ADATVÉDELMI IRÁNYELVEK – Házi Karantén Rendszer

Házi Karantén Rendszer Adatkezelési Nyilatkozat (Privacy policy)

Hatályba lépésének napja: 2020. május 7.

Az Európai Parlament és a Tanács (EU) 2016/679 (2016. április 27.) számú általános adatvédelmi rendelete (a továbbiakban: „GDPR”) 12. és 13. Cikke alapján a jelen tájékoztató útján hozzuk az érintett tudomására, hogy jelen tájékoztatóban részletezett adatkezelések a GDPR 6. cikk (1) a) és e), illetve a 9. cikk (2) h) és különösen i) pontján alapulnak.

A HKR szoftver telepítése önkéntes alapú, de ha a házi karanténra kötelezett a fokozott rendőri ellenőrzés helyett a HKR telepítését választja házi karanténkötelezettségének ellenőrzésére, úgy a HKR telepítésének és használatának vállalásától kezdve a szoftver használata számára kötelező, és a „Covid-19 karanténfigyelő” funkció általi adatkezelés kötelező, illetve jogszabályon alapuló adatkezelést eredményez, míg a „Covid-19 egészségügyi adatkezelő” funkció használata opcionális, vagyis az abba felvitt adatok kezelése az érintett hozzájárulásán alapul, az alábbiak szerint.

A Házi Karantén Rendszer (HKR) célja és működési folyamata

Magyarországon a hatóság házi karantént rendel el azoknál a személyeknél, ahol az egészségügyi vizsgálat során igazolt COVID-19 fertőzés esete vagy gyanúja áll fenn. A hatósági házi karanténra kötelezett személy a járványügyi megfigyelés időtartama alatt otthonában köteles tartózkodni, azt nem hagyhatja el.

A Házi Karantén Rendszer (HKR) célja a Magyarországon a rendszert használó hatósági karanténba helyezett személyek tartózkodási helyének és egészségi állapotának nyomon követése, ezzel az egészségügyi és a rendfenntartó szervek munkájának támogatása.

A HKR egy okostelefonos alkalmazás, amely automatikusan ellenőrizhetővé teszi a COVID-19 fertőzés miatt házi karanténba rendelt személyek esetében a karantén szabályainak betartását, a karanténba rendelt betegek nyilvántartását és felügyeletét. A HKR a magyar hatóságok által, Magyarország területén elrendelt házi karantén szabályok betartásának ellenőrzésére szolgál.

A HKR rendszert kizárólag azok a személyek használhatják, akiket hatóságilag házi karanténba helyeztek, azaz:

Pozitív Covid-19 teszt eredményű személyek,
A közelmúltban külföldről hazatérők,
Covid-19 fertőzött betegek kontakt személyei,

akik hivatalos hatósági értesítést kaptak a házi karantén elrendeléséről.

Az alkalmazás távellenőrzés útján (bejelentkezési kérésekkel) figyeli a házi karantén szabályainak betartását, ehhez távellenőrzéskor lekéri az okostelefonból a házi karanténba rendelt személy térkoordináta-adatait, és szelfi kép alapján ellenőrzi az okostelefon használójának személyazonosságát beépített arcfelismerő rendszere révén.

A távellenőrzés lebonyolítása a karanténban tartózkodó személy számára egyszerű. A távellenőrzési kérés megérkezését követően lk ell indítani az alkalmazást, ami több szelfi fotót készít róla és lekéri a készülékből a hely adatokat. A fotók és a helyadatok alapján a rendszer automatikusan ellenőrzi a személyazonosságot és a helyszín karantén címmel való egyezését.

A Házi Karantén Rendszer jogi háttere és tájékoztató az adatkezelésről

A „Covid-19 karanténfigyelő” funkció keretében megvalósított adatkezelés közérdekű, illetve az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásához szükséges, összhangban (1) az élet- és vagyonbiztonságot veszélyeztető tömeges megbetegedést okozó humánjárvány vonatkozásában elrendelt hatósági házi karantén elektronikus ellenőrzéséről szóló 181/2020. (V. 4.) Korm. rendelet (a továbbiakban: „Hkr. ell. Rend.”), továbbá (2) az egészség és élet megóvása, valamint a nemzetgazdaság helyreállítása érdekében elrendelt veszélyhelyzettel kapcsolatos rendkívüli intézkedésekről szóló 81/2020. (IV. 1.) Korm. rendelet (a továbbiakban: „R.”), valamint (3) az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (a továbbiakban: Eüak.) rendelkezéseivel.

