Egészségügyi adatvédelem

Egészségügyi adatvédelem

A Magyar jogrendszer évtizedek óta foglalkozik az egészségügy területén is az adatvédelemmel. Európai Uniós tagállamként szintén született idevágó jogalkotás.

Az aktuális idevágó törvények, rendeletek a következők:

Az adatvédelemre vonatkozó hatályos jogszabály az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.), amely hatályon kívül helyezte a korábbi adatvédelmi szabályozást, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvényt (Avtv.).

Fontosabb alapfogalmak:

Az Infotv. 3. § 2. pontja szerint személyes adat: “az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés”. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek. (Infotv. 4. § (3))

Az Infotv. 3. § 3. pont szerint különleges adat: “a) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat;”

Az Infotv. 3. § 9. pont szerint adatkezelő: “az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;”

Az Infotv. 3. § 10. pont szerint adatkezelés: “az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;[1]

A GDPR 20. §-a bevezette az adathordozhatóság jogát, mely szerint az érintett jogosult a rá vonatkozó az adatkezelő rendelkezésére bocsátott személyes adatait tagolt, széles körben használt, géppel olvasható formátumban megkapni, továbbá más adatkezelőhöz továbbítani, kérheti az adatok közvetlen továbbítását a másik adatkezelőhöz, ha ez technikailag megvalósítható, kivéve közérdekű, vagy közhatalmú jog gyakorlása céljából végzett adatkezelés.

Az adatkezelés feltételei:

Személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárult, vagy azt törvény, vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli. (Infotv. 5. § (1) a) és b))

A magyar szabályozás összhangban van a GDPR rendelkezéseivel abban a tekintetben, hogy az érintett egészségügyi adatait az orvos, illetve az egészségügyi intézmény kizárólag az érintettnek, valamint az érintett által írásban meghatalmazott személynek adhatja ki, és kizárólag ők tekinthetnek bele az egészségügyi dokumentációba, illetve kaphatnak arról másolatot. A betegellátás időtartama alatt az érintett által adott írásbeli meghatalmazás, míg az ellátás befejezését követően az általa adott teljes bizonyító erejű magánokiratba foglalt meghatalmazás alapján adható ki más személynek az érintett bármely egészségügyi adata (ideértve a leleteket is), vagy az érintett egészségi állapotáról szóló bármely tájékoztatás, információ.

A betegek adatkezelését kizárólag a kezelőorvos, illetve az egészségügyi intézmény végzi, harmadik fél részére személyes adatokat nem ad ki. Amennyiben Bíróság, megkereső Hatóság felszólítja a kezelőorvost, illetve az egészségügyi intézményt adatszolgáltatásra, és kiadásra, köteles személyes adatot kiadni, amennyiben annak minden jogi feltétele fennáll.
Az egészségügyi szolgáltatók részére egyre szélesebb körben ajánlott, illetve kötelező a Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) használata. EESZT-be kerülő egészségügyi adatait és dokumentumait csak a háziorvosa és kezelőorvosa láthatja. A rendszer a legmagasabb fokú kiber védelemmel van ellátva, ennek megfelelően az egészségügyi adatainkhoz és dokumentumainkhoz kizárólag orvosi, illetve a receptek tekintetében gyógyszerészi végzettségű egészségügyi dolgozó férhet hozzá, kormányzati szervek és ágazaton kívüli intézmények nem.

Magyarországon a NAIH, azaz a Nemzeti Adatvédelmi és Információszabadság Hatóság a személyes adatok védelmének biztosításáért felelős hatóság, feladata a személyes adatok védelméhez való jog érvényesülésének ellenőrzése és elősegítése.

A betegjogi képviselői hálózatot az egészségügyért, a szociál- és nyugdíjpolitikáért, valamint a gyermekek és az ifjúság védelméért felelős miniszter által vezetett minisztérium (Emberi Erőforrások Minisztériuma, EMMI) önálló szervezeti egységeként az Integrált Jogvédelmi Szolgálat (IJSZ) működteti. A betegjogi képviselő – törvényekben és a jogszabályokban meghatározott keretek között – védi a betegek jogait, segíti őket azok megismerésében és érvényesítésében.

Az egészségügyi szolgáltatónak biztosítania kell, hogy a betegek és hozzátartozóik a betegjogok képviseletét ellátó személy(ek) kilétét és elérésük módját megismerhessék. Minden egészségügyi intézményben kötelezően ki van függesztve az adott intézményben a betegjogi képviseletet ellátó személy neve és elérhetősége.

Az egészségügyi szolgáltatást igénybe vevő panasz esetén a Betegjogi képviselőhöz, NAIH-hoz, vagy a Bírósághoz fordulhat jogorvoslatért.

Az egészségügyi szolgáltatónak rendelkezni kell saját adatkezelési szabályzattal, amelyet a elérhetővé kell tennie.

Adatkezeléssel kapcsolatos igény esetén forduljon az egészségügyi szolgáltatóhoz, illetve kérdezze kezelőorvosát.

ld. még, kapcsolódó hivatkozás: A GDPR egészségügyi vonatkozásai