Milyen feladataik lennének az egészségügyi intézményeknek a GDPR bevezetése kapcsán?

Hasonló dokumentumok
ADATKEZELÉSI SZABÁLYZAT AZ EGYESÜLETI TAGOK NYILVÁNTARTÁSA VONATKOZÁSÁBAN. HATÁLYA: január 1.

ADATKEZELÉSI SZABÁLYZAT A VARGA+SONS WEBOLDALALÁN KAPCSOLATFELVÉTEL SORÁN MEGADOTT ADATOK VONATKOZÁSÁBAN HATÁLYA: MÁJUS 25.

ADATKEZELÉSI TÁJÉKOZTATÓ személyes adatok kezeléséről

Adatvédelmi tájékoztató

ADATVÉDELMI TÁJÉKOZTATÓ ÉS HOZZÁJÁRULÁS ADATKEZELÉSHEZ ÉS ADATFELDOLGOZÁSHOZ

Adatkezelési tájékoztató személyes adatok kezeléséről (fémkereskedelmi tevékenység)

Tájékoztató személyes adatok 1 kezeléséhez

ADATKEZELÉSI TÁJÉKOZTATÓ a Pannonhalmi Apátsági Pincészet Kft. hírlevelére feliratkozó személyek részére

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

Csorba Zsolt EV. Adatvédelmi Szabályzata

Adatkezelési tájékoztató Az MVM NET Zrt. vendég (Guest) vezeték nélküli internet használattal összefüggő személyes adatok kezeléséről

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ

HEVES MEGYEI KORMÁNYHIVATAL

PEST MEGYEI KORMÁNYHIVATAL. ADATKEZELÉSI TÁJÉKOZTATÓ személyes adatok kezeléséről. Tisztelt Ügyfelünk!

Tájékoztatás személyes adatok 1 kezeléséről

ADATVÉDELMI TÁJÉKOZTATÓ. OTP TRAVEL KFT Budapest, Nádor u. 21.

Adatkezelő II. I. Neve: Belügyminisztérium. Közbeszerzési és Ellátási adatvédelmi tisztviselő. Főigazgatóság elérhetősége:

Adatkezelési tájékoztató, és nyilatkozat

Adatkezelési tájékoztató. az állatok védelméről és kíméletéről szóló évi XXVIII. törvény szerinti ebösszeíró adatlaphoz. Adatkezelői információk

ADATKEZELÉSI TÁJÉKOZTATÓ SZEMÉLYES ADATOK KEZELÉSÉRŐL

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ AZ MVM ZRT. ÁLTAL SZERVEZETT NYÁRI NAPKÖZIS TÁBORBA JELENTKEZŐK SZÁMÁRA

Székhely: 1031 Budapest Szentendrei út

ADATKEZELÉSI TÁJÉKOZTATÓ a belsoellenorzes.com weboldal használatához

OTP JELZÁLOGBANK ZRT.

Adatkezelési tájékoztató panasz- és kérelem benyújtásával összefüggő személyes adatok kezeléséről

Adatkezelési tájékoztató - Hírlevél - A jelen adatkezelési tájékoztató Bődy Alexandra E.V. (mint Adatkezelő)

Jász-Nagykun-Szolnok Megyei Kormányhivatal

HOZZÁJÁRULÓ NYILATKOZAT

ADATVÉDELMI TÁJÉKOZTATÓ. A fóti Élhető Jövő Park látogatásának szervezéséhez és megvalósulásához kapcsolódó adatkezelésről

PETŐFIBÁNYAI POLGÁRMESTERI HIVATAL. ADATKEZELÉSI TÁJÉKOZTATÓ személyes adatok kezeléséről

ADATKEZELÉSI TÁJÉKOZTATÓ. Személy- és vagyonőrök 40 órás képzése

Adatkezelési tájékoztató

Tájékoztatás személyes adatok 1 kezeléséről

A Belügyminisztérium, mint adatkezelő (a továbbiakban: Adatkezelő) az Ön által a regisztráció során megadott adatokat, azaz az Ön

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ ENO-PACK KFT.

Komárom-Esztergom Megyei Kormányhivatal adatvédelmi tájékoztatója

BERCZIK SÁRI NÉNI MOZDULATMŰVÉSZETI ALAPÍTVÁNY ADATKEZELÉSI SZABÁLYZAT

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

Adatkezelési tájékoztató

ikt. sz.:.. ADATKEZELÉSI TÁJÉKOZTATÓ SZEMÉLYES ADATOK KEZELÉSÉRŐL

Tájékoztatás személyes adatok 1 kezeléséről

TÁJÉKOZTATÓ SZEMÉLYES ADATOK KEZELÉSÉRŐL

AZ IQ MEDIA KFT. KIADÓBAN TÖRTÉNŐ ADATKEZELÉSRŐL SZÓLÓ TÁJÉKOZTATÓ

Személyes adatok védelme

ADATKEZELÉSI TÁJÉKOZTATÓ SZEMÉLYES ADATKEZELÉSRŐL AZ MVM LAZA PÉNTEK FOTÓPÁLYÁZATÁN ÖNKÉNTESEN RÉSZTVEVŐK SZÁMÁRA

Különlegesek-ért Alapítvány

dokumentáció személyes adatok tekintetében adatkezelésre /adatfeldolgozásra kerül sor.

Adatvédelmi tájékoztató

A SZEMÉLYES ADATOK VÉDELME. Adatvédelem és adatkezelés a cégek mindennapi ügyvitelében

Az uniós adatvédelmi előírások hatása a bölcsődei adminisztrációra. Előadó: Dr. Jójárt Ágnes Szilvia ügyvéd

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

Adatkezelési tájékoztató

Adatkezelési tájékoztató személyes adatok kezeléséről a HSSC Kft. álláshirdetéseire jelentkezők részére

ADATKEZELÉSI TÁJÉKOZTATÓ MÁJUS 25-TŐL KEZDŐDŐEN VÉGZETT SZEMÉLYES ADATOK KEZELÉSÉRŐL

Adatkezelési tájékoztató személyes adatok kezeléséről

ADATKEZELÉSI TÁJÉKOZTATÓ

Adatvédelmi tisztviselő Neve:

ADATKEZELÉSI TÁJÉKOZTATÓ SZEMÉLYES ADATOK KEZELÉSÉRŐL AZ MVM OVIT ZRT. ÁLLÁSHIRDETÉSEIRE JELENTKEZŐK RÉSZÉRE

ADATKEZELÉSI SZABÁLYZAT HATÁLYA: MÁJUS 25.

Az EESzT adatvédelmi problémái a jogi szabályozás tükrében

ADATKEZELÉSI TÁJÉKOZTATÓ

1. Az adatkezelő megnevezése (Társaságunk adatai, elérhetőségei)

ADATKEZELÉSI TÁJÉKOZTATÓ MÁJUS 25-TŐL KEZDŐDŐEN VÉGZETT SZEMÉLYES ADATOK KEZELÉSÉRŐL IRATOKAT BEKÜLDŐ ÉS CÍMZETT ÉRINTETTEK SZÁMÁRA

Érintetti tájékoztató. eljárás

Adatvédelmi Tájékoztató

Érintetti tájékoztató

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ MÁJUS 25-TŐL KEZDŐDŐEN VÉGZETT SZEMÉLYES ADATOK KEZELÉSÉRŐL

Adatkezelési tájékoztató. weboldal használatával összefüggő személyes adatok kezeléséről

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ SZEMÉLYES ADATOK KEZELÉSÉRŐL (2018. Május 25-től)

ADATKEZELÉSI TÁJÉKOZTATÓ SZEMÉLYES ADATOK KEZELÉSÉRŐL ALKOTÓ ENERGIA PÁLYÁZAT KÖZÖNSÉGSZAVAZÁSA KAPCSÁN

az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény (a továbbiakban:

Adatkezelő. VITAMIN Egészségpénztár. Postacíme: 1301 Budapest, Pf.: 32. Telefon (call center):

Személyes adatok védelme

Adatkezelési tájékoztató

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ személyes adatok kezeléséről

ADATKEZELÉSI TÁJÉKOZTATÓ JÚNIUS 22.

ADATKEZELÉSI TÁJÉKOZTATÓ SZERZŐDÉSES PARTNEREK KÖZREMŰKÖDŐIVEL ÖSSZEFÜGGŐ SZEMÉLYES ADATOK KEZELÉSÉRŐL

Adatkezelési tájékoztató szerződéses partnerek közreműködőivel összefüggő személyes adatok kezeléséről

ADATKEZELÉSI TÁJÉKOZTATÓ

Adatkezelési tájékoztató természetes személy Vevők részére. az Európai Parlament és a Tanács (EU) 2016/279 rendelete (a továbbiakban: GDPR ) szerint

Adatkezelési tájékoztató

ADATKEZELÉSI TÁJÉKOZTATÓ. az és a telefonos ügyfélszolgálat (helpdesk szolgáltatás) üzemeltetésével kapcsolatban

Adatkezelési tájékoztató

ÖNÉLETRAJZOK KEZELÉSÉRE VONATKOZÓ ADATKEZELÉSI TÁJÉKOZTATÓ

Adatkezelési tájékoztató weboldal használatával összefüggő személyes adatok kezeléséről

ADATKEZELÉSI TÁJÉKOZTATÓ MÁJUS 25-TŐL KEZDŐDŐEN VÉGZETT SZEMÉLYES ADATOK KEZELÉSÉRŐL

Az önéletrajzok kezelésére vonatkozó adatkezelési tájékoztató

ADATVÉDELMI TÁJÉKOZTATÓ AZ UNIKLINIK.HU WEBOLDALON VÉGZETT ADATKEZELÉSHEZ

New Land Media Kft. Székhely: 1123 Budapest, Nagyenyed utca 16. fszt. 4. telefon:

ADATKEZELÉSI TÁJÉKOZTATÓ

Átírás:

Milyen feladataik lennének az egészségügyi intézményeknek a GDPR bevezetése kapcsán? Dr. Alexin Zoltán, PhD. Szegedi Tudományegyetem, TTIK, H-6720 Szeged Árpád tér 2. e-mail: alexin@inf.u-szeged.hu http://www.inf.u-szeged.hu/~alexin

A GDPR helyzete Magyarországon Az Infotv. Módosítása nincs az Országgyűlés előtt (tervezetről tudunk) sajnos a minősége meglehetősen gyenge. A NAIH nincs felhatalmazva a GDPR végrehajtására. A GDPR 43 helyen engedne nemzeti szabályozást. A tervezetben ebből csak kettőt használnának ki (nyilatkozat korhatár, elhunytak személyes adatai). Nagyjából 700 jogszabály tartalmaz rendelkezéseket személyes adatokról, ezek harmonizációja el sem kezdődött. Mintegy 10 törvény és majdnem 100 rendelet tartalmaz kötelező egészségügyi adatkezelést, ezek harmonizációjáról semmit sem tudunk. A GDPR szerint megszűnik a kötelező adatkezelés az egészségügyben, és csak közérdekű adatkezelésre lesz lehetőség, amely ellen van tiltakozási és jogorvoslati lehetőség.

Alapjogi szabadságharc A GDPR hatályba lépése összefonódik a jogalapok bevezetésével, amellyel 23 éve adós a magyar állam. Eddig a személyes adatok védelméhez fűződő alapjog bár szerepelt az Alaptörvényben használhatatlan volt. A jogorvoslat lehetőségének megjelenése a közérdekből történő adatkezeléseknél fontos mérföldkő (lesz). A vállalkozások számára megnyílik a szolgáltatási szerződés alapján történő adatkezelés maguk definiálhatják a termékeiket és a hozzá tartozó adatkezeléseket (pl. telemedicina) A vállalkozások saját jogos érdekeik védelme érdekében kezelhetnek személyes adatokat (hozzájárulás nem szükséges) Az adatkezeléssel kapcsolatos vitás ügyek végre visszakerülnek a polgári jog hatálya alá. Magyar polgár még sosem élte át azt az érzést, hogy nemet mondhat egy állami adatkezelésre.

Az eddig ismeretlen jogalapok hozzájárulás szerződés alapján életfontosságú érdek közérdek jogos érdek kötelező adatkezelés

Jogalapok helytelen használata Adatkezelés EU jogalap Magyar jogalap Társadalombiztosítás Közérdek Jogi kötelezettség Népegészségügy Közérdek Jogi kötelezettség Kutatás Állami egészségügyben a minőségbiztosítás Járványügyi intézkedés EHR Hozzájárulás, kivételesen közérdek Jogos érdek vagy közérdek Jogi kötelezettség Hozzájárulás vagy közérdek Jogi kötelezettség Jogi kötelezettség Jogi kötelezettség Jogi kötelezettség

Mi lehet jogos érdek? Az EUB C-543/09. számú ítélte: Deutsche Telekom AG v. Németország: jogos érdekből, törvény felhatalmazásával partnerek adatai átadhatók nyilvánosságra hozás céljából. Példák a WP-217 anyagból (25. oldal) A szólásszabadság gyakorlása, közérdekű adatokhoz hozzájutás, művészetekben és a médiában Hirdetés, piackutatás, direkt marketing Üzenetek küldése előzetes engedély nélkül jótékonysági vagy politikai célból Jogos követelések érvényesítése, adósság behajtás Csalások, visszaélések és a pénzmosás megelőzése Dolgozók megfigyelése biztonsági, vagyonvédelmi és menedzsment célból Whistle-blowing (névtelen bejelentők védelme) Fizikai biztonság, informatikai eszközök és hálózatok védelme Adatfeldolgozás tudományos és statisztikai célból Adatfeldolgozás kutatás (piackutatás is) célból

Kik a kötelezettek? NEAK, ÁEEK, OTH, NEFI, OEK Kórházak és klinikák Magánklinikák Gyógyszertárak Rendelőintézetek Szociális otthonok Nevelőintézetek Háziorvosok Magánorvosi rendelők

Az érintettek jogai GDPR 13-15. cikk előzetes adatvédelmi tájékoztatás (kötelező adatkezelésnél is)! utólagos tájékoztatás (az adatkezelés céljairól és az adatok kategóriáiról) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják; adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai; az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen; a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga; ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden információ; Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.

Adminisztratív terhek Adatkezelési nyilvántartást kell vezetni (de nem kell bejelenteni az adatkezeléseket az adatvédelmi hatósághoz), a GDPR 30. cikke szerint Adatvédelmi tisztviselő kinevezése (kis gyógyszertárnak, magán- és háziorvosnak nem kell) Adatvédelmi tájékoztatást kell adni az ügyfeleknek, partnereknek ehhez célszerű megfelelő nyomtatványt kell készíteni, GDPR 13-14. cikk Az adatfeldolgozókkal új szerződést kell kötni, a GDPR 28. cikke definiálja, hogy minek kell szerepelnie a szerződésekben. Gondoskodni kell arról, hogy a belső információs rendszer támogassa, az egy érintettre vonatkozó adatok összegyűjtését és másolat készítését, elektronikus formában történő exportálását, kijavítását, zárolását és törlését. El kell készíteni a szolgáltatási szerződést és kiválasztani a megfelelő jogalapot az adatkezeléshez. Belső eljárásokat és ellenőrzési rendszert kell kialakítani az érintettek panaszainak, kéréseinek kezelésére, a hozzáférések szabályozására, információbiztonsági rendszabályok (pl. vírusvédelem, mentés, hozzáférés szabályozás, naplózás) megvalósítására.

Minimális jogkorlátozás Személyes adat csak akkor kezelhető, ha az adatkezelés célját egyéb észszerű módon nem lehetséges elérni (39) preambulum. A személyes adatokat minél előbb álnevesíteni kell (78) preambulum. Az álnevesítés nem jelent semmilyen felmentést, az álnevesített adatok személyes adatok: az érintettek minden egyes jogát biztosítani kell álnevesített adatok esetében is (11. cikk) A HIS-ből származó lekérdezések eredménye kizárólag akkor tartalmazhat személyazonosítást lehetővé tevő kódot (TAJ, KBA, születési dátum stb.), ha azt jól meg lehet indokolni. Kutatási hozzáférés esetén eleve nem jelenhet meg semmilyen személyes azonosító adat (név, lakcím, TAJ, születési hely/idő, ) Pénzügyi, elszámolási adatkezelés során is csak annyi adat jelenhet meg, ami elengedhetetlen a feladat ellátásához.

Magatartási kódex Adatvédelmi szabályzat nem szerepel a GDPR-ben A szabályzat logikája az volt, hogy a releváns jogszabályokat össze kell gyűjteni, ami az adott intézményre vonatkozik. A GDPR szerint ilyen nem lesz (esetleg kivételesen egy-kettő). Ezért az intézmények nagy szabadságuk lenne abban, hogy milyen adatkezelési rendet alakítanak ki. Nem az intézményeknek kell létrehozniuk A Magatartási Kódexet a GDPR (98) és (99) preambuluma szerint az érdekképviselet szervek, kamarák hozzák létre (pl. MOK, MGYK) Intézménykategóriánként (pl. háziorvosokra, gyógyszertárakra, rendelőintézetekre, kórházakra, szociális otthonokra, ) A NAIH-nak jóvá kell hagynia. Összhangban kell legyen a GDPR-rel. Ez után az adott praxis, intézmény eldöntheti, hogy az előre elkészített Magatartási Kódex szerint működik, vagy saját működési rendet alakít ki. A tagállamok a GDPR-nél szigorúbb szabályokat alkothatnak az érintettek jogai védelmére, tehát érvényben maradhat az Eüak. 32.

Adatvédelmi hatásvizsgálat Az 1990-es évek óta van Kanadában, az ottani adatvédelmi biztos találta fel. Onnan került át az USA-ba és az Egyesült Királyságba, majd Franciaországba és végül az EU-ba. Eddig egy magyar hatásvizsgálatról lehet tudni, amelyet nem fogadott el a NAIH. A hatásvizsgálat két részből kell álljon: egy adatkezeléssel és információbiztonsággal kapcsolatos helyzetkép (kezelt adatok köre, jogalapja, tárolási ideje, hálózat leírása, szerverek, tűzfalak, rendszerparaméterek, működési körülmények), majd ezt követi egy a kockázatokat elemző dokumentáció, legalább ötven oldalnak kell lennie (vagy még többnek). Egyelőre csak külföldi szakirodalom áll rendelkezésre.

Informatikai rendszer Az érintettek közvetlen hozzáférését biztosítani kellene a saját adataihoz (kórház, rendelőintézet, gyógyszertár) a (63) preambulum szerint, amennyiben lehetséges. A HIS-ben sokkal régebbi adatok vannak, mint az EESZT-ben Az érintettek jogosultak lennének elektronikusan hordozható formában másolatot kapni a saját adataikról (nem csak PDF, hanem strukturált HL7, XML, DICOM, stb. formában) Az érintettek korlátozhatják az adataikhoz történő hozzáférést, tiltakozhatnak egy-egy adatkezelés ellen (ha kapnak előzetes felvilágosítást róla) és kérhetik az adatok törlését is. Egyes szerepkörökben olyan képernyők legyenek, ahol nem jelennek meg a személyes adatok (név, cím, TAJ) pl. gazdasági iroda, kutatás.

A GDPR-rel ütköző adatkezelések Az EESZT kényszerintézkedés alapú működtetése tiltakozási lehetőség nélkül, Az ÁEEK TEA adatállománya, A NEAK, OTH, NEFI 30 éves adatmegőrzési ideje, A személyes egészségügyi adatok 30 éves adatmegőrzési ideje, A felvilágosítás nélkül, kényszerintézkedés alapon működő regiszterek, A felvilágosítás (és hozzájárulás/tiltakozás) nélküli orvostudományi kutatás, A személyes egészségügyi adatok különféle hatósághoz továbbítása, A gyógyszertárak jogellenes machinációi a vényadatokkal, A HIS rendszerekben a mindenki minden adatot láthat beállítás Az egészségügyi adatok hosszú ideig online tartása.

Összefoglalás A jogi bizonytalanság miatt nem tudják az intézmények teljesíteni a kötelezettségeiket, amíg az adatkezelések jogalapja nem tisztázódik Nem világos, hogy a GDPR milyen módon lesz kikényszeríthető, ha a magyar bírósági rendszer nem hajlandó az alapján ítéletet hozni. Ha a NAIH nem tesz semmit, akkor az Európai Adatvédelmi Testületnél panaszt lehet tenni ellene. Alexin, Z.: Jogalkotási feladatok az egészségügyben az Európai Unió Általános Adatvédelmi rendeletének hatályba lépésére tekintettel, IME Interdiszciplináris Magyar Egészségügy, Vol. XVI. No.: 10, pp. 51-56, Larix Kiadó Kft. (2017.)

Köszönöm a figyelmet! IME, XVI. Országos Egészségügyi Infokommunikációs Konferencia

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés