Adatvédelem: célkeresztben a klinikai vizsgálatok
Az új adatvédelmi hatóság várhatóan sokkal aktívabb lesz a réginél, igaz, jogosítványai is erősebbek, amelyek birtokában sokkal inkább a kikényszerítés pártján áll majd. A klinikai kutatások során végzett adatkezelés jobban szabályozottabbá, ám bonyolultabbá is válik.
Az uniós irányelvnek két igen fontos célja van. Egyrészt, hogy a természetes személyek alapjogai – információs önrendelkezéshez, az emberi méltósághoz fűződő jogok – sokkal magasabb szinten védendők, mint például a kutatás céljai. A másik – s ez a kutatásoknál különösen jelentős – az egyes tagállamok közötti adatvándorlás védelme illetve ennek az alapjog szintjén történő biztosítása. Várhatóan egyébként körülbelül két éven belül megszületik a közvetlenül hatályos uniós adatvédelmi rendelet, bár a jelenlegi irányelvnek is vannak olyan rendelkezései, amelyek közvetlenül hatályosak, fejtette ki a Gobert&Partners ügyvédi iroda jogásza, dr. Soós Andrea Klára.
Lejjebb haladva a jogi keretek között, az új adatvédelmi – elterjedtebb nevén info – törvény, illetve az egészségügyi adatok kezeléséről szóló törvények az elsődlegesek. Ezekhez társulnak a különféle kormányrendeletek, a GCP (good clinical practice) rendelet, s az Alkotmánybíróság határozataiból kiemelhető eseti döntések.
Az Európai Unió 29-es csoportja – az összes adatvédelmi biztosból álló testület – 2011 nyarán elfogadta azt az irányelvet, amelyben a hozzájárulás fogalmát értelmezik. Ez a dokumentum – száma 15/2011 – állásfoglalásnak tekinthető, tehát nem elsődleges jogforrás, ugyanakkor értelmezési szempontból segítségül hívható, annál is inkább, mivel több oldalon keresztül foglalkozik a klinikai kutatások során adandó hozzájárulás értelmezésével. A hozzájárulás megszerzése ezek szerint nem sértheti az emberi méltósághoz fűződő jogokat, nem lehet félelmet keltő, riadalmat okozó, nem mondható például, hogy a kutatásban való részvétel az illető egyetlen esélye a túlélésre. Mindebből következően sokkal komolyabban kell venni a beleegyező nyilatkozatokat, mint ahogy azt a jelenlegi magyar jogrendszer teszi.
Az új jogszabály
Az új adatvédelmi jogszabályt már csak azért is érdemes alaposan tanulmányozni, mert tartalmát ma még másként értelmezi a hatóság, a piac és az eljáró ügyvédség. A piac számára például azt jelenti, hogy új kontextusba helyezi a személyhez fűződő jogok védelmét, vagyis sokkal erősebb az alapjogi védelmi jellege, deklaráltabban jelenik meg benne az egyén információs önrendelkezési joga.
Az ügyvéd arra a fogalmi zavarra is felhívta a figyelmet, amely az egyes törvények között tapasztalható, s amelyet az új szabályozás sem oldott fel. Míg egyes jogszabályok egészségügyi, mások személyes adatokról szólnak. A kettő pedig nem teljesen ugyanaz. Az elhunyt személyes adata például jogi és adatvédelmi szempontból nem minősül személyes adatnak, hiszen – a régi adatvédelmi, s az új info törvény szerint – csak élő személy személyes adatáról beszélhetünk. Ugyanakkor az egészségügyi adatkezelésről szóló törvény kifejezetten deklarálja, hogy az elhunyt személy adata, illetve a halálozásához kapcsolódó adatok – a halál oka, körülményei – egészségügyi adatnak minősülnek. A piac vélhetően idővel jelzi igényét az ellentmondás feloldására, a gyakorló adatkezelők addig is jól teszik – hangzik a tanács -, hogy kétség esetén az adott adatot inkább személyes adatként kezeljék, s annak védelme szerint járjanak el.
