A technológiai minden eddiginél gyorsabb fejlődése, és a globalizáció új kihívások elé állította a személyes adatok védelmét. Az egyes emberek is egyre nagyobb mértékben hoznak nyilvánosságra és tesznek globális szinten is elérhetővé személyes adatokat, ez egyaránt átalakította a gazdasági és a társadalmi életet, és egyre inkább elősegíti a személyes adatok Unión belüli és kívüli szabad áramlását.
Az Európai Parlament közel két éve fogadta el az Európai Unió összes tagállamában 2018. május 25.-től közvetlenül hatályba lépő Általános Adatvédelmi Rendelet (General Data Protection Regulation - GDPR) című szabályozást. Az uniós rendelet sajátossága, hogy érvénybe lépéséhez nincs szükség belső jogforráshoz.
A jelenlegi hazai szabályozás alapja az 1997. évi XLVII. Törvény és az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről, valamint a 2011. évi CXII. Törvény az információs önrendelkezési jogról és az információszabadságról. Ez a szabályozás az új európai rendelet következtében feltehetően módosul. A következőkben azon fontosabb rendelkezéseket ismertetjük, amelyeket az egészségügyi ellátás szempontjából jó, ha ismerünk, illetve kiemeljük azon változásokat, amelyek eltérőek a hatályos jogszabályoktól.
A rendelet hatálya kiterjed minden olyan vállalkozásra, amely európai polgárok adatait kezeli.
Fogalom meghatározások
A rendelet alkalmazásában személyes adat az azonosítható természetes személyre (érintett) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, valamely azonosító (például név, szám, helymeghatározó adat, online azonosító) révén, vagy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó tényezők alapján azonosítható. Az egészségügyi személyes adatok közé tartoznak az érintett egészségi állapotára, a számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatok, amelyek információt hordoznak az érintett múltbeli, jelenlegi vagy jövőbeli testi vagy pszichikai egészségi állapotával kapcsolatban.
A személyes adatok különleges kategóriáinak kezelése
Az etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére, vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos. A fenti rendelkezés nem alkalmazandó, ha az érintett kifejezett hozzájárulását adta a személyes adatok kezeléséhez, vagy ez olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott. Akkor is megengedett az adatkezelés, ha az megelőző egészségügyi vagy munkahelyi egészségügyi célokból, orvosi diagnózis felállítása, egészségügyi ellátás vagy kezelés nyújtása, érdekében történik, vagy amennyiben a különleges kategóriához tartozó személyes adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki szakmai titoktartási kötelezettség hatálya alatt áll (egészségügyi személyzet).
A személyes adatok különleges kategóriáira vonatkozó adatkezelési tilalomtól való eltérés megengedhető a népegészségügyi, a fertőző betegségek és más súlyos egészségügyi veszélyek megelőzése, valamint az ellenük való védekezés érdekében végzett személyesadat-kezelés esetében.
Adatkezelés a személyes adatokon vagy adatállományokon bármely művelet, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
Itt hívjuk fel a figyelmet az egyik fontos eltérésre a jelenleg hatályos hazai szabályozás és az európai rendelet között. A hazai szabályozás szerint adatkezelés és adatfeldolgozás esetén az érintett betegségével kapcsolatba hozható minden olyan egészségügyi adat továbbítható, amely a kezelőorvos vagy a háziorvos döntése alapján a gyógykezelés érdekében fontos, kivéve, ha ezt az érintett írásban vagy önrendelkezési nyilvántartásba vett nyilatkozatában megtiltja. Ennek lehetőségéről a továbbítás előtt az érintettet tájékoztatni kell. Az ez év májusában hatályba lépő szabályozás értelmében az adat továbbítás, mint az adatkezelés fogalomkörébe tartozó elem, csak az érintett hozzájárulás esetén lehetséges.
Adatkezelő (pl.: az orvos) az a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza és a jogszabályok alapján kezeli azokat.
Adatfeldolgozó az a természetes vagy jogi személy, amely az adatkezelő nevében személyes adatokat kezel.
Harmadik fél az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.
Az érintett hozzájárulása az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.
Az érintett jogosult arra, hogy hozzáférjen a rá vonatkozóan gyűjtött adatokhoz, valamint, hogy egyszerűen és ésszerű időközönként, az adatkezelés jogszerűségének megállapítása és ellenőrzése érdekében gyakorolja e jogát. Ez magában foglalja az érintett jogát arra, hogy az egészségi állapotára vonatkozó személyes adatokhoz – mint például a diagnózishoz, a vizsgálati leletekhez, a kezelőorvosok véleményeihez, valamint a kezeléseket és a beavatkozásokat tartalmazó egészségügyi dokumentációkhoz – hozzáférjen.
A személyes adatok kezelésére vonatkozó elvek
Az adatok kezelésének minden esetben jogszerűnek, tisztességes eljárás keretében átláthatónak, célhoz kötöttnek, adattakarékosnak, és pontosnak kell lennie. Az utóbbi elv magába foglalja a naprakészséget, ezért minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék. Az adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítható legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelme.
A személyes adatok kezelése kizárólag akkor jogszerű, amennyiben az alábbiak egyike teljesül. Az érintett hozzájárulását adta személyes adatainak kezeléséhez (beteg, vagy törvényes képviselője), az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (NEAK szerződés), az adatkezelés az érintett létfontosságú érdekeinek védelme miatt szükséges (alapellátás), az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges (pl.: feladatátvállalási szerződés).
A hozzájárulás feltételei
Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek igazolnia kell, hogy az érintett személyes adatainak kezeléséhez hozzájárult világosan és egyszerűen megfogalmazva. Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.
A gyermek hozzájárulására vonatkozó feltételek
A közvetlenül gyermekek vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. A tagállamok e célokból jogszabályban ennél fiatalabb, de a 13. életévnél nem alacsonyabb életkort is megállapíthatnak.
Az adatkezelési tevékenységek nyilvántartása
Minden adatkezelőnek (pl. házi gyermekorvos) a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást kell vezetnie. Ez a rendelkezés a másik nagyon fontos eltérés jelenlegi a hazai szabályozás és az Európai Unió rendelete között. A hazai szabályozás eddig csak bizonyos esetekben írt elő nyilvántartási kötelezettséget a kezelő orvos számára. A részletszabályozásra a közeljövőben térünk vissza.
Az érintettek jogai
Az érintett hozzáférési joga: Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz hozzáférést kapjon.
A helyesbítéshez való jog: Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. valamint, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
A törléshez való jog (az elfeledtetéshez való jog): Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje.
Az adatkezelés korlátozásához való jog: Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha annak feltételei fennállnak.
Az adathordozhatósághoz való jog: Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa.
Dr. Erdélyi István
2024. május 2-5. között kerül megrendezésre a HGYE Kávészünet konferenciája, Siófokon.