hirdetés
2024. november. 21., csütörtök - Olivér.

Adatok és adatvédelem május 25. után

Kinek mit kell tennie a GDPR kötelező alkalmazásának megkezdése előtt?

Tudja, hogy hamarosan adatvédelmi tisztviselőt kell kineveznie, és adatvédelmi hatásvizsgálatot készítenie? Az Európai Unió egészére vonatkozó egységes adatvédelmi szabályozás, a GDPR májusi kötelező alkalmazásának megkezdésével változások várhatók a gyógyszeriparban és az egészségügyben. A gyakorlati kérdésekről dr. Straubinger Zsófia ügyvéddel, a Réti, Várszegi és Társai Ügyvédi Iroda – PwC Legal egészségügyi szakjogászával beszélgettünk.

Közeledik május 25., most azonban még ott tartunk, hogy azok közül is, akik egy kicsit már értik, miről szól az új adatvédelmi szabályozás, sokan azt hiszik, hogy a GDPR alapvetően a jogászok és az informatikusok feladata. Tapasztalataik szerint hol tartunk a felkészülésben?

A gyógyszeripar az a szektor, ahol az adatvédelmi tudatosság megvan, sőt, a szabályok megtartása már most is átlagon felüli. Alapvetően nem kis cégekről van szó, hanem olyan nagyvállalatokról, ahol központilag, általában cégcsoport szinten szabályozott ez a kérdés.

Igen, a nagy gyógyszercégeknél az anyacég nyilván használható szabályzatokat küld mindenkinek, de mi a helyzet a kicsikkel? Beszéljünk az egészségügyről is, hiszen a GDPR érintheti pl. a háziorvosokat is, akik inkább bt.-kben vannak.

A GDPR kötelező alkalmazásának megkezdése olyan pont lesz, ami a többi, kisebb vállalkozást is érinti, és remélhetőleg egyfajta adatvédelmi tudatosságra ébreszti. Mindez jó alkalom arra, hogy áttekintsék jelenlegi adatvédelmi gyakorlatunkat, végignézzék, hogy mindent szabályszerűen csinálnak-e. Amennyiben igen, a GDPR rendelkezéseire tekintettel ugyan módosítani kell valamennyire ezt a gyakorlatot, de ez a kisebb feladat. Ha eddig nem csinálták jól a dolgokat, akkor itt a jó alkalom, hogy ezt most helyrerakják, átgondolják, feltérképezzék az adatkezelési tevékenységüket...

Legyünk teljesen gyakorlatiasak! Kis cég vagyok és tegnap meghallottam, hogy május 25-től alkalmaznom kell az európai adatvédelmi szabályokat. Egy kicsit megijedtem, na de akkor minek és miként álljak neki?

Első lépésként a jelenlegi adatvédelmi, adatkezelési folyamatokat kell feltérképezni, utána tudunk csak érdemben a GDPR-nak való megfeleléssel foglalkozni.

Erről kell születnie egy dokumentumnak, amit őrizni kell valahol a fiókban?

Igen. Nagy valószínűséggel szükség lesz egy a GDPR 30. cikke szerinti adatkezelési nyilvántartásra, ami többek között arról szól, hogy milyen adatokat gyűjtünk, milyen célból kezeljük azokat, továbbítjuk-e az adatokat bárhová, és ha igen, kinek. A feltérképezést követően lehet elgondolkodni azon, hogyan tudunk továbblépni.

Fontos kérdés lehet, hogy kinek kell adatvédelmi tisztviselőt kineveznie. Egy kis háziorvosi bt.-ben például szükség van erre?

Igen. A GDPR pontosan meghatározza, hogy mikor van erre szükség. Három esetkört fogalmaz meg a jogszabály. Az egyik az, ha az adatkezelők vagy adatfeldolgozók fő tevékenysége az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszi szükségessé, a másik – a gyógyszeripart és az egészségügyet jellemzően érintő eset –, ha az adatkezelő vagy az adatfeldolgozó fő tevékenységével összefüggésben jelentős mennyiségű különleges, tehát például egészségügyi adattal dolgozik. A harmadik az, ha valamilyen közhatalmi adatkezelésről, vagy közfeladatot ellátó szerv adatkezeléséről van szó – ez inkább a hatósági oldalt érinti.

