Milyen változások várhatók az egészségügyi adatok kezelése ügyében a GDPR után egy évvel?

Az Országgyűlés 2018 nyarán módosította a magyar adatvédelmi törvényt olyan módon, hogy az kimondja: az Európai Parlament 2016/679. számú Általános Adatvédelmi Rendeletét kell alkalmazni minden olyan adatkezelésre, amelyre az kiterjed (és nem a magyar adatvédelmi törvényt). Ez a módosítás 2018. július 26-án lépett hatályba. Az alábbiakban összefoglalom, hogy mi történt azóta (2019. március 23.)

Ismeretes, hogy Magyarországon kb. 700 jogszabály tartalmaz az Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés c) pontja szerinti jogi kötelezettségen alapuló adatkezelést. Az egészségügyben majdnem száz jogszabály található, amelyben különösen szenzitív személyes adatok kötelező gyűjtése és továbbítása található. Ezek a jogszabályok privilegizált hatalmi csoportok, kutatócsoportok és vállalkozások számára biztosítanak személyes egészségügyi adatokat olyan módon, hogy elvonják a polgárok információs önrendelkezési jogát, életfogytig tartó titkos megfigyelés alá helyezik a polgárokat, cinikusan és fennhéjázó módon megtagadják tőlük alapvető jogaikat.

Minden adatvédelemmel foglalkozó szakember tudja, hogy csupán az adatvédelmi törvény módosítása nem volt elegendő, szükséges lenne a fennmaradó 700 jogszabály módosítása is olyan módon, hogy azok a módosítás után már biztosítsák az EU Általános Adatvédelmi Rendeletben (a továbbiakban GDPR-ként hivatkozunk rá) meghatározott jogokat a polgároknak. A 700 jogszabályból 2-300 törvény, tehát az Országgyűlés feladatkörébe tartozik, a többi Kormányrendelet és miniszteri rendelet. Utóbbiak módosítására a törvények módosítása után kerülhet sor. A mai napig semmilyen változás nem történt, és a helyzet az, hogy nem is várható semmilyen érdemi módosítás. Ennek a következtében az ország egy jogalkotási katasztrófa felé sodródik, a NAIH-nál feltorlódnak az elintézetlen panaszok, miert egyelőre a hatályban lévő törvények semmilyen módon nem veszik figyelembe a GDPR előírásait, alapelveit. Továbbra is folytatódik a titkos, ellenőrizhetetlen és jogorvoslat nélküli, zéró privacy, kényszerintézkedés alapú adatgyűjtés.

Az Igazságügyi Minisztérium 2018 szeptemberében készített egy Salátatörvény javaslatot, amely 2018. október 1-jén megjelent a Kormany.hu oldalon. Ez lenne hivatott a harmóniát megteremteni a magyar jog és a GDPR között. A terveztt módosítások kb. hetven fontosabb törvényre terjednek ki. A listában szerepel az egészségügyi és a hozzájuk tartozó személyes adatok kezelésére és védelmére vonatkozó 1997. évi XLVII. törvény, valamint az egészségügyről szóló 1997. évi CLIV. törvény. A tervezett módosítások csupán apróságok, a kényszer adatkezelés megszüntetéséről, a felvilágosításról és az átlátható adatkezelésről egyetlen szó sem szerepel bennük.

Végül is van négy fontosabb tervezett változás, amit azért érdemes megemlíteni:

  • Megváltozik az egészségügyi adat definciója a GDPR-nek megfelelően. Ebben már egyértelműen szerepel, hogy az egészségügyi szolgáltatások igénybevételi adata is egészségügyi adat.
  • Az elhunyt betegek adataira - nemzeti hatáskörben - a GDPR rendelkezéseit kell majd alkalmazni.
  • Az egészségügyi dokumentáció másolata első ízben ingyenes lesz a GDPR előírásainak megfelelően.
  • A korábbi belső adatvédelmi felelős helyett a GDPR szerinti adatvédelmi tisztviselőt kell kinevezni minden egészségügyi intézményben. A feladatait is a GDPR tartalmazza. Viszont megszűnik a húsz főnél több egészségügyi dolgozót foglalkoztató szervezeti egységeknél az adatvédelmi felelős kinevezésének kötelezettsége.

A tervezethez a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) készített egy véleményt 2018. október 9-i dátummal. A vélemény kifogásolta azt, hogy a magyar állam a jelenlegi törvényeivel olyan módon avatkozik be a GDPR előírásaiba, amelyre nincs jogi felhatalmazása a GDPR-ben. Az egészségügyet illetően a NAIH azt javasolta, hogy a jogi szabályozásban ma még szereplő kötelező adatgyűjtésre vonatkozó szakaszok kerüljenek törlésre. Ennek az lenne a következménye, hogy az adatgyűjtés jogalapja nem a jogi kötelezettség, hanem a közérdekű feladat végrehajtása lenne - ezzel biztosítván az érintettek jogait a tájékoztatáshoz, tiltakozáshoz, törléshez és a jogorvoslathoz.

A szerző is nyújtott be észrevételeket a Salátatörvényhez 2018. október 4-én. A legfontosabb javaslatok az alábbiak voltak:

  • A különböző adatkezelések jogalapjainak egyértelmű és világos rögzítése. Illetve annak kijelentése, hogy az országos adatgyűjtések jogalapja a közérdekű feladat végrehajtása (GDPR 6.cikk (1) e) pont).
  • A törvényben explicit módon szerepelne az előzetes tájékoztatási kötelezettség.
  • Szerepelne benne az, hogy a betegek hogyan adhatnak hozzájárulást a személyes adataik kezeléséhez.
  • Az adatmegőrzési idők csökkentése 10 évre.
  • Az EESZT adatmegőrzési idejének csökkentése szintén 10 évre (vényeknél 5 évre).
  • Az e-Profil adatainak törlése a halálról történő tudomásszerzés után azonnal.
  • Explicit és dokumentálható tájékoztatás az EESZT-ről minden polgár számára.
  • Legszűkebb nyilvánosság elve az EESZT-ben.
  • EESZT általános tiltakozási jog explicit módon beleírva a törvénybe, a tiltakozás a tudományos kutatás, kapcsolati kód képzésre is kiterjedne.
  • A rendőrség, titkosszolgálatok és a TEK kizárása az EESZT-ből.

Sajnos sem a NAIH javaslatai sem az én módosítási javaslataim nem értek célt. Az Igazságügyi Minisztérium képviselője a 2018. október 18-án megrendezett konferencián azt a nézetét fejtette ki, hogy az emlegetett 700 jogszabályban szereplő adatkezelések jogalapjának továbbra is a GDPR 6. cikk (1) bek. c) pontját tekinti mindaddig, amíg egy bíróság (EU testület) mást nem mond. Az állam által kontrollált magyar bíróságok előtt nem sok esély van arra, hogy ne így ítéljenek, ezzel az állam konkrétan szabotálja a GDPR végrehajtását.

Közben úgy tűnik folyt a NAIH és az IM között további egyeztetés. Erre utal, hogy 2019. január 21-én a NAIH egy megismételt véleményt adott a tervezett, de az Országgyűlés elé nem terjesztett Salátatörvényről. Ebben ismételten arra tett javasaltot, hogy ma kényszerintézkedéseket tartalmazó egészségügyi adatgyűjtésekre vonatkozó szakaszokat a törvényből hagyják ki, mert a GDPR nem ad rá lehetőséget, hogy a betegek jogait egyoldalúan elvonja az állam. Az IM nem volt hajlandó a javaslat elfogadására, és 2019. február 8-án az Országgyűlés elé terjesztette T/4479. számú Salátatörvény módosítását, olyan módon, hogy az továbbra is tájékoztatás, tiltakozás és jogorvoslat nélkül gyűjt egészségügyi adatokat az állam a polgárokról.

Az Országgyűlésben egyetlen ellenzéki párt sem szólalt fel az embertelen és brutális jogtiprás ellen. Senki sem nyújtott be módosító indítványt. Elvben a képviselők elfogadhatják a közeljövőben. Ha ez megtörténik, akkor az EU felé boldogan jelenti majd Magyarország, hogy már kompatibilis ország vagyunk, és módosítottuk a törvényeinket. A valóság ezzel szemben az, hogy a mérhetetlen kiszolgáltatottság, emberi jogi posvány marad továbbra is.

Dr. Alexin Zoltán