+36 1 599 9740, +36 70 339 3693 info@dericom.hu

Lassan fél éve már, hogy életbe lépett az Európai Unió 2016/679 adatvédelmi rendelete, vagyis a GDPR de még mindig elég nagy a káosz a gyakorlati alkalmazásában.

Nézzük először is milyen adatokra vonatkozik a rendelet. A GDPR a személyes adatok kezelését és feldolgozását szabályozza. Személyes adatnak azok az információk számítanak, amelyek egy adott emberre vonatkoznak. A rendelet területi hatályára itt most nem térünk ki, azt azonban fontosnak tartjuk kiemelni, hogy ha a természetes személy egyéni vállalkozó, akkor az adatok védelmére vonatkozó szabályok személyi hatályát az határozza meg, hogy az adott személy természetes személyként vagy egyéni vállalkozói minőségében jár-e el egy adatkezelés során.
A rendelet tehát csak a személyes adatoknak a kezelését és feldolgozását szabályozza. Ez az adatokon végzett valamennyi műveletet jelenti, úgy mint az adatok megismerése, rögzítése, továbbítása, stb.. De nem tartozik a rendelet hatálya alá ezeknek az adatoknak a személyes, úgymond otthon történő kezelése.
A GDPR megkülönbözteti a személyes adatokon belül azok különleges kategóriáit. Ezek közé tartoznak a faji vagy etnikai származásra, szexuális életre, vallási vagy politikai meggyőződésre vonatkozó adatok, valamint az egészségügyi adatok is. A GDPR főszabálya ezekre vonatkozóan az, hogy ilyen adatokat TILOS kezelni. Az ez alóli kivételes eseteket a rendelet részletesen szabályozza.
Az egészségügyi adatok vonatkozásában a rendelet úgy fogalmaz, hogy ezek kezelése akkor jogszerű, ha az az érintett jogos érdeke és létfontosságú érdeke is (az életben maradásához fűződő érdek), valamint ha az a közösség érdekében (járványok megelőzése, terjedésük megfékezése) történik.

A rendelet részletesen szabályozza az adatkezeléssel érintett személy jogait. Ezek közé tartozik a róla nyilvántartott adatok megismeréséhez való jog és az adatkezelés korlátozásához való jog is.

A rendelet 15. cikkelye, mely az érintett hozzáférési jogát írja le:
„Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel.”
Ebből következik, hogy az adatszolgáltatásnak az első alkalommal ingyenesnek kell lennie.
Fontos hangsúlyozni, hogy az adatkezelő adatszolgáltatási kötelezettsége ( néhány kivételtől eltekintve) csak az érintettel szemben áll fenn, sőt csak és kizárólag akkor jogszerű. Nézzünk egy teljesen hétköznapi példát, mint amilyen a leletkiadás. Az adatkezelőnek kötelessége a beteg számára kiadni a leletet, de mielőtt ezt megtenné, meg kell győződnie az átvevő személyazonosságáról. Ha az átvevő nem az érintett személy vagy annak a jogi képviselője, akkor a lelet csak abban az esetben adható ki, ha az átvevő rendelkezik hivatalos meghatalmazással.

A rendelet 18. cikkelye, mely az érintett adatkezelés korlátozásához való jogát írja le, így fogalmaz:
„Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést…”
Ennek értelmében az állampolgároknak lehetőségük van szabályozni, hogy az egészségügyben keletkezett és rájuk vonatkozó információkhoz kik és milyen mértékben férjenek hozzá.
Erről egy korábbi bejegyzésben már részletesen írtunk.

Lehetnek azonban olyan helyzetek, amikor az érintett a korábban megadott korlátozásokat fel kívánja oldani. Természetesen erre is van lehetőség, csak megfelelően kell dokumentálni az ilyen eseteket. A sürgősségi adatlekérések használatához az alábbi nyilatkozatot kell a betegnek vagy jogi képviselőjének kitöltenie.

Az egészségügy egy olyan speciális terület, ahol különösen fontos lenne a szakmai szervezetnek nagyobb részt vállalni a jogszabályok gyakorlatba való átültetésében.
A rendelet 40. cikkelye így fogalmaz:
A tagállamok, a felügyeleti hatóságok, a Testület és a Bizottság ösztönzik olyan magatartási kódexek kidolgozását, amelyek – a különböző adatkezelő ágazatok egyedi jellemzőinek, valamint a mikro-, kis- és középvállalkozások sajátos igényeinek figyelembevételével – segítik e rendelet helyes alkalmazását.”

Szoftverfejlesztőként mi arra tudunk vállalkozni, hogy az orvosi rendelőkben kezelt adatok (a praxis pacientúrájának adatai) bizalmasságát és védelmét a rendszerünkbe épített technikai megoldásokon keresztül biztosítjuk. A NetDoktor GDPR megfeleléséről bővebben egy korábbi bejegyzésünkben olvashat.