A „Covid-19 egészségügyi adatkezelő” funkcióba bevitt egészségügyi adatokat az adatkezelő az érintett önkéntes hozzájárulása alapján kezeli. A hozzájárulás megadása esetén a Hkr. ell. Rend. alapján az adatkezelő jogosult az adatokat továbbítani az Elektronikus Egészségügyi Szolgáltatási Térbe.

Adatkezelési tevékenység	Covid-19 karanténfigyelő	Covid 19 egészségügyi adatkezelő
Adatkezelő	rendőrség, járványügyi hatóság
Adatfeldolgozó	· NISZ – Nemzeti Infokommunikációs Szolgáltató Zrt. – információbiztonsági követelményeknek megfelelő futtatási környezet biztosítása, rendszerüzemeltetés · Asura Technologies Kft. – IT támogatás · IdomSoft Zrt. – üzemeltetés
Érintett	házi karanténra kötelezett személy
Adatkezelés célja	Járványügyi intézkedések megtétele és bűnmegelőzés (házi karantén alá helyezett érintett tartózkodási helyének nyomon követése, okostelefon és az érintett helyazonosságának ellenőrzése, lakhelyelhagyás esetén riasztás – Btk. 361.§ – Járványügyi szabályszegés) Eüak. 4. § (1) d); 4.§ (2) h)	Gyógykezelés elősegítése és járványügyi intézkedések megtétele (kórelőzmények megismerése a gyógykezelés érdekében, egészségi állapot nyomon követése) Eüak. 4. § (1) b) c) d)
Jogalap	GDPR 6. cikk (1) e) pontja; közérdekű adatkezelés, adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett adatkezelés; illetve 9. cikk (2) i) pontja; a Hkr. ell. Rend. szerinti jogi kötelezettségek teljesítése céljából	GDPR 6. cikk (1) a) pontja; érintett önkéntes hozzájárulása
Kezelt adatok köre	· természetes személyazonosító adatok · elérhetőségi adatok · a házi karantén teljesítésére kijelölt hely címadatai · arcképmás (biometrikus azonosításhoz) · érintett mozgási adatai (GPS térkoordináták) · login adatok (felhasználónév, jelszó, egyedi felhasználóazonosító)	· természetes személyazonosító adatok · elérhetőségi adatok · egészségügyi adatok (Covid-19 teszteredmények, érintett által önként rendelkezésre bocsátott egyéb egészségügyi adatok, elsősorban egészségügyi kérdőívek útján)
Adatkezelés időtartama	· Hkr. ell. Rend. 3. § (5) – hatósági házi karantén megszűnésétől számított 60 napig	· Eüat. 15.§ (9) – az egészségügyi államigazgatási szerv és a betegellátó egészségügyi és személyazonosító adatot az adatkezelés célját megvalósító feladatuk ellátásához szükséges mértékben, az adatkezelés megkezdésétől számított 30 évig kezelhetik · Eüat. 10.§ A különböző forrásból származó egészségügyi és személyazonosító adatokat csak addig az időpontig lehet összekapcsolni, ameddig az a közegészségügyi-járványügyi intézkedések megtétele érdekében feltétlenül szükséges.
Adattovábbítás		· az Elektronikus Egészségügyi Szolgáltatási Térbe (adatkezelője az Állami Egészségügyi Ellátó Központ) az EESZT rendelet 6. §-a alapján · Egészségügyi Világszervezet Nemzetközi Egészségügyi Rendszabályai végrehajtásában közreműködő szerv (NER Tájékoztatási Központ / Országos Tisztifőorvosi Hivatal) részére az Eüat. 5.§ (3) e) alapján · egészségügyi államigazgatási szerv (Nemzeti Népegészségügyi Központ) részére az Eüat. 15.§ (1) alapján
Információ-biztonság	· Ibtv. (2013. évi L. törvény) · Ibtv. vhr. (41/2015. (VII. 15.) BM rendelet)

Az egészségi állapotra vonatkozó adatok, valamint az érintett biometrikus azonosításra szolgáló arcképmása különleges személyes adatok, azok kezelését a GDPR 9. cikk (2) h) és különösen i) pontjára tekintettel a Hkr. ell. Rend. 3.§-a teszi lehetővé.

Az adatkezelő a megjelölt céloktól eltérő célra a személyes adatokat nem használja.

