2019. június 26-án a Kúria egy felülvizsgálati eljárásban hozott ítéletben egyértelműen megerősítette, hogy pszeudonimizált egészségügyi adatok esetén a személyes adat fogalom relatív megközelítése alkalmazandó, amely szerint a kódoló kulccsal nem rendelkező szervezeteknél lévő kódolt adatok nem minősülnek személyes adatnak, azokra nem vonatkozik az adatvédelmi szabályozás. Noha a tényállás szerint a jogvita tárgyát képező események még a GDPR hatályba lépését megelőző időben történtek, a Kúria megállapításai az ítélet indokolása alapján iránymutatóak a jövőre nézve is.
A dilemma: abszolút vs. relatív megközelítés
A személyes adat fogalmának abszolút vagy relatív megközelítése az adatvédelmi jog egyik legfontosabb, ha nem a legfontosabb alapkérdése, hiszen azt határozza meg, hogy egy információ személyes adat-e vagy sem. Előbbi esetben vonatkozik rá az adatvédelmi jog, utóbbi esetben nem. Az abszolút megközelítés szerint, ha egyszer egy adott információ köthető egy természetes személyhez, akkor az az információ mindenképpen személyes adat és ezt a minőségét mindig magával viszi. Ezzel szemben a relatív megközelítés szerint nem lehet elvonatkoztatni az adatkezelő személyétől, ugyanis ugyanazon információ alapján valaki képes lehet azonosítani egy természetes személyt, míg másvalaki erre képtelen, csak nehézségekkel képes vagy adott esetben egyáltalán nem célja az azonosítás, még akkor sem, ha erre képes lenne.
Egy egyszerű, némileg leegyszerűsített példa a gépjárművek rendszámának kezelése egy parkolóházban: a gépjárművek behajtásánál egy kamera leolvassa a rendszámot, ezt és a behajtási időt rögzíti a rendszer. A vezető kap egy parkolójegyet, amellyel kihajtás előtt kifizeti a parkolási díjat. Kihajtásnál a kamera ismét leolvassa a rendszámot, és ha ki volt fizetve a díj, akkor felnyitja a sorompót. A parkolóház üzemeltetőjének egyetlen üzleti célja van a rendszámok rögzítésével, mégpedig a parkolási díj beszedése. Nem érdekli sem a vezető, sem a tulajdonos, sem az üzembentartó személye. Ebben az esetben számára a rendszám nem több mint egy egyszeri azonosító, amely alapján gépjárműveket tud azonosítani.
A személyes adat fogalmának abszolút megközelítése szerint a rendszám személyes adat, mert az állami nyilvántartás alapján visszakereshető a tulajdonos és az üzembentartó személye. A relatív megközelítés szerint azonban nem lehet figyelmen kívül hagyni az adatkezelő személyét, céljait és képességeit annak megítélésekor, hogy az általa (a szó köznapi értelmében) kezelt információk alapján képes-e természetes személyeket azonosítani. Ha a körülmények alapján erre nem képes, illetve ez nem célja, akkor az ő tevékenysége nem a szó adatvédelmi jogi értelmében vett adatkezelés.
Természetesen felmerülhet, hogy a parkolóház üzemeltetője károkozás esetén visszakeresheti a nyilvántartásból a rendszámokat, és ezek alapján lekérdezheti a tulajdonost, illetve üzembetartót az állami nyilvántartásban. (Ugyan a károkozó azonosítására és a károkozás bizonyítására inkább kamerafelvételek alapján szokott sor kerülni, de a jelen gondolatmenet érdekében ettől most tekintsünk el). Kérdés, hogy az összes parkolási tranzakció számához valószínűleg csak elenyésző hányadban előforduló károkozás, és a károkozó autók rendszámának lekérdezése miatt a parkolóház által rögzített összes rendszám személyes adat-e vagy sem. Az abszolút megközelítés szerint igen, míg a relatív megközelítés szerint nem.