Van valamilyen különleges feltétele, hogy ki láthatja el az adatvédelmi tisztviselői feladatot?

A GDPR ezzel összefüggésben követelményként állítja, hogy a tisztviselő megfelelő szakmai rátermettséggel rendelkezzen – ideértve különösen az adatvédelmi jogi magas szintű ismereteket –, valamint, hogy a feladatok ellátására alkalmas legyen.

Dr. Straubinger Zsófia ügyvéd, a Réti, Várszegi és Társai Ügyvédi Iroda – PwC Legal egészségügyi szakjogásza
Dr. Straubinger Zsófia ügyvéd, a Réti, Várszegi és Társai Ügyvédi Iroda – PwC Legal egészségügyi szakjogásza

Ne feledkezzünk meg a hatásvizsgálatról sem, amit valószínűsíthetően magas kockázattal járó adatkezelésnek minősülő tevékenységet folytatóknak készíteniük kell…

Igen, ez abszolút érinti a gyógyszeripart az előbb már említett, nagy mennyiségű, különleges adat kezelése miatt. Azaz, nemcsak fel kell mérniük a cégeknek a gyakorlatukat, hanem hatásvizsgálatot is kell végezniük, a különleges adatok kezelése ugyanis olyan eset, amelyet a GDPR a hatásvizsgálattal összefüggésben konkrétan is nevesít. A hatásvizsgálat lényege, hogy felmérjük, hogyan érintik a tervezett adatkezelési műveletek a személyes adatok védelmét.

Ha jól értem, a tervek szerint májusig több tízezer cégnek felül kell vizsgálnia az adatvédelmi gyakorlatát és a kapcsolódó dokumentumokat, ugyanakkor az ellenőrző hatóságot még meg sem bízták…

Így van, de elvonatkoztatva attól, hogy a hazai jogszabályalkotás le van maradva, nekünk az a tapasztalatunk, hogy sokan időben megkezdték ezt a munkát, feltérképezték az adatkezeléseket, és már a GDPR rendelkezéseinek megfelelő dokumentumok kialakításán dolgoznak.

Egy a témával kapcsolatos workshopon azt hallottuk, hogy azokat az adatokat is meg kell tartanunk egy külön helyen, amelyeket már nem használhatunk fel pl. marketingcélokra, mert később is tudnunk kell bizonyítani, hogy anno jogosan használtuk azokat. Igaz ez?

