applikációt.
[15] Ezek a fenti kategóriába nem tartozó applikációk. Tipikusan ilyen a figyelemfelketés, ha tömött járműn vagy üzletben tartózkodunk, a maszkviselési felszólítások, a távolságtartás betartására való figyelmeztetés (social distancing), a legközelebbi tesztközpont vagy oltópont mutatása, stb. European Emergency Number Association EENA. 29-30.o. https://eena.org/knowledge-hub/documents/covid-19-apps/
[16] Iránymutatás az adatvédelemmel összefüggésben a COVID-19-világjárvány elleni küzdelmet támogató alkalmazásokról. Bizottság 2020. április 17-i közleménye. 2.o. Lásd: https://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:52020XC0417(08)&from=HU
[17] https://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:52020XC0417(08)&from=EN
[18] 04/2020 sz. Iránymutatás a COVID19-járvánnyal 1-3.o. https://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:52020XC0417(08)&from=EN
[19]A deaktiválás nem függhet az alkalmazás felhasználó általi eltávolításától. Tehát, ha az érintett a telefonjáról nem távolítja el, akkor is deaktíválni kell. Lásd: 04/2020 sz. Iránymutatás a COVID19-járvánnyal összefüggésben a helymeghatározó adatok és a kontaktkövető eszközök használatáról. 4.o.
[20] 04/2020 sz. Iránymutatás a COVID19-járvánnyal összefüggésben a helymeghatározó adatok és a kontaktkövető eszközök használatáról. 9.o.
[21] 181/2020. (V. 4.) Korm. Rendelet az élet- és vagyonbiztonságot veszélyeztető tömeges megbetegedést okozó humánjárvány vonatkozásában elrendelt hatósági házi karantén elektronikus ellenőrzéséről.
[22] Naprakész adatok nincsenek a VírusRadar alkalmazásáról Magyarországon 2020 szeptemberi adatok szerint több mint 75 ezren töltötték le az alkalmazást. Magyarországon körülbelül 5.5 milló okos mobiltelefon van. Lásd: https://koronavirus.gov.hu/cikkek/itm-mar-tobb-mint-75-ezren-toltottek-le-virusradar-alkalmazast
[23]https://www.kormany.hu/hu/innovacios-es-technologiai-miniszterium/hirek/koronavirus-schanda-az-uj-virusradar-mobilos-alkalmazas-jelentosen-hozzajarul-a-jarvany-elleni-vedekezeshez
[24] A TASZ beadványában kifogásolta, hogy nem készült a VirusRadar bevezetéséről hatástanulmány. Későbbi a NAIH/2020/6433 vizsgálat rámutatott, hogy részben készült hatásvizsgálat, amiről nem tájékoztatták kérdés ellenére sem a TASZ-t, a hatásvizsgálat kibővítésére van szükség.
[25] „Digital contact tracing can slow or even stop coronavirus transmission and ease us out of lockdown”. Lásd: https://www.research.ox.ac.uk/article/2020-04-16-digital-contact-tracing-can-slow-or-even-stop-coronavirus-transmission-and-ease-us-out-of-lockdown
[26] Lásd: A Velencei Bizottság véleménye Opinion no. 618/2011, miszerint az alaptörvényben az államnak az egyes állampolgárokkal szembeni kötelezettségeiről a hangsúly az egyéneknek a közösséggel szembeni kötelességeire tolódik át; http://www.venice.coe.int/ docs/2011/CDL-AD(2011)016-e.pdf, 57.o.
[27] https://www.szabadeuropa.hu/a/virusradar-kontaktkutatas-koronavirus-covid-applikacio/30861076.html
[28] https://www.szabadeuropa.hu/a/a-koronav%C3%ADrus-app-haszn%C3%A1lat%C3%A1t-s%C3%BCrgeti-a-n%C3%A9met-korm%C3%A1ny/30854158.html.
[29] https://abcnews.go.com/Health/wireStory/europe-faces-2nd-wave-virus-tracing-apps-lack-73162549
[30] https://www.szabadeuropa.hu/a/virusradar-kontaktkutatas-koronavirus-covid-applikacio/30861076.html
[31] Ref: OUT2020-0028. EDPB level Olivier Micolnak, Head of Unit European Commission DG for Justice and Consumers Unit C.3 – Data protection Belgium. Brüsszel, 2020. április 14.
__________________________________________________________
Jelen blogposzt a Magyar Tudományos Akadémia poszt-COVID-jelenségek kutatására irányuló nagy kockázatú pályázata keretében készült.
__________________________________________________________
Az írás a szerző véleményét tartalmazza, és nem értelmezhető a TK hivatalos állásfoglalásaként.