Tegyük fel, hogy létezik egy parkolóház, amely a személyes adatok védelmével hirdeti magát. Annak érdekében, hogy a természetes személyek azonosításának még fent felvázolt kivételes lehetőségét is kizárja, ezért olyan számítástechnikai rendszert alkalmaz, amely a rendszámokat leolvasásuk pillanatában kódolja, méghozzá úgy, hogy ezt egy tőle független, megbízóható harmadik fél végzi. Ezzel a megbízható harmadik személlyel olyan szerződést köt, amelyben szerződéses úton zárja ki annak a lehetőségét, hogy e szolgáltató számára átadja azt a kódot, amivel vissza lehetne fejteni a rendszámokat. A személyes adat fogalmának abszolút megközelítés alapján a parkolóház továbbra is személyes adatokat kezel, mert ugyan csak közvetetten és elméleti szinten, de mégis fennáll az azonosítás lehetősége, hiszen adott esetben szerződésszegés vagy a számítástechnikai rendszerbe való betörés útján meg tudja szerezni a kódot. Ezzel szemben a relatív megközelítés szerint a parkolóház nem kezel személyes adatot, mert sem közvetlen vagy közvetett módon nem tudja azonosítani a járművek tulajdonosait vagy üzembentartóit, ezt ugyanis objektív tényezők (technikai és szervezeti intézkedések) zárják ki.
Míg az előbb felvázolt eset a képzelet szülötte, addig a Kúria az ítéletében egy nagyon is valóságos esetben erősítette meg a relatív megközelítést: a járművek tulajdonosai vagy üzembetartói helyett betegekről és egészségügyi kezeléseikre vonatkozó információkról van szó, parkolóház helyett az Állami Egészségügyi Ellátó Központ (ÁEEK) az adatgazda, a rendszám szerepét a TAJ szám tölti be, amelyet az Nemzeti Egészségbiztosítási Alapkezelő (NEAK) kódol el egy kvázi-TAJ számmá, amelyet átad az ÁEEK-nek. Utóbbi nem jogosult arra, hogy visszakérdezzen a NEAK-nál arra, hogy egy adott kvázi-TAJ szám mely valódi TAJ számból lett leképezve.
A konkrét ügy tényállása
A per tényállása szerint Állami Egészségügyi Ellátó Központ (ÁEEK) adatkezelési tevékenységét a Tételes Egészségügyi Adattár (TEA) elnevezésű nyilvántartás útján végezte. Az adattár nyilvános, mindenki számára elérhető, abból ún. aggregált adatokat lehet lekérdezni. Ha a megadott szűrési feltételek eredményeként ötnél kevesebb esetszám adódik, a rendszer adatot nem szolgáltat. Az adatbázis forrása az Országos Egészségbiztosítási Pénztár (OEP) – jogutódja a Nemzeti Egészségbiztosítási Alapkezelő (NEAK) – által deperszonalizált, a páciensek ellátási útjának végigkövetésére alkalmas adatok. Az ÁEEK a betegeket és ellátási útjukat nem a valódi TAJ számuk alapján azonosítja, hanem az OEP által képzett és kiadott ún. kapcsolati kódjával, más néven kvázi TAJ-számmal, amelyeket az OEP képez a TAJ számból. Az OEP ehhez egy olyan kódoló algoritmust használ fel, amelyet nem ad át az ÁEEK-nak.
A konkrét ügy felperese úgy gondolta, hogy a TEA rendszerben az adott irányítószám alatt egyedüliként beazonosíthatóvá vált, ezért – még a GDPR alkalmazása, azaz 2018. május 25-e előtt – pert indított a róla tárolt adatok másolatának kiadása és az adatkezelés jogellenessége miatt az adatok törlése érdekében. Ezen kívül pedig kérelmezte, hogy az OEP-től kapott kapcsolati kóddal belépve a TEA rendszer beazonosíthassa a róla kezelt adatokat. Az ÁEEK védekezése szerint jogszabályi felhatalmazás alapján és kizárólag a jogszabály által meghatározott körben kezel személyazonosításra nem alkalmas, személyes adatoknak nem minősülő információkat.