Adatfeldolgozók:

Tájékoztatjuk az érintettet, hogy az adatkezelő az alábbi adatfeldolgozókat veszi igénybe a kezelt adatok feldolgozása és tárolása céljából:

Az információbiztonsági követelményeknek megfelelő futtatási környezet biztosítása, és rendszerüzemeltetéssel kapcsolatos feladatok ellátása során a NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. (1081 Budapest, Csokonai utca 3.) jár el.
Az Asura Technologies Kft. (1114 Budapest, Bartók Béla út 76. 1. em. 2.) a rendszer fejlesztését és támogatását végzi.
Az IdomSoft Zrt. (1134 Budapest, Tüzér u. 41.) a rendszer üzemeltetésében működik közre.

Az adatfeldolgozók a nemzeti vagyonról szóló 2011. évi CXCVI. törvény alapján átlátható szervezetnek minősülnek.

Az adatkezelés és adatfeldolgozás helye: Magyarország.

Adattovábbítás:

Az Adatkezelő adattovábbítást teljesít az alábbi személyek részére:

az Elektronikus Egészségügyi Szolgáltatási Térbe (adatkezelője az Állami Egészségügyi Ellátó Központ) az EESZT rendelet 6. §-a alapján
Egészségügyi Világszervezet Nemzetközi Egészségügyi Rendszabályai végrehajtásában közreműködő szerv (NER Tájékoztatási Központ / Országos Tisztifőorvosi Hivatal) részére az Eüat. 5.§ (3) e) alapján.
egészségügyi államigazgatási szerv (Nemzeti Népegészségügyi Központ) részére az Eüat. 15.§ (1) alapján

A továbbított adatok tekintetében az adatátvevő jár el adatkezelőként.

A HKR nyilvántartásaiból történő adattovábbítás a fentieken kívül harmadik személyeknek kizárólag megfelelő jogalappal, egyedi elbírálás alapján lehetséges. Ez nem vonatkozik az esetleges, törvény alapján kötelező adattovábbításokra, amelyekre csak rendkívüli esetekben kerülhet sor. Az adatkezelő az egyes hatósági adatkérések teljesítése előtt minden egyes adat tekintetében megvizsgálja, hogy valóban fennáll-e az adattovábbítás jogalapja.

Adatbiztonság:

NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. biztosítja a rendszer futtatási környezetét, amely megfelel az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.), valamint az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről 41/2015. (VII. 15.) BM rendelet (Ibtv. vhr.) rendelkezéseinek. Az adatkezelő és adatfeldolgozó minden szükséges biztonsági lépést, szervezési és technikai intézkedést megtesz a személyes adatok legmagasabb szintű biztonsága, illetve az azokhoz való jogosulatlan hozzáférés, azok megváltoztatásának, megsemmisítésének, felhasználásának, nyilvánosságra hozatalának és törlésének védelmében, valamint a véletlen megsemmisülés és sérülés megakadályozása ellen, valamint az alkalmazott technika megváltozásából fakadó hozzáférés érdekében.

Az érintett adatkezeléssel kapcsolatos jogai:

Az érintett a GDPR 13. cikke alapján tájékoztatást kérhet személyes adatai kezeléséről, a 15. cikk alapján joga van ahhoz, hogy a személyes adatokhoz és azokkal kapcsolatos, a hivatkozott cikkben felsorolt információkhoz hozzáférést kapjon, a 16. cikk alapján kérheti személyes adatainak helyesbítését, illetve a 17. cikk alapján törlését, vagy a 18. cikk szerint az adatok kezelésének a korlátozását, továbbá a 21. cikkben foglaltak szerint tiltakozhat személyes adatainak kezelése ellen, valamint a 20. cikkben megjelölt esetekben megilleti az adathordozhatósághoz való jog. Ezek a jogok nem abszolút jellegűek, így a kérése teljesítésére kizárólag a felsorolt jogszabályhelyekben meghatározott feltételek esetén van mód. Az érintettnek a jogai gyakorlására irányuló igényét e-mailben a hivatal.orfk@orfk.police.hu címre kell eljuttatnia, amire 1 hónapon belül választ kap az adatkezelőtől.

Az Infotv. 22. §-a szerint az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat, valamint az 52. § (1) bekezdése szerint a Nemzeti Adatvédelmi és Információszabadság Hatóságnál bejelentéssel vizsgálatot kezdeményezhet arra hivatkozással, hogy személyes adatok kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.