Személyes adatok kezelése - a GDPR hatálybalépésével Készítette: dr. Kádár Virág, főosztályvezető NEAK, Adatvédelmi és Koordinációs Főosztály
Jogszabályi kitekintés GDPR előtt és után Jelenleg GDPR után 95/46/EK Irányelv Infotv. 2011.CXII. GDPR Módosított? Infotv. Eüak. 1997. XLVII. Módosított? Eüak.
AZ EURO PAI PARLAMENT E S A TANA CS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)
Hello. Gordon Pizza? Nem Google Pizza! Rossz számot hívtam? Nem uram, a Google felvásárolta a Gordon pizzát. Oké. Szeretnék rendelni Nos uram, a szokásosat kéri? A szokásosat? Ismer engem? A hívó azonosítója szerint az utolsó 12 alkalommal pizzát rendelt sajttal, kolbásszal és vastag tésztával. Szuper! Ezt kérem. Ajánlhatok ezúttal rukkolás ricottás pizzát szárított paradicsommal? Nem. Utálom a zöldségeket. De a koleszterin szintje nem megfelelő. Honnan tudja? Rendelkezésünkre állnak az ön vérvizsgálati eredményei az elmúlt 7 évből. Rendben, de nem akarok ilyen pizzát, már bevettem a gyógyszeremet. Nem szedi rendszeresen a gyógyszerét. Mindössze egyetlen 30 tablettás dobozzal rendelt 4 hónappal ezelőtt a z online gyógyszertártól. Másik gyógyszertárból vettem a többit. Nem találom a bankkártya tranzakciók között. Készpénzzel fizettem. De nem vett fel ennyi készpénzt a bankjából. Máshonnan is van készpénzem. Nem találom az adóbevallásában, hacsak nem szürke módon jutott hozzá. Mi van?! Elég! Elegem van ebből az egészből! Elmegyek egy szigetre, ahol nincs internet, se mobil, se senki, aki kémkedne utánam. E rtem uram, de meg kell újítania az útlevelét, mert 5 hete lejárt
Tárgyi hatály (2. cikk) E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik nem alkalmazandó a személyes adatok kezelésére, ha azt: az uniós jog hatályán kívül eső tevékenységek során végzik természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik hatóságok bűncselekmény megelőzése, nyomozás, felderítés céljából
Területi hatály (3. cikk) Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett kezelésére, függetlenül attól, hogy az adatkezelés az Unió területén történik vagy nem. az Unióban tartózkodó érintettek személyes adatainak az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett kezelésére, ha az adatkezelési tevékenységek: áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért (pl: GOOGLE, FB) az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve hogy az Unió területén belül tanúsított viselkedésükről van szó a személyes adatoknak a nem az Unióban, hanem olyan helyen tevékenységi hellyel rendelkező adatkezelő által végzett kezelésére, ahol a nemzetközi közjog értelmében valamely tagállam joga alkalmazandó.
Fogalmak (4. cikk) személyes adat : azonosított vagy azonosítható természetes személyre ( érintett ) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható adatkezelés : a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés
Fogalmak (4. cikk) adatkezelő : az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja adatfeldolgozó : az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel; adatvédelmi incidens : a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
Elvek (5.cikk) - jogszerűség, tisztességes eljárás és átláthatóság; - célhoz kötöttség; - adattakarékosság - pontosság (naprakész) - korlátozott tárolhatóság - integritás (sértetlenség) és bizalmas jelleg + elszámoltathatóság
Jogalapok (6. cikk) Személyes adatok kezelését lehetővé tevő jogalapok változása a GDPR hatálybalépésével Jelenleg GDPR után Hozzájárulás Kötelező adatkezelés az érintett hozzájárulását adta; önkéntes, (melynek bizonyítása az adatkezelő feladata) és tájékoztatáson alapuló, külön-külön minden ügyben, visszavonható (7. cikk) szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél; jogi kötelezettség teljesítéséhez szükséges; létfontosságú érdekeinek védelme miatt szükséges közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges tiltakozás jogos érdek érvényesítéséhez szükséges tiltakozás
Különleges adatok kezelése (9.cikk) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.
Különleges adatok kezelése (9.cikk) Kivéve, ha: - az érintett kifejezett hozzájárulását adta - az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése (pl.: foglalkozás egészségügy adatok) érdekében szükséges - létfontosságú érdek védelméhez szükséges, fizikai/jogi cselekvőképtelenség - politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, - az érintett kifejezetten nyilvánosságra hozott; - jogi igények előterjesztéséhez, érvényesítéséhez, védelméhez szükséges, illetve amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el - jelentős közérdek miatt szükséges, (megfelelő garanciák mellett uniós jog vagy tagállami jog alapján); -népegészségügy területét érintő közérdekből szükséges, - tudományos és történelmi kutatási célból, vagy statisztikai célból (megfelelő garanciák mellett uniós jog vagy tagállami jog alapján)
Különleges adatok kezelése (9.cikk) - megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavégzési képesség, orvosi diagnózis, felállítása egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, (szakmai titoktartás kötelezettség, eltérés lehetősége a tagállami jogban 9. cikk (3)-(4)
E rintettek jogai (12-21. cikk) 1. tájékoztatáshoz való jog Adatkezelő és elérhetőségei Adatvédelmi tisztviselő és elérhetőségei Adatkezelés célja Adatkezelés jogalapja Adatkezelés időtartama Érintettek jogai (hozzáférés biztosítása, helyesbítés, törlés, korlátozás, tiltakozás, adathordozhatóság, panasz)
E rintettek jogai (12-21. cikk) 2. hozzáféréshez való jog mit kezelnek róla 1 hó + 2hó 3. helyesbítés, kiegészítéshez való jog 4. törlés, elfeledtetéshez való jog 5. adatkezelés korlátozásához való jog 6. adathordozhatósághoz való jog 7. tiltakozáshoz való jog (jogos érdek, közhatalmi érdekből kezelt adat esetén) 8. jogorvoslathoz való jog (panasztétel, bírósági jogorvoslat)
Adatkezelő feladatai (24-25. cikk) 1. Felülvizsgálat (kiről, mit, meddig, milyen célból, ki fér hozzá?) 2. Szabályozás (adatvédelmi szabályzat közérthetően, átláthatóan) 3. Technikai és szervezési intézkedések Adatvédelmi hatásvizsgálat: ha az adatkezelés valamely különösen új technológiákat alkalmazó típusa valószínűsíthetően magas kockázattal jár az érintettek jogaira, személyes adataira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot köteles végezni. Adatkezelési nyilvántartás: adatkezelőnek kötelessége nyilvántartást vezetni adatkezelési tevékenységeiről. Adatkezelési tájékoztató Adatvédelmi tisztviselő kinevezése (különleges adatok kezelése) - Informatikai rendszer felülvizsgálata (adathordozhatóság, elfeledtetéshez való jog)
Adatvédelmi tisztviselő (37. cikk) Szükséges ha: közhatalmi vagy közfeladatot ellátó szerv végzi (pl.: önkormányzat) az érintettek rendszeres és szisztematikus megfigyelését célozza különleges adatkezelés esetén (egészségügyi szolgáltató) Lehet aki: szakmailag rátermett, szakértői szinten ismeri az adatvédelmi jogot és gyakorlatot, továbbá a feladatok elvégzésére alkalmas Feladatai: tájékoztat, tanácsot ad ellenőrzi a jogszabályok, szabályzatok betartását együttműködik a Hatósággal
Az adatkezelés biztonsága (32. cikk, Eüak. 6. ) A tudomány és technika állásának megfelelően! álnevesítés, titkosítás bizalmasság, integritás, rendelkezésre állás (CIA) technikai és szervezési intézkedések hatékonyságának rendszeres tesztelése A rendszernek képesnek kell lenni alkalmazni a GDPR elvárásait: végleges törlés adatkezelési célonkénti működés tájékoztatás a tárolt adatokról (lekérdezés) gépi formátumú adat átadás adatkezelés korlátozásának nyilvántartása
Adatvédelmi incidens adatvédelmi incidens : a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; Hatóság felé E rintett felé 72 órán belül elektronikus felületen jellege, érintettek kategóriája, száma, következmények, adatvédelmi tisztviselő, vagy kapcsolattartó tervezett intézkedések nyilvántartás vezetése haladéktalanul jellegét közérthető formában következmények, adatvédelmi tisztviselő, vagy kapcsolattartó tervezett intézkedések kiv: nem jár nagy kockázattal
Hatóság Nemzeti Adatvédelmi és Információszabadság Hatóság? Bírság: (83. cikk) 20000000 EUR /előző pénzügyi év teljes éves világpiaci forgalmának 4 %-a
Kérdések Kiváltja-e az adatvédelmi tisztviselő az egészségügyi adatkezelési törvényben rögzített (meghatározott létszám esetén telephelyenként) választandó adatvédelmi felelős intézményét? Azaz, több telephelyen üzemelő egészségügyi szolgáltatónál elegendő-e a cégcsoport szinten megválasztott adatvédelmi tisztviselő, vagy továbbra is szükség van a telephelyenkénti adatvédelmi felelősre? Ha nem elegendő, akkor milyen kapcsolat van az adatvédelmi tisztviselő és az adatvédelmi felelős között (felelősség, jogkörök megoszlása)? Válasz: Infotv. 24. Eüak 32. (4) WP 243
Kérdések Változtatni kell-e és mennyiben a vényelszámoló szoftvereket? Kinek a költsége lesz a módosítás, amennyiben az szükséges? Hogyan érinti a GDPR bevezetése a NEAK-kal szerződéses kapcsolatban álló GYSE forgalmazók NEAK-kal történő adatkommunikációját? A NEAK-kal kötött forgalmazói szerződés alapján, TB támogatással kiszolgált gyógyászati segédeszközök tekintetében, milyen változtatásokat kell majd eszközölni a betegadatbázisoknál (pl.: fizikai tárolás, hozzáférés)? Hogyan változnak (ha változnak) a TB támogatással kiszolgált gyógyászati segédeszközök házhoz szállítására vonatkozó jogszabályok? Mi a feladata a GYSE forgalmazónak, a boltban dolgozó eladónak és egyéb alkalmazottaknak (napi rutin)? Mi az elvárás ellenőrzés esetén? Milyen adatokat kell kezelni?
Kérdések - Milyen személyes adatokat kérhet az egészségügyi szolgáltató a jogszabályban rögzített szerződéses kapcsolatokra hivatkozással (pl.: kézzel írott vény esetén nem olvasható a taj szám, a név, illetve egyéb adatok)? - Az Eüak 30. (1) bekezdése alapján az egészségügyi dokumentációt.az adatfelvételtől számított legalább 30 évig kell megőrizni. A 30. (7) bekezdés alapján a vényt 5 évig, a gyógyászati segédeszköz esetében, ha a kihordási idő hosszabb mint 5 év, akkor a kihordási idővel azonos ideig kell megőrizni. A kötelező őrzési időt követően a papíralapú vényeket és a kiadási igazolásokat meg kell semmisíteni. A (7.) bekezdés vonatkozik-e például a hallásvizsgálati adatokra is, vagy csak a vényekre? Azaz, törölheti-e a beteg minden adatát, (az egészségügyi dokumentációt is) a hallókészülék kihordási idejének elteltével az ügyfél kérésére vagy a törvény alapján 30 évig meg kell őriznie azokat? Meddig terjed a GDPR-ban rögzített felejtési jog?
Kérdések Adatkezelésnek számít-e egészségügyi intézményben a közreműködő orvos általi munkavégzés? Partner szerződés által továbbított személyes adatok milyen módon? Ki a felelős a kiszivárgásért? (Eüak. 6. )
Köszönöm a megtisztelő figyelmüket!