A per folyamán az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény (Infotv.) alapján az ÁEEK-nek kellett bizonyítania, hogy ténylegesen milyen adatokat kap és ezek alapján hogyan történik az adatbázis összeállítása. Az ÁEEK ennek megfelelően hivatkozott jogszabályi kötelezettségére az információk – és nem személyes adatok – kezelése kapcsán és megjegyezte, hogy nem rendelkezik olyan technikai feltételekkel, nyilvántartással, amely a kezelt adatok valós személlyel történő összekapcsolását, ezáltal a deperszonalizált adatoknak az érintettel való kapcsolata helyreállítását („vissza-személyesítését”) lehetővé tenné.
Az első- és másodfokú ítélet
Az alsóbb fokon eljárt bíróságok, a Szegedi Törvényszék és a Szegedi Ítélőtábla az alperes ÁEEK álláspontját elfogadva megállapították, hogy a ténylegesen megejtett személyazonosítás és – a többek között a személyes adat kezelése szempontjából jelentőséggel bíró – azonosítás lehetősége között különbséget kell tenni. A TEA-ban szereplő információk, a nem, a születési idő, a lakcím irányítószáma sem önmagában, sem együttesen nem alkalmas a mögöttük álló természetes személy beazonosítására. A felperes keresete („róla tárolt adatok másolatának kiadása”) ugyanis a tényleges beazonosítás nélkül nem teljesíthető. Ehhez a TEA adattartalmát „vissza kellene személyesíteni”, így lehetne csak megkapni az érintettre vonatkozó adatokat. Mindemellett a felperes által felajánlott eljárás, miszerint kapcsolati kódok közül a sajátját kiemelve, azt a kapcsolati kódhoz tartozó adatokkal a saját személyéhez rendeli, már új adatkezelésnek és ezzel új adattartalomnak minősülne. Az ÁEEK ugyanakkor a jogszabályok alapján csak személyazonosításra alkalmatlan módon kezelhet adatokat, arra jogszabályi felhatalmazással nem rendelkezik, hogy az ún. „vissza-személyesítést” is elvégezze, így ezeket a kérelmeket jogosan utasította el a bíróság.
A bíróságok szerint annak sincs jelentősége, hogy a TEA adataihoz az ÁEEK-tól független, további adattartalmak társításával (internet adta lehetőségekkel, pl. Google kereséssel) el lehet-e jutni egy konkrét személyhez, mivel az ÁEEK-nak a tőle függetlenül rendelkezésre álló adattartalmak mikénti felhasználására ráhatása nincs, azokat nem kezeli.
A Kúria felülvizsgálati ítélete
A Kúria helybenhagyta az ítélőtábla jogerős ítéletét és megerősítette, hogy kódolt adatok esetén különbséget kell tenni aszerint, hogy az ezeket kezelő szervezet rendelkezik-e a kulccsal vagy egyébként érdekelt-e a visszaazonosításban, vagy sem. Előbbi esetben személyes adatokról van szó, utóbbi esetben azonban nem. A Kúria is hivatkozott a 29. cikk szerinti Adatvédelmi Munkacsoport (WP29) 4/2007 számú, személyes adat fogalmáról szóló véleményére. A TEA adatbázisban az újbóli azonosítás kifejezetten kizárt, e tekintetben megfelelő technikai intézkedésre is sor került, tehát e kódolt adatok az adatkezelő által nem visszafejthetőek.
A Kúria döntését ugyan az Infotv. alapján hozta meg, azonban az ítélet indokolása tartalmazza, hogy a WP29 4/2007 számú véleménye – a GDPR 94. cikk (2) bekezdése értelmében – jelenleg is hatályos. Érdemes elolvasni a Kúria eredeti ítéletét (Pfv. 20.954/2018/6, lásd a Kúria sajtóközleményét itt), különösen a 17-22. bekezdéseket, mert ezek a közzétett BH-hoz képest több részletet tartalmaznak. Az indokolás sarokpontjai az alábbiak:
- A személyes adat egyik fogalmi eleme, hogy az adat, információ alapján a természetes személy azonosított vagy azonosítható legyen.
