Az újranyitás és a védettségi igazolványok néhány adatvédelmi kérdése

Hamarosan a koronavírus-járvány előtt megszokott mindennapokhoz való visszatérés egy újabb mérföldkövéhez érkezünk és újra megnyithatják a szolgáltatások széles körét azok számára, akik rendelkeznek védettségi igazolvánnyal. Így például a színházak, mozik, múzeumok, edzőtermek, szállodák is fogadhatnak nézőket, vendégeket – fejtette ki dr. Osztopáni Krisztián.

A hétfői Magyar Közlönyben jelent meg a 194/2021. (IV. 26.) Korm. rendelet, amelyben a kormány tisztázta a védettségi igazolvány használatának és a jogosultság igazolásának szabályait. A jogszabály alapján a szolgáltató a védettségi igazolvány bemutatására hívhatja fel a szolgáltatást igénybe vevő személyeket.

Ez a gyakorlatban azt fogja jelenteni a szolgáltatók számára, hogy a szolgáltatás igénybevétele előtt arra kérik a vendégeiket (nézőiket), mutassák be a személyes adataikat tartalmazó védettségi igazolványukat. Ami pedig szükségszerűen azt is jelenti, hogy a szolgáltatóknak érdemes átgondolniuk az igazolvány-bemutatással összefüggő adatvédelmi kérdéseket.

Adatkezelésnek minősül-e az igazolvány megtekintése?

Mindenekelőtt megalapozottan merül fel az a kérdés a szolgáltatókban, hogy egyáltalán alkalmazni kell-e a védettségi igazolvány elkérésére és megtekintésére az adatvédelmi szabályozást.

Az általános adatvédelmi rendelet (GDPR) adatkezelési műveletként sorolja fel a betekintést is. Erre tekintettel az adatvédelmi hatóság (NAIH) az elmúlt években több döntésében is adatkezelésnek minősítette a személyes adatoknak betekintés útján való megismerését is (így például az erkölcsi bizonyítványba vagy egy hatósági nyilvántartásba való betekintés esetében volt ilyen konkrét döntése a NAIH-nak).

Ebből fakadóan a szolgáltatóknak pusztán a védettségi igazolvány megtekintése esetében is épp úgy kell eljárniuk, mint bármilyen más hagyományos, személyes adatokon végzett adatkezelés esetében.

Milyen szabályokat tartalmaz a kormányrendelet?

A jogszabály alapján a szolgáltató a védettségi igazolvány bemutatását kérheti szolgáltatást igénybe vevő személyektől. Emellett a jogszabály felhatalmazza a szolgáltatókat arra is, hogy a személyi igazolvány, útlevél vagy jogosítvány bemutatását kérjék.

Habár a jogszabály szövege nem tartalmaz, de vélhetően erre abban az esetben van lehetőség, ha a szolgáltató visszaélésre gyanakszik, és meg kíván győződni arról, hogy az érintett a számára kiállított védettségi igazolványt mutatta be.

A védettségi igazolványok esetében ugyanis életszerűen elképzelhető olyan visszaélés, hogy valaki kölcsönkéri egy barátjának vagy barátnőjének az igazolványát, hogy elmehessen moziba, minthogy ő maga még nem rendelkezik ilyen igazolvánnyal. Az ilyen jellegű csalások kivédésre lehet alkalmas, ha a szolgáltatók arcképes hatósági igazolvány bemutatását is kérik.

Fontos ugyanakkor az, hogy a kormányrendelet ezt csak lehetőségként, nem pedig kötelezettségként tartalmazza.

A kormányrendelet emellett arra is felhatalmazza a szolgáltatókat, hogy a 18 év alatti, de 6 évnél idősebb kiskorúak esetében is elkérhesse a személyazonosító igazolványt vagy diákigazolványt az életkor megállapítása érdekében.

A jogszabály alapján a kiskorúak védettségi igazolvány nélkül, a koronavírus ellen védett személyek felügyeletével igénybe vehetnek bizonyos szolgáltatásokat. Ebben az esetben a szolgáltatóknak meg kell győződniük arról, hogy az adott személy nem töltötte be a 18. életévét, hiszen így tudják biztosítani számára a szolgáltatás igénybevételét.

Mindazonáltal a jogszabály arra is kitér, hogy az életkor ellenőrzése mellőzhető, ha a kiskorúság ténye nyilvánvaló.

A „folyamatos" szolgáltatások és a vendégek kényelme

Bizonyos, „folyamatos" szolgáltatásokkal összefüggésben különösképp felmerülhet az, hogy a védettségi igazolvány bemutatásának tényét a szolgáltató rögzítse. Így például az uszodák, edzőtermek esetében, hiszen a vendégek a szolgáltatásukat hetente többször is igénybe vehetik, ami azt jelentené, hogy a vendégeknek minden egyes alkalommal fel kellene mutatniuk a védettségi igazolványukat.

