Egészségügy kontra GDPR
Számos esetben összhangba kellene hozni a magyar egészségügyi szabályozást a GDPR-ral. Dr. Ferenczi Mónika ügyvéd, az act legal Bán és Karika Ügyvédi Társulás szakértője foglalja össze a tudnivalókat.
Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotörvény”) a különleges adatok közé sorolja az egészségügyi adatokat, melyek kezelésére a többi személyes adathoz képest szigorúbb szabályokat ír elő. Az Európai Unió 2016/679 adatvédelmi rendelete, vagyis a GDPR létrehozta a személyes adatok különleges kategóriáit, amelyekbe beletartoznak többek között a faji vagy etnikai származásra, szexuális életre, vallási vagy politikai meggyőződésre vonatkozó adatok, és idetartoznak az egészségügyi adatok is.
A GDPR meglehetősen szigorúan úgy rendelkezik, hogy főszabályként tilos az adatok különleges kategóriáinak kezelése, és a főszabály alóli kivételként szabályozza azon esetköröket, amelyekben kivételesesen mégis lehetséges ezen adatokat jogszerűen kezelni. Mivel az adatok kezelése az adatokon végzett bármely műveletet jelent, így már az adat megismerése, rögzítése, és természetesen az adat továbbítása is ide sorolandó, számos egyéb művelet mellett – közölte dr. Ferenczi Mónika ügyvéd, az act legal | Bán és Karika Ügyvédi Társulás szakértőjétől.
Megkaphatom a saját egészségügyi adataimat, leleteimet?
A GDPR alapján minden érintettnek joga van tudni, hogy mely személyes adatait kezelik, ez érvényes az egészségügyi adatokra is. Tehát a kórház, illetve más egészségügyi intézmény kérésre köteles az érintettet tájékoztatni az egészségi állapotával, gyógykezelésével kapcsolatos adatokról; a tájékoztatás előtt azonban meg kell győződnie arról, hogy valóban az érintetthez kerülnek-e az adatok, nem pedig illetéktelen kezekbe. Ennek érdekében az egészségügyi szolgáltató csak az érintett személyének megfelelő azonosítását követően adhatja ki az adatokat, illetve további biztonsági intézkedéseket is foganatosíthat, így például a leletek emailben történő megküldése esetén a leletet jelszóval titkosíthatja. Az egészségügyi intézmény a páciens valamennyi egészségügyi adatának másolatát papíralapon, illetve – ha az érintett elektronikus úton kérte - úgy elektronikus úton is köteles kiadni a páciens részére, azzal, hogy az egyszeri másolat ingyenes, a további másolatokért ésszerű mértékű költségtérítést számíthat fel az intézmény.
A jelenlegi gyakorlat meglehetősen kaotikus, és szép számmal akadnak anomáliák, van, ahol rengeteg papírt íratnak alá a beteggel, van, ahol a GDPR-ra hivatkozva megtagadják, hogy a beteg részére kiadják a saját adatait, és van, ahol még a nyitott ajtónál tartott rendelés a divat, így a folyosón, vagy a szomszéd rendelőben ülők is értesülhetnek a páciens aktuális egészségügyi problémáiról.
Hozzá kell járulnom az adatkezeléshez? Hogyan kérnek tőlem hozzájárulást, ha eszméletlen vagyok?
A magyar jogi környezetben az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről szóló 1997. évi XLVII. törvény tartalmazza az egészségügyi adatok kezelésére vonatkozó részletes szabályokat, melyeket a GDPR irányadó rendelkezéseivel együtt kell értelmezni.
A GDPR alapján az adatkezelés akkor jogszerű, ha ahhoz az érintett kifejezett hozzájárulását adta, vagy az adatkezelés a GDPR-ban megjelölt célok érdekében történik, ilyen megengedett és jogszerű célnak tekinthető – egyebek mellett - az érintett jogos érdeke, és létfontosságú érdeke is (ilyen az illető életben maradásához fűződő érdek), valamint a közérdek, mint például a járványok megelőzése, és terjedésük megfékezése is.
Mind a GDPR, mind pedig a magyar jogszabály lehetővé teszi az egészségügyi adatok kezelését többek között a népegészségügy területét érintő közérdekből (ide tartozik a járványügyi érdekből történő adatkezelés) valamint az egészségügyi ellátás és gyógykezelés, orvosi vizsgálat és diagnózis felállítása céljából, továbbá a jogszabályban felsorolt egyéb célokból is.
A magyar jogszabály úgy rendelkezik, hogy az érintett hozzájárulását megadottnak kell tekinteni a gyógykezeléssel összefüggő adatainak kezeléséhez, amennyiben az értintett önként fordul az egészségügyi ellátóhálózathoz; sürgős szükség esetén - ide értendők a sérült, így eszméletlen állapotú, azonnali beavatkozást igénylő betegek is, akik állapotuk folytán nem tudnak az orvoshoz „fordulni” – az önkéntességet vélelmezni kell. Szakértőnk véleménye szerint a fenti rendelkezés, mely a betegek vélelmezett hozzájárulásán alapul, nem illeszthető be a GDPR fogalomrendszerébe, és a GDPR rendelkezéseinek ellentmond, tekintettel arra, hogy a GDPR az egészségügyi adatok tekintetében az érintett kifejezett hozzájárulását követeli meg. A GDPR rendelkezései szerint– az olyan adatkezelések tekintetében is, amelyekhez nem szükséges kifejezett hozzájárulás - kizárólag az előzetes tájékoztatáson alapuló egyértelmű nyilatkozat, vagy az érintett szándékát egyértelműen tükröző cselekmény tekinthető hozzájárulásnak, amelyről nyilvánvalóan nem beszélhetünk egy eszméletlen állapotú sérült esetén.
Bár érthető és elfogadható a fentiek szerinti magyar jogi szabályozás és joggyakorlat, amely nem követel kifejezett írásbeli hozzájárulást, azonban a hivatkozott jogszabályi rendelkezés a GDPR szempontjából aggályos, mondta az act legal Bán és Karika Ügyvédi Társulás szakértője. Álláspontom szerint az adatkezelés jogalapja a gyógykezelés esetén az érintett egészségéhez fűződő létfontosságú érdeke, illetve bizonyos esetekben a közérdek (pl. közegészségügyi járványügyi adatkezelés, orvosok szakképzése) valamint jogi kötelezettség teljesítése (pl. egészségbiztosítás terhére igénybe vehető ellátásokhoz kapcsolódó adatkezelés, társadalombiztosítási ellátások megállapításához kapcsolódó adatkezelés). A fenti jogalapok esetében sem lenne szükség a páciens írásbeli hozzájárulásának beszerzésére, azonban szakértőnk véleménye szerint szükséges lenne összhangba hozni a magyar szabályozást a GDPR-ral.
Milyen jogaim vannak az egészségügyi adataimmal kapcsolatban? Meddig tárolják az adatokat?
Az érintetteket az egészségügyi adataikkal kapcsolatban azonos jogok illetik meg, mint bármely más személyes adataikkal kapcsolatban – erősítette meg dr. Ferenczi Mónika - így az érintetettet ugyanúgy megilleti például a tájékoztatáshoz való jog, a kezelt adatokhoz történő hozzáférés, ide értve a kezelt adatokról történő másolat kérését, a helyesbítéshez, és a törléshez való jog stb.
A magyar jogszabály kifejezetten tartalmazza, hogy az érintett (illetve az általa írásban meghatalmazott személy) jogosult tájékoztatást kapni a gyógykezeléssel összefüggésben történő adatkezelésről, megismerheti a rá vonatkozó adatokat, betekinthet az egészségügyi dokumentációba, és arról – saját költségére - másolatot kaphat. A költségtérítés ellenében történő másolatkiadás ellentmond a GDPR előírásának, mely szerint az adatokat tartalmazó első másolat kiadása ingyenes.
Az egészségügyi adatokat főszabályként legkésőbb az érintett halálát követő 5 évig tárolják.
Kinek adhatják ki az egészségügyi adataimat, illetve ki férhet hozzá az egészségügyi adataimhoz?
A jelenlegi magyar szabályozás összhangban van a GDPR rendelkezéseivel abban a tekintetben, hogy az érintett egészségügyi adatait az orvos, illetve az egészségügyi intézmény kizárólag az érintettnek, valamint az érintett által írásban meghatalmazott személynek adhatja ki, és kizárólag ők tekinthetnek bele az egészségügyi dokumentációba, illetve kaphatnak arról másolatot. A betegellátás időtartama alatt az érintett által adott írásbeli meghatalmazás, míg az ellátás befejezését követően az általa adott teljes bizonyító erejű magánokiratba foglalt meghatalmazás alapján adható ki más személynek az érintett bármely egészségügyi adata (ideértve a leleteket is) vagy az érintett egészségi állaptáról szóló bármely tájékoztatás, információ – tudtuk meg dr. Ferenczi Mónikától.
A gyakorlatban a fenti szabályozás azt is jelenti, hogy az egészségügyi adatokat kizárólag az arra jogosult személy beazonosítását követően lehet kiadni, tehát például az érintett beazonosítása nélkül nem közölhetők a vizsgálati eredmények telefonon.
Az egészségügyi ellátórendszer szereplői (pl. háziorvos, kezelőorvos, gyógyszerész) a nemrég bevezetett elektronikus egészségügyi szolgáltatási tér alapbeállításai szerint jogosultak az egészségügyi adatokhoz hozzáférésre, az érintett a rendszer beállítások megváltoztatásával tudja ezen hozzáférési jogosultságokat megváltoztatni, illetve tiltakozhat az adatkezelés ellen, mely jogosultságáról a kezelést végző orvosnak az érintettet tájékoztatnia kell.
Összességében elmondható, hogy bár az egészségügyi adatok kezelésének szabályozása és gyakorlata az elmúlt évtizedekben pozitív változáson ment keresztül, a jelenlegi szabályozás és gyakorlat is felvet aggályokat. Az egészségügyi adatok jelentős mennyisége, az adatvédelmileg képzett munkaerő hiánya, és az egészségügy, mint specifikus terület okán az egészségügyi adatok kezelése számos problémát felvet, így például nehéz meghúzni a jogosultsági határokat annak érdekében, hogy nélkülözhetetlen információk ne kerüljenek blokkolásra, azonban az érintett adatvédelemhez fűződő érdeke se sérüljön, mivel a beteg körelőzményének a kezelőorvos általi ismerete pont a beteg érdekét szolgálja.
