Ügyintéző: Elmondható, hogy a háziorvosi tevékenység tekintetében mindhárom esetkör vizsgálatának helye van.

Hasonló dokumentumok
Ügyszám: (NAIH/2017/6175/V.) [ ] részére. Tisztelt [ ]!

Ügyiratszám: NAIH/2018/2444/2/V Ügyintéző: [ ] részére. Tisztelt [ ]!

A fentiekre és a beadványában foglaltakra tekintettel a Hatóság az alábbiakra hívja fel a szíves figyelmét.

Ügyszám: NAIH/2019/1073. [ ] részére. Tisztelt [ ]!

Az általános adatvédelmi rendelet vonatkozó rendelkezései alapján a személyes adatok 2

biometrikus adatainak biometrikus adat genetikai adatainak

Ügyszám: NAIH/2018/2466/2/K Ügyintéző: [ ] Tisztelt [ ]!

A személyes adatok védelmére vonatkozóan alkalmazandó előírások

Érintett minden olyan természetes személy, akinek személyes adatait valaki tárolja és kezeli.

Iromány száma: T/335. Benyújtás dátuma: :48. Parlex azonosító: W838KPW50003

WP243 MELLÉKLET - GYAKRAN ISMÉTELT KÉRDÉSEK

ELŐTERJESZTÉS. Alsóörs Község Önkormányzata Képviselő-testületének december 06 -i soron következő nyílt ülésére

ADATKEZELÉSI TÁJÉKOZTATÓ. a Debreceni Egyetem Klinikai Központja által végzett egészségügyi és a kapcsolódó személyazonosító adatok kezeléséről

INT-13 ADATVÉDELMI SZABÁLYZAT. (4. kiadás 1. módosítása) Módosítások

Adatkezelési tájékoztató

ADATVÉDELMI- ÉS KEZELÉSI SZABÁLYZAT május 25.

Bodorkós Ferenc polgármester. Dr. Görög István jegyző. Rendelettervezet Előzetes hatásvizsgálati lap

A következők szerint tájékoztatni kívánom a GDPR alapvető rendelkezéseiről, melyek ismerete minden területi kamara számára is különösen indokolt:

törvényi rendelkezésen

PLATINUM TRAVEL SOLUTIONS KFT. ADATVÉDELMI INCIDENS BEJELENTÉSÉRE VONATKOZÓ ELJÁRÁSI REND. Érvényes: napjától

Adatkezelési tájékoztató a DE Kancellária VIR Központ által végzett adatkezelésekről

GDPR bevezetés tapasztalatai. a Társaság intézeteiben

BEVEZETÉS, ELŐZMÉNYEK

Antidotum in nuce, a GDPR felkészülési készlet. Tőzsér Zoltán CISA, CSM, MCP

I. Országgyűlés Nemzeti Adatvédelmi és Információszabadság Hatóság

Adatkezelési tájékoztató

SZOCIÁLIS ÉS EGÉSZSÉGÜGYI BIZOTTSÁGI ELŐTERJESZTÉS

Az uniós adatvédelmi előírások hatása a bölcsődei adminisztrációra. Előadó: Dr. Jójárt Ágnes Szilvia ügyvéd

ADATVÉDELMI TÁJÉKOZTATÓ. OTP TRAVEL KFT Budapest, Nádor u. 21.

EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE

A fentiekre és a beadványában foglaltakra tekintettel a Hatóság az alábbiakra hívja fel a szíves figyelmét.

/2018 I. TÉNYÁLLÁS

Balatonakarattya Község Önkormányzat Polgármester

Bevezetés Az alapjogok korlátozásának általános szabályai... 5

Euronet Magyarország Informatika Zrt. ADATVÉDELMI TÁJÉKOZTATÓ

1. A Szerencsejáték Zrt., mint adatkezelő adatai

e-post Hungary Szolgáltató Kft. ADATVÉDELMI TÁJÉKOZTATÓ

Pampress Natural adatvédelmi tájékoztató

Tartalomjegyzék - Mellékletek jegyzéke. Prémium KKV csomag

1. fejezet Általános rendelkezések

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

PETŐFIBÁNYAI POLGÁRMESTERI HIVATAL. ADATKEZELÉSI TÁJÉKOZTATÓ személyes adatok kezeléséről

Ügyszám: NAIH/2015/1563/2/V Ügyintéző: dr. Osztopáni Krisztián. részére. Tisztelt Asszonyom!