Amennyiben az adatkezelési cél megszűnt és nincs megfelelő jogalap az adatkezelésre, az adatokat törölni kell. Az adatok ilyen esetben történő megőrzését legfeljebb jogos érdek érvényesítése miatt tudom elképzelni. Ha például a gyógyszercégek ismertetési tevékenységük során orvosi adatokat vesznek fel és kezelnek promóciós célból, hozzájárulás alapján, és egy orvos azt kéri tőlük, hogy töröljék az adatait, mert visszavonja a korábbi hozzájárulását, akkor a cégeknek eleget kell tenniük a kérésnek, kivéve akkor, ha a GDPR által külön jogalapként nevesített jogos érdekről az érintetteket előzetesen tájékoztatják. Mit értünk jogos érdek alatt? Az adatkezelő olyan érdekét, amely az érintettek adatvédelmi jogai elé helyezhető. Az ismertetési tevékenység esetén ilyen érdekük fűződhet a gyógyszercégeknek pl. a védelemhez való joguk érvényesítéséhez. Ebben a szektorban számos hatóság folytathat ellenőrzést. A hatósági eljárások esetén a cégeknek adatszolgáltatási kötelezettségük van a hatóságok felé. Azt, hogy jogszerű volt a korábbi tevékenység, az adott cégnek kell alátámasztania, ha viszont a hozzájárulás visszavonása miatt törli az adatokat, a jogszabályoknak való megfelelést nem fogja tudni alátámasztani. Itt jöhet szóba a jogos érdek érvényesítése. A jogos érdek jogalap alkalmazásának azonban az előzetes tájékoztatás mellett az érdekmérlegelési teszt elvégzése is feltétele. Ezt is az adatkezelés megkezdése előtt kell elkészíteni – adott esetben ezt is elő kell tudni húzni a fiókból, amennyiben a hatóság rákérdez. Tudnunk kell, hogy az adattakarékosság elvének fokozottan érvényesülnie kell, azaz csak azokat az adatokat kezelhetik jogos érdek alapján, amelyek a jogos érdek érvényesítéséhez feltételül szükségesek, és csak annyi ideig, ameddig feltétlenül szükséges. Szorosan kapcsolódik ehhez, hogy a mindennapi munka során az ilyen módon tárolt adatokhoz kizárólag azok a munkatársak férhetnek hozzá, akiknek a munkavégzéséhez az elengedhetetlenül szükséges. Szeretném felhívni a figyelmet arra, hogy a hozzájárulás és a jogos érdek érvényesítése is önálló, egymással egyenértékű jogalap, mindkettő alkalmazhatóságát pontosan meghatározza a jogszabály. Ha megfelelő jogos érdeket azonosítottam, és elvégeztem az érdekmérlegelési tesztet, akkor e mellé már nem kell hozzájárulást is beszereznem, de vannak olyan helyzetek, amikor jogos érdek helyett hozzájárulásra lesz szükség, mert az a megfelelő jogalap. Mindig az adatkezelő felelőssége, hogy megtalálja az adott helyzetre legjobban alkalmazható jogalapot, és arról az érintetteket úgy tájékoztassa, hogy az ne legyen félrevezető.

Ha már gyógyszeripari marketing: egyes nézetek szerint gondok lehetnek az ipar és az orvosok közötti kapcsolatokkal, magyarul a transzparencia kódexekkel kapcsolatos adatkezeléssel is…

Korábban a transzparencia-kötelezettségek teljesítéséhez szükséges adatokat a cégek a fő szabály szerint, az érintettek hozzájárulása alapján kezelték. Most kérdésként merül fel, hogy a jogos érdek érvényesítésére lesz-e lehetőség egy olyan önszabályozó területen, mint a transzparencia. Felválthatja-e a jogos érdek érvényesítése a hozzájárulás jogalapját a transzparencia kötelezettségek teljesítésével kapcsolatos adatkezelések esetén?

Sok mindenre megoldás lehet a jogszabályalkotás; Péterfalvi Attila NAIH-elnök szerint a parlamentnek mielőbb el kellene fogadnia az Infotörvény szükséges módosításait.

Igen, ez egy fontos kérdés. Ezen túlmenően azonban érdekes lesz az is, hogy hogyan alakulnak az ágazati jogszabályok, így különösen az egészségügyi adatok védelméről és kezeléséről szóló törvény. Ezek a változások az egészségügyet és a gyógyszeripart is biztosan érinteni fogják.

A legtöbben talán arról hallottak a témával kapcsolatban, hogy nagy büntetések lehetségesek. Ön szerint milyen bírságokra, határidőkre lehet számítani, ha egy ellenőrzés nem megfelelő gyakorlatot talál majd?

Az első dolog, hogy a NAIH-ot kijelöljék a feladatra. A hivatal szervezetének bővítése már folyamatban van, de mindez nyilvánvalóan nem jelenti azt, hogy ezzel egy ellenőrző stábot állítottak fel. A hatósági oldalon is szükség van informatikusokra, fejlesztőkre, de az vitathatatlan, hogy a GDPR végrehajtását ellenőrizni fogják.

Tudható, hogy mi alapján választják majd ki, kihez mennek ellenőrizni?

Nem, de azt gondolom, a szabálytalanságok bejelentése a hatóság számára fontos információs forrás lesz az ellenőrzések területén.

Köbli Anikó
a szerző cikkei

(forrás: MedicalOnline)

cimkék

Könyveink