Intézmények:Szegedi Tudományegyetem TTIK Szoftverfejlesztés Tanszék
Évfolyam: XVI. évfolyam
Lapszám:2017. / 10
Hónap:november-december
Oldal:51-56
Terjedelem:6
Rovat:INFOKOMMUNIKÁCIÓ
Alrovat:ADATBIZTONSÁG
Absztrakt:
Az Európai Parlament és a Tanács 2016/679. számú Általános Adatvédelmi Rendeletét (ÁAR) 2018. május 25- től kezdődően kell teljes körűen alkalmazni a tagállamokban, egyúttal hatályát veszti a korábbi, 95/46/EK számú adatvédelmi irányelv. A hátralévő fél évben harmonizálni kellene a magyar adatvédelmi szabályozást – elsősorban az 1997. évi XLVII. törvényt – az ÁAR rendelkezéseivel. A szerző eljuttatta a javaslatait az Igazságügyi Minisztérium és az Emberi Erősforrások Minisztériuma számára, de úgy látszik mintha a magyar állam még nem döntötte volna el, hogy valóban át akarja-e alakítani a jogi szabályozást az ÁAR-nek megfelelően. Ebben az írásában a szerző ismerteti a javaslatának fontosabb pontjait és igyekszik megvilágítani azok hátterét.
Angol absztrakt:
Legislative tasks in the health sector with regard to the GDPR entering into force. The General Data Protec - tion Regulation (GDPR) no. 2016/679 of the European Parliament and of the Council shall be applied from 25 May 2018 in all member states, and the currently effective Directive 95/46/EC will be repealed on that day. In the forthcoming half year, the Hungarian data protection regulation, primarily the Act XLVII of 1997 has to be harmonised with the regulations of the GDPR. The author has sent his proposals to the Ministry of Justice and to the Ministry of Human Capacities, but it seems that the Hungarian state has not decided yet whether it wants truly to remodel the legal system according to the GDPR. The main issues of these proposals and their back - ground are detailed and explained in this article.
Intézmény: Szegedi Tudományegyetem TTIK Szoftverfejlesztés Tanszék
[1] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (Általános Adatvédelmi Rendelet), Az Európai Unió Hivatalos Lapja, 2016. május 5. L 119, http://eur-lex. europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX: 32016R0679&from=HU (letöltve: 2017. október 27-én)
[2] Az Igazságügyi Minisztérium előterjesztése az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény jogharmonizációs célú mó - dosításáról, 2017. augusztus 30, http://www.kormany. hu/hu/dok?page=3&source=5&type=302#!Document Browse (letöltve: 2017. október 27-én)
[3] Act of August 29, 1997 on the Protection of Personal Data, Journal of Laws of October 29, 1997, No. 133, item 883, with amendments until 2006, http://www.giodo.gov.pl/data /filemanager_en/61.pdf (letöltve: 2017. október 27-én)
[4] Law No. 677/2001 on the Protection of Individuals with Regard to the Processing of Personal Data and the Free Movement of Such Data, http://www.dataprotection. ro/servlet/ViewDocument?id=174 (letöltve: 2017. október 27-én)
[5] Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról, http://eur-lex.europa.eu/ LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:hu: HTML (letöltve: 2017. október 27-én)
[6] Mayer-Schönberger V: Generational Development of Data Protection in Europe, in Technology and Privacy: The New Landscape, (eds.) Agre, Phillip E. and Marc Rotenberg, pp. 219-242, ISBN: 978-0262511018, Cambridge, MA, MIT Press (1998).
[7] Alexin, Z.: Hungary's unorthodox approach to personal privacy, Health and Technology, Special Issue on Privacy and Security of Medical Information, DOI: 10.1007/s12553-017-0181-7, Springer Verlag (2017).
[8] Alkotmánybíróság 15/1991. (IV. 13.) számú határozata, http://public.mkab.hu/dev/dontesek.nsf/0/DD1D697448 9E3975C1257ADA00529D49?OpenDocument (letöltve: 2017. október 27-én)
[9] Alexin Zoltán: Levél az Alaptörvény Előkészítő Eseti Bizottság számára, 2010. október 12-én, http://www.parlament. hu/biz39/aeb/info/az.pdf (letöltve: 2017. október 27-én)
[10] Az Európai Unió Bíróságának C-468/10 és a C-469/10 számú egyesített ügyben hozott ítélete, http://curia. europa.eu/juris/liste.jsf?language=hu&jur=C,T,F&num=C- 468/10&td=ALL (letöltve: 2017. október 27-én)
[11] Az Alkotmánybíróság előtt fekvő IV/02689/2012 számú ügy, http://public.mkab.hu/dev/dontesek.nsf/0/79286 6880FF8D445C1257ADA00524DA6?OpenDocument
[12] France E: Use and Disclosure of Health Data, (az Egyesült Királyság adatvédelmi biztosának tájékoztatója), http://cryptome.org/use-and-disclosure-of-healthdata. pdf (letöltve: 2017. október 27-én)
[13] Pia Mifsud Bonnici J: Exploring the non-absolute nature of the right to data protection, International Review of Law Com - puters and Technology, Vol. 28. No 2. pp. 131-143 (2014).
[14] A 29. cikk alapján létrehozott adatvédelmi munkacsoport: Munkadokumentum az elektronikus egészségügyi nyilvántartásban (EHR) tárolt, egészségi állapotra vonatkozó személyes adatok feldolgozásáról, 2007. február 15-én, WP 131, http://ec.europa.eu/justice/policies/privacy/ docs/wpdocs/2007/wp131_hu.pdf (letöltve: 2017. október 27-én)
A cikket sikeresen a könyvepolcára helyeztük!
