Az ördög meztelen

Kettős nyomás alá kerülnek péntektől a hazai egészségügyi intézmények, mert a pénteken életbe lépő uniós adatvédelmi rend mellett az adatkezeléssel kapcsolatos magyar jogszabályok is hatályban maradnak.

Mint ördögöt a falra, úgy festették fel az előadók a május 25-én életbelépő európai adatkezelési irányelveket az egészségügyi menedzserek IME infokommunikációs konferenciáján. Ám a szakértők szavaiból az is kiderült: hiába a szigorítások komoly fenyegetése, a rendelkezés egyelőre „meztelen”. Se a magyarországi speciális szabályok nem készültek el, se az ellenőrző hatóságot nem jelölte ki a törvényhozás.

Szabályozási dömping

A magyar állam ma mintegy hétszáz különböző jogszabályban írja elő, hogy a hivatalok hogyan kezelhetik a polgárok adatait, s ezek ellen az érintetteknek ma nincs is tiltakozási illetve jogorvoslati lehetőségük. A péntektől valamennyi uniós államra kötelező új szabály, az Általános Európai Adatvédelmi Rendelet (GDPR) egyebek mellett az ilyen megfellebbezhetetlen adatgyűjtés ellen védi a polgárokat. Csakhogy ez a védelem nem csupán az állam, hanem a vállalkozások, társadalmi szervezetek, egyházak és magánszemélyek által kezelt személyes adatokra is vonatkozik.

A leírt jogok közül talán a leglényegesebb a személyes adatok törléséhez (elfeledtetéséhez) való jog. Eszerint a jövőben bárki töröltetheti személyes adatait a kötelező gyűjtésekre épülő nyilvántartásokból is, visszaélés gyanúja esetén pedig bírósághoz fordulhat jogorvoslatért – derült ki a szakmai fórumon.

Mindez meglehetősen kusza helyzetet teremthet a hazai intézményrendszerben, köztük az egészségügyben is. Az uniós szabály életbe lépése után - mivel a rendelet hazai adaptálása nem történt meg - az adatkezeléssel kapcsolatos magyar jogszabályok is hatályban maradnak.

Az egészségügyi intézményeknek is ez okozhatja a legtöbb fejfájást – jelezte Nagy István, az Országos Kardiológiai Intézet Informatikai osztályvezetője a rendezvényen. A szakember szerint ugyanis a kórházakban, rendelőkben működő informatikai rendszerekben a törlés definiálva sincs, sőt, az alkalmazása eddig kifejezetten tilos volt. Ha pedig valaki ezt kérné, úgy a beteggel kapcsolatos valamennyi archivált anyagot elő kellene szedni, és az adatbázisokból is törölni az összes személyes adatát. Ez a művelet időben és munkában is aránytalan terhet róhat a szervezetre.

Arról, hogy pontosan milyen feladatai lennének az GDPR bevezetése okán a hazai egészségügyi intézményeknek, Alexin Zoltán adatvédelmi szakértő, a Szegedi Egyetem adjunktusa beszélt. Jelezte: az új uniós jogszabály alkalmazásához a törvényhozóknak már módosítaniuk kellett volna az Infotörvényt, ám ez még most sincs a parlament előtt. Például e jogszabály hatalmazhatná fel a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH) a GDPR végrehajtásának ellenőrzésére, s a bírságolásra. Ma mintegy 700 jogszabály tartalmaz rendelkezéseket a személyes adatokról, 10 törvény és csaknem 100 rendelet ír elő kötelező egészségügyi adatkezelést, ezek harmonizációjáról – éppen a jogszabálymódosítás hiányában - semmit sem tudunk. Annak ellenére sem, hogy a GDPR szerint megszűnik az eddig jogalapként alkalmazott kötelező adatkezelés.

A szakértő példaként idézte, hogy az Országgyűlés 2015-ben törvényt alkotott az EESZT (Elektronikus Egészségügyi Szolgáltatási Tér) működésének feltételeiről. E rendszerbe minden egyes közfinanszírozott egészségügyi ellátó intézmény köteles a nála, egészségügyi ellátás közben keletkezett vényeket és ellátási dokumentumokat feltölteni. Az EESZT tízmillió magyar állampolgár legérzékenyebb adatait tartalmazza és teszi elérhetővé a magyar állam számára. Az adatfeltöltés kényszerintézkedés, az állampolgárok ez ellen nem tiltakozhatnak, nincs módjuk jogorvoslatra sem. Az érintett az adatkezelésről nem kap tájékoztatást, a törvény a betegekre hárítja az illetéktelen adatbetekintés esetén is a bizonyítás terhét. Bárkiről teljes, élethosszig tartó egészségügyi profil nyerhető a gyógyító és egészségügyi államigazgatási szervek számára. Akadálytalan hozzáférése van a rendszerhez a rendőrségnek, az igazságszolgáltatásnak, a titkosszolgálatoknak is. Ez súlyosan sérti a magánszféra sérthetetlenségére vonatkozó jogállami elvárásokat és a személyes adatok védelméhez fűződő alapvető jogot.

Alexin Zoltán egyébként az erre vonatkozó aggályai miatt az Alkotmánybírósághoz fordult.

A konferencián szintén előadó Szabó Bálint, az Állami Egészségügyi Központ főosztályvezetője, az EESZT védelmében elmondta: a rendszer a hatályos adatvédelmi szabályoknak megfelel. S úgy alakították ki, hogy a jogszabályváltozásoknak megfelelően lehet módosítani. Így a GDPR hazai adaptálására is van lehetőség. Például a betegeknek hamarosan már lesz lehetőségük arról nyilatkozni, hogy az EESZT születése előtti öt év ellátási dokumentumait visszamenőleg föltölthetik-e a róla gyűjtött egészségügyi adatok közé.