Az egészségügyi adatok kezelése

„A beteg ember először is kiszolgáltatottjává válik saját testi-lelki működésének, amelyet nem tud kontrollálni. Aztán, hogy megszabaduljon a zavartól, fájdalomtól, kiszolgáltatottjává válik annak a testületnek, amelyiktől a gyógyulást reméli.” (Losonczi Ágnes)

Az adatvédelmi jogról általában Az emberi méltóság védelmének sajátos aspektusa Az ember kiszolgáltatottságának egyik módja az információs kiszolgáltatottság Az adatvédelmi jogi problémák szinte a jog teljes spektrumát átfogják Az adatvédelmi jog válságban van? Mik a lehetséges válaszok?

Vonatkozó nemzetközi és hazai dokumentumok, jogszabályok Európa Tanács 1981-es határozata Európai Alkotmányszerződés (Lisszaboni Szerződés) Európai Emberi Jogi Charta Emberi Jogok Egyetemes Nyilatkozata Európai Unió Adatvédelmi Irányelve Alkotmány 59. § (1) bekezdés Adatvédelmi törvény - kerettörvény Szektorális szabályok

Alkotmányos védelem A személyes adatok védelméhez fűződő jog alkotmányos alapjog Alapjog korlátozását csak törvény írhatja elő Az Alkotmánybíróság értelmezése szerint a személyes adatok kezelése már önmagában jogkorlátozásnak minősül Ennek megfelelően az adatkezelésre való felhatalmazás is csak törvényi szinten képzelhető el

Alapfogalmak – személyes adat Élő, azonosítható természetes személlyel összefüggésbe hozható adat és következtetés (tehát a statisztikai adat nem!) Az azonosíthatóság mindaddig megmarad, amíg azt ésszerű ráfordítással meg lehet tenni A 29-es Munkacsoport 2007-ben fogadott el véleményt a személyes adat fogalmáról

Alapfogalmak – különleges adat Faji eredetre, nemzeti és etnikai kisebbséghez tartozásra, politikai vélemény, pártállás, vallás vagy világnézeti meggyőződésre, érdek- képviseleti tagságra vonatkozó adat Egészségügyi állapot, kóros szenvedély, szexuális élet, bűnügyi személyes adat

Egészségügyi adat fogalma az érintett testi, értelmi és lelki állapotára, kóros szenvedélyére, valamint a megbetegedés, illetve az elhalálozás körülményeire, a halál okára vonatkozó, általa vagy róla más személy által közölt, illetve az egészségügyi ellátóhálózat által észlelt, vizsgált, mért, leképzett vagy származtatott adat; továbbá az előzőekkel kapcsolatba hozható, az azokat befolyásoló mindennemű adat (pl. magatartás, környezet, foglalkozás);

Alapfogalmak – adatkezelés Személyes adatokon végzett bármely művelet Kép- és hangfelvétel, fénykép készítése személyes adatok kezelésének minősül Az adatvédelmi törvény terjedelmes, de nem kimerítő felsorolást tartalmaz A „kifecsegés”, „kikiabálás” is jogsértő (adatbiztonsági követelmény megsértése)

Adatkezelő – „aki dönt” A személyes adatokon az adatkezelési műveletek végrehajtását illetően az érdemi döntéseket az adatkezelő hozza meg → más nem hozhat érdemi döntést Fontos: a belső adatvédelmi felelős lehetőleg ne legyen az adatkezelési műveleteknek egyszersmind a végrehajtója is – pozíciója független kell, hogy legyen

Adatfeldolgozó Adatfeldolgozó igénybe vétele csak egy lehetőség (szerződés csak írásban) Mindenben az adatkezelő utasításainak megfelelően jár el a személyes adatokkal összefüggésben Önálló, érdemi döntéseket nem hozhat, de útmutatást kérhet További adatfeldolgozót nem bízhat meg

Egyéb definíciók Közérdekű adat – közfeladatot ellátó szerv vagy személy kezelésében lévő, valamint a tevékenységére vonatkozó adat, nem lehet ugyanakkor személyes adat Közérdekből nyilvános adat – olyan adat, így lehet személyes adat is, amelynek nyilvánosságra hozatalát törvény közérdekből elrendeli

Az adatkezelés lehetséges jogalapja Adatvédelmi törvény főszabálya szerint: az érintett hozzájárulása vagy törvényi (esetleg önkormányzati rendeleti) felhatalmazás lehet a jogalap A hozzájárulásnak önkéntesnek és határozottnak kell lennie amely megfelelő tájékoztatáson alapul! Különleges adat esetén a hozzájárulást írásban kell megadni Vészhelyzet esetén a hozzájárulás vélelmezett Különös hangsúlyt kap az egészségügyben a más helyett adott hozzájárulás Minden esetben érvényesülnie kell a célhoz kötöttségnek