- A személyes adat fogalmi elemeinek értelmezéséhez a WP29 (jelenleg: Európai Adatvédelmi Testület, EDPB) 4/2007 számú véleménye ad iránymutatást. A véleményben kifejtett szakmai álláspont szerint, a természetes személyt „azonosítottnak” tekinthetjük, ha a személyek egy csoportján belül elkülönül a csoport valamennyi egyéb tagjától. A természetes személy akkor „azonosítható”, ha ennek megtétele lehetséges. Az azonosíthatóság tehát egy küszöbfeltétel, amely meghatározza, hogy az információ személyes adatnak minősül-e.
- Az adott személyt azonosítani lehet „közvetlenül” (leggyakrabban a neve alapján) vagy „közvetve” (kisegítő információval). Azokban az esetekben, ahol a hozzáférhető azonosítók kiterjedése első látásra nem teszi lehetővé az adott személy kiválasztását, e személy még azonosítható lehet, mivel az említett információ más információkkal összekapcsolva (ez utóbbi akár megvan az adatkezelőnél, akár nincs) az egyént másoktól megkülönböztethetővé teszi.
- Az Adatvédelmi Irányelv (26) preambulumbekezdésének az azonosíthatóság meghatározásához adott iránymutatása szerint, minden olyan módszert figyelembe kell venni, amit az adatkezelő, vagy más személy valószínűleg felhasználna az adott személy azonosítására. [Itt érdemes megjegyezni, hogy a GPDR (26) preambulumbekezdése lényegében ugyanezt tartalmazza, lásd lent.]
- Az azonosítás eszközét elsősorban az adatfeldolgozás [helyesen: adatkezelés] célja határozhatja meg. Amikor az érintett azonosítása nem szerepel a feldolgozás [helyesen: adatkezelés] céljai között (pl. kutatás, statisztikai adatgyűjtés), az azonosítás megakadályozását célzó technikai intézkedések játszanak fontos szerepet.
- A „pszeudonimizálás” a személyazonosság elrejtésének folyamata, melynek eredményeként elérhető, hogy az újbóli azonosítás ne legyen lehetséges (anonimizált adat), vagy az azonosítás elvégezhető legyen visszafelé követhető módon. Ez utóbbi esetben a pszeudonimizált adatok alapján a személyek „közvetve azonosíthatók”.
- A pszeudonimizálás tipikus formája, a kulccsal kódolt adatok esetében a lehetséges azonosításba esetlegesen bevont valamennyi fél által azonosítható természetes személyre vonatkozó információkat hoznak létre, így ezen adatoknak az adatvédelmi szabályok alá kell tartozniuk.
- Ez azonban mégsem jelenti azt, hogy az ugyanazon kódolt adatkészletet feldolgozó bármely más adatkezelő személyes adatot dolgozna fel, amennyiben a külön rendszerben, amelyben ezek az egyéb adatkezelők működnek, az újbóli azonosítás kifejezetten kizárt, és e tekintetben megfelelő technikai intézkedésre került sor.
- A TEA rendszerben a kapcsolati kód (kvázi-TAJ szám) mellé rendelt egészségügyi adatok, nem, születési dátum, a lakóhely irányítószáma alapján az érintett csak közvetve azonosítható.
- Az ÁEEK részére továbbított adatokat a NEAK (OEP) teszi a természetes személy azonosítására alkalmatlanná (pszeudonimizálja) és látja el kapcsolati kóddal, amely biztosítja az ellátott betegek megkülönböztetését, az egyes ellátási események összefűzését.
- Az ÁEEK által kezelt információhalmazban a természetes személy (érintett) ugyan közvetve azonosítható, ennek elvi lehetősége ugyanakkor a konkrét esetben nem elégséges annak megállapításához, hogy az ÁEEK személyes adatokat kezelne.
- Ezért az ÁEEK által kezelt, az érintett természetes személy azonosítására alkalmatlan adatok a személyes adat minőségüket már nem őrzik meg, ezekre nem vonatkoznak az adatvédelmi előírások.
Összefoglalva, az ÁEEK által kezelt, az érintett természetes személy azonosítására alkalmatlan adatok a személyes adat minőségüket már nem őrzik meg, így az érintett sem kérhet tájékoztatást az ÁEEK-től a TEÁ-ban lévő tájékoztatás nem kérhető, mert azok nem tartoznak az Infotv. hatálya alá.
A Kúria egyébként nem véletlenül hivatkozott ítéletében a 4/2007 számú, személyes adat fogalmáról szóló WP29 véleményre, az ugyanis egy, a fenti tényállásra szinte egy az egyben ráolvasható példát tartalmaz: megfelelően kódolt adatkészlet átadása egy olyan személy részére, aki nem tudja azokat dekódolni, akkor sem tartozik az adatvédelmi jog hatálya alá, ha egyébként elméletileg lehetséges a természetes személyek azonosítása (22. oldal):
Ebben az esetben az egyének azonosítása (hogy szükség esetén megkaphassák a megfelelő kezelést) a kulccsal kódolt adatok feldolgozásának egyik célja. A gyógyszeripari vállalkozás megteremtette a feldolgozás eszközeit, ideértve a szervezési intézkedéseket és a kutatóval való kapcsolatait, aki oly módon tárolja a kulcsot, hogy az egyének azonosítása bizonyos körülmények között ne csak megtörténhessen, hanem valóban meg is történjen. A betegek azonosítása tehát beágyazódik a feldolgozás céljai és eszközei közé. Ebben az esetben arra a következtetésre lehet jutni, hogy az ilyen, kulccsal kódolt adatok a lehetséges azonosításba esetlegesen bevont valamennyi fél által azonosítható természetes személyekre vonatkozó információkat hoznak létre, így tehát ezen adatoknak az adatvédelmi jogszabályok hatálya alá kell tartozniuk. Ez azonban mégsem jelenti azt, hogy az ugyanazon kódolt adatkészletet feldolgozó bármely más adatkezelő személyes adatot dolgozna fel, amennyiben a külön rendszerben, amelyben ezek az egyéb adatkezelők működnek, az újbóli azonosítás kifejezetten kizárt, és e tekintetben megfelelő technikai intézkedésekre került sor.
A kutatás vagy az ugyanazon projekt egyéb területein előfordulhat, hogy az érintett személyek újbóli azonosítását kizárták a vizsgálati tervek és az eljárás kialakítása során, például mivel az említett területeknek nincs terápiás vonzata. Technikai vagy egyéb okokból mégis lehet rá mód, hogy kiderüljön, melyik személynek felelnek meg az egyes klinikai adatok, de az azonosításra feltételezhetőleg vagy várhatóan semmilyen körülmények között nem kerül sor, és megfelelő technikai intézkedéseket (pl. kriptografikus, visszafordíthatatlan tördelés) léptettek életbe annak érdekében, hogy ennek előfordulását megelőzzék. Ebben az esetben, még ha az egyes érintettek azonosítása meg is történne az említett vizsgálati tervek és intézkedések ellenére (előre nem látható körülmények miatt, mint például az érintett tulajdonságainak véletlen egyezése, amely felfedi a személyazonosságát), az eredeti adatkezelő által feldolgozott információt akkor sem kellene azonosított vagy azonosítható személyekre vonatkozónak tekinteni, figyelembe véve minden olyan módszert, amelyet az adatkezelő vagy más személy valószínűleg felhasználna. Feldolgozása tehát nem esne az irányelv rendelkezéseinek hatálya alá.
Az ítélet hatása a jövőre nézve
A fenti konkrét ügyben a bíróságok ugyan még az Infotv. rendelkezéseit alkalmazták, hiszen az ügy a GDPR alkalmazását megelőzően indult, azonban elhamarkodott lenne kijelenteni, hogy ezért ennek az ítéletnek nincs relevanciája a GDPR hatálya alá tartozó adatkezelésekre. Egyrészt a Kúria maga is hivatkozott a GDPR-ra és a WP29 személyes adat fogalmáról szóló véleményére, másrészt az Infotv. és a GDPR releváns rendelkezései tartalmukban szinte teljesen megegyeznek. Tény, hogy az Infotv. 4. § (3) bekezdése, amely azt tartalmazza, hogy „[a] személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható”, és hogy „[az] érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek”, szövegszerűen nem jelenik meg a GDPR főszövegében, azonban kiolvasható a GPDR (26) preambulumbekezdéséből (amely megfelel az Adatvédelmi Irányelv (26) preambulumbekezdésének):
(26) Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. Az álnevesített személyes adatok, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatnak kell tekinteni. Valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert [angolul: means] figyelembe kell venni – ideértve például a megjelölést -, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja. Annak meghatározásakor, hogy mely eszközökről [angolul: means] feltételezhető észszerűen, hogy egy adott természetes személy azonosítására fogják felhasználni, az összes objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejlődését. Az adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható. Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve.
