A Magyar jogrendszer évtizedek óta foglalkozik az egészségügy területén is az adatvédelemmel. Európai Uniós tagállamként szintén született idevágó jogalkotás.
Az aktuális idevágó törvények, rendeletek a következők:
- 1997. évi CLIV. törvény az egészségügyről (Eütv.)
- 1997. évi XLVII. törvény az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről (Eüaktv.)
- 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Infotv.)
- 2013. évi V. törvény a Polgári Törvénykönyvről (Ptk.)
- 2018. évi XXXVIII. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek az Európai Unió adatvédelmi reformjával összefüggő módosításáról, valamint más kapcsolódó törvények módosításáról
- AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)
Az adatvédelemre vonatkozó hatályos jogszabály az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.), amely hatályon kívül helyezte a korábbi adatvédelmi szabályozást, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvényt (Avtv.).
Fontosabb alapfogalmak:
2018. évi XXXVIII. törvény 2. § alapján személyes adat: „az érintettre vonatkozó bármely információ” „az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés”. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek. (Infotv. 4. § (3))
2018. évi XXXVIII. törvény 2. § alapján különleges adat: „személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok”
2018. évi XXXVIII. törvény 2. §, Infotv. 3. §-a a következő 3a-3c. ponttal egészül ki, amely alapján egészségügyi adat: „egy természetes személy testi vagy szellemi egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról”
2018. évi XXXVIII. törvény 2. § alapján adatkezelő: „aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – az adatkezelés céljait és eszközeit egy vagy több másik adatkezelővel közösen határozza meg, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket egy vagy több másik adatkezelővel közösen hozza meg és hajtja végre vagy hajtatja végre az adatfeldolgozóval”
Az 2011. évi CXII. törvény, Infotv. 3. § 10. pont alapján adatkezelés: „az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;[1]
A GDPR 20. §-a bevezette az adathordozhatóság jogát, mely szerint az érintett jogosult a rá vonatkozó az adatkezelő rendelkezésére bocsátott személyes adatait tagolt, széles körben használt, géppel olvasható formátumban megkapni, továbbá más adatkezelőhöz továbbítani, kérheti az adatok közvetlen továbbítását a másik adatkezelőhöz, ha ez technikailag megvalósítható, kivéve közérdekű, vagy közhatalmú jog gyakorlása céljából végzett adatkezelés.
Az adatfeldolgozó kizárólag az adatkezelő megbízásából kezel személyes adatokat.
Az adatfeldolgozót elsődlegesen az alábbi ismérvek jellemzik:
– Adatkezelőtől elkülönült személy. Az adatfeldolgozói státusz alapvető feltétele, hogy az adatkezelőtől különálló jogalany legyen.
– Technikai feladatok végzése, úgy mint a személyes adatok felhasználása, vagy tárolása.
– Az adatkezelői utasítás végrehajtása. Az adatfeldolgozónak kötelessége végrehajtani az adatkezelő utasításait.
– Érdemi döntési jogkör hiánya. Az adatfeldolgozó adatkezelést érintő érdemi döntést nem hozhat. Amennyiben az adatfeldolgozónak a technikai feladat végrehajtását érintő döntése kihat az adatkezelés valamelyik lényeges körülményére, akkor e döntése vonatkozásában már nem adatfeldolgozónak, hanem adatkezelőnek kell tekintetni.
A betegellátáshoz kapcsolódó, illetve egészségügyi célú adatkezelés:
A kezelt adatok köre és az adatkezelés célja a biztonságos és személyre szabott betegellátás érdekében történő azonosításhoz elengedhetetlenül szükséges a törvényben (Eüaktv.) foglalt személyes adatokat és az ellátási eseményhez kapcsolódó célzattal az ismert egészségügyi adatokat felvenni.
Az adatkezelés jogalapja egyrészről a szolgáltatás igénybevevőjeként önkéntessége, továbbá szerződés, avagy a jogszabály (Eüaktv.) kötelező előírása a betegadatok kötelező kezelésére, továbbá a finanszírozási ügyekben a számviteli törvény számlázással kapcsolatos előírásai.
Az adatkezelés időtartama: Minden egészségügyi szolgáltató az egészségügyi és hozzájuk kapcsolódó személyes adatokat törvényi előírás (Eüaktv.) szerint köteles kezelni/tárolni. A hozzájárulás emiatt nem vonható vissza, a tárolt egészégügyi és hozzájuk kapcsolódó személyes adatai végleges törlésére vonatkozó esetleges kérelem nem teljesíthető. Az egészségügyi dokumentációt adatfelvételtől számított legalább 30 évig, a zárójelentést legalább 50 évig kell megőrizni. A képalkotó diagnosztikai eljárással készült felvételt az annak készítésétől számított 10 évig, a felvétel alapján készített leletet a felvétel készítésétől számított 30 évig kell megőrizni. Az orvosi vények megőrzési ideje 5 év.