Tisztelt Felhasználónk!
A cikket a könyvespolcára helyeztük. A későbbiekben
bármikor elérheti a cikket a könyvespolcán található listáról.
A cikk megtekintéséhez onine regisztráció szükséges!
Tisztelt Látogató!
Az Ön által megtekinteni kívánt cikk az IMEONLINE cikkadatbázisához tartozik, melynek olvasása online regisztrációhoz kötött.
A regisztrálást követően fogja tudni megtekinteni a cikk tartalmát!
A megadott cikk nem elérhető!
Tisztelt Felhasználónk!
Az Ön által megtekinteni kívánt cikk nem elérhető a rendszerben!
A megadott cikk nem elérhető!
Tisztelt Felhasználónk!
Az Ön által megtekinteni kívánt cikk nem elérhető a rendszerben!
Sikeresen szavazott a cikkre!
Tisztelt Felhasználónk!
Köszönjük a szavazatát!
A szavazás nem sikerült!
Tisztelt Felhasználónk!
Ön már szavazott az adott cikkre!
Cikk megtekintése
Tisztelt Felhasználónk!
A cikk több nyelven is elérhető! Kérjük, adja meg, hogy melyik nyelven kívánja megtekinteni az adott cikket!
Cikk megtekintésének megerősítése!
Tisztelt Felhasználónk!
Az Ön által megtekintetni kívánt cikk tartalma fizetős szolgáltatás.
A megtekinteni kívánt cikket automatikusan hozzáadjuk a könyvespolcához!
A cikket bármikor elérheti a könyvespolcok menüpontról is!
INFOKOMMUNIKÁCIÓ ADATBIZTONSÁG Jogalkotási feladatok az egészségügyben az Európai Unió Általános Adatvédelmi Rendeletének hatályba lépésére tekintettel Dr. Alexin Zoltán, Szegedi Tudományegyetem, Természettudományi és Informatikai Kar, Szoftverfejlesztés Tanszék Az Európai Parlament és a Tanács 2016/679. számú Általános Adatvédelmi Rendeletét (ÁAR) 2018. május 25től kezdődően kell teljes körűen alkalmazni a tagállamokban, egyúttal hatályát veszti a korábbi, 95/46/EK számú adatvédelmi irányelv. A hátralévő fél évben harmonizálni kellene a magyar adatvédelmi szabályozást – elsősorban az 1997. évi XLVII. törvényt – az ÁAR rendelkezéseivel. A szerző eljuttatta a javaslatait az Igazságügyi Minisztérium és az Emberi Erősforrások Minisztériuma számára, de úgy látszik mintha a magyar állam még nem döntötte volna el, hogy valóban át akarja-e alakítani a jogi szabályozást az ÁAR-nek megfelelően. Ebben az írásában a szerző ismerteti a javaslatának fontosabb pontjait és igyekszik megvilágítani azok hátterét. Legislative tasks in the health sector with regard to the GDPR entering into force. The General Data Protection Regulation (GDPR) no. 2016/679 of the European Parliament and of the Council shall be applied from 25 May 2018 in all member states, and the currently effective Directive 95/46/EC will be repealed on that day. In the forthcoming half year, the Hungarian data protection regulation, primarily the Act XLVII of 1997 has to be harmonised with the regulations of the GDPR. The author has sent his proposals to the Ministry of Justice and to the Ministry of Human Capacities, but it seems that the Hungarian state has not decided yet whether it wants truly to remodel the legal system according to the GDPR. The main issues of these proposals and their background are detailed and explained in this article. tervezet ugyanakkor figyelmen kívül hagyta azt a tényt, hogy az Infotv.-en kívül számos jogszabály, több mint 700 másik törvény és rendelet szabályozza a személyes adatok védelmét, amelyek esetében ugyancsak szükséges lenne a jogharmonizációs célú módosítás. A mai napig az Alkotmánybíróság elfogadta azt, hogy az általános adatvédelmi törvényben biztosított jogokat egy speciális törvény megnyirbálhatja (korlátozhatja) a jogtudományban jól ismert lex specialis derogat lex generalis elv alapján. Az ÁAR hatályba lépésével azonban az történne, hogy a magyar állam 700 másik jogszabállyal írja felül annak rendelkezéseit. Ez biztosan nem elfogadható megoldás. A társadalmi véleményezés során beküldött észrevételekben ennek az adatvédelmi szakma hangot is adott. A szerző 2017 júniusában eljuttatott egy javaslatot az Igazságügyi Minisztérium számára, amelyben javaslatokat fogalmazott meg Az egészségügyi és a hozzájuk tartozó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (Eüak jogharmonizációs célú módosításával kapcsolatban. Talán ennek is köszönhető, hogy a szektoriális adatvédelmi törvények közül egyedül az Eüak volt az, amely esetében az EMMI készített egy előterjesztést, és ennek egy korlátozott társadalmi véleményezésére sor is került. Ez azt jelenti, hogy a kormany.hu weboldalon még nem tették nyilvánossá, de a tervezetet elküldték az magyar egyetemeknek véleményezésre. A szerző ismét benyújtotta a korábbival egyező javaslatait arra vonatkozóan, hogy miként lehetne az ÁAR rendelkezéseivel összhangba hozni a magyar szabályozást. MIBEN TÉR EL A MAGYAR ADATVÉDELMI JOG AZ EURÓPAI ELVEKTŐL? BEVEZETÉS Az Európai Parlament és az Európai Tanács 2016/679. számú Általános Adatvédelmi Rendeletét ÁAR) tavaly, 2016ban fogadta el az Európai Parlament. A rendelet szövege megjelent az Európai Unió Hivatalos Lapjában [1] és hatályba lépett 2016. május 25-én. Az Európai Unió minden hivatalos nyelvén, így magyar nyelven is rendelkezésre áll, nyilvánosan elérhető. A tagállamok két évet kaptak arra, hogy felkészüljenek a rendelet teljes körű alkalmazására, amelyre jövőre, 2018. május 25-én 0:00 órától kerül sor. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek (röviden Infotv.) az ÁAR hatályba lépése miatt szükséges módosításaival kapcsolatos előterjesztését az Igazságügyi Minisztérium 2017. augusztus 30-án nyilvánosságra hozta a kormany.hu weboldalon [2]. A IME – INTERDISZCIPLINÁRIS MAGYAR EGÉSZSÉGÜGY Összehasonlítva az Európai Unió tagállamainak és Magyarországnak az adatvédelmi jogrendszerét, azt tapasztaljuk, hogy jelentős eltérések vannak a nyugat-európai országokkal, de akár csak Lengyelországgal [3] vagy Romániával [4] összehasonlítva is. A jelenleg hatályos, európai 95/46/EK számú adatvédelmi irányelvvel [5] összehasonlítva ugyanezt tapasztaljuk. A fő különbség röviden abban foglalható össze, hogy az adatvédelmi jogi ügyek Magyarországon nem kerülhetnek rendes bíróság elé, mert az állam mesterségesen egy elkülönített jogi szférát hozott létre, amely kívül esik a szokásos polgári jogi normák területén, és itt autokratikus módon, senkitől nem háborgatva rendelkezik az állampolgárok személyes adatával. A magyar jogban az állami szféra minden adatkezelését törvény írja elő (sokszor még egyes magántársaságokét is), amely esetekben nincs helye jogorvoslat- XVI. ÉVFOLYAM 10. SZÁM 2017. NOVEMBER-DECEMBER 51 INFOKOMMUNIKÁCIÓ ADATBIZTONSÁG nak, bírósági eljárásnak. Következésképpen a polgári törvénykönyvnek a társadalmi minimumra vonatkozó elvárásai, sem pedig az adatvédelem általános alapelvei nem kérhetők számon. A másodlagos törvények akadálytalanul leronthatják azokat. Mayer-Schönberger széles körben ismert tanulmányában [6] feldolgozta a nyugat-európai országok adatvédelmi törvényeit és vizsgálta a jogi szabályozás fejlődését az elmúlt évtizedekben. Evolúciós szempontból a törvények négy generációját különböztette meg. Az első, legkorábbi generáció, amely a 70-es évekre volt jellemző, legfontosabb tulajdonságai közé tartozott, hogy az adatok feldolgozása néhány nagy állami számítóközpontban történt, és ezért ezek működését és az érintettek jogait egy törvény szabályozta. Az adatkezelést a nagy adatközpontokban törvény szabályozta és az kötelező volt. A második generációs törvények újítása volt, hogy a hozzájárulást is elfogadták az adatkezelés jogalapjaként, amikor nem volt kötelező törvényi előírás az adatkezelésre. Ahogyan a számítógépek széles körben elérhetővé váltak a közigazgatásban, az iparban, sőt a legkisebb vállalkozásokban is, a szabályozás átterelődött az érintettek jogainak megerősítésére, és természetesen a jogorvoslat lehetőségének biztosítására. A harmadik generációs adatvédelmi törvényekre már az volt a jellemző, hogy a személyes adatok védelméhez való jog alkotmányos alapjog lett, bírói védelemmel. A magyar jogi helyzet meglehetősen érdekes, mert a személyes adatok védelméhez való alapjog nagyon hamar, 1989-ben bekerült az Alkotmányba [7], az Alkotmánybíróság 15/1991-es határozatában [8] megerősítette az állampolgárok információs önrendelkezési jogát. A határozat a német alkotmánybíróságnak egy korábbi, 1983-as a népszámlással kapcsolatos ítéletén alapult (Volkszählungsurteil). Véleményem szerint a magyar Alkotmánybíróság anélkül vette át ezt a határozatot, hogy megértette volna a lényegét, ezért később már nem is volt hajlandó következetesen alkalmazni a saját korábbi határozatát. A magyar állam az elmúlt évtizedekben a polgárok információs önrendelkezés alapvető jogát sosem ismerte el, nem mondott le az első generációs, ma már primitívnek tekinthető szabályozási eszközről, és létrehozott nagyjából 700 jogszabályt, amely szándéka szerint az állami szféra (sőt a szolgáltatások) minden lehetséges adatkezelését törvénnyel rendeli el, bírósági kontrol nélkül. Ez a szabályozási mód az egészségügyre is jellemző. Mintegy tíz törvényben és száz körüli számú rendeletben fordul elő személyes egészségügyi adatok – a 2008. évi XXI. törvény (a humángenetikai törvény) kivételével – kötelező, jogorvoslati lehetőség nélküli kezelése. A bírósági kontrol lehetővé tétele a személyes adatok kezelésével kapcsolatos ügyekben a 95/46/EK adatvédelmi irányelv [5] egyik legfontosabb, logikus újítása volt, amit a magyar állam a mai napig nem értett meg, és nem is valósított meg. A szerző 2010-ben az