A célhoz kötöttség A személyes adatok valamilyen feladat végrehajtásához szükségesek Ha a megvalósítandó cél törvényes, úgy annak végrehajtására személyes adatok kezelhetők, ha a jogalap megvan A célhoz kötöttségnek és az adatkezelés jogalapjának együttesen érvényesülnie kell, csak így jogszerű az adatkezelés

Mit követel az adatvédelmi jog az adatkezelőtől? Két dolgot: 1.A személyes adatokon végzett műveletek feleljenek meg a jogszabályi előírásoknak 2.A személyes adatok kezelése törvényes cél érdekében történjen Utóbbit is jogszabály írja elő, de érdemes a két követelményt külön számon tartani

Adatvédelemért felelős intézményrendszer Belső adatvédelmi felelősök Adatvédelmi biztos Hatóságok Bíróság

Belső adatvédelmi felelős helyzete és feladatai Az adatkezelőtől függetlennek kell lennie Adatkezelést érintő döntések meghozatalában részt vesz Elősegíti az érintettek jogainak gyakorlását Ellenőrzi a jogszabályok és belső szabályzatok megtartását Bejelentéseket vizsgál Adatvédelmi és adatbiztonsági szabályzatot készít Belső adatvédelmi nyilvántartást vezet Adatvédelmi ismereteket oktat Az ellátásszervező köteles külön adatvédelmi felelőst kinevezni

Az adatvédelmi biztos Ellenőrzi a jogszabályok megtartását Bejelentéseket vizsgál (főként panaszokat) Adatvédelmi nyilvántartást vezet Törvények egységes értelmezésének és alkalmazásának elősegítése (ajánlások) Jogszabály-tervezeteket véleményez Előzetes ellenőrzést végezhet Magyarországot képviseli az EU-ban Titokfelügyeletet lát el

Hatósági jogkör A klasszikus ombudsmani szereptől idegen Európai uniós harmonizációs kötelezettségünk volt ezt beépíteni Határozatban rendelheti el az adatok zárolását, törlését, megsemmisítését, külföldre továbbításának felfüggesztését Határozata bíróság előtt támadható meg

Az érintett helyzete Ő az adatkezelés alanya Hozzájárulást ad, vagy róla rendelkezik a törvény Ha ő maga kezdeményezi az eljárást, személyes adatai kezeléséhez vélelmezetten hozzájárul

Az érintett jogai Tájékoztatást kérhet személyes adatai kezeléséről A pontatlanul nyilvántartott adatok helyesbítését kérheti Adatai törlését kérheti Az adatok nem törölhetők, ha az adatkezelést jogszabály rendeli el – eü-i adatok tehát nem törölhetők, kivéve a privát jogviszonyokban Tiltakozhat személyes adatai kezelése ellen Megilleti a „meg nem ismerés joga” A belső adatvédelmi felelőshöz, vagy az adatvédelmi biztoshoz fordulhat panasszal Bírósághoz fordulhat Kártérítést követelhet

Az Eüak. törvény Igazi szektorális törvény Saját definíciókat tartalmaz Az adatvédelmi törvényhez hasonló részletezettséggel szabályoz

Sokszereplős terület Háziorvos Kezelőorvos Egészségügyi dolgozók Gyógyszertárak ÁNTSZ Társadalombiztosítás szervei Oktatási intézmények Állandó elhelyezést biztosító intézmények Központi Statisztikai Hivatal Ellátásszervező Egészségbiztosítási Felügyelet

Az adatkezelés sajátosságai Részben kötelező, részben önkéntes adatszolgáltatás Nem csak az érintettek, hanem közeli hozzátartozók is kvázi adatalanyok Bizonyos esetekben az adattovábbítás kötelező Hosszú tárolási idő

Speciális jogviszonyok Gyógyszerkísérletek Véradás, donorok Útlemondási biztosítás Háziorvosi adatbázis átadása, adatfeldolgozó felelőssége Segélyhívó vonalak rögzítése

Az érintett speciális helyzete Az adatok védettsége fokozott Mást is felhatalmazhat az adataiba való betekintésre Bizonyos helyzetekben nincs befolyása az adatok sorsára (pl. fertőző betegség) Másolatot kérhet orvosi dokumentációjáról El kell viselnie mások jelenlétét A szakember-képzés igénye „oktatási segédeszközzé” teheti

Egészségügyi adat kezelése I. Az adatkezelés célja: –az egészség megőrzésének, javításának, fenntartásának előmozdítása, –a betegellátó eredményes gyógykezelési tevékenységének elősegítése, ideértve a szakfelügyeleti tevékenységet is, –az érintett egészségi állapotának nyomon követése, –a betegjogok érvényesítése. Adatkezelő (az egészségügyi ellátó hálózaton belül az egészségügyi és személyazonosító adat kezelésére jogosult) –a betegellátó, –az intézményvezető, valamint –az adatvédelmi felelős, –az ellátásszervező adatelemzéssel megbízott alkalmazottja.