Soós Andrea Klára ezzel kapcsolatban felhívta arra a közelmúltban született alkotmánybírósági döntésre a figyelmet, amely azt elemezte, hogy miként lehet anonim nyilatkozatot kérni akkor, ha a nyilatkozathoz szükség van hozzájárulásra és aláírásra. S bár az AB döntése nem adatvédelemről, hanem a spam szabályozásáról szól, a testület kimondta, hogy a fenti esetekben is elengedhetetlen a résztvevő aláírása, más kérdés, hogy ez akár olvashatatlan is lehet. Hiába adja meg ugyanis anonim módon valaki, valamihez a hozzájárulását, ezt valamilyen szinten igazolnia kell.
Pontosan körülírt fogalmak
Bár az új törvényben megjelenő fogalmak többek szerint a korábbihoz képest változatlanok, a jogász szerint ez egyáltalán nincs így. Legfontosabb újdonságként említette, hogy bármilyen információ személyes adatnak minősül. Az adatkezelő fogalmát külön tartalmazza a törvény: ő az a személy, aki meghatározza az adatkezelés célját, s felelősséget is vállal érte. A kutatásoknál ez azért fontos téma, mivel rendre felmerül, hogy ki lesz az adatkezelő: a kutatás szponzora, az adatokat begyűjtő intézmény vagy az a harmadik személy, aki tárolja az adatokat? Abban a másodpercben egyébként, ahogy az adatkezelő számára nem lesz helyreállítható a kapcsolat, tehát kikerül az a link, ahol össze lehet kapcsolni az adatokat, a konkrét vizsgálati eredményeket a kutatás során felvett adat elveszíti személyes adat jellegét.
A korábbinál fontosabbá válik az adatbiztonság elve, az új törvény igen komoly biztonsági elvárásokat támaszt az adatkezelővel szemben. Ennek lényege, hogy mindig a legkorszerűbb biztonsági eszközökkel kell védeni az adatokat, amelyeket tilos átadni harmadik személynek. Bár a célhozkötöttség elvének megjelenését illetően nincs különbség a régi és az új szabályozás között, ugyanakkor az új paragrafusok sokkal tisztábban határozzák meg az erre vonatkozó követelményt. Mit jelent a célhozkötöttség a klinikai vizsgálatok esetében? Például azt, hogy egy már létező adatbázist semmilyen körülmények között nem lehet egy új vizsgálathoz felhasználni. A célhozkötöttség egyben azt is jelenti, hogy az adatkezelés kizárólag a cél teljesüléséhez szükséges mértékig és ideig használható.
Az új szabályozás ugyanakkor a korábbinál lényegesen egyértelműbben fogalmazza meg, hogy a jogalkotó illetve az ellenőrző szerv mit vár el az adatkezelőtől. Így például minden esetben ki kell jelölni egy felelőst. Az ügyvéd szerint ez nem azt jelenti, hogy adatvédelmi felelőst kell választani, hanem meg kell határozni azt a magánszemélyt, aki akár polgári jogi, akár munkajogi felelősséggel tartozik az adatkezelés biztonságáért. S bár ezt a személyt sokkal egyszerűbb lenne adatvédelmi felelősnek nevezni, ezt ily módon a jogszabály kifejezetten nem határozza meg. Fontos továbbá, hogy nem csak jogi, hanem technikai felelőséggel is tartozik az adatkezelő, ami például azt jelenti, hogy krízistervet kell készítenie arra az esetre, ha valami történne az adatokkal.
Gyakori kérdés, vajon az új hatóság kérheti-e a krizistervet, mint ahogy a munkaügyi felügyelőség bármikor kopogtathat az ajtón, s ellenőrizheti a munkavédelmi szabályzatot. Soós Andrea Klára szerint előbb-utóbb ebbe az irányba megy majd a jogalkalmazás. Fontos továbbá, hogy bár Magyarországon egyelőre nincs kifejezett kötelezettség a visszaélések jelentésére, ugyanakkor a készülő uniós rendelet tervezetben ez szerepel majd. E téma különösen a gyógyszeriparban fontos, nem véletlen, hogy más tagállamokban, amennyiben valaki visszaélést tapasztal, jogi felelősség terhe mellett azonnal jelentenie kell az adatvédelmi hatóságnak. Elképzelhető, hogy ez idővel nálunk is leírt kötelezettséggé válik.