AZ ADATFELDOLGOZÁSI TEVÉKENYSÉG ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEI

IRÁNYMUTATÁSOK A MÁSODIK PÉNZFORGALMI IRÁNYELV SZERINTI SZAKMAI FELELŐSSÉGBIZTOSÍTÁSRÓL EBA/GL/2017/08 12/09/2017. Iránymutatások

Egyéni vállalkozó orvosok/egészségügyi dolgozók alkalmassági vizsgálata

I. Országgyűlés Nemzeti Adatvédelmi és Információszabadság Hatóság

Tisztelt Nemzeti Adatvédelmi és Információszabadság Hatóság!

SZOCIÁLIS ÉS EGÉSZSÉGÜGYI BIZOTTSÁGI ELŐTERJESZTÉS

ELŐTERJESZTÉS Herend Város Önkormányzat Képviselő-testületének november 28-i nyílt ülésére

Az egészségügyi tevékenység végzésének speciális jogi formái I. A működési engedélyhez nem kötött jogi lehetőségek 1

AZ ADATFELDOLGOZÁSI TEVÉKENYSÉG ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEI KÖNYVELŐIRODÁK RÉSZÉRE

Milyen változásokat hoz a GDPR a szervezetek és vállalkozások életébe? A JOGÁSZ MEGKÖZELÍTÉSÉBEN

2000. évi II. törvény. az önálló orvosi tevékenységről 1

Daganatos.hu Alapítvány (a továbbiakban: adatkezelő) Jelentkező adatvédelmi szabályzat és tájékoztató

ADATKEZELÉSI TÁJÉKOZTATÓ

A 29. CIKK SZERINTI ADATVÉDELMI MUNKACSOPORT

Az adatvédelmi rendelet marketinget érintő legfontosabb elemei. dr. Osztopáni Krisztián

I. TÉNYÁLLÁS. A Kérelmező az alábbi kérdéseket tette fel:

ADATKEZELÉSI SZABÁLYZAT AZ EGYESÜLETI TAGOK NYILVÁNTARTÁSA VONATKOZÁSÁBAN. HATÁLYA: január 1.

Az adatvédelem új rendje

II. Az Adatvédelmi tv. 1. -ának 4.a) pontja határozza meg az adatkezelés fogalmát:

Ügyszám: NAIH/2019/3406/2 Hiv. sz.: AJB-1641/2019. Dr. Székely László részére Alapvető Jogok Biztosa. Alapvető Jogok Biztosának Hivatala

HEVES MEGYEI KORMÁNYHIVATAL

ADATKEZELÉSI TÁJÉKOZTATÓ A VOLT ANYÁK NAPI FACEBOOK-OS JÁTÉKBAN VALÓ RÉSZVÉTELHEZ

A hulladékgazdálkodási közszolgáltatók, alvállalkozók adatvédelmi kötelezettségeinek teljesítése az Egységes Európai Adatvédelmi Rendelet

Jász-Nagykun-Szolnok Megyei Kormányhivatal

A MAGYAR TURISZTIKAI ÜGYNÖKSÉG ZRT. (az MTÜ - PARTNER BÁZISRA vonatkozóan)

Pázmány Law Working Papers 2016/27

A GDPR elmúlt egy éve

FELADAT-ELLÁTÁSI SZERZŐDÉS (1. számú módosítása egységes szerkezetben)

ADATVÉDELMI TÁJÉKOZTATÓ. A fóti Élhető Jövő Park látogatásának szervezéséhez és megvalósulásához kapcsolódó adatkezelésről

Egészségügyi dolgozók munkaköri alkalmassági véleményezésének jogszabályi háttere

