Fogadjunk, hogy Ön az elmúlt két hónapban szinte nem tudott az interneten olyan helyre kattintani, ahol ne kellett volna először eltakarítania a szeme elől az erőszakosan Ön elé toluló adatkezelésről szóló tájékoztatást! Fogadjunk, hogy email fiókja is sosem hallott cégek új adatvédelmi irányelveiről szóló levelekkel van tele!
Még a csapból is a GDPR folyik.
Vagy mégsem?
Váltott már be úgy receptet egy gyógyszertárban, hogy tájékoztatták volna arról, hogy a vényen található és a felírt gyógyszerből kiolvasható személyes adatait ki, meddig, milyen célból és milyen módon kezeli? Vizsgálta meg úgy orvos, hogy előzetesen kiderült volna az Ön számára, hogy a vizsgálatból levont következtetéseket Önön kívül még ki tudja meg? Tájékoztatták Önt arról, hogy az Önre vonatkozó leletek hány kézen mennek keresztül, milyen utat járnak be és hová kerülnek?
Van egy titkos bekezdés a GDPR-ban arról, hogy az egészségügyi adatokra mégsem vonatkozik az egész felhajtás?
Ha Ön érintett, azaz az Ön egészségügyi adatait kezelik, akkor ne is olvasson tovább. Megelőlegezem a címben feltett kérdésre a választ: nincs semmiféle titkos bekezdés, a GDPR 9. cikke az egészségügyi adatot a személyes adatok különleges kategóriáiba sorolja, és kezelésükre még az általánosan szigorú feltételeknél is szigorúbbakat ír elő.
Ha van rá lehetősége, legyen tudatos és vigyázzon egészségügyi adataira!
Ha Ön bármilyen egészségügyi adatot kezelő vállalkozásnál dolgozik, akkor kérem, ne hagyja félbe ennek a cikknek az olvasását! Az érintetteknek ugyanis nagyon ritkán van lehetőségük egészségügyi adataikra vigyázni. Többnyire nincsenek döntési helyzetben, hiszen nem kényelmi szolgáltatások közül válogatnak, hanem éppen az egészségügyi helyzetük miatt sebezhetőek, kiszolgáltatottak. Önnek kell vigyáznia nem csak egészségükre, hanem erre vonatkozó adataikra, méltóságukra is.
A cikkben az egészségügyi adatok kezelésével kapcsolatos néhány alapvető dologra szeretném felhívni az ilyen adatokat kezelő vállalkozások figyelmét.
Miről lesz szó?
- az érintettek előzetes tájékoztatása
- személyes adatokhoz történő hozzáférés gyakorlata
- az adatbiztonság elvárható szintje
- GDPR megfeleléssel kapcsolatos előzetes vizsgálat
- az egészségügyi adatok kezelői
Az érintettek előzetes tájékoztatása
Teljesen világosak a GDPR elvárásai az érintettek előzetes tájékoztatásával kapcsolatban. A tájékoztatásnak tömörnek, átláthatónak, érthetőnek és könnyen hozzáférhetőnek kell lennie, megfogalmazása pedig világos és közérthető kell legyen. (Lásd: 12. cikk és (58) preambulum-bekezdés.)
Ahhoz, hogy az előzetes tájékoztatás megfeleljen az átláthatóság elvének mindezeken felül teljesnek is kell lennie, tartalmaznia kell azt is, hogy az érintett személyes adatait „hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik”. (Lásd: (39) preambulum-bekezdés.)
Szakmai kíváncsiságból rendszeresen figyelem a legnagyobb magyar vállalatok honlapjain közzétett adatvédelmi tájékoztatókat. Néha bizony az az érzésem, hogy egy másik szakma, a marketing képviselőinek kíváncsiságát jobban kielégítenék, mint az enyémet.
Világos megfogalmazású és közérthető anyagok, amiből nagyon sokat megtudni az adott adatkezelő adatvédelem iránti elkötelezettségéről, azonban semmit sem mondanak arról, hogy a cégen belül mi is történik konkrétan a személyes adataimmal. Én például nem vagyok lenyűgözve attól, hogy egy ezerötszáz munkavállalót alkalmazó biztosítótársaság királyi többesben kinyilvánítja, hogy „Társaságunk” milyen módon őrzi egészségügyi adataimat, hanem azt szeretném tudni, hogy az 1500 alkalmazottból melyik 8 foglalkozik velük és akkor lennék nyugodt, ha arról tájékoztatnának, hogy a többi 1492 alkalmazott nem láthatja azokat.
Ha az előzetes adatkezelési tájékoztató nem épít nagyon konkrétan az adott adatkezelő egyes adatkezelési folyamataira, akkor az bizony konkrétumuk híján nem felel meg a GDPR elvárásainak. A tájékoztató szövegét ugyan „kölcsön lehet venni”, de az bizony olyan lesz, mint a kölcsönvett szmoking: messziről látszik, hogy nem viselőjére lett szabva. A GDPR újdonsága éppen az, hogy megköveteli, hogy ténylegesen feltérképezésre, rögzítésre kerüljenek az egyes adatkezelési folyamatok, hogy ne mindig ugyanazokkal az üres, bár kétségtelenül jól csengő frázisokkal találkozzunk.
Személyes adatokhoz történő hozzáférés gyakorlata
Már érintettem a személyes adathoz történő vállalkozáson belüli hozzáférés kérdését. Szeretném felhívni arra a figyelmet, hogy a GDPR elvárásainak csak az a fajta munkaszervezés felel meg, amely biztosítja, hogy a személyes adatokhoz csak azok a személyek férjenek hozzá, akiknek a munkája, konkrét feladatvégzése során az szükséges. Minden vállalkozásnak minden lényeges adatkezelési folyamat vonatkozásában olyan hozzáférési rendszert kell kialakítania, amelyben pontosan szabályozottak a hozzáférési jogosultságok, illetve a korlátozások.
Ez szabályozási, informatikai és folyamatszervezési feladatokat jelent és nem csak a vállalkozás IT rendszereit, hanem a klasszikus, papíralapú adatkezelést is érinti.
Az adatbiztonság elvárható szintje
A GDPR adatbiztonsági elvárásainak teljesítéséhez jogi, technikai és szervezési intézkedéseket kell végrehajtani. (Lásd: 5. cikk (1) bek. f) pont és 32. cikk (1) bek.) A lényeg a technikai és szervezési intézkedések „megfelelő” szintje, amelyek esetében az elvárhatóság mértéke az adatkezelő anyagi lehetőségeitől is függ. Ezt a 32. cikk (1) bekezdése implicite ki is mondja.
Hol van tehát a határ a muszáj és a felesleges között? Mi az, amit még meg kell tenni, hogy ne bírságoljon a hatóság, és mi az, ami már pénzkidobás?
Erre majd – jó sokára – a magyar felügyeleti hatóság, a NAIH adhat választ, miután kialakította saját joggyakorlatát.
A GDPR 9. cikk (4) bekezdése lehetővé teszi a tagállamok számára, hogy az egészségügyi adatok kezelésére vonatkozóan további feltételeket, korlátozásokat tartsanak hatályban vagy vezessenek be. Azaz magyar jogszabályok is tartalmazhatnak majd erre vonatkozó rendelkezéseket.
Addig, amíg a hatóság joggyakorlata nem alakul ki és nem jönnek létre szektor-specifikus jogszabályok, marad a józan ész és az adatvédelemben gyakorlott szakemberek tapasztalata.
Nyilvánvaló, hogy pusztán szervezési vagy bagatell költséggel járó beruházásokat igénylő technikai intézkedések esetén nem lehet mentséget találni, az elszámoltathatóság elvét éppen ezért vezette be a rendelet. Nincs az a lágyszívű ellenőr, aki az átlagos irodai szoftverekkel megvalósítható hozzáférés-menedzsment vagy a zárható szekrények hiányát elfogadná.
Nyilván más az elvárhatósági mérték az informatikai fejlesztések esetében. Itt a védendő adatok mennyiségén és minőségén (adott esetben különleges jellegén) kívül az adatkezelő anyagi lehetőségeit is figyelembe kell venni a megfelelőség mérlegelésekor.
GDPR megfeleléssel kapcsolatos előzetes vizsgálat
A GDPR megfeleléssel kapcsolatos előzetes vizsgálat elvégeztetése minden különleges személyes adatot kezelő vállalkozás részére ajánlott. A vizsgálat során a jogi és informatikai szakemberek interjúk és dokumentumelemzés alapján felmérik a vállalkozás adatkezelési folyamatait, meghatározzák azok jogalapját és ennek alapján ajánlást tesznek az érintettek előzetes tájékoztatásának ajánlott módjára és segítenek a tájékoztatók szövegének kidolgozásában. A GDPR megfeleltetési projekt része a vállalkozásra szabott kötelezően előírt adatkezelési szabályzat és a szükséges nyilvántartások tervezeteinek elkészítése is valamint a vállalkozás informatikai rendszerének és folyamatszervezési gyakorlatának GDPR- szempontú átvilágítása.
Nem szabad elfelejteni, hogy nemcsak a vállalkozás ügyfelei, hanem munkavállalói is érintettek az adatkezelésben. Egy átlagos vállalkozás esetében több adatkezelési folyamat érintettjei a munkavállalók, mint az ügyfelek, ezért az ő előzetes tájékoztatásukat szolgáló dokumentum elkészítése is fontos része a GDPR megfeleltetési projektnek.
Ki is kezel egészségügyi adatot?
Még egy gyors pontosítás:
„Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja” (GDPR 4. cikk 7. pont)
Adatkezelő tehát az, aki az adatkezelés célját meghatározza, adatfeldolgozó pedig az, aki az adatkezelő nevében az általa meghatározott adatkezelési cél elérése érdekében személyes adatokat kezel.
A nem egészségügyi profilú vállalkozások nagy része nem kezel rendszeresen egészségügyi adatokat. Jellemzőn két módon jutnak egészségügyi adatok birtokába:
- kezelik a munkaköri alkalmassági vizsgálat eredményeit, és
- kezelik a keresőképtelenség igazolása, illetve a betegszabadság kiadása érdekében a munkavállalók által átadott egészségügyi adatokat.
A munkaköri alkalmassági vizsgálat eredménye csak nagyon korlátozott adattartalommal minősül egészségügyi adatok kezelésének, hiszen a foglalkozás-egészségügyi szolgáltatótól csak az alkalmasság ténye vonatkozásában érkezik adat, az alkalmasság megállapításához szükséges részletes egészségügyi adatok vonatkozásában a foglalkozás-egészségügyi szolgáltató minősül adatkezelőnek.
Egy átlagos vállalkozás ténylegesen csak a keresőképtelenség igazolása illetve a betegszabadság kiadása érdekében a munkavállalók által átadott egészségügyi adatok vonatkozásában minősül egészségügyi adatok kezelőjének.
A fenti két adatkezelési folyamat során kell tehát fokozottan odafigyelni a bizalmasság elvének teljesülésére.
Összefoglalás
A GDPR-nak történő megfelelés biztosítása során az egészségügyi adatok kezelését végző vállalkozások aktivitása látványosan elmarad a kereskedelmi cégek aktivitásától.
De ami késhet, nem múlhat.
Az egészségügyi adatok a személyes adatok különleges kategóriájába tartozónak és ekképp különösen védettnek minősülnek. Elkerülhetetlen, hogy amikor a – jelenleg még az egészségügyi adatok kezelését végző vállalkozásoknál is passzívabb – NAIH megkezdi érdemi ellenőrző tevékenységét, a rendszeresen egészségügyi adatot kezelő vállalkozások annak fókuszába kerüljenek.
Egészségügyi szolgáltató, gyógyszertár nem engedheti meg magának, hogy ne tegyen eleget az egészségügyi adatok kezelésére vonatkozó előzetes tájékoztatási kötelezettségének, vagy hogy ne legyen képes igazolni, hogy mindent megtett az által kezelt szenzitív adatok jogszerű, átlátható, bizalmas és biztonságos kezelése érdekében.
Az eredeti cikket a KamaraOnline oldalán lehet elolvasni!