A fentiek, azaz a személyes adat fogalmának relatív megközelítése alapján tehát minden ügyben egyedileg kell megvizsgálni, hogy az adott ügy körülményei alapján az információkat birtokló személy képes-e egy adott természetes személyt azonosíthatni, ehhez pedig azokat a módszereket kell megvizsgálni, amelyekről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja. Ezt a vizsgálatot objektív tényezők alapján kell elvégezni.
A Kúria felülvizsgálati ítélete a Bírósági Határozatok (Kúriai Döntések) 2019/10. októberi számában jelent meg BH 2019.272 szám alatt.
A bejegyzés elkészítésében Sziládi Péter ügyvédjelölt működött közre.
dr. Halász Bálint ügyvéd, partner
Siegler Bird & Bird Ügyvédi Iroda
balint.halasz@twobirds.com
+36 1 301 8900
Frissítés #01 @ 2019. november 29.
Osztopáni Krisztián ügyvéd kollégám megtisztelt azzal, hogy LinkedIn cikkben osztotta meg gondolatait a fenti írásommal és a kúriai döntéssel kapcsolatban. Erre én is reagáltam, amely szintén olvasható a LinkedIn-en és az alábbiakban.
Kedves Krisztián!
Köszönöm, hogy ilyen részletesen kifejtetted a véleményed. Mint mindig, most is sok megfontolandó szempontot vetettél fel. Nem gondolom, hogy nekem lenne tisztem vagy feladatom megvédeni a Kúriát, viszont az írásod utolsó mondatára szeretnék reflektálni. Előrebocsátom, hogy a cikkemben én nem titkoltan abbéli örömömet fejtettem ki, hogy a magyar jogalkotás a jelek szerint nyitott a személyes adat fogalmának relatív megközelítésére. Igen, nagyon örülök, hogy végre van arra vonatkozó gyakorlat, hogy az információkat birtokló személy/szervezet (szándékosan kerülöm az adatkezelő/adatfeldolgozó fogalmakat) szempontjából kell megvizsgálni, hogy képes-e az érintett azonosítására, ideértve azt is, hogy egyáltalán üzleti célja-e bárkinek az azonosítása, illetve hogy milyen technikai és szervezeti intézkedések biztosítják, hogy ezt ne tudja megtenni.
Az elmúlt években számtalan esetben futottunk bele ebbe a dilemmába. A big data szolgáltatások esetén eddig szakadék volt egyes hatóság ismert iránymutatásai és az iparági gyakorlat között. Előbbi szerint tessék esemény szinten, azaz véglegesen anonimizálni, mert ez jár a legkisebb kockázattal, már ami a viszontazonosítást illeti (erre Gáspár is hivatkozott). Ugyanakkor egy ilyen aggregált kimutatás (amit nem igazán lehet már adatbázisnak nevezni), nem sokat ér. Az érték ugyanis abban van, hogy a nyers adathalmazból különböző lekérdezésekkel különböző kimutatásokat lehet kapni. A TEA értéke is az, hogy betegutakat lehet lekérdezni, meg lehet tudni, hogy bizonyos betegek csoportjai milyen kezeléseket vettek igénybe és ezekből trendeket megállapítani, anomáliákat felfedezni. A végeredmény ebben az esetben is aggregált információk halmaza lesz, de a kiinduláshoz kellenek az esemény szintű információk.