ELŐTERJESZTÉSE. A Képviselő-testület október 26-i ülésére

Sárvíz Kistérségi Járóbeteg Szakellátó és Egészségügyi Szolgáltató Közhasznú Nonprofit Kft. Adatkezelési tájékoztató

RENDELETTERVEZET. Enying Város Önkormányzata Képviselő-testületének /2015. (XII..) önkormányzati rendelete A kötelező adatkezelés szabályairól

A tervezet előterjesztője

ADATFELDOLGOZÓI KÓDEX

Digitális könyvelő GDPR.1. Könyvelés jövője - avagy a digitális könyvelő 2.0 előadás dr. Báldy Péter június 26.

Kerekegyháza Város Önkormányzat Képviselő-testületének szeptember 30-i rendes ülésére

ELŐTERJESZTÉS. Kérem a tisztelt képviselő-testületet a rendelet-tervezet megtárgyalására és annak elfogadására.

VASAS-PASARÉT ALAPÍTVÁNY TÁJÉKOZTATÁS ADOMÁNYOZÓ ADATKEZELÉSÉRŐL

Felkészülés az Európai Unió általános adatvédelmi rendeletének alkalmazására

TÁJÉKOZTATÓ SZEMÉLYES ADATOK KEZELÉSÉRŐL

ADATKEZELÉSI TÁJÉKOZTATÓ személyes adatok kezeléséről

ELŐTERJESZTÉS a Képviselő-testület március 26-án tartandó ülésére

1. Az utasítás hatálya

11. Napirendi pont EL TERJESZTÉS

ADATKEZELÉSI SZABÁLYZAT A VARGA+SONS WEBOLDALALÁN KAPCSOLATFELVÉTEL SORÁN MEGADOTT ADATOK VONATKOZÁSÁBAN HATÁLYA: MÁJUS 25.

ADATVÉDELMI TÁJÉKOZTATÓ

Személyes adatok kezelésére vonatkozó információk. A Rendelet 13. cikke szerinti információk és kiegészítő információk

A 14. oldalon a (71) preambulumbekezdés ötödik és hatodik mondatában:

ÖNÉLETRAJZOK KEZELÉSÉRE VONATKOZÓ ADATKEZELÉSI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ AZ ÉRINTETT TERMÉSZETES SZEMÉLY JOGAIRÓL SZEMÉLYES ADATAI KEZELÉSE VONATKOZÁSÁBAN TARTALOMJEGYZÉK

ELTEC HOLDING KFT. ADATKEZELÉSI TÁJÉKOZTATÓ

Simontornya Város Önkormányzata Képviselő-testülete

WE CARE. WE DARE. WE EXCEL. SEGÉDLET. az EU adatvédelmi rendeletének alkalmazására való felkészüléshez

ADATKEZELÉSI TÁJÉKOZTATÓ

Adatvédelmi tájékoztató

Átírás:

Ügyszám: Ügyintéző: NAIH/2018/2170/2/K [ ] [ ] részére [ ] Tisztelt [ ]! A Nemzeti Adatvédelmi és Információszabadság Hatóságnak elektronikus úton küldött levelében az Európai Unió új általános adatvédelmi rendeletére (a továbbiakban: GDPR) való felkészülés érdekében azzal kapcsolatban kér tájékoztatást, hogy háziorvosoknak kötelező-e adatvédelmi tisztviselő alkalmazása, továbbá szükséges-e hatásvizsgálatot csinálniuk. Ezeket illetően először is szeretném felhívni a figyelmét arra, hogy az Adatvédelmi Irányelv 29. cikke alapján létrehozott Adatvédelmi Munkacsoport az adatvédelmi tisztviselőkkel és az adatvédelmi hatásvizsgálattal kapcsolatban is bocsátott már ki iránymutatást. Ezek a 243. és a 248. számú iránymutatások, amelyek egyébként a többi iránymutatással együtt elérhetők a Hatóság honlapjáról a következő linken: http://www.naih.hu/29-es-munkacsoport-iranymutatasai.html Tájékoztatom, hogy kérdéseivel kapcsolatos álláspont kialakítása során ezen iránymutatásokban írt szempontok is figyelembe vételre kerültek. 1./ Azt, hogy mikor kell adatvédelmi tisztviselőt alkalmazni, a GDPR 37. cikk (1) bekezdése határozza meg. Ez alapján az adatkezelőnek (adatfeldolgozónak) adatvédelmi tisztviselőt kell kijelölnie minden olyan esetben, amikor: a) az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat; b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé; c) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban. Elmondható, hogy a háziorvosi tevékenység tekintetében mindhárom esetkör vizsgálatának helye van. 2.) A 243. számú iránymutatás alapján a közhatalmi szerv vagy egyéb, közfeladatot

