Miközben Európa- és világszerte a vártnál lassabban halad a lakosság beoltása a koronavírus elleni védőoltásokkal, Izrael január 27-én elérte az 50 százalékos oltottsági rátát, azaz a lakosság fele már megkapta a vakcinát. Ez – amellett, hogy sajtóértesülések szerint magasabb árat fizetett a védőoltásokért, mint más országok – annak köszönhető, hogy Izrael megállapodott a vakcinát gyártó Pfizerrel és megosztja azzal a beoltott betegek adatait a gyorsabb szállításért cserében. A Taylor Wessing ügyvédi iroda szakértői összefoglalták a megállapodás körül felmerülő adatvédelmi kérdéseket, kitérve arra is, hogy az Európai Unióban életképes lenne-e egy hasonló konstrukció.

Bár sok részlete nem ismert a Pfizer és Izrael között kötött megállapodásnak, a Bloomberg oldalán megjelent cikk szerint az ország kizárólag aggregált epidemiológiai adatokat oszt meg a gyógyszergyártóval, amelyekből egyetlen beteg sem beazonosítható. Bár a megosztott adatok nagy eséllyel segíthetnek a Pfizernek nyomon követni a vakcinák és az oltási folyamat hatékonyságát, illetve akár a jövőben más országok oltási tervét is pozitívan befolyásolhatják, számos adatvédelmi kérdés felmerül a megállapodás körül. Egyrészt nem ismert, hogy pontosan mennyi és milyen jellegű adat kerül megosztásra, másrészt az sem tisztázott, hogy az adatokat mennyire biztonságosan tárolják és továbbítják. Ez utóbbi pedig különösen fontos kérdés, hiszen az elmúlt években jelentősen megnőtt a felhasználó adatokat érintő hackertámadások száma.

A Taylor Wessing ügyvédi iroda adatvédelmi szakértői szerint egy hasonló jellegű megállapodás az Európai Unióban sem lenne elképzelhetetlen, már csak azért sem, mert az EU adatvédelmi berendezkedése, a GDPR szigorú szabályainak egységes alkalmazásán keresztül meglehetősen magas színvonalú védelmet biztosít személyes adataink felett. Fokozottan igaz mindez, ha különleges adatoknak minősülő egészségügyi adatok kezeléséről esik szó. A GDPR egyenesen tiltja a különleges adatok kezelését, erre az esetek többségében csak az érintett kifejezett hozzájárulásával vagy a GDPR-ban kifejezetten nevesített további jogalap és szükséges garanciák megléte esetén kerülhet sor.

„Amit mindenképp látni kell, hogy a Pfizer és Izrael között létrejött megállapodásnál közel sem arról van szó, hogy az egyes személyekre visszavezethető egészségügyi adatokat továbbítanának a gyógyszergyártó cég részére. Pontosan az képezheti a kulcsát egy ilyen volumenű és rendkívül szenzitív természetű adatmegosztásnak, hogy az egészségügyi adatok továbbítására olyan formában kerül sor, amelynek keretében a továbbított adat véglegesen és visszafordíthatatlanul elveszíti személyes adat jellegét, azaz a későbbiekben se közvetve, se közvetlenül nem lehet az adatot visszavezetni arra az adott személyre, akire az adat eredetileg vonatkozott. Ennek a klasszikus módja az adatok anonimizálása, amely első hallásra egyszerűnek tűnhet, azonban gyakorta összekeverik az álnevesítés fogalmával, amikor csupán annyi történik, hogy például az oltásban részesültekre vonatkozó adatokat nem névvel, hanem például sorszámmal rögzítik. Belátható, hogy utóbbi esetben akár csak néhány általánosabb adat birtokában (pl.: korcsoport, egyéb betegségek, tünetek) is fennállhat a lehetősége az eredeti adatalany beazonosításának. Pontosan e kockázat miatt a GDPR az álnevesített adatokat változatlanul személyes adatként kezeli, kiterjesztve rá valamennyi adatvédelmi követelményt.

Az anonimizálás esetében ennél jóval többről van szó és meglehetősen bonyolult eljárás elérni a big data és a technológiai alapú adatelemzések korában, hogy végképp garantáltható legyen az adatok végleges visszakövethetetlensége. Anonimizálás esetén tehát a cél nem csupán az, hogy egy személy nevének és/vagy címének visszafejtését megakadályozzuk, hanem egyúttal biztosítanunk kell a kiválasztás, összekapcsolhatóság és következtetés útján történő lehetséges azonosíthatóság kizártságát is – foglalta össze az anonimizálás kapcsán jelentkező adatvédelmi kihívásokat Ódor Dániel, a Taylor Wessing nemzetközi ügyvédi iroda partnere és adatvédelmi csapatának vezetője.

Az izraeli szerződés kapcsán pontosan ez vet fel bizonytalanságokat, hogy nem lehet tudni, hogy pontosan milyen demográfiai adatokat és egyéb jellemzőket küldenek át a beoltottakra vonatkozóan és hogy vajon az átadott adathalmaz kellőképpen megfelel-e az anonimizálás követelményeinek, kizárva az egyének utólagos azonosíthatóságát különböző adatelemzési módszerek alapján.

„Sokakban felmerülhet a kérdés, hogy amikor a világjárvány leküzdése a cél, miért gördít ez ellen akadályokat az adatvédelem. Erről azonban szó sincs. Az adatvédelem európai követelményei egyensúlyt teremtenek a személyes adatok kezelése és a nem személyes (például anonimizált) adatok nyílt és széleskörű gazdasági és kutatási célú hasznosítása között. Míg a személyes adatok kezelésére kiterjeszti a GDPR szigorú követelményeit, biztosítva, hogy adataink kezeléséről pontos információink legyenek, rendelkezhessünk felettük és megfelelő védelem mellett kezeljék, addig felismerve az adatok gazdaságban betöltött szerepét, teret enged a személyhez nem köthető vagy anonimizálás útján személyünktől függetlenített adatok kutatási és innovációs célú felhasználása előtt, mentesítve utóbbi adatok kezelőit a GDPR szigorú követelményei alól” – zárta gondolatait Kopasz János, a Taylor Wessing nemzetközi ügyvédi iroda adatvédelmi szakértője.