Tudom, hogy a TEÁ-ban is benne van az én beteg-életutam, egy kvázi TAJ szám mögé rejtve. Ez engem egyáltalán nem zavar, egyrészt azért, mert a NEÁK-nál ugyanez megvan éles TAJ szám alapján, másrészt pedig azért – és ez a fontosabb – mert a TEA adatbázisnak nem célja az, hogy engem beazonosítson. Mi több nem csak nem célja, de a benne tárolt információk is olyanok, amelyek alapján nem valószínű, hogy én beazonosítható leszek (a WP29 a viszontazonosítás kockázata körében gyakran a geolokációs adatokra hivatkozik, mint amelyek könnyen felhasználhatóak viszont-azonosításra, azonban a TEÁ-ban ezek nincsenek). Továbbá technikai és szervezeti intézkedések is biztosítják, hogy ez ne történhessen meg.
A cél és a konkrét megvalósítás nagyon fontos szempontok, amit minden egyes konkrét esetben meg kell vizsgálni, viszont ez munkás. Az elmúlt években én azt éreztem, hogy ezt a munkát sokan nem akarják elvégezni, mert egyszerűbb rámondani egy olyan kódolt információkat tartalmazó adatbázisra, mint a TEA, hogy a viszontazonosítás távoli, akár csak elméleti lehetősége miatt az ebben lévő információk személyes adatok, mintsem megvizsgálni az előbbi szempontokat, és kidolgozni egy olyan megvalósítást, amely a viszontazonosítás kockázatát a minimálisra csökkenti (pl. hatásvizsgálat az adatkezelő oldalán vagy éppen kvázi hatásvizsgálat a nem személyes információkat birtokló személy/szervezet oldalán). Az említett kúriai döntés után ez előbbi fűnyíró elv, azaz a személyes adat fogalmának abszolút megközelítése már nem mehet tovább.
Remélem, látszik, hogy én sem azt gondolom, hogy egy adott információhalmazra bármilyen kódolást ráengedve az máris elvesztette személyes adat jellegét. Ez a foteljogászkodás másik véglete lenne, ami szintén nem engedhető meg.
Ami az írásodban az 1. pontot illeti [Kiegészítő információk biztosítása], itt nehéz lenne azzal vitatkozni, hogy nem igazán érthető, hogy miért ne lehetne kiadni csak egy adott kvázi TAJ számra vonatkozó beteg-életutat. De, hogy erre az ÁEEK jogszabály alapján jogilag kötelezhető lenne, azt a konkrét tényállásban nem látom, ezért nekem nem meglepő, hogy a Kúria is erre jutott. Az egy külön kérdés, hogy ha minden adat a NEAK-tól jön, akkor utóbbinál is meg kéne legyen ugyanez az éles TAJ számhoz rendelve, és ebben az esetben miért nem elég az érintettnek, hogy a NEAK-tól kér tájékoztatást. Persze tudom, hogy az információs önrendelkezés alapjog és nem kell indokolni, hogy érintett miért kér tájékoztatást… Visszatérve az egy kvázi TAJ számra vonatkozó beteg-életútra, nekem járhatónak tűnne, az, hogy az érintett a NEAK-nál kikéri az éles TAJ száma alapján képzett kvázi TAJ számot (ideális esetben utóbbiból nem lehet visszafejteni előbbit, tehát az érintett nem fogja tudni megfejteni, hogy mi a kódoló algoritmus), a NEAK ezt számára csak azonosítása után adja ki, az ÁEEK pedig egyedileg, ezen egy kvázi TAJ számra vonatkozó beteg életutat adja ki. Ami utóbbit illeti, szerintem ez továbbra sem személyes adat, még abban a pillanatban sem, amikor ezt kiadja az ÁEEK, feltéve, hogy az ÁEEK nem rögzíti, hogy kinek adja ki (ennek gyakorlati megvalósítása külön is érdekes kérdés, de nem megoldhatatlan). Hogy az érintett maga mit csinál ezzel az információhalmazzal, az már nem releváns az ÁEEK számára. Itt persze felmerül, hogy ha az érintett nyilvánosságra hozza a kvázi TAJ számát és ezáltal saját magához rendeli, akkor vajon ez az ÁEEK által kezelt adatbázisban is az jelenti, hogy az adott kvázi TAJ számhoz rendelt információk személyes adattá válnak-e? Szerintem nem, mert az azonosítás nem célja az ÁEEK-nak. Olyan ez mintha az érintett kiállna az ÁEEK irodája elé és megafonba kiabálná, hogy X TAJ szám = Y kvázi TAJ szám. Attól, hogy beszűrődik az ÁEEK irodájába, változik-e TEA adatbázis tartalma vagy az ÁEEK célja az adatbázissal? Nem és szervezeti és technikai intézkedések továbbra is biztosítják, hogy ez ne történhessen meg. Ami utóbbit illeti, talán mi itt Közép-Kelet Európában túlzottan is szkeptikusak vagyunk és nem akarjuk elhinni, hogy egy szervezet nem lépi túl azokat a korlázatokat, amelyeket magának meghatározott. Az angolszász jellegű policy making éppen erről szól: egy szervezet meghatározza, hogy mit fog csinálni, és ennek betartásához rendel erőforrásokat.