ellátó szerv fogalmát a nemzeti jog szerint kell meghatározni, miután arra vonatkozóan a GDPR nem tartalmaz előírást. Ezért a Hatóság álláspontja szerint először azt kell megvizsgálni, hogy a háziorvosi tevékenység ilyennek minősül-e a hazai jogban. Az Alaptörvény XX. cikk (2) bekezdése alapján az egészséghez való jog érvényesülését Magyarország az egészségügyi ellátás megszervezésével segíti elő. Ezzel kapcsolatban az Alkotmánybíróság az 54/1996. (XI. 30.) határozatában kimondta, hogy az egészséghez való jog biztosítása olyan alkotmányos állami feladatot jelent, amelyet az állam központi szervei és a helyi önkormányzati továbbá egyéb szervek rendszere révén valósít meg. Ennek keretében az állam egyebek között egészségügyi intézményhálózat működtetésére és az orvosi ellátás megszervezésére köteles. Az egészségügyről szóló 1997. évi CLIV. törvény (a továbbiakban: Eütv.) VII. Fejezete részletezi, hogy a lakosság egészségi állapotáért fennálló felelősség körében az állam milyen feladatok ellátására köteles, a 143. alapján az egészségügy megszervezésével és irányításával kapcsolatos feladatok ellátása az Országgyűlést, a Kormányt, a minisztert, az egészségügyi államigazgatási szervet, a helyi önkormányzatokat, az egészségügyi szolgáltatók további fenntartóit, az egészségbiztosítási szerveket, valamint a térségi egészségszervezési államigazgatási szervet terheli. Magyarország helyi önkormányzatairól szóló 2011. évi CLXXXIX. törvény 13. (1) bekezdésének 4. pontja és 23. (5) bekezdésének 9. pontja alapján az egészségügyi alapellátás biztosítása önkormányzati feladat, az egészségügyi alapellátásról szóló 2015. évi CXXIII. törvény (a továbbiakban. alapellátási törvény) 5. (1) bekezdés a) pontja alapján pedig a települési önkormányzat az egészségügyi alapellátás keretében egyebek mellett a háziorvosi ellátásról köteles gondoskodni. Az Eütv. 139. -a továbbá úgy rendelkezik, hogy az egészségügyi dolgozó egészségügyi szolgáltatás nyújtásával összefüggő tevékenységvégzése során, valamint az egészségügyi szolgáltatóval munkavégzésre irányuló jogviszonyban álló más személy ezen jogviszony alapján végzett, a betegellátással és a betegirányítással közvetlenül összefüggő feladatai tekintetében közfeladatot ellátó személynek minősül. Mindezekből következően a Hatóság álláspontja szerint a háziorvosi ellátás közfeladatnak minősül. 3.) A GDPR 37. cikk (1) bekezdésének a) pontja a közfeladatot ellátó szervek adatkezelésére vonatkozóan állapít meg kötelezettséget, így a Hatóság a háziorvosi tevékenységet ebből a szempontból is megvizsgálta. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 26. -a szintén tartalmazza a közfeladatot ellátó szerv vagy személy fogalmát, a Hatóság véleménye szerint azonban annak nem feleltethető meg teljes egészében a GDPR 37. cikk (1) bekezdésének a) pontjában írt fogalom, a GDPR szóhasználata ahhoz képest szűkebb értelmezést tesz csak lehetővé. 2

