Közel száz törvényt írtak át egy miatt

Adatvédelmi változások az egészségügyben és a gyógyszeriparban

Április végén lépett hatályba az Európai Unió adatvédelmi reformjának végrehajtása érdekében egyszerre 86 törvényt módosító 2019. évi XXXIV. törvény. Cikkünkben azokat a változásokat ismertetjük, amelyek az egészségügyben és gyógyszeriparban dolgozók számára is fontosak lehetnek.

Egészségügyi adatok

Az Európai Unió általános adatvédelmi rendelete (GDPR) az egészségügyi adatok kezelését ‒ azok érzékeny természetét figyelembe véve ‒ szigorúbb feltételekhez köti. Ugyanakkor a tagállamok számára azt is lehetővé teszi, hogy további korlátozásokat tartsanak fenn a genetikai, a biometrikus és az egészségügyi adatok kezelésére vonatkozóan. Magyarország tág körben élt is az ilyen eltérési lehetőségekkel, ami az egészségügyi adatok kezelését illeti. 2018. május 25., azaz az uniós rendelet életbelépését követően is fenntartotta az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről szóló 1997. évi XLVII. törvény (Eüak. tv.) GDPR-nál szigorúbb rendelkezéseit. A magyar jogalkotó feladata volt mindazonáltal, hogy e törvény előírásait és terminológiáját is összhangba hozza a GDPR-ral.

Lényeges módosítások történtek ezért az Eüak. tv.-ben. Egyrészt kikerült belőle az egészségügyi adat eddigi definíciója, tekintettel arra, hogy a GDPR meghatározza ezt a fogalmat is. A jövőben pedig az lesz az irányadó, azaz az egészségügyi adat „egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról”. Az egészségügyi személyes adatok közé tartoznak az érintett egészségi állapotára vonatkozó olyan adatok, amelyek információt hordoznak az érintett múltbeli, jelenlegi vagy jövőbeli testi vagy pszichikai egészségi állapotáról. Ilyenek például: a természetes személyre vonatkozó olyan személyes adatok, amelyeket az egyénnek egészségügyi szolgáltatások céljából történő nyilvántartásba vétele, vagy ilyen szolgáltatások nyújtása során gyűjtöttek, a természetes személy egészségügyi célokból történő egyéni azonosítása érdekében hozzárendelt szám, jel vagy adat, valamely testrész vagy a testet alkotó anyag – beleértve a genetikai adatokat és a biológiai mintákat is – teszteléséből vagy vizsgálatából származó információk, továbbá bármilyen, például az érintett betegségével, fogyatékosságával, betegségkockázatával, kórtörténetével, klinikai kezelésével vagy fiziológiai vagy orvosbiológiai állapotával kapcsolatos információ, függetlenül annak forrásától, legyen az például orvos vagy egyéb egészségügyi dolgozó, kórház, orvostechnikai eszköz vagy in vitro diagnosztikai teszt. Megváltozott másrészről a „személyazonosító adat” definíciója is, melynek fogalmát ‒ mivel a törvény címében is szerepel ‒ kodifikációs indokokból nem lehetett hatályon kívül helyezni.

Mivel a GDPR az elhunytakra vonatkozó adatok esetében lehetővé teszi az adatvédelmi szabályok alkalmazásának kiterjesztését, a törvénymódosítás élt ezzel a lehetőséggel és újraszabályozta az elhunytak egészségügyi adatainak kezelését is. Eszerint a halál körülményeire és okára, valamint az elhunytra vonatkozó egészségügyi dokumentációban foglalt adatok is egészségügyi adatnak számítanak. Más szóval ezekre ugyanazok a szabályok és korlátozások terjednek ki, mint az élő személyek egészségügyi adataira.

Mindemellett kikerült az Eüak. tv.-ből az a követelmény, hogy az érintett (a beteg) írásos formában kell, hogy hozzájáruljon az egészségügyi adatai kezeléséhez. Ez azért jelentett szigorú követelményt, mivel a Polgári Törvénykönyv értelmében egy jognyilatkozat csak akkor tekinthető írásosnak, ha azt a nyilatkozó fél aláírta, vagy ha annak közlésére a jognyilatkozatban foglalt tartalom változatlan visszaidézésére, a nyilatkozattevő személyének és a nyilatkozat megtétele időpontjának azonosítására alkalmas formában került sor. Ez utóbbi követelménnyel kapcsolatosan jelenleg is vitatott a joggyakorlat alapján [vö. Új Ptk. Tanácsadó Testület – A jognyilatkozat írásbeliségének követelményei a Ptk. 6:7.§ (3) bekezdésének az alkalmazásában], hogy az írásos jognyilatkozatnak milyen követelményeknek szükséges megfelelnie, amely rendelkezés értelmezését jogbizonytalanság övezi. A törvénymódosításnál fogva immár elég, ha a hozzájárulás önkéntes, egyértelműen kifejezi az érintett akaratát, és „hitelt érdemlően bizonyító módon” igazolja a nyilatkozat megtételét. A jogszabály nem határozza meg a hitelt érdemlő bizonyíthatóság fogalmát, azonban lényegesen enyhébb feltételeket szab a jognyilatkozat igazolására, mint a Ptk. 6:7.§ (3) bekezdése, ami a nyilatkozat valóságát, a nyilatkozó és a nyilatkozat időpontjának azonosíthatóságát is az írásbeli elismerés feltételeként szabja.

Végül, módosultak az adatvédelmi tisztviselőre (a korábbi adatvédelmi felelősre) vonatkozó szabályok is. Ezekkel kapcsolatban már csak a GDPR normáit lehet és szabad követni. Valamennyi egészségügyi intézmény köteles adatvédelmi tisztviselőt kijelölni (több intézménynek lehet közös tisztviselője), bár annak kijelölése a korábbihoz képest jóval megengedőbb szabályok alapján történhet. Az adatvédelmi tisztviselőnek nem kell meghatározott végzettséggel vagy képesítéssel rendelkeznie; egyedül a szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a GDPR szerinti feladatok ellátására való alkalmasság a mérvadó.

Genetikai adatok

Mivel a GDPR rögzíti a genetikai adat fogalmát, ezért a humángenetikai törvényből (2008. évi XXI. törvény) deregulációra került a genetikai adat eddigi fogalma, és felváltotta azt az általános adatvédelmi rendelet szerinti meghatározás. E definíció alapján genetikai adat „egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered„. E törvény alkalmazásában a humángenetikai vizsgálat és a humángenetikai kutatás céljából kezelhetőek a genetikai adatok, amelyek a GDPR 9. cikk (4) bekezdése hatálya alá tartozó tagállami korlátozásnak minősülnek.

Munkaügy

A munka törvénykönyve tartalmaz egy új fejezetet a munkavállaló személyes adatainak kezeléséről.

A korábbi szabályokkal megegyezik az az előírás, hogy a munkáltató a munkavállalótól olyan személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy a munka-törvénykönyvéből származó igény érvényesítése szempontjából lényeges. Pontosít azonban a törvény abban, hogy a munkáltató e célból csak okirat bemutatását követelheti ‒ azaz külön jogszabályi engedély nélkül nem másolhatja le vagy őrizheti meg a bemutatott okiratot.

A módosítás feljogosítja a munkáltatót, hogy biometrikus úton azonosítsa a munkavállalót, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy törvényben védett jelentős érdek súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna. Ez a rendelkezés felhatalmazást ad arra, hogy olyan kutatóintézetekben, ahol kémiai vagy biológiai természetű veszélyes anyagokat kezelnek, a munkáltató biometrikus beléptetőrendszert üzemeltethessen. Emellett a munkáltatók kezelhetik a munkavállalóik és az álláspályázók bűnügyi személyes adatát is, ha az a munkáltató jelentős vagyoni érdeke vagy törvény által védett titok védelme végett, vagy lőfegyver, lőszer, robbanóanyag, mérgező vagy veszélyes vegyi vagy biológiai anyagok vagy nukleáris anyagok őrzésével összefüggésben szükséges.

Jelentős új tilalom a munka törvénykönyvében, hogy eltérő megállapodás hiányában a munkavállaló a céges számítástechnikai eszközt magáncélra nem használhatja.

Fotó: 123rf.com

Reklám és marketing

A reklámozás és a marketing szabályai nagyrészt változatlanok maradtak. Az elektronikus és postai úton keresztül történő közvetlen üzletszerzés terén megmaradt az az általános előírás, hogy a természetes személyeknek címzett, közvetlen üzletszerzés célját szolgáló tevékenységekhez kifejezett hozzájárulás szükséges. Ennek megfelelően a reklámozóknak főszabály szerint továbbra is minden címzett kifejezett hozzájárulását meg kell szerezniük az ilyen kommunikációhoz (történjen az elektronikusan vagy postai úton), B2B és B2C esetekben is. Megmaradt az a szabály, amely a postai úton legalább ötszáz (500) természetes személy címzettnek egyszerre megküldött, (a címzett nevét, címét és a további, az üzenet vagy üzenetek természetét meg nem változtató módosításokat leszámítva) azonos reklámüzeneteket tartalmazó „címzett reklámküldeményekre” vonatkozik. Emellett a jog továbbra sem engedi meg, hogy ha egy reklámozó egy termékkel vagy szolgáltatással összefüggésben szerezte meg a címzett elérhetőségét, akkor az elérhetőségi adatokat direkt marketing kommunikációra használja fel. E célra általános jelleggel továbbra is a címzett hozzájárulása marad a követelmény. Ez a megközelítés a GDPR koncepciójától eltérőnek tűnik, amely szerint közvetlen üzletszerzési tevékenység a reklámozó jogos érdeke alapján is folytatható.

Nincs még vége

A magyar jogszabályok GDPR-hoz igazításának szükségessége mindazonáltal még mindig nem fejeződött be, tekintettel arra, hogy rendeleti szinten még mindig találhatóak olyan előírások, melyek nincsenek összhangban a GDPR és a törvénymódosítás rendelkezéseivel, ezért a közeljövőben jelentős rendeleti szintű jogszabály-módosításokra lehet számítani.

© Baker Mckenzie Budapest
Bereczki Tamás, Liber Ádám, Budai Mihály