Adatvédelmi szakember: külön helyiségben kellene mérni a testhőmérsékletet, nem a bejáratnál

Kénytelen volt kedden megerősíteni az egészségügyi miniszter, hogy a veszélyhelyzet idején bármilyen zárt térbe való belépéskor – legyen az állami intézmény, kereskedelmi központ vagy szolgáltatási tevékenységet folytató cég – meg kell mérni mind a személyzet, mind az ügyfelek, vásárlók testhőmérsékletét. Fellépésének előzménye, hogy terjedni kezdett az a vélekedés, hogy ez az intézkedés voltaképpen személyes adatokkal való visszaélést eredményez. A méréseket ugyanis nem egészségügyi szakember végzi, hanem legtöbb esetben a biztonsági őr, aki esetenként hangosan osztja meg az érintettekkel, mások előtt mutogatja a mért értéket. Személyes adat a testhőmérséklet? Mérheti bárki? Székely Barnabás minősített adatvédelmi szakembert, jogászt kérdeztük.

Ma már szinte mindenki hallott „rémhíreket” a testhőmérséklet-mérésről: olvasói beszámolók alapján előfordult olyan eset, hogy egy személyt a bevásárlóközpont biztonsági őre hangos szóval parancsolt az ajtó mellé, mert 37 foknál magasabb volt a testhőmérséklete, és ugyancsak hangosan jelezte, hogy a következő mérés után hívja a közegészségügyi igazgatóságot (DSP), ha nem csökken az érték. A személyt mindenki kerülte, míg a második mérés biztonságos adatot nem mutatott. Hasonlóan megdöbbentő az a módszer is, amikor a munkavállalók hosszú sorokban várják, hogy egy illetékes megmérhesse a lázukat: ilyenkor egymás értékeit is látják és hallják. Ezek például nem elfogadható eljárások – nyilatkozta a Maszolnak Székely Barnabás.

Az adatvédelmi szakember rávilágított, a félreértések voltaképpen abból erednek, hogy a testhőmérséklet-mérésre négy jogszabályt alkottak Romániában (lásd a keretes írásunkat), és nem igazán érthető, hogy a járványügyi osztályozásra vonatkozó utasítás kötelező lázméréssel jár-e, vagy megfigyelhető más úton is az esetleges fertőzöttség, például tüsszentés, egyéb egészségügyi tünetek feltérképezése alapján. Hiszen az alkalmazottak esetében egyértelműen előírja a  lázmérést több hivatkozott jogszabály is, a látogatók, vásárlók, ügyfelek esetében viszont inkább következtethető a jogszabályokból ez az eljárás.

A testhőmérséklet-mérés kapcsán létrehozott négy jogszabály közül az első május 16-án született: a munkaügyi, illetve az egészségügyi minisztérium közös rendelete szerint a munkaadók kötelesek az alkalmazottak járványügyi osztályozására, és a testhőmérsékletük ellenőrzésére a munkaprogram kezdetén, valamint ahányszor csak szükséges. Május 16-án a gazdasági, illetve az egészségügyi minisztérium rendeletének 2. melléklete előírta a nyitott irodákat üzemeltető munkaadók számára, hogy be kell vezetniük a járványügyi osztályozást, a váltás elején le kell mérniük az alkalmazottak hőmérsékletét, és a 37,3 foknál magasabb testhőmérsékletű munkavállalókat haza kell küldeniük családorvosi vizsgálatra. Május 18-án a kormányrendelet előírta az állami intézmények és a gazdasági szereplők számára a járványügyi osztályozási kötelezettséget a bejáratnál. Május 22-én pedig az egészségügyi, illetve a belügyminisztérium közös rendelete írta elő mindenki számára, hogy a székhely bejáratánál kötelesek a járványügyi osztályozásra. A rendelet kimondta, hogy a járványügyi osztályozás nem jár a személyes adatok rögzítésével.