Alaptörvény Előkészítő Eseti Bizottsághoz fordult [9] annak érdekében, hogy vissza lehessen szerezni a társadalmi kontrollt a személyes adatok, azon belül is a személyes egészségügyi adatok felett. A végül elfo- 52 IME – INTERDISZCIPLINÁRIS MAGYAR EGÉSZSÉGÜGY gadott Alaptörvény azonban nem vette figyelembe ezeket a javaslatokat, sőt az Alaptörvényt azzal a koncepcióval készítették el – szándékosan kihagyva belőle a nemzetközi egyezmények, mint például az Emberi Jogok Európai Egyezményének vonatkozó sorait – hogy a személyes adataik feletti kontrollt a polgárok az Alkotmánybíróságon se szerezhessék vissza. A polgároktól azt a jogot is elvették az Alkotmánybíróságról szóló 2011. évi CLI. törvényben, hogy nemzetközi szerződés megsértésére hivatkozva fordulhassanak az Alkotmánybírósághoz. A 32. § (2) bekezdés szerint erre kizárólag az alapvető jogok biztosa, a legfőbb ügyész, a Kúria elnöke, a Kormány vagy a képviselők negyede lett jogosult. Az ÁAR bevezetése Magyarországon a személyes adatok feletti kontrollért folytatott szabadságharcnak is tekinthető, amelynek az állam a végsőkig próbál ellenállni. A JOGALAPOK RENDELTETÉSSZERŰ HASZNÁLATA Az ÁAR 6. cikkének (1) bekezdése [1] tartalmazza azokat a jogalapokat, amelyekre hivatkozva lehet személyes adatokat kezelni. Ezek a jogalapok nem változtak meg, a 95/46/EK irányelv 7. cikke [5] pontosan ugyanezeket a jogalapokat tartalmazta. A jogalapok teszik lehetővé azt, hogy a polgárok a számukra sérelmes adatkezelés ellen tiltakozhassanak, és amennyiben az adatkezelő nem fogadja el a tiltakozást, akkor a felek bírósághoz fordulhassanak döntésért. Az ÁAR 6. cikk (1) bekezdése a következő jogalapokat tartalmazza: 6. cikk (1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül: a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez; b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges; e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges; f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. A magyar Infotv. a fenti hat jogalap közül a b), és az e) pontokat nem tartalmazza, az f) pont alkalmazását pedig akkor engedi meg, ha a hozzájárulás beszerzése lehetetlen, vagy aránytalan erőfeszítéssel járna (lásd. Infotv. 6. § (1) XVI. ÉVFOLYAM 10. SZÁM 2017. NOVEMBER-DECEMBER INFOKOMMUNIKÁCIÓ ADATBIZTONSÁG bekezdése). A jogos érdek fenti szabályozása az ún. GSV (Google Street View) módosítás, amelyre az Egyesült Államok kormánya kérte fel Magyarországot 2011-ben, amely eleget is tett a kérésnek. Így vált lehetővé a Google Street View működése. Az ÁAR-nek (vagy a 95/46/EK irányelvnek) megfelelő jogalapok hiánya számos esetben akadálya a cégek működésének, ugyanis minden adatkezeléshez hozzájárulást kellene kérniük a dolgozóiktól, vásárlóiktól, partnereiktől. A jogalapok hiánya az állam működését is rendkívül lelassítja, a kezelhetetlen jogszabálytömeg, ezek folyamatos javítgatása majd a módosítások parlament elé vitele megbénít sok ígéretes fejlesztést. Az új Munka Törvénykönyvéről szóló 2012. évi I. törvény lehetővé tette a munkavállalók adatainak arányos, célhoz kötött kezelését, vagyis tulajdonképpen bevezette az Infotv. ellenében a jogos érdeken alapuló adatkezelést. Ez azonban csak tovább növelte a zűrzavart az adatkezelések jogalapjainak tekintetében, és továbbra sincs válasz arra a kérdésre, hogy amikor az (egészségügyi) szolgáltatók jogos érdekük alapján az ügyfeleik személyes adatát dolgoznák fel pl. pénzügyi, minőségbiztosítási, belső ellenőrzési, vagy más jogos célokból, akkor azt hogyan tehetik meg. Az ÁAR (és korábban a 95/46/EK irányelv) az e) jogalapot, a közérdekű feladat végrehajtását a közigazgatás számára hozta létre. Ez nem azonos a c) jogalappal, amely esetében egy törvény rendeli el a kötelező adatkezelést. A kettő között fontos különbség az, hogy a c) esetben nincs jogorvoslat (tiltakozási lehetőség), míg az e) esetben természetesen van. A magyar jogban kizárólag csak a c) jogalap létezik, és ezt alkalmazzák minden esetben. Az Európai Unió országaiban azonban egyértelmű, hogy a közintézmények és hatóságok közérdekű adatkezelése nem esik kívül a szokásos polgári jog szféráján. A kötelező adatkezelést kizárólag a bűnmegelőzés, bűnüldözés, honvédelem, nemzetbiztonság és katasztrófaelhárítás, vagy harmadik személyek életfontosságú érdekeinek megvédésére használják, ahogyan az az Emberi Jogok Európai Egyezményében is áll. Az Európai Unió Bírósága 2011. november 24-én hozott határozatot (C-468/10, és a C-469/10 számú ügyekben) [10], amelynek a lényege, hogy a 95/46/EK irányelvben szereplő f) jogalapot (jogos érdek) a tagállamok kötelesek egy az egyben, az irányelvben megadott szövegnek megfelelően, egyéb korlátozások nélkül