Ami az írásod 2. pontját illeti [Az érintetti joggyakorlás korlátozhatósága], én továbbra is úgy gondolom, hogy a TEA adatbázis tartalma nem személyes adat, és ezen nem változtat az sem, ha a fentiek szerinti az ÁEEK kiad egyes kvázi TAJ számokhoz tartalmazó információkat.
A GDPR 11. cikk [Azonosítást nem igénylő adatkezelés] érdekes felvetés. Számomra továbbra is talány, hogy ez mit jelent, hiszen ha nincs azonosítás, akkor nincs személyes adat és nincs adatkezelés sem. Az (1) bekezdés ennek ellenére az adatkezelő forgalmat használja, ami számomra ellentmondás. Az információkat birtokló személy/szervezet oldaláról viszont egyértelműen el kell dönteni, hogy vonatkozik-e rá a GDPR vagy sem. Köztes megoldást nehezen tartok elképzelhetőnek, mert ebben az esetben teljes megfelelést meg kéne csinálni (nyilvántartások, szabályzatok, adott esetben adatvédelmi tisztségviselő, incidensek kezelése, hatásvizsgálatok stb.), csak azért, hogy esetleg majd egy érintett benyújtja az azonosítását lehetővé tevő kiegészítő információkat. Valóban ez lenne a helyes értelmezés? Szerintem nem, mert e cikk helyes értelmezése az lenne, hogy ezen személyre/szervezetre nem vonatkozik a GDPR, csak válaszolnia kell a megkeresésre. Ugyanakkor a GDPR tárgyi hatálya (2. cikk) ezt az értelmezést nem támasztja alá, mert ez személyes adatok kezeléséről szól. Talán, ha lenne utalás a 2. cikkben a 11. cikkben leírt szituációra, és le lenne írva, hogy ilyen esetben csak a válaszadásra kötelezett az adott személy/szervezet, az sokat segítene. Ugyanakkor a 11. cikk (2) bekezdése ezzel a megközelítéssel ellentétes szabályt tartalmaz: „ilyen esetekben a 15-20. cikk nem alkalmazandó”. Ebből az következne, hogy a GDPR összes többi szabálya alkalmazandó lenne ilyen adatkezelések esetén… A 12. cikk (2) bekezdés sem segít, ráadásul abban már nem csak a 15-20. cikk jelenik meg, hanem a 20-21. cikk is (tiltakozás, automatizált döntéshozatal)… Sehogy sem kerek ez…
Ha az utóbbi nehézségeket figyelembe vesszük, talán nem meglepő, ha egy azonosításra alkalmatlan információkat birtokló szervezet/személy számára a GDPR alatt is az a megközelítés vonzóbb, amit az ÁEEK választott a TEA esetében: nem kezel személyes adatokat, nem vonatkozik rá a GDPR tárgyi hatálya, így a GDPR 11. cikke sem, ezért nem teljesít tájékoztatáskérés vagy más jog érvényesítése iránti kérelmet.