Minden orvosi vagy fogorvosi feladatra irányuló működési engedéllyel rendelkező egészségügyi szolgáltató köteles 2020. január 1. napjától csatlakozni az EESZT-hez, 2020. június 1. napjától pedig az EESZT felé jogszabályban meghatározott adatszolgáltatási kötelezettségét teljesíteni. Az EESZT-be továbbított adatok helyességéért és megfelelőségéért a személyes adatot továbbító egészségügyi szolgáltató felelős.
Mi a teendő, ha más személy EESZT fiókjába kerül az adat (pl. lelet) feltöltésre, mint akire az adat vonatkozik?
A GDPR 4. cikk 12. pontja alapján „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”.
Amikor tehát az egészségügyi szolgáltató tévedésből más betegre vonatkozó személyes adatokat tartalmazó leletet továbbít az EESZT-be, akkor sérülnek az adatkezelő által a személyes adatok védelme érdekében bevezetett szervezési és technikai intézkedések. Ez a tévesen továbbított személyes adatok jogosulatlanul közlését és a téves címzett jogosulatlanul hozzáférését eredményezi.
Sérül tehát a személyes adatok biztonsága, amely a személyes adatok jogosulatlan továbbítását és megismerését eredményezi. Ezzel megvalósul az adatvédelmi incidens valamennyi eleme. Az adatvédelmi incidens akkor is megvalósul, ha egyébként a téves címzett nem lépett be az incidens fennállása alatt az EESZT felületére és nem ismerte meg a más személyre vonatkozó személyes adatokat.
Mivel az EESZT-be kerülő adatok az egészségügyi szolgáltatók informatikai rendszeréből kerülnek továbbításra az EESZT-be, az adatvédelmi incidensek kivizsgálása az az EESZT-be adatot továbbító egészségügyi szolgáltató feladata. A gyakorlatban megvalósuló leggyakoribb eset, amikor az adatvédelmi incidens az adatok feltöltését végző egészségügyi szolgáltató medikai programjában történő téves adatrögzítés miatt (tipikusan például a beteg TAJ-számának elütése miatt) alakul ki.
Mit tegyen az egészségügyi szolgáltató ilyen esetben?
Az adatvédelmi incidenst az észlelését követően indokolatlan késedelem nélkül, de legkésőbb 72 órán belül be kell jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóságnak. A határidő betartása érdekében az észlelést követően azonnal meg kell kezdeni az incidens kivizsgálását.
A vizsgálat az alábbi lépésekből áll:
-
Az incidens észlelését követően azonnal értesíteni kell a megfelelő vezetési szinten lévő személyt. Az egészségügyi szolgáltató incidenskezelési szabályzatában javasolt rögzíteni a felelős személyeket és értesítési rendet. Javasolt a személyzetet belső oktatás keretében képezni arra, hogy mi a teendő ilyen helyzetben.
-
Amennyiben az incidens nem egyszeri esemény volt, hanem az észlelésekor is fennáll, azonnal meg kell szüntetni. Az adatvédelmi incidens elhárítása érdekében a rendszerbe hibásan felvett adatok törlésére és módosítására minden esetben az az egészségügyi szolgáltató jogosult és köteles, amely az adatot számítógépes rendszerében hibásan rögzítette.
-
Meg kell vizsgálni különösen azt, hogy
-
hány személyes adat érintett az incidenssel,
-
milyen jellegű adatok érintettek az incidenssel (pl. van-e köztük egészségügyi adat),
-
hány személy érintett az incidenssel,
-
hány személyt érint az adatvédelmi incidens és van-e köztük kiszolgáltatott helyzetben lévő személy (pl. gyermek),
-
mennyi ideig állt fenn az incidens,
-
milyen jellegű a sérelem,
-
milyen következményekkel jár az érintett részére az incidens.
-
A lefolytatott vizsgálat alapján kockázatértékelést kell végezni és ez alapján minősíteni kell az incidens súlyosságát.
Amennyiben az észleléstől számított 72 órán belül a vizsgálatot nem tudja az adatkezelő befejezni, vagy 72 órán belül nem áll rendelkezésére minden információ az adatvédelmi incidensről, akkor szakaszos bejelentést kell tenni az adatvédelmi hatóság részére. Ebben az esetben, amennyiben utólag újabb információ áll rendelkezésre az adatkezelőnek az incidensről, akkor azt utólag kell bejelentenie.
Amennyiben a vizsgálat alapján elvégzett kockázatértékelés eredményeként az adatkezelő arra a következtetésre jut, hogy az incidens semmilyen kockázattal nem jár az érintett személyre nézve, akkor az incidenst nem kell bejelenteni a hatóság részére.
Álláspontom szerint a jelen cikkben elemzett tényállás fennállása esetén az adatvédelmi incidenst be kell jelenteni a NAIH-nak, mert az kockázatot jelent az érintett személyiségi jogaira, ugyanis az érintett egészségügyi adatait jogosulatlan személy ismerhette meg. Véleményem szerint minden olyan eset, amikor egészségügyi adatot jogosulatlan személy ismerhet meg az incidens eredményeként, bejelentési kötelezettség alá esik.
Amennyiben az egészségügyi szolgáltató az adatvédelmi incidens gyanú kivizsgálásakor azt észleli, hogy az adatvédelmi incidens az EESZT nem üzemszerű működéséből fakad, az erre utaló körülmények részletes leírásával haladéktalanul értesíti OKFŐ-t az adatvedelem.eeszt@okfo.gov.hu e-mail címen keresztül. Ebben az esetben az eljárás az OKFŐ általi kivizsgálással folytatódik.
Az adatvédelmi incidens bejelentésnek nincsen eljárási díja.
Szükséges az érintett személyt értesíteni az adatvédelmi incidensről?
Az incidens kockázatértékelésének eredménye alapján dönteni kell arról, hogy az adatkezelő értesíti-e az érintettet az incidensről. Amennyiben az incidens valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira, indokolatlan késedelem nélkül tájékoztatni kell az érintettet az adatvédelmi incidensről.
Milyen egyéb intézkedésekre van szükség?
Az adatvédelmi incidensekről nyilvántartást kell vezetni. Azokról is, amelyek nem jelentenek kockázatot az érintettekre nézve és ezért az egészségügyi szolgáltató nem jelenti be az adatvédelmi hatóságnak. Az nyilvántartásban rögzíteni kell az adatvédelmi incidenssel kapcsolatos körülményeket.
Ilyen és hasonló gyakorlati eseteket elemez az „Adatvédelmi oktatás egészségügyi dolgozók részére” című konferenciánk. jelentkezzen most, kattintson ide!
Megosztás