Az adatkezelés feltételei:
Személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárult, vagy azt törvény, vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli. (Infotv. 5. § (1) a) és b))
A magyar szabályozás összhangban van a GDPR rendelkezéseivel abban a tekintetben, hogy az érintett egészségügyi adatait az orvos, illetve az egészségügyi intézmény kizárólag az érintettnek, valamint az érintett által írásban meghatalmazott személynek adhatja ki, és kizárólag ők tekinthetnek bele az egészségügyi dokumentációba, illetve kaphatnak arról másolatot. A betegellátás időtartama alatt az érintett által adott írásbeli meghatalmazás, míg az ellátás befejezését követően az általa adott teljes bizonyító erejű magánokiratba foglalt meghatalmazás alapján adható ki más személynek az érintett bármely egészségügyi adata (ideértve a leleteket is), vagy az érintett egészségi állapotáról szóló bármely tájékoztatás, információ.
A betegek adatkezelését kizárólag a kezelőorvos, illetve az egészségügyi intézmény végzi, harmadik fél részére személyes adatokat nem ad ki. Amennyiben Bíróság, megkereső Hatóság felszólítja a kezelőorvost, illetve az egészségügyi intézményt adatszolgáltatásra, és kiadásra, az köteles személyes adatot kiadni, amennyiben annak minden jogi feltétele fennáll.
Az Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) használatát az EMMI 39/2016.(XII.21.) rendelete szabályozza. Az állami egészségügyi szolgáltatók részére kötelező, valamint a magánszolgáltatók részére széles körében részben kötelező, illetve ajánlott az Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) használata. EESZT-be kerülő egészségügyi adatokat és dokumentumokat csak a háziorvosa és kezelőorvosa láthatja. A rendszer a legmagasabb fokú kiber védelemmel van ellátva, ennek megfelelően az egészségügyi adatokhoz és dokumentumokhoz kizárólag orvosi, illetve a receptek tekintetében gyógyszerészi végzettségű egészségügyi dolgozó férhet hozzá, kormányzati szervek és ágazaton kívüli intézmények nem.
Minden Magyar állampolgár az állammal kapcsolatban bizonyos fokú önrendelkezési joggal (DÖR) rendelkezik, ld. Önrendelkezés az EESZT-ben
További információk az EESZT adatkezeléséről az alábbi oldalon található: EESZT Információs portál > Tájékoztató az EESZT-hez csatlakozott intézmények részére > GDPR
Magyarországon a NAIH, azaz a Nemzeti Adatvédelmi és Információszabadság Hatóság a személyes adatok védelmének biztosításáért felelős hatóság, feladata a személyes adatok védelméhez való jog érvényesülésének ellenőrzése és elősegítése.
A betegjogi képviselői hálózatot az egészségügyért, a szociál- és nyugdíjpolitikáért, valamint a gyermekek és az ifjúság védelméért felelős miniszter által vezetett minisztérium (Emberi Erőforrások Minisztériuma, EMMI) önálló szervezeti egységeként az Integrált Jogvédelmi Szolgálat (IJSZ) működteti. A betegjogi képviselő – törvényekben és a jogszabályokban meghatározott keretek között – védi a betegek jogait, segíti őket azok megismerésében és érvényesítésében.
Az egészségügyi szolgáltatónak biztosítania kell, hogy a betegek és hozzátartozóik a betegjogok képviseletét ellátó személy(ek) kilétét és elérésük módját megismerhessék. Minden egészségügyi intézményben kötelezően ki van függesztve az adott intézményben a betegjogi képviseletet ellátó személy neve és elérhetősége.
Az egészségügyi szolgáltatást igénybe vevő panasz esetén a Betegjogi képviselőhöz, NAIH-hoz, vagy a Bírósághoz fordulhat jogorvoslatért.
Az egészségügyi szolgáltatónak rendelkezni kell saját adatkezelési szabályzattal, amelyet a elérhetővé kell tennie.
Adatkezeléssel kapcsolatos igény esetén forduljon az egészségügyi szolgáltatóhoz, illetve kérdezze kezelőorvosát.
Kapcsolódó hivatkozás: A GDPR egészségügyi vonatkozásai
Dr. Krascsenits Géza
