GDPR a fogászatban 2. - Fogalmak
Ahhoz, hogy a „GDPR” rendeletről egy nyelven beszéljünk egymás közt és a hatóságok irányába, elengedhetetlen az EU-s terminológia megismerése és az abban szereplő fogalmak gyakorlati értelmezése.
Tekintsük át a 2018. május 25-én életbe lépő általános adatvédelmi rendelet (EU 2016/679, GDPR: General Data Protection Regulation) alapvető fogalmait:
Személyes adat: természetes személyre vonatkozó bármely információ, ha közvetlenül, vagy közvetve azonosítható az a személy, akihez tartozik.
Lehet ez például név, cím, telefonszám, születési idő, röntgenfelvétel, egészségi állapot, vagy bármi más, ha egyértelműen azonosítható a tulajdonosa, akár nevével, TAJ számával, kóddal, fotóval, stb..
Egészségügyi adat (a különleges személyes adatok körébe tartozik): egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a számára nyújtott egészségügyi szolgáltatásokra vonatkozó adatokat is, amely információt hordoz egészségi állapotáról.
Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet (rögzítés, lekérdezés, betekintés, felhasználás, közlés, továbbítás, törlés, megsemmisítés, stb.
A rendelet tehát nem tesz különbséget a papír alapú, manuális