Egészségügyi adat kezelése II. Egészségügyi és személyazonosító adatot a fentieken túl - törvényben meghatározott esetekben – többek között az alábbi célból lehet kezelni: –az egészségügyi adatot kezelő szerv vagy személy hatósági vagy törvényességi ellenőrzését, szakmai vagy törvényességi felügyeletét végző szervezetek munkájának elősegítése, ha az ellenőrzés célja más módon nem érhető el, valamint az egészségügyi ellátásokat finanszírozó szervezetek feladatainak ellátása, –az egészségügyi ellátásokra jogosultak részére a kötelező egészségbiztosítás terhére igénybe vehető szolgáltatások rendelésének és nyújtásának, valamint a gazdaságos gyógyszer-, gyógyászati segédeszköz- és gyógyászati ellátás rendelési szabályai betartásának a vizsgálata, továbbá a külön jogszabály szerinti szerződés alapján a jogosultak részére nyújtott ellátások finanszírozása, illetve az ártámogatás elszámolása, –bűnüldözés, továbbá a rendőrségről szóló törvényben meghatározott feladatok ellátására kapott felhatalmazás körében bűnmegelőzés, –a nemzetbiztonsági szolgálatokról szóló törvényben meghatározott feladatok ellátása, az abban kapott felhatalmazás körében, –közigazgatási eljárás, –szabálysértési eljárás, –ügyészségi eljárás, –bírósági eljárás, –az érintettnek nem egészségügyi intézményben történő elhelyezése, gondozása,

Egészségügyi adat továbbítása ellátóhálózaton kívüli szervhez Írásbeli megkeresésre átadható: –büntetőügyben a nyomozó hatóság, az ügyészség, a bíróság, az igazságügyi orvosszakértő, polgári és közigazgatási ügyben az ügyészség, a bíróság, az igazságügyi orvosszakértő, –szabálysértési eljárás során az eljárást lefolytató szervek, –hadköteles személy esetén az illetékes jegyző, a hadkiegészítő parancsnokság, illetve a katonai egészségügyi alkalmasságot megállapító bizottság, –a nemzetbiztonsági szolgálatok, a nemzetbiztonsági szolgálatokról szóló törvényben meghatározott feladatok ellátása érdekében, az abban kapott felhatalmazás körében. A megkeresésben az adatkezelés pontos célját és a kért adatok körét meg kell jelölni! Az egészségügyi ellátóhálózaton kívüli intézmény, illetve szerv vagy személy a feladatai ellátásához szükséges mértékben és a törvényben meghatározott célból kezelhet egészségügyi és személyazonosító adatot.

Az egészségbiztosítás hatósági felügyelete Célja: az egészségbiztosítás törvényes, zavartalan és magas színvonalú működésének biztosítása, a biztosítottak érdekeinek védelme, az egészségbiztosítási befizetések jogszerű, gondos és hatékony felhasználásának előmozdítása.

Ellenőrzési joga kiterjed az egészségbiztosítási szolgáltatást igénybe vevők jogainak védelmével kapcsolatban, az egészségbiztosítók, továbbá az egészségbiztosítási szolgáltatást nyújtók szakmailag, minőségileg, a törvényeknek és a szolgáltatást igénybe vevők érdekeinek megfelelő működése ellenőrzésére, az egészségbiztosítási szolgáltatások - beleértve a gyógyszer- és gyógyászati segédeszköz-ellátást, valamint a gyógyászati ellátást is - teljesítésének ellenőrzésére

Az ellenőrzés alkotmányos alapja 87/2008. (VI. 18.) AB határozat: Az egészségbiztosítási felügyeleti hatósági ellenőrzés jogosult adatokat, iratokat másolható formában kötelező rendelkezésére bocsátani, adathordozóról másolatot készíthet, adathordozókat átvizsgálhat. Az ellenőrzésével összefüggésben az ügyfél és az ügyféllel kapcsolatba hozható személyek személyes adatait kezelheti.

Az ellenőrzés alkotmányosságának feltételei A hatósági intézkedéséket akkor lehet foganatosítani ha: valószínűsíthető a Gyftv. 14. §-ának megsértéséhez kapcsolódó adatok megléte Tehát nem lehet adatot megszerezni,ha nem áll fenn törvénysértés gyanúja! célhozkötöttség Csak az eljárás tárgyával összefüggő adat kezelhető, a készletező adatgyűjtés tilos!

Adatvédelmi nyilvántartás I. Bejelentési kötelezettség az adatkezelés megkezdése előtt: az adatkezelés célját; az adatok fajtáját és kezelésük jogalapját; az érintettek körét; az adatok forrását; a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját; az egyes adatfajták törlési határidejét; az adatkezelő, valamint az adatfeldolgozó nevét és címét (székhelyét), a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét; a belső adatvédelmi felelős nevét és elérhetőségi adatait. A jogszabályban elrendelt adatkezelést a szabályozás tárgya szerint feladatkörrel rendelkező miniszter, hatáskörrel rendelkező központi államigazgatási szerv vezetője köteles bejelenteni.

Adatvédelmi nyilvántartás II. Nem kell bejelenteni az adatvédelmi nyilvántartásba azt az adatkezelést, amely az egészségügyi ellátásban kezelt személy betegségére, egészségi állapotára vonatkozó személyes adatokat tartalmaz, gyógykezelés vagy az egészség megőrzése, társadalombiztosítási igény érvényesítése céljából; a hatósági, az ügyészségi és a bírósági eljárás által érintett személyeknek az eljárás lefolytatásával kapcsolatos személyes adatait tartalmazza; Az adatvédelmi biztos a nyilvántartásba vételt megelőzően előzetes ellenőrzést végezhet új adatállomány feldolgozását vagy új adatfeldolgozási technológia alkalmazását megelőzően – többek között - országos hatósági adatállományok esetén.

Megszűnő vagy átalakuló intézmények dokumentációja a betegek információs önrendelkezési jogának érvényesülése érdekében foganatosítson intézkedést az egészségügyi dokumentáció átadásának- átvételének olyan rendszeréről, mely folyamatosan biztosítja a beteg ellátásához kapcsolódó információk megismerését annak érdekében, hogy az érintettek ellátása ne szenvedjen csorbát hozzon létre, vagy jelöljön ki a dokumentáció kezelésére országos hatáskörű intézményt készítse elő az átadandó dokumentáció kezelésére való törvényi felhatalmazásra vonatkozó szabályozás tervezetét: törvényben kell meghatározni azt az időtartamot is, ameddig visszamenőleg a feladatot átvevő intézményeknek kell az átvett feladatokhoz tartozó személyes adatokat tartalmazó dokumentációt átvenni és kezelni a meghatározott időszak elteltével is a biztonságos adatkezelés követelményének megfelelően legyen biztosítva a dokumentumok tárolása, ezért megfelelően rendszerezve és irattári segédletekkel ellátva kell átadni

Betegadatok a recepten Alkotmánybírósági döntés az orvosi vény tartalmáról: Adatkezelés jogalapja törvény vagy az érintett hozzájárulása – az Eüak. határozza meg az egészségügyi és személyazonosító adatok körét. Az ESzCsMr. határozza meg, hogy a vényen milyen adatokat kell közölni – ezek nélkül nincs gyógyszer. Az adatkezeléssel elérni kívánt célhoz szükséges adatok meghatározása tehát nem törvényi szinten történik meg.

Elektronikus egészségügyi adatfeldolgozó rendszer (EHR) 29-es Munkacsoport vizsgálta Egységes követelményrendszert fogalmazott meg, garanciákkal: –az önrendelkezés tiszteletben tartása, –a betegek és egészségügyi szakemberek azonosítása és hitelesítése, –az adatokba való betekintés, illetve beírás engedélyezése, –egyéb célú felhasználás, –szervezeti felépítés, –tárolt adatok kategóriái és megjelenítési módjai, –adatok nemzetközi cseréje, –adatbiztonság, –átláthatóság, –felelősség, –adatfeldolgozás ellenőrzési mechanizmusai.

Kamerák alkalmazása Jó felbontású képekkel az egyén azonosítható → személyes adatok kezelésére kerül sor Általános szabály: a kamera vagyonvédelmi célra használható, közvetlenül emberekre, emberi tevékenységre nem irányulhat Az ilyen módon folytatott adatkezeléshez szükséges jogalap hiányzik A vagyonőri törvény kifejezetten tiltja kamera alkalmazását a „kórházi szobában”

Köszönöm a figyelmet! dr. Péterfalvi Attila c. egyetemi tanár, hivatalvezető Országgyűlési Biztos Hivatala