Ha nem tudjuk konkrét személyhez kötni, nem személyes adat

Székely Barnabást elmondta, az Általános adatvédelmi rendelet (GDPR) szerint személyes adatnak számít minden olyan információ, amely egy azonosított vagy egy azonosítható természetes személyre vonatkozik. Tehát, ha nem rögzíti senki a testhőmérséklet-mérés eredményét, akkor nem számít személyes adatnak az érték, mert nem azonosíthatjuk a személyt általa. Ehhez azonban szükséges, hogy érintésmentes lázmérővel történjen a mérés, és ne hőkamerával, mert az utóbbi már a személy arcát, az arcon megmutatkozó érzéseit, a ruházatát és a mozgását is feltérképezi a testhőmérséklet mellett. A hőmérés, mint adatkezelés, akkor esik a GDPR hatálya alá, ha automatikus módon (például hőkamerák segítségével vagy videókamera rögzíti a manuális hőmérést) történik, vagy ha indokolt esetben (megalapozott fertőzésgyanú) a lázmérés eredményét nyilvántartásba veszik, elektronikusan tárolják.

Ez történik akkor is, ha egy intézménybe, áruházba belépve, a vagyonvédelmi szempontból beüzemelt videókamerák közelében mérik a testhőmérsékletet, és annak ellenére, hogy az értéket sehol sem tárolják, a kamera rögzíti a mérés folyamatát, az értéket és a személy kilétét. Ahhoz, hogy ne történjen adatkezelés, külön helyiségben kellene mérni a testhőmérsékletet, és nem a bejáratnál, hanem külön helyiségben, akár a bejárat előtt felállított, járványügyi osztályozásra alkalmas sátorban – vélekedett Székely Barnabás, hozzáfűzve, hogy erre a lehetőségre nem gondoltak a jogalkotók.

A láz egészségügyi adatnak számít

Egészen addig, amíg valakinek nincs 37,3 fok fölötti testhőmérséklete, rendben vannak azok a mérések, amelyek nem köthetőek személyekhez, és csupán manuális, érintésmentes hőmérővel végzik, ügyelve arra, hogy az értéket bizalmasan kezeljék. Ilyenkor nincs személyes adatkezelés, ám, ha ennél magasabb, egyrészt a hazai munkavédelmi és munkabiztonsági szabályozások miatt, másrészt a május 22-től hatályban lévő rendelet értelmében kötelessége a munkaadónak rögzíteni a testhőmérsékletet, ahogyan azt is közölnie kell az alkalmazottal, hogy nem végezheti a munkáját, mert koronavírus-gyanús, majd fontos családorvosi vizsgálatokra küldenie az érintett személyt. Ez dokumentációs kötelezettséggel jár, és az információk rögzítése személyes adatkezelést von maga után.

A szakember arra is felhívta a figyelmet, hogy számos állapot – stressz, sietség, hormonháztartás, női nemi ciklus – befolyásolhatja a magasabb testhőmérsékletet, tehát nem indokolt a közegészségügyi igazgatóságot  (DSP) kihívni, ha 37,3 fok fölötti „lázzal” szembesül mérés során az alkalmazott. A DSP-t abban az esetben érdemes kihívni, ha az alkalmazott vagy az ügyfél tesztje pozitív.

Székely Barnabás magyarázata szerint ha megalapozott fertőzésgyanú esetében a lázmérés eredményét elektronikusan tárolják, nyilvántartásba veszik, vagy harmadik személlyel is megosztják, esetleg automatizált úton, hőkamera vagy videókamera rögzíti a manuális mérést, a testhőmérséklet-mérésnek meg kell felelnie a GDPR különböző feltételeinek:

  • Mivel a lázmérés eredménye egészségügyi adatnak, és különlegesen érzékeny adatnak számít, ezért a kezelése csak a GDPR 9. cikkének 2. bekezdése szerint lehetséges: azaz munkaügyi, egészségügyi vagy járványügyi okokból lehet egészségügyi adatot kezelni a GDPR szerint.
  • Egészségügyi adatról lévén szó, szükséges a 35. cikk szerinti adatvédelmi hatásvizsgálat a lázmérést megelőzően, hogy felmérhessék, milyen kockázatokkal jár az adatok kezelése, illetve adatvédelmi tisztviselő kijelölése.
  • A lázmérést megelőzően a munkáltató tájékoztatja a munkavállalókat az adatkezelés részleteiről a 13. cikknek megfelelően, illetve a lázmérés eredményének potenciális következményeiről: mi történik abban az esetben, ha 37,3 foknál magasabb a láz? Szólniuk kell arról, hogy rögzíteni szükséges az adatot, kik azok a személyek, akik ehhez hozzáférhetnek, milyen módon férnek hozzá, hogyan és mennyi ideig tárolják.
  • Az érintett jogainak biztosítása. Hiszen a sajtó és vállaltok részéről is került nyilvánosságra koronavírus-fertőzöttek kiléte, holott ezt bizalmasan kellene kezelni, az érintett kilétét nem szabad felfedni.
  • A lázmérés csak egészségügyi szakember szakmai felelőssége mellett, a szakember által meghatározott módszertan vagy szabályzat szerint végezhető. A munkáltató kizárólag a vizsgálatok eredményeiről kap tájékoztatást (alkalmas-e a munkavégzésre), és nem a konkrétan mért testhőmérsékletről.
  • A lázméréssel járó adatkezelést szükséges bevezetni az adatkezelési tevékenységek nyilvántartásába.
  • A kezelt adatok bizalmasságának megőrzése, illetve az adatvédelmi alapelveknek (különösen a célhoz kötöttség, adattakarékosság, korlátozott tárolhatóság) való megfelelés érdekében szükséges szervezési és technikai intézkedések gyakorlatba ültetése (pl. adatmegőrzési és adattovábbítási irányelvek, adatokhoz való hozzáférés korlátozása, már nem szükséges adatok végleges és visszafordíthatatlan törlése).
  • Fontos, hogy amennyiben a fertőzésgyanú bizonyosságot nyer, a fertőzött munkavállaló kilétét a munkáltató ne hozza nyilvánosságra a szervezeten belül sem.
  • Az egészségügyi adatok kezelése csak akkor indokolt, amennyiben az adatkezelés célját nem lehetséges adatkezelést nem igénylő eszközökkel elérni, illetve minden esetben vizsgálni kell, hogy létezik-e hatékony, de az érintettek magánszférájára kevésbé kockázatos megoldás. Például a hőkamera nem megfelelő, mert mást is rögzít a testhőmérséklet mellett.

Székely Barnabás nyomatékosította: a manuális hőmérés nem számít adatkezelésnek, ezt a Román Adatvédelmi Hatóság is megerősítette. Adatvédelmi szakemberként azonban kifogásolja, hogy a jogszabály szerint a lázmérés nem jár egészségügyi adatok kezelésével, mert ha hőkamerával történik a lázmérés, vagy videókamera rögzíti a manuális hőmérést, akkor személyes adatok kezeléséről beszélünk, és ez azt jelenti, hogy a jogalkotó gyakorlatilag félrevezeti az állami intézményeket és a vállalatokat.

„Hangos” lázmérésre nincs szükség

A megfelelő módszer az lenne, ha a bevásárlóközpontok elé állítanának fel sátrakat a hőmérés elvégzésére – vélekedett a szakember. Ezt azzal indokolta, hogy a lázmérő kijelzőjén lévő értéket mások is látják, ahogyan azt is hallják, ha a biztonsági őr vagy alkalmazott hangosan elrikkantja a testhőmérséklet mértékét.

A GDPR rögzíti, hogy a lázmérés, mivel egészségügyi adat, csak egészségügyi szakember által vagy ezen szakember felelőssége mellett történhet, és a szakember által meghatározott módszertan vagy szabályzat szerint végezhető. A romániai jogszabály azonban enyhít ezen, és úgy fogalmaz, „erre a célra felkészített személyzet” mérheti, ez a személy azonban legtöbb esetben a portás vagy a biztonsági őr. Az ő testhőmérsékletet mérő tevékenységük pedig egészségügyi és adatvédelmi szempontból sem megfelelő, ezért történik meg, hogy nyilvánosságra hozzák a mért testhőmérsékletet – magyarázta.

„Egész Európában Románia az egyik kakukktojás, hiszen a kötelező testhőmérséklet-mérést kevés országban vezették be” – jelentette ki a szakember, hozzátéve: az is érdekes, hogy a nemzetközi tanulmányok szerint 10-ből csak 3 koronavírus-fertőzöttnél jelentkezik a láz tünetként. „Maga a lázmérés többet árt, mint használ, olyan értelemben, hogy nem megfelelő óvintézkedés, hanem inkább pótcselekvés abban a tehetetlenségben, amit a koronavírus idéz elő” – szögezte le.

Székely Barnabástól megtudtuk: ha méréskor megszegik a GDPR feltételeit, bírságot szabhat ki a hazai felügyeleti hatóság (ANSPDCP), és ha kárt szenved az érintett magánszemély, panaszt tehet a hatóságnál, és kártérítést követelhet a bíróságon.

Kapcsolódók

Kimaradt?