A TASZ álláspontja az arcfelismerő egészségügyi beléptetőrendszerről

A Társaság a Szabadságjogokért jogi álláspontja szerint az Eütv. 155/A. § alapján telepített arcfelismerő beléptetőrendszer súlyosan sérti a dolgozók alapvető jogait, aránytalan beavatkozás a magánszférába, és alkalmatlan az egészségügyi ellátás folyamatosságának biztosítására. 

Mint írták, az Országgyűlés az egészségügyi törvény (Eütv.) módosításával felhatalmazta az állami fenntartású egészségügyi intézményeket arra, hogy egységes beléptetőrendszer alkalmazásával ellenőrizzék az intézményben dolgozók munkaidejének betartását, az intézménybe történő be- és kilépését. Az ellenőrzés céljaként a törvényalkotó az „egészségügyi ellátás folyamatosságának biztosítását” jelölte meg. Az ellenőrzésre adott felhatalmazás 2025. január 1-je óta van hatályban.

A törvény kifejezetten úgy rendelkezik, hogy a dolgozók ellenőrzése arcképmásuk kezelésével történik [Eütv. 155/A. § (3) bekezdés]. Ennek nyomán jelenleg országszerte arcfelismerő kamerarendszerek telepítése zajlik a kórházakban. A látókörünkbe került intézményekben az új beléptetési rendszert munkáltatói utasítással vezetik be, amely egységes adatkezelési tájékoztatót tartalmaz. 

Az arcfelismerő beléptetési rendszer törvényi bevezetését társadalmi egyeztetés nem előzte meg, arról érdemi parlamenti vita nem folyt. Az arcfelismerő azonosítást ráadásul annak ellenére vezette be  a jogalkotó, hogy azt a szabályozást véleményező Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) egyértelműen alapjogsértőnek találta (NAIH-8700-2/2024. sz. állásfoglalás). 

Miért jogsértő az arcfelismerő beléptető rendszer alkalmazása?

Általánosságban elmondható, hogy a munkáltató jogosult a munkaidő betartásának ellenőrzésére, és ebből a célból kezelheti munkavállalói személyes adatait. Ez az ellenőrzés azonban csak az érintettek alapvető jogainak tiszteletben tartásával, az ezt biztosító adatvédelmi követelmények szigorú betartásával történhet.

Önmagában tehát az, hogy a kórházak beléptető rendszert alkalmaznak a munkaidő ellenőrzésére, nem kifogásolható. Baj azzal van, hogy az ellenőrzés biometrikus adat kezelésével valósul meg, amely sokkal súlyosabb beavatkozást jelent az érintett dolgozók magánszférájába, mint a blokkolóóra vagy a kártyás beléptetés. 

Mik azok a biometrikus adatok, amelyeket az arcfelismerő használ? Ezek olyan adatok, amelyeket az ember valamely testi vagy viselkedésbeli jellemzőjéből képeznek úgy, hogy azokat a megfelelő szoftver értelmezni tudja. Biometrikus adat képezhető az arcunk felépítéséből, az ujjlenyomatunkból, a hangunkból, a szemünk szivárványhártyájából, de akár a mozgásunkból is. Ezek az adatok olyan egyedi testi jellemzőinkről árulkodnak, amelyek mindenki mástól megkülönböztetnek bennünket. A biometrikus adat nem pusztán egy kód, nem egy jelszó, amit meg tudunk változtatni. Az arcunkat, ujjlenyomatunkat, mozgásunkat nem cserélhetjük le. A biometrikus adat a lehető legszorosabban kötődik fizikai jellemzőinkhez, így kifejezetten szoros kapcsolatban áll az identitásunkkal .

Az ilyen adatok kezelését – a beavatkozás súlyossága, továbbá az adatokkal való visszaélésből, illetve az illetéktelen hozzáférésből fakadó kockázatokra figyelemmel – az európai adatvédelmi rendelet (GDPR) is fokozottan védi. 

Olyannyira, hogy a biometrikus adatok kezelése – főszabály szerint – tilos a GDPR értelmében [GDPR. 9. cikk (1) bekezdés]. Kivételesen sor kerülhet ugyan biometrikus adatok kezelésére is, de csak szigorú feltételek mellett. Ezek a feltételek pedig nem teljesülnek a minden állami fenntartású egészségügyi intézményben dolgozó személyre kiterjedő ellenőrzés során. Az arcfelismerő azonosítás ezért sérti az érintettek jogát a személyes adatok védelméhez. 

A biometrikus beléptetőrendszer legnagyobb hibája, hogy annak nincs legitim célja (vagyis védhető indoka). Legitim cél hiányában pedig minden jogkorlátozás, így ez az adatkezelés is önkényes.

A biometrikus azonosítással megvalósuló munkaidő-ellenőrzés eleve alkalmatlan eszköz annak a célnak az elérésére, amit a szabályozás szerint szolgálni hivatott, nevezetesen az egészségügyi ellátás folyamatosságának biztosítására. A fennakadásokat az ellátásban ugyanis alapvetően nem az okozza, hogy a dolgozók ne töltenék ki a munkaidejüket. Könnyű belátni azt is, hogy az intézményben tartózkodásból önmagában még nem következik rendelkezésre állás. Következésképpen annak ellenőrzése, hogy egy dolgozó az intézménybe belépett-e az előírt időpontban, nem biztosítja azt, hogy az illető rendelkezésre álljon, amikor szükség van rá. 

A biometrikus azonosítás szükségtelen ahhoz  a célhoz, amit a szabályozás szerint szolgálni hivatott: a munkaidő betartásának ellenőrzését kevésbé invazív beavatkozással is meg lehet oldani (pl. beléptetőkártyák, véletlenszerű ellenőrzések, mulasztások feltárását segítő belső panaszmechanizmusok, illetve ezek kombinációja). Általánosságban elmondható, hogy beléptetés során a biometrikus azonosítás akkor elfogadható, ha valamely területre – az alapvető jogok, illetve nyomós közérdek védelmében – csak erre felhatalmazott személyek léphetnek be, és a technológia szükséges az illetéktelenek kizárásához, a visszaélések felfedéséhez (pl. atomerőmű, fegyverraktár, fokozottan védendő labor). 

Érdemes rámutatni arra, hogy sem a kormányzat, sem a kórházak nem mutattak fel eddig semmilyen kimutatást, bizonyítékot arra, hogy érdemi összefüggés áll fenn az egészségügyi ellátás problémái és a dolgozói munkaidő megtartása között. Ahogy arra sem, hogy ha lenne is ilyen összefüggés, akkor arra ne lehetne enyhébb eszközökkel válaszolni, mint a biometrikus adatokon alapuló ellenőrzés. Márpedig azt, hogy a biometrikus adatok kezelése alkalmas az adatkezeléssel szolgált cél elérésére, illetve elengedhetetlenül szükséges ahhoz, az adatkezelőknek (vagyis a kórházaknak) bizonyítani kell tudniuk. Ezt – ahogy bemutattuk – lehetetlen igazolni.

A fenti kiemeltek mellett számos ponton lehet bírálni a kórházak adatkezelési szabályzatában kidolgozott adatkezelési konstrukciót. Így például azon az alapon, hogy az abban megjelölt jogalap, a GDPR 9. cikk (2) bekezdés h) pontja semmilyen összefüggésbe nem hozható a beléptetőrendszerrel. Miként az is bírálható, hogy az adatkezelési tájékoztató az Országos Kórházi Főigazgatóságot (OKFŐ) a kórházak (mint adatkezelők) adatfeldolgozójaként határozza meg. Ez ugyanis azt feltételezi, hogy a kórházak – az adatkezelés terén – utasításokat adhatnak az őket irányító OKFŐ-nek, ami teljesen életszerűtlen. Egy fölérendelt szerv nem lehet egy alárendelt szerv adatfeldolgozója, mert ez ellentmond az irányítási viszonyoknak. Az ilyen hibás besorolás nemcsak életszerűtlen, de jogilag is aggályos: átláthatatlanná teheti az adatkezelést, gyengítheti az elszámoltathatóságot, és veszélyeztetheti az érintettek jogainak érvényesülését. Az irányítási helyzetből logikusan az következne, hogy a kórházak és az OKFŐ is önálló adatkezelőként működjenek.  

Tekintettel azonban arra, hogy az adatkezelésnek nincs legitim célja, az adatkezelés a fenti hibák kijavításával sem válna jogszerűvé. 

Miért veszélyezteti az újfajta beléptetés az egészségügyi ellátás folyamatosságát, mit tehetnek most az egészségügyi dolgozók, egyáltalán megtagadhatja-e az egészségügyi dolgozó a beléptetőrendszer használatát? Erről a teljes jogi állásfoglalásban olvashatnak