Az egészségügyi tevékenység végzésének egyes kérdéseiről szóló 2003. évi LXXXIV. törvény 7. (1) bekezdése értelmében a háziorvosi tevékenység végzése többféle jogviszony keretében (pl. közalkalmazotti jogviszonyban, egyéni vállalkozóként, egyéni cég vagy valamilyen társas vállalkozás tagjaként) is történhet. Ez a rendelkezés tehát az egészségügyi tevékenység végzésének jogi kereteit a természetes személy oldaláról határozza meg. Ki kell emelni, hogy a fentebb hivatkozott alapellátási törvény 8. (1) bekezdése alapján a háziorvosi tevékenységet szintén kizárólag személyesen lehet ellátni, a tevékenység folytatására való jogosultságot egyebek mellett az arra jogosító, szintén a természetes személyhez kötött szakképesítés teremti meg. Az önálló orvosi tevékenységről szóló 2000. évi II. törvény 2. (1) pontja pedig ugyancsak rögzíti, hogy a háziorvos önálló orvosi tevékenységet csak személyesen folytathat az önkormányzat által meghatározott háziorvosi körzetben. Erre figyelemmel a Hatóság nem kíván állást foglalni abban a kérdésben, hogy a háziorvosi ellátás nyújtását a hazai jogban lehetővé tevő formák közül melyik tartozik a szerv fogalmába, hanem e tekinteben azt tekinti irányadónak, hogy az orvosi tevékenység folytatása az orvos természetes személyhez kötődik. Ezt támasztja alá a 243. számú iránymutatás 2.1.1. pontja is, amely kitér arra, hogy a közjog vagy magánjog hatálya alá tartozó természetes személy is elláthat közfeladatot. Erre az esetre nézve azonban az iránymutatás nem tekinti kötelezőnek, hanem jó gyakorlatként ajánlja az adatvédelmi tisztviselő kijelölését. A fentiek alapján a Hatóság álláspontja szerint a háziorvos nem tartozik a GDPR 37. cikk (1) bekezdés a) pontjában meghatározott körbe. A háziorvosi tevékenységhez kötődően azonban ugyanezen cikk b) és c) pontjaiban írt esetekben továbbra is felmerülhet az adatvédelmi tisztviselő kijelölésének kötelezettsége, a következő pontban írtak szerint. 4.) A GDPR 37. cikk (1) bekezdésének b) és c) pontja az adatvédelmi tisztviselőkkel kapcsolatban, a 35. cikk (3) bekezdésének b) pontja pedig az adatvédelmi hatásvizsgálattal kapcsolatban tartalmazza azt a feltételt, hogy a személyes adatok kezelése nagy számban vagy nagymértékben történjen. A nagy számban vagy nagymértékben történő adatkezelések fogalmának értelmezését segíti a GDPR (91) preambulum-bekezdése, amely ugyan elsősorban az adatvédelmi hatásvizsgálathoz kapcsolódik, azonban azt a Hatóság külön definíció hiányában az adatvédelmi tisztviselőre vonatkozó szabályok alkalmazásához is irányadónak tekinti. Ezen kívül további eligazítást tartalmaz a 243. számú iránymutatás 2.1.3. pontja. A fentiek alapján nem tartozik e körbe egy adott szakorvos, egészségügyi szakember betegei egészségügyi adatainak kezelése. Ezzel szemben ha a betegek adatainak kezelése egy kórház szokásos működésének keretében történik, már e megállapítható ezen feltétel teljesülése. 3