megvalósítani. A szerző azonnal kezdeményezte az Alkotmánybíróságnál az Eüak. felülvizsgálatát a jogalapok szempontjából a fenti ítéletre alapozva [11]. Az ügy a mai napig a fiókban hever, az Alkotmánybíróság nem hozott semmilyen döntést az ügyben. A szerző az Alapvető Jogok Biztosához is fordult az Infotv. felülvizsgálata ügyében 2012-ben, amit a biztos elutasított (4293/2012. számú ügy). Nem volt hajlandó kiállni a polgárok alapvető jogainak védelme érdekében. A jogalapok az ÁAR rendelkezéseinek megfelelően a jövő évben biztosan meg fognak jelenni a magyar jogban. IME – INTERDISZCIPLINÁRIS MAGYAR EGÉSZSÉGÜGY A JOGALKOTÁSSAL KAPCSOLATOS FELADATOK A következőkben ismertetem az IM és az EMMI számára benyújtott javaslatom fontosabb elemeit. Az adatkezelések jogalapjának meghatározása Az ÁAR elvárja, hogy minden egyes adatkezelés esetén az adatkezelő meghatározza az adatkezelés jogalapját, és ez jelenjen meg minden tájékoztatóban, továbbá, ha jogszabály írja le az adatkezelés folyamatát, akkor a jogszabály ezt foglalja magába. Az egészségügyben is el kell végezni ezt a besorolást. Az ÁAR megadja a lehetséges jogalapokat a 9. cikk (2) bekezdés h) és i) pontjában, amely a különleges adatok, azon belül pedig az egészségügyi adatok kezeléséről szól. A h) pont szerint a személyes egészségügyi adatokat fel lehet használni az érintett személy gyógykezelésére, vagy a munkavégző képességének meghatározására, továbbá szociális rendszerek működtetésére – alapvetően az érintettek önrendelkezése, azaz hozzájárulása alapján. Az i) pont további lehetséges adatkezeléseket enged meg közérdekből, azaz a 6. cikk (1) bekezdés e) pont alapján, pl. népegészségügyi monitorozás, társadalombiztosítási rendszer működtetése, a szolgáltatások színvonalának ellenőrzése és mérése stb. célokból. Ezért javasoltam, hogy az Eüak. törvénybe kerüljön bele egy, a jogalapokra vonatkozó szakasz, a következő szövegezéssel: Eüak. 3/B. § Az e törvényben szabályozott adatkezelési tevékenységek jogalapja – eltérő rendelkezés hiányában – az ÁAR 6. cikk (1) bekezdésének e) pontja. (1) Az egészségügyi szolgáltatók saját működésük és tevékenységük, minőségbiztosítási rendszerük fenntartása érdekében végzett adatkezelésének jogalapja az ÁAR 6. cikk (1) bekezdésének f) pontja, azaz a jogos érdekük. (2) A kémiai biztonságról szóló 2000. évi XXV. törvény szerinti adatkezelés (mérgezések jelentése) jogalapja a 6. cikk (1) bekezdésének c) pontja, azzal, hogy a háztartásokban előforduló mérgezési esetek jelentése a 6. cikk (1) bekezdésének e) pontján, közérdeken alapul. (3) A 2005. évi XCV. törvény (Gyógyszertörvény) szerinti adatkezelés (mellékhatás bejelentése) jogalapja a 6. cikk (1) bekezdésének e) pontja, azaz a közérdekű feladat végrehajtása. (4) Az 1991. évi XI. törvény és az 1997. évi CLIV. törvény 56. §-a szerinti adatkezelés (a határokon át terjedő járványok elleni védekezés) jogalapja a 6. cikk (1) bekezdésének c) pontja, amennyiben a járványos megbetegedés harmadik személyek életét, testi épségét fenyegeti. Egyébként pedig a 6. cikk (1) bekezdés e) pontja, azaz a közérdekű feladat végrehajtása. (5) Az orvostudományi kutatási célú adatkezelés jogalapja a 6. cikk (1) bekezdésének a) pontja szerinti kifejezett hozzájárulás. Jogszabály adott orvosi kutatást közérdekűnek minősíthet, ebben az esetben a jogalap az adott kutatás esetében a 6. cikk (1) bekezdésének e) pontjára megváltozik. XVI. ÉVFOLYAM 10. SZÁM 2017. NOVEMBER-DECEMBER 53 INFOKOMMUNIKÁCIÓ ADATBIZTONSÁG (6) A személyes adatoknak az érintett gyógykezelése céljából történő kezelése jogalapja a 6. cikk (1) bekezdésének a) pontja szerinti hozzájárulás. (7) A társadalombiztosítási támogatások elszámolása, folyósítása és a pénzügyi támogatások ellenőrzésének a jogalapja a 6. cikk (1) bekezdésének e) pontja. (8) A jogszabály – alkalmassági vizsgálatok esetében – megkövetelheti törvényben meghatározott személyes egészségügyi adatok kötelező átadását (vagy továbbítását) abban az esetben, ha az adatra az alkalmasság megállapítása, vagy harmadik személyek életfontosságú érdekében, testi épségük megóvása érdekében feltétlenül szükséges. Ekkor az adatkezelés jogalapja a 6. cikk (1) bekezdésének c) pontja. (9) A Népegészségügyi Regiszterek és az Implantátum regiszterek működésének jogalapja a 6. cikk (1) bekezdésének e) pontja. (10) Az EESZT működésének jogalapja a 6. cikk (1) bekezdésének e) pontja. (11) Törvényben meghatározott egészségügyi adatok kezelésére sor kerülhet az ÁAR 6. cikk (1) bekezdésének c) pontja szerint, ha arra bűncselekmények felderítése, üldözése, megelőzése és igazságszolgáltatási, továbbá nemeztbiztonsági vagy honvédelmi célokból feltétlenül szükség van. A fentiek szerint