Érintetti joggyakorlás biztosítása
A közelmúltban megjelent, az alábbi hivatkozásról is letölthető NAIH-4137-8/2022 sz. határozat tanulságul szolgálhat valamennyi adatkezelő számára függetlenül attól, hogy egészségügyi dokumentáció másolatának kiadására irányult az érintetti kérelem; ugyanis az eset lényegi kérdése az érintetti joggyakorlás megfelelő biztosítása.
AZ ELŐZMÉNY RÖVID ISMERTETÉSE
Érintett a várandósgondozása során keletkezett teljes egészségügyi dokumentáció másolatának kiadása tárgyában többször is hozzáférési kérelemmel élt az őt ellátó magánegészségügyi szolgáltatónál (adatkezelőnél). Valamennyi kérelmét arra a címre küldte, ahol az ellátást igénybe vette, figyelemmel arra, hogy székhely- vagy egyéb, vagyis levelezési címről nem volt tudomása. Adatkezelőtől válasz egyszer sem érkezett, érintett a tértivevénnyel feladott levelét „nem kereste” jelzéssel kapta vissza.
ADATKEZELŐ NYILATKOZATA
Adatkezelő - a Hatóság felhívására - a hozzáférési kérelemmel kapcsolatban arról nyilatkozott, hogy az érintetti kérelmeket nem kapta meg, mert az ellátás helyszínén sok más orvossal együtt nyújt egészségügyi szolgáltatást, és ott csak orvosi rendelési tevékenységet végez, az adminisztráció érdekében a helyszínen senkit nem foglalkoztat. A hozzáférési kérelmeket azért nem teljesítette, mert a kérelemről nem szerzett tudomást, mivel a magánrendelése helyére címzett, ajánlott, majd tértivevényes formában postázott küldeményeket nem vették át.
AZ ADATVÉDELMI HATÓSÁGI ELJÁRÁS SORÁN FELTÁRT HIÁNYOSSÁGOK, MEGÁLLAPÍTÁSOK
Adatkezelő magánegészségügyi szolgáltató nem tudta igazolni, hogy az érintett kérelmező az adatkezelési tájékoztatót megismerte, így az érintett nem volt birtokában annak az információnak, mi az őt ellátó egészségügyi szolgáltató székhelyének címe, ahová az érintetti kérelmeket küldhette, vagy ahol az adatvédelmi tisztviselőt kereshette volna.
A NAIH megállapította továbbá, hogy adatkezelő honlapján a „Kapcsolat” menüpontban az adatvédelmi hatósági eljárás megindításának időpontjában a magánrendelő címe szerepelt egyedüli címként, így az érintett kérelmező ebből a forrásból sem szerezhetett tudomást az igények előterjesztésének helyéről. Az érintett birtokában lévő várandósgondozási könyv sem tartalmazta az adatkezelő egészségügyi szolgáltató vállalkozói székhelyének mint az adatvédelmi problémák, kérdések vagy kérelmek fogadását jelentő cím megjelölését.
A NAIH döntésében kiemelte, az érintettnek nem kell tudomással bírnia arról, hogy az adatkezelő jogilag milyen formában működik, a vállalkozói székhelye megegyezik-e a rendelés helyével. Ha az érintett a kérelmek előterjesztésének címéről kifejezett és igazolható tájékoztatást nem kap, életszerű, és nem kifogásolható, ha a kérelmet arra a címre juttatja el, ahol az ellátást igénybe vette. A joggyakorlás elősegítésére vonatkozó adatkezelői kötelességbe beletartozik, hogy az adatkezelőnek együtt kell működnie az érintettel, emellett a GDPR szerint nincs lehetősége az adatkezelőnek, hogy korlátozza az érintetti jogok előterjesztésének módját.
„Amennyiben az érintettel igazolható módon megismertetett adatkezelési tájékoztató tartalmazza az érintetti kérelmek előterjesztésének címét, abban az esetben az adatkezelő hivatkozhat arra, hogy segítette az érintetti jogok érvényesülését. Amennyiben nem tartalmazza, vagy a tájékoztatót az érintett nem ismerte meg, szervezési intézkedésekkel kell segítenie az érintettet a kérelme megfelelő fogadása érdekében.”
Sem a Hatóság, sem az érintettek számára nem átlátható az Adatkezelő magánegészségügyi szolgáltató dokumentációs gyakorlata. Az adatkezelési tájékoztató nem fedi a valós gyakorlatot, Adatkezelő nyilatkozatai ellentmondásosak, a Kérelmezőre vonatkozó adatkezelésre utaló információ nem merült fel, a Kérelmezőre vonatkozó adatkezelés létét nem lehetett igazolni.
A Hatóság megállapította, hogy adatkezelő az általános adatvédelmi rendelet 5. cikk (1) bekezdés a) pontjában előírt átláthatóság alapelvi követelményének érvényesülését nem biztosította, és a Kérelmezett az adatkezelése jogszerűségét nem tudta maradéktalanul igazolni. A Hatóság álláspontja szerint az egészségügyi dokumentáció jogszabály által előírt vezetése a koronavírus veszélyhelyzet alatt nem tekinthető háttérbe szorítható kötelezettségnek.
Mivel a dokumentáció vezetésének hiányában adatkezelő nem rendelkezik a Kérelmező egészségügyi adatait tartalmazó dokumentációval, ezért Hatóság elutasította a Kérelmező arra irányuló kérelmét, hogy a Hatóság kötelezze adatkezelőt az egészségügyi adatait tartalmazó dokumentáció másolatának kiadására.
A Hatóság 600.000 forint bírság kiszabása mellett döntött, mely a kiszabható maximális bírságösszeg 0,007 %-a. Bírságnövelő körülményként értékelte többek között, hogy adatkezelő az érintetti jogérvényesítést megfelelő gyakorlati intézkedésekkel (pl. postai átirányítás, küldemény helyszíni átvételére megbízás adása, könyvelt küldemény kézbesítési értesítőjének továbbítása részére) nem biztosította.
A fent ismeretett hatósági döntés során is megerősítést nyert a GDPR 12. cikk (2) bekezdésében foglalt érintetti joggyakorlást elősegítő intézkedések fontossága. Legyen szó akár közszférabeli, pl. önkormányzati szerv, akár a versenyszférában működő, pl. gazdasági társaságról, egyéni vállalkozóról vagy természetes személyről, valamennyi adatkezelőtől elvárt a GDPR rendelkezéseinek maradéktalan betartása.
Nem a NAIH hatásköre elbírálni azt, hogy a Kérelmezett, mint egészségügyi szolgáltató a rá kötelezően alkalmazandó szakmai szabályoknak megfelelően járt-e el, amikor a várandósgondozás kapcsán a várandósgondozási kiskönyvben tett bejegyzéseken kívül semmilyen dokumentációt nem vezetett, az ellátott Kérelmező részére az ellátási események végén leletet nem adott, illetve a leleteket nem továbbította az EESZT rendszerébe. A Kérelmezett egészségügyi dokumentáció vezetése kötelezettségének, és az ehhez kapcsoló jogszabályi előírások teljesítésének ellenőrzését a NAIH hivatalból kezdeményezi a NEAK-nál.
A cikket készítette: GDPReg Kft.
Felhasznált források és hivatkozott jogszabályok:
- NAIH-4137-8/2022 (NAIH-4935/2021) - Egészségügyi dokumentáció másolatának kiadása
- Az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) 12. cikk, 15. cikk