Joggal merülhet fel a szolgáltatókban az, hogy szolgáltatásuk igénybevételét kényelmesebbé tudják tenni azzal, ha a vendégeknek csak egyszer kell bemutatniuk az igazolványt, a bemutatás tényét rögzítik és a jövőben a vendégnek például már csak azt kell igazolnia, hogy rendelkezik érvényes bérlettel az edzőterembe, uszodába, hiszen az informatikai rendszer megjeleníti azt, hogy a szolgáltatás igénybe vevője korábban már bemutatta védettségi igazolványát.

Habár a jogszabály az ilyen természetű adatkezeléseket nem szabályozza, úgy gondoljuk, hogy ez az adatkezelés az érintett hozzájárulásával jogszerű lehet. Ugyanakkor figyelemmel kell lenni az igazolvány érvényességi idejére és - amennyiben nem változnak a vonatkozó jogszabályi rendelkezések - csak ezen érvényességi időtartamon belül lehet biztosítani a „folyamatos" szolgáltatás igénybevételét.

Erre tekintettel tehát a szolgáltatónak nem elégséges csak a bemutatás tényének rögzítése, hanem az érvényességi időt is tárolnia kell.

Éppen ezért úgy kell kialakítani ezen adatkezelést, hogy az informatikai rendszer automatikusan jelezze azt, ha az érvényességi idő eltelt vagy pedig az adatkezelő ügyintézője a szolgáltatás igénybevételekor a rögzített adatok megtekintésén keresztül ténylegesen ellenőrizni tudja, hogy mikor telik le az érvényességi időtartam. Ugyanakkor kétségkívül ez gyakorlati kihívást jelenthet a szolgáltatók számára.

Bekérhető-e előre a védettségi igazolvány másolata?

Ugyancsak életszerűnek tűnik, hogy bizonyos szolgáltatókban felmerül annak gondolata miszerint előre bekérik a védettségi igazolvány másolatát, így egyszerűsítve a szolgáltatásuk igénybevételét.

Például egy moziban vagy egy sporteseményen külön „gyors sávot" alakítanak ki azoknak, akik előre megküldik az igazolvány másolatát, és ebből fakadóan a helyszínen már nem kell bemutatniuk az igazolványukat.

Az ilyen jellegű adatkezelést sem szabályozza a kormányrendelet, de véleményünk szerint ez adatvédelmi szempontból rendkívül sok kihívást jelenthet az adatkezelők számára.

Egyrészt az önkéntességet teljes körűen biztosítani kell, és éppen ezért fontos, hogy az adatkezelő egyértelműen felhívja az érintett figyelmét arra, hogy nem kötelező a másolatot felöltenie, ez csak egy kényelmi szolgáltatás, és dönthet úgy is, hogy az igazolványát a helyszínen a szolgáltatás igénybevétele előtt mutatja be.

Emellett az is szükséges, hogy a védettségi igazolvány érvényességét akár az adatkezelő munkavállalója ellenőrizze épp úgy, mintha az igazolványt a helyszínen mutatták volna fel.

Az ellenőrzést követően szükséges a másolat törlése, hiszen ahogy az igazolvány élőben történő bemutatása során sem, úgy a másolatok kezelése esetében sem lehetséges az ellenőrzést követően személyes adatot tárolni.

Emellett gyakorlati probléma lehet az is, hogy például a megtekintés tényét rögzíteni kell az adott jegyhez, így pedig a jegyvásárlási rendszer és / vagy a beléptető-rendszer fejlesztését is igényelheti ez a gyakorlat.

Éppen ezért a szolgáltatóknak érdemes körültekintően mérlegelniük, hogy vajon megéri-e számukra egy ilyen adatkezelés kialakítása, hiszen számos adatvédelmi követelményre kell figyelemmel lenniük és új folyamatokat kialakítaniuk. Ehhez képest jelentősen egyszerűbbnek tűnik az, ha a szolgáltatók a helyszínen például a jegy bemutatásával egyidejűleg kérik a védettségi igazolvány felmutatását.

Tájékoztatás az adatkezelésről

Végezetül még egy adatvédelmi követelményt érdemes érinteni: az adatkezelési tájékoztató kérdését. Még ha csak a legkorlátozottabb terjedelmű adatkezelési esetkört vesszük is alapul (a szolgáltató csak az igazolvány helyszíni bemutatását kéri, más ezzel összefüggő adatkezelésre nem kerül sor), akkor is szükséges tájékoztatni az érintetteket az adatkezelésről.

Nyilvánvaló, hogy az adatkezelés kontextusa miatt számos adatkezelési körülmény nem igazán értelmezhető a védettségi igazolványok puszta bemutatásával kapcsolatban, így például az adatkezelésnek nincs időtartama vagy egyes érintetti jogok sem gyakorolhatóak egy ilyen természetű adatkezelés esetében.

Éppen ezért nem is „klasszikus" adatkezelési tájékoztatóról beszélhetünk ebben az esetben, hanem sokkal inkább arról, hogy a szolgáltató biztosítson releváns információkat az érintettek magánszférájára kiterjedő ellenőrzési tevékenységének hátteréről: milyen jogszabályban előírt kötelezettsége teljesítése érdekében, hogyan jár el a szolgáltató – hangsúlyozta végezetül a SBGK Ügyvédek és Szabadalmi Ügyvivők szakértője.