nem lenne lehetőség arra, hogy jogorvoslat nélküli kényszerintézkedés alapon kerüljön sor személyes adatok állami kezelésére. Kivétel az, amikor harmadik személyek életfontosságú érdekében kerülne sor kötelező adatkezelésre. Ekkor elfogadható. Az ÁAR 6. cikk (3) bekezdése lehetővé teszi, hogy közérdekű adatkezelések esetén is törvény szabályozza az adatkezelést, azonban ennek az érintettek védelméről kell szólnia, és nem akadályozhatja meg a bíróságokat abban, hogy jogvita esetén közbeléphessenek. A fenti változtatásnak mélyreható és radikális hatása kell legyen a tájékoztatáshoz és a tiltakozáshoz fűződő jogra. Egy ilyen, már működő jogi környezet képét tárja elénk E. France az Egyesült Királyság korábbi adatvédelmi biztosa 2002-ben készített adatvédelmi tájékoztatójában [12]. A tájékoztatáshoz fűződő jog Az ÁAR 13. és 14. cikke elvárja, hogy az állampolgárokat tájékoztassák minden egyes adatkezelésről, azaz tiszteletben tartsák alapvető jogaikat. A tájékoztatás akkor is kötelező, ha a polgárok adatait közérdekből kezelik, hogy ezzel lehetőséget nyújtsanak számukra a tiltakozás jogának gyakorlására. A tájékoztatásról szó van az Eüak. 7. § (3) bekezdésében, azonban a tájékoztatást a betegnek kell kérnie utólagosan, és sokszor nem megy vele sokra, mert az adattovábbítások ellen semmit sem tehet. Nincs lehetősége megőrizni orvosi adatainak bizalmasságát. A tájékoztatásnak nincs tétje, így aztán nem is veszik komolyan az egészségügyi szolgáltatók. Az új körülmények között, amikor az adatkezelés jogalapja a közérdek, már van tétje a tájékoztatás- 54 IME – INTERDISZCIPLINÁRIS MAGYAR EGÉSZSÉGÜGY nak, ugyanis a betegeknek van tiltakozási joga. A javasolt módosítás: Eüak. 7. § (3) Az érintetteket az adatkezelő köteles előzetesen tájékoztatni mindazon információkról, amelyeket az ÁAR 13. és 14. cikke előír az azokban rögzített elvek szerint. Az érintett jogosult a róla vezetett egészségügyi dokumentációba betekinteni és arról háromévente egy ízben ingyenes másolatot kérni. Minden további másolatért miniszteri rendeletben meghatározott díjat kell fizetni. Az ÁAR tartalmazza azt a jogot, hogy az érintettek ingyenesen kaphatnak másolatot meghatározott időközönként a saját adataikról, ezért ezt az EMMI tervezete is tartalmazta. A másolat az ÁAR 15. cikk (3) bekezdése alapján az érintett kérésének megfelelően elektronikus is lehet, valamilyen széles körben használt elektronikus formátumban. A tiltakozás joga Amennyiben az állampolgár nem ért egyet az adatkezelés feltételeivel, akkor saját érdekéből, speciális helyzetéből adódóan tiltakozhat az adatkezelés ellen. Erre akkor van lehetősége, amikor tájékoztatják a szándékolt adatkezelésről. A tapasztalatok alapján az emberek többsége általában nem tiltakozik, de ha igen, akkor azt figyelembe kell venni. A javasolt módosítás: Eüak. 3/C. § Amennyiben az adatkezelés jogalapja nem a 6. cikk (1) bekezdésének c) pontja, a páciensek tiltakozhatnak a személyes egészségügyi adataik kezelése ellen. (1) Országos vagy helyi népegészségügyi regiszterekbe történő adattovábbítás esetén, az egészségügyi adatokon túl nem továbbítható személyazonosító adat a nem, az életkor és a lakóhely irányítószámának első két számjegye kivételével, ha az adattovábbítás ellen az érintett tiltakozott. Ha az érintett így sem fogadja el az adatkezelést, akkor az adatvédelmi hatósághoz vagy bírósághoz fordulhat. (2) Kapcsolati kóddal, azaz álnevesítetten történő adattovábbítás ellen is benyújtható tiltakozás, amely esetben az adatok kizárólag kapcsolati kód (álnév) nélkül továbbíthatók, az (1) bekezdés figyelembe vételével. (3) A társadalombiztosítási és más egészségügyi hatóságok által igazgatási és ellenőrzési tevékenységükhöz szükséges adatkezeléssel szemben benyújtott tiltakozás elutasítása esetén jogorvoslati eljárásnak van helye. (4) Az érintett tiltakozása esetén az EESZT-be nem továbbítható személyes egészségügyi adat. A parttalan tiltakozások ellen úgy lehet védekezni, hogy a magyar adatvédelmi hatóság kialakítja álláspontját arra nézve, hogy mi lenne az a mérték, amely még elfogadható közérdekből történő adatkezelésként. Az ilyen adatkezeléseknek tiszteletben kell tartania az orvosi titoktartás követelményét, és közérdekből semmilyen állami hatóság sem kötelezheti a szolgáltatókat arra, hogy a betegekről szenzitív személyes adatokat adjanak át anélkül, hogy a betegeknek ne lenne erről tudomása és ne lenne jogorvoslati lehetősége. XVI. ÉVFOLYAM 10. SZÁM 2017. NOVEMBER-DECEMBER INFOKOMMUNIKÁCIÓ ADATBIZTONSÁG Fontos megjegyezni, hogy a közérdekből, vagy akár jogos érdekből történő adatkezelés esetén a bíróság dönthet úgy, hogy a szándékolt adatkezelésre szükség van, és az egyéni jogok korlátozásának elfogadható mértékét ez nem haladja meg. Bonnici cikkében felsorol néhány ilyen esetet az Európai Unió Bíróságának döntéseiből [13] Mindenesetre, az biztos, hogy a mostani egyoldalú egészségügyi adatgyűjtés nem állja ki a szükségesség és arányosság próbáját. Itt látható annak hátránya, hogy míg Nyugat-Európában már harminc éves bírósági esetjog és joggyakorlat áll rendelkezésre adatvédelmi ügyekben, addig Magyarországon csak majd ezután lesz lehetőség egyáltalán adatvédelmi pereket indítani. Az EESZT működése Az Európai Bizottság 2007-ben már készített egy jogi elemzést az országos hatáskörű, elektronikus egészségügyi betegrekordot tároló számítógépes rendszerek működéséről. [14] A jogalapok korábban ismertetett céljának ismeretében egy európai tagállamban elképzelhetetlen az, hogy egy ilyen rendszer kényszerintézkedés alapján, a 6. cikk (1) bekezdésének c) pontjára alapozva működjön. Más országokban működik hasonló rendszerekben a jogalap az érintett hozzájárulásával: pl. Svájc, Ausztria, Németország, Franciaország, illetve vannak olyan államok, ahol a közérdek a működés alapja, de itt is van joga a polgároknak tiltakozni a személyes adataik feltöltése ellen (pl. Egyesült Királyság). Az életmentő adatokat elkülönítve tárolják, és sürgős szükség esetén is, csak ezekhez férnek hozzá az orvosok. Az adatmegőrzés időtartama – abban az esetben, ha az érintett bármikor törölhet adatokat – tarthat az érintett haláláig és nem tovább. Amennyiben a már bekerült adatok nem törölhetők, akkor a megőrzés szokásos ideje 10 év (pl. Ausztria). A vények esetében a francia DMP rendszer 3 hónapig tárolja azokat, az Egyesült Királyságban 1 évig, Ausztriában 1 hónapig tárolják ezeket az adatokat, amit az érintett meghosszabbíthat tetszése szerint. ÖSSZEFOGLALÁS Az ÁAR hatályba lépése Magyarországon valószínűleg drámai következményekkel fog járni, aminek az az oka, hogy a magyar állam a 95/46/EK adatvédelmi irányelv megvalósítása érdekében sem tett lépéseket. Ahogyan az Európai Unió előre jelezte, az érintettek jogai jelentősen erősödni fognak. Az egészségügyben meg kell barátkozni azzal, hogy számon kérhetők lesznek a polgári jogból ismert szükségesség és arányosság elvei. A rendkívül hosszú, 30-50 éves adatmegőrzési idő például biztosan nem elégíti ki a szükségesség és az arányosság követelményét. A hatósági ellenőrzéseket sem lehet majd a betegek tudta nélkül lefolytatni úgy, hogy abban a betegek félként ne vennének részt, és ne gyakorolhatnák a jogaikat. A betegeket sokkal több esetben kell majd tájékoztatni, és lesz lehetőségük érdemben beleszólni az adatkezelésekbe. Így megnövekedhet a panaszok száma az adatvédelmi hatóságnál, továbbá peres eljárások is indulhatnak, ha marad a betegek titoktartáshoz való jogát figyelmen kívül hagyó, jelenlegi szemlélet. IRODALOMJEGYZÉK [1] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (Általános Adatvédelmi Rendelet), Az Európai Unió Hivatalos Lapja, 2016. május 5. L 119, http://eur-lex. europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX: 32016R0679&from=HU (letöltve: 2017. október 27-én) [2] Az Igazságügyi Minisztérium előterjesztése az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény jogharmonizációs célú módosításáról, 2017. augusztus 30, http://www.kormany. hu/hu/dok?page=3&source=5&type=302#!Document Browse (letöltve: 2017. október 27-én) [3] Act of August 29, 1997 on the Protection of Personal Data, Journal of Laws of October 29, 1997, No. 133, item 883, with amendments until 2006, http://www.giodo.gov.pl/data /filemanager_en/61.pdf (letöltve: 2017. október 27-én) [4] Law No. 677/2001 on the Protection of Individuals with Regard to the Processing of Personal Data and the Free IME – INTERDISZCIPLINÁRIS MAGYAR EGÉSZSÉGÜGY [5] [6] [7] [8] Movement of Such Data, http://www.dataprotection. ro/servlet/ViewDocument?id=174 (letöltve: 2017. október 27-én) Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról, http://eur-lex.europa.eu/ LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:hu: HTML (letöltve: 2017. október 27-én) Mayer-Schönberger V: Generational Development of Data Protection in Europe, in Technology and Privacy: The New Landscape, (eds.) Agre, Phillip E. and Marc Rotenberg, pp. 219-242, ISBN: 978-0262511018, Cambridge, MA, MIT Press (1998). Alexin, Z.: Hungary's unorthodox approach to personal privacy, Health and Technology, Special Issue on Privacy and Security of Medical Information, DOI: 10.1007/s12553-017-0181-7, Springer Verlag (2017). Alkotmánybíróság 15/1991. (IV. 13.) számú határozata, http://public.mkab.hu/dev/dontesek.nsf/0/DD1D697448 9E3975C1257ADA00529D49?OpenDocument (letöltve: 2017. október 27-én) XVI. ÉVFOLYAM 10. SZÁM 2017. NOVEMBER-DECEMBER 55 INFOKOMMUNIKÁCIÓ ADATBIZTONSÁG [9] Alexin Zoltán: Levél az Alaptörvény Előkészítő Eseti Bizottság számára, 2010. október 12-én, http://www.parlament.hu/biz39/aeb/info/az.pdf (letöltve: 2017. október 27-én) [10] Az Európai Unió Bíróságának C-468/10 és a C-469/10 számú egyesített ügyben hozott ítélete, http://curia. europa.eu/juris/liste.jsf?language=hu&jur=C,T,F&num=C468/10&td=ALL (letöltve: 2017. október 27-én) [11] Az Alkotmánybíróság előtt fekvő IV/02689/2012 számú ügy, http://public.mkab.hu/dev/dontesek.nsf/0/79286 6880FF8D445C1257ADA00524DA6?OpenDocument [12] France E: Use and Disclosure of Health Data, (az Egyesült Királyság adatvédelmi biztosának tájékozta- tója), http://cryptome.org/use-and-disclosure-of-healthdata.pdf (letöltve: 2017. október 27-én) [13] Pia Mifsud Bonnici J: Exploring the non-absolute nature of the right to data protection, International Review of Law Computers and Technology, Vol. 28. No 2. pp. 131-143 (2014). [14] A 29. cikk alapján létrehozott adatvédelmi munkacsoport: Munkadokumentum az elektronikus egészségügyi nyilvántartásban (EHR) tárolt, egészségi állapotra vonatkozó személyes adatok feldolgozásáról, 2007. február 15-én, WP 131, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp131_hu.pdf (letöltve: 2017. október 27-én) A SZERZŐ BEMUTATÁSA Dr. Alexin Zoltán, PhD matematikus, doktori fokozatát 2004-ben szerezte tanuló algoritmusok szövegfeldolgozásra történő alkalmazásáról írt értekezésével. A SZOTE-PACS rendszer tervezése volt első orvosi informatikai feladata 1995-ben. 2004-ben kezdett el egészségügyi adatvédelemmel foglalkozni. Több alkotmánybírósági és más polgári peres eljárást indított az egészségügyi adatkezelés jogi alapjainak tisztázása érdekében. 2009-től a Dél-alföldi Regionális Kutatásetikai Bizottság tagja. 2009 és 2010 között közös adatvédelmi kutatásokat folytatott a University of Central Lancashire, Centre for Law, Information and Converging Technologies intézettel. 20122013-ban a FutureICT.hu TÁMOP project adatvédelmi alprojektjének vezetője. A COST IC1206 (De-identification for privacy purposes in multimedia content) FP7 projektben a menedzsment tanács magyar tagja, a jogi és etikai munkacsoport vezetője volt. 2017-től a VICTORIA SEC-12-FCT2016 H2020 projekt adatvédelmi tanácsadó testületének tagja. Balog Zoltán miniszteri és szakmai díjakat adott át c. dijjazottak névsorának folytatása az 50. oldalról Dr. Sárosi Tamás, a Békés Megyei Kormányhivatal Népegészségügyi Főosztály főosztályvezetője, Szabó Istvánné, a Soproni Gyógyközpont Belgyógyászat – Kardiológiai Osztályának főnővére. Az egészségügy területén végzett magas színvonalú szakmai munkájáért Miniszteri Elismerő Oklevélben részesült: Dudásné Szalai Ildikó Mariann, a Jász-Nagykun-Szolnok Megyei Kormányhivatal családtámogatási felülvizsgálati ügyintézője, Kajári Gáborné, a Békés Megyei Központi Kórház Dr. Réthy Pál Tagkórház Fül-Orr -Gégészeti osztály vezető ápolója, Kaló Istvánné, a Jász-Nagykun-Szolnok Megyei Kormányhivatal szakügyintézője, Dr. Kilár Ferenc, a Pécsi Tudományegyetem Általános Orvostudományi Kar, Bioanalitikai Intézet egyetemi tanára, Komáromi Mónika, a Jász-Nagykun-Szolnok Megyei Kormányhivatal Népegészségügyi Főosztálya Közegészségügyi Osztályának osztályvezetője, Kramcsák Mónika Erika, a Borsod-Abaúj-Zemplén Megyei Központi Kórház és Egyetemi Oktatókórház, Gyermeksebészeti, Traumatológiai és Égési Osztály vezető ápolója, Lakatos Tibor, az Országos Korányi TBC és Pulmonológiai Intézet Műszertechnikai Részleg csoportvezetője, Ludman István, a Debreceni Egyetem Klinikai Központ Betegdokumentációs és Klinikafinanszírozási Osztály osztályvezetője, Mecseki Nikoletta, a XIII. kerületi Egészségügyi Szolgálat vezető főnővére, Nagy Márta, az Országos Korányi TBC és Pulmonológiai Intézet titkárságvezetője, Románné Csörnyei Orsolya, a Pécsi Tudományegyetem Klinikai Központ Idegsebészeti Klinika ápolásszakmai igazgatóhelyettese, Dr. Simon Attila, a surdi Háziorvosi Szolgálat háziorvosa, Zelnik Krisztina, az Albert Schweitzer Kórház-Rendelőintézet irodavezetője, Dr. Pethő Gábor, a Pécsi Tudományegyetem Általános Orvostudományi Kar egyetemi tanára. Az egészségügy területén végzett példaértékű szakmai munkája elismeréseként Miniszteri Elismerő Oklevélben részesült: a Békés Megyei Központi Kórház Dr. Réthy Pál Tagkórház Központi Műtő kollektívája, a Pécsi Tudományegyetem Klinikai Központ Aneszteziológiai és Intenzív Terápiás Intézet, Janus Pannonius Klinikai Tömb Intenzív Osztály szakdolgozói közössége. Budapest, 2017. november 9. 56 IME – INTERDISZCIPLINÁRIS MAGYAR EGÉSZSÉGÜGY XVI. ÉVFOLYAM 10. SZÁM 2017. NOVEMBER-DECEMBER
