GDPR Salátalevél 3. – Változnak a hozzájárulás szabályai az egészségügyi adatok kezelése esetén

2019-05-14 #egészségügyiadat ; #GDPR ; #Privacy ;

A 2019. április 26-án hatályba lépett „GDPR Salátatörvény” több ponton módosította az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvényt („Eüak.”).

Az egyik legfontosabb módosítás, hogy megváltoztak az egészségügyi adatok kezelését lehetővé tevő hozzájárulás szabályai.

I. A különleges adatok kezelésének alapvető szabályai

Az Általános Adatvédelmi Rendelet (más néven GDPR) a korábbi szabályozástól eltérő rendszert alakított ki a különleges adatok kezelésével kapcsolatosan. Főszabályként rögzíti, hogy a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos. Az Általános Adatvédelmi Rendelet ugyanakkor több olyan esetkört is meghatároz, ahol az adatkezelő mentesül az említett tilalom alól. Az egyik ilyen esetkör, amikor az érintett a különleges adatok kezeléséhez kifejezetten hozzájárul.

Az Általános Adatvédelmi Rendelet a genetikai adatok, a biometrikus adatok és az egészségügyi adatok kezelése vonatkozásában kötelező minimum jellegű szabályozásnak tekintendő. A GDPR rögzíti ugyanis, hogy a tagállamok további feltételeket – köztük korlátozásokat – vezethetnek be ezen személyes adatkategóriák esetén.

II. Az egészségügyi adatok szabályozásának rendszere

Az Általános Adatvédelmi Rendelet alkalmazásával az egészségügyi adatok kezelésére vonatkozó szabályrendszer meglehetősen bonyolulttá vált. A GDPR ugyanis az egészségügyi adatok kezelésével kapcsolatosan felhatalmazta a tagállamokat, hogy az Általános Adatvédelmi Rendeletben foglaltakhoz képest az egészségügyi adatokkal kapcsolatos adatkezelést további feltételekhez kössék. Ilyen többletfeltételrendszert állít fel Magyarországon az Eüak. Az egészségügyi adatok kezelése esetén tehát nem elegendő a GDPR-nak való megfelelés vizsgálata, biztosítani szükséges azt is, hogy az Eüak.-ban foglaltaknak is megfeleljen az adatkezelés. Többletfeltételt állított fel az Eüak. az egészségügyi adatok hozzájáruláson alapuló kezelésével összefüggésben is, amelyre 2019. április 26-ig akkor volt lehetőség, ha ahhoz az érintett írásbeli hozzájárulását adta.

III. Az írásbeliség szabályai a magyar polgári jogban

Az írásbeliség követelményének előírása az érintett hozzájárulása kapcsán – szemben a GDPR által elvárt kifejezett hozzájárulással – a gyakorlatban számos problémát okozott. A magyar Polgári Törvénykönyvről szóló 2013. évi V. törvény („Ptk.”) szabályai szerint ugyanis írásbelinek kizárólag az a jognyilatkozat tekinthető, amelyet a nyilatkozatot tevő fél aláírt vagy amelyet olyan formában tett meg, amely a jognyilatkozatban foglalt tartalom változatlan visszaidézésére, a nyilatkozattevő személyének és a nyilatkozat megtétele időpontjának azonosítására alkalmas. (Nem tekinthető pl. írásbelinek, a jelölőnégyzet bejelölésével megadott hozzájárulás.)

Hiába tette tehát lehetővé a GDPR 2018. május 25-től a hozzájárulás megadásának modernebb formáit is, a magyar belső jogi szabályokból eredően, azok gyakorlati alkalmazására korábban nem volt lehetőség.

IV. A hozzájárulás szabályai a GDPR „Salátatörvényt” követően

A GDPR Salátatörvény megváltoztatta a hozzájárulás szabályait. 2019. április 26-tól kikerült az írásbeliség követelménye az Eüak.-ból, és abban a hozzájárulás új formai feltételrendszere jelent meg. Jelenleg az egészségügyi adatok kezelésére hozzájárulás alapján akkor van lehetőség, ha a hozzájárulás – a GDPR által is elvárt – megfelelő tájékoztatáson alapul, önkéntes, egyértelműen kifejezett akaratot tartalmaz, és azt „a szabályszerű nyilatkozat megtételét hitelt érdemlően bizonyító módon” tették.

Megállapítható, hogy az írásbeliség követelménye ugyan eltűnt az Eüak.-ból, nem tisztázta azonban a jogalkotó, hogy milyen formában szükséges a hozzájárulást bekérni ahhoz, hogy a szabályszerű hozzájárulás megtétele hitelt érdemlően bizonyítható legyen, milyen más, – Ptk. szerinti – írásbelitől eltérő formában szükséges azt bekérni. A hitelt érdemlő bizonyíthatóság követelménye ugyan nem idegen kifejezés a magyar jogban – megjelenik pl. az adójogban, a biztosítási jogban stb. –, jelenleg azonban nem állítható fel egy olyan egységes követelményrendszer a hitelt érdemlő bizonyíthatósággal kapcsolatban, amely analógiaként alkalmazható az adatvédelemre is.

Elmondható tehát, hogy a GDPR Salátatörvény módosította az írásbeliség „törlésével” a hozzájárulás szabályait, azonban a jogalkotó nem adott iránymutatást a jogalkalmazóknak a hitelt érdemlő bizonyíthatóság feltételeivel összefüggésben. A részletes követelményeket az adatvédelem területén a joggyakorlat fogja kimunkálni, amelyet remélhetőleg a NAIH jogértelmezése is segíteni fog. Nem lehet tudni tehát egyelőre, hogy pontosan mennyivel lesz könnyebb a hozzájárulás megadása azáltal, hogy annak nem írásbelinek, hanem hitelt érdemlő módon bizonyíthatónak kell lennie.

dr. Straubinger Zsófia LL.M, ügyvéd
TechRelated
a Réti, Várszegi és Társai Ügyvédi Iroda PwC Legal technológiai jogi blogja

Megosztás