A fentiek fényében a kérdésére utalva: ha az orvos egy kórház alkalmazottja, akkor ahogy a 243. számú iránymutatás utal is rá a kórház szokásos működése keretében végzett adatkezelés a nagymértékű vagy nagy számban történő adatkezelés fogalmába tartozik, amelyre figyelemmel az adatkezelő kórház köteles lesz adatvédelmi tisztviselőt alkalmazni. Ha pedig az orvos a saját betegeinek adatait kezeli, akkor ha egyéb kötelező feltétel nem teljesül nem köteles adatvédelmi tisztviselőt alkalmazni. Ha az orvos más minőségben jár el, például gyógyászati segédeszközök kereskedelmével foglalkozik, akkor a nem saját betegeire vonatkozó különleges adatok tekintetében feltehetőleg köteles lesz adatvédelmi tisztviselő alkalmazására, ha a fő tevékenységei ilyen adatok kezelését nagy számban foglalják magukban. Ezt tehát minden esetben a konkrét ügy körülményei döntik el. A 243. számú iránymutatás ezzel kapcsolatban azt ajánlja, hogy az adatkezelők dokumentálják a figyelembe vett tényezőket, belső elemzést annak érdekében, hogy a későbbiek során igazolhatók legyenek az adatvédelmi tisztviselő szükségességéről szóló döntés szempontjai. 5./ Az adatvédelmi tisztviselő alkalmazásával kapcsolatban szeretném még felhívni a szíves figyelmét az adatvédelmi tisztviselői feladatok független ellátására vonatkozó követelményre. A GDPR 37. cikk (6) bekezdése lehetővé teszi, hogy az adatvédelmi tisztviselő a feladatait szolgáltatási szerződéses jogviszony mellett az adatkezelő (adatfeldolgozó) alkalmazottjaként is elláthassa. Ez utóbbi esetben a rendelet megengedi azt is, hogy az adatvédelmi tisztviselő más feladatokat is ellásson, az adatkezelőnek (adatfeldolgozónak) azonban biztosítania kell, hogy a további feladatokból ne fakadjon összeférhetetlenség. Az összeférhetetlenség értelmezésével részletesen foglalkozik a 243. számú iránymutatás 3.5. pontja, amely ennek eldöntéséhez fő irányzékul azt határozza meg, hogy az adatvédelmi tisztviselő nem tölthet be olyan pozíciót, amelynek keretében ő határozza meg a személyes adatok kezelésének céljait és eszközeit. Az adatvédelmi tisztviselő jogállását továbbá a 38. cikk (3) bekezdésével összhangban úgy kell kialakítani, hogy e feladatai ellátásával kapcsolatban utsításokat senkitől se fogadhasson el. A (97) preambulumbekezdés ezt kiegészíti azzal, hogy az adatvédelmi tisztviselőknek függetlenül attól, hogy az adatkezelő alkalmazásában állnak-e módjában kell, hogy álljon kötelezettségeik és feladataik független ellátása. 6./ A fentiek alapján előfordulhat, hogy a GDPR 37. cikk (1) bekezdés alapján a háziorvosnak nem kötelező az adatvédelmi tisztviselő kijelölése. A (75) preambulumbekezdés alapján kiemelt kockázatnak tekinthető egyebek mellett az egészségügyi adatok és a kiszolgáltatott személyek (különösen gyermekek) adataiank kezelése a természetes személyek jogainak és szabadságainak érintettsége szempontjából, így a Hatóság álláspontja szerint helyes gyakorlat, ha a helyi önkormányzat adatvédelmi tisztviselője rálátással bír az egészségügyi alapellátás körében felmerülő adatkezelési kockázatokra is, miután annak biztosításáért végső soron az önkormányzat felelős. 7./ A GDPR 35. cikk (1) bekezdése határozza meg, hogy az adatvédelmi 4

hatásvizsgálatot mikor kell elvégezni, a (3) bekezdés pedig példálózó felsorolást ad ezekre az esetekre, illetve további eligazítást nyújt e tekintetben is a már hivatkozott (91) preambulumbekezdés. A GDPR 35. cikk (3) bekezdésének b) pontja utal a különleges adatok kezelésére, mint amelyeknek nagy számban történő kezelése esetében a hatásvizsgálatot el kell végezni, így az egészségügyi adatok tekintetében a GDPR kifejezett rendelkezése alapján felmerülhet a hatásvizsgálat kötelező elvégzése. Mint ahogy fentebb arról már szó volt, a (91) preambulumbekezdés szerint nem tartozik e körbe egy adott szakorvos, egészségügyi szakember betegei egészségügyi adatainak kezelése. Ha a tervezett adatkezelés nem teljesíti ez utóbbi kritériumot (tehát az adatok kezelése nem történik nagy számban ), akkor az adatkezelés valószínűsíthetően magas kockázatának megítélése lesz a meghatározó a hatásvizsgálati kötelezettség szempontjából. A személyek jogait és szabadságait érintő kockázatok feltérképezéséhez és értelmezéséhez a (75) preambulum-bekezdésben foglaltak szolgálnak irányzékul. Ha az adatkezelő bizonytalan a hatásvizsgálat szükségességében, a 248. számú iránymutatás azt javasolja, hogy mindenképpen végezze el a hatásvizsgálatot, mivel az segítséget jelenthet neki az adatvédelmi szabályok betartásában. Tájékoztatom, hogy a GDPR 35. cikk (4) bekezdése értelmében Hatóságunk összeállít és nyilvánosságra hoz majd egy jegyzéket, amely azon adatkezelési műveletek típusait tartalmazza, amelyekre vonatkozóan az adatvédelmi hatásvizsgálatot el kell végezni. Megjegyzem, hogy miután a 35. cikk (6) bekezdése értelmében e lista elfogadását megelőzően a Hatóságnak még egységességi mechanizmust is igénybe kell vennie, amelyre csak a GDPR alkalmazandóvá válását követően van lehetőség, e jegyzék elfogadása szintén csak ezen időpontot követően történhet meg. A GDPR 35. cikk (1) bekezdése azonban az adatkezelőkre nézve olyan kötelezettséget fogalmaz meg, amely az említett listától függetlenül írja elő az adatvédelmi hatásvizsgálat elkészítését, ha a meghatározott feltételek fennállnak. Ebből következően amennyiben az adatkezelés az e bekezdésben foglaltakat teljesíti, úgy az adatvédelmi hatásvizsgálat elkészítésétől nem lehet eltekinteni. A 35. cikk (4) bekezdés szerinti lista az adatkezelő mérlegelési tevékenységét segíti azzal, hogy a listán szereplő adatkezelési műveletek tekintetében nem kell feltérképeznie, számba vennie és értékelnie az érintettre vonatkozó hatásokat, azonban maga a kötelezettség a listától függetlenül fennáll. Szeretném továbbá felhívni a szíves figyelmét az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek az uniós adatvédelmi reform okán szükséges módosításáról szóló tervezet egyik rendelkezésére. Ez a tervezet amely várhatóan hamarosan benyújtásra kerül az Országgyűlés elé úgy rendelkezik, hogy kötelező adatkezelés esetén az adatvédelmi hatásvizsgálatot az 5

adatkezelést előíró jogszabály előkészítője folytatja le. Miután a háziorvosi ellátás során számos kötelező adatkezelés valósul meg, ezen rendelkezés alapján ilyen esetekben a háziorvosnak nem kell majd hatásvizsgálatot elvégezni, hanem az már a jogalkotási eljárás során megtörténik. A Hatóság eljárási kereteket nélkülöző, konzultációs válaszként kiadott jelen tájékoztatása sem jogszabálynak, sem egyéb jogi eszköznek nem tekinthető, az normatív jelleggel, jogi erővel, illetve kötelező tartalommal nem rendelkezik. A Hatóság jelen ügyben rendelkezésre bocsátott információk alapján kialakított jogértelmezése más hatóságot, a bíróságot és az adatkezelőt nem köti, annak csak iránymutató jellege van. Az állásfoglalás, tájékoztatás kiadása tehát nem mentesíti annak címzettjét, illetve az adatkezelőt saját jogi álláspontja kialakításának szükségessége, illetve az adatkezelésért fennálló felelősség alól. Budapest, 2018. május. Üdvözlettel: Dr. Péterfalvi Attila elnök c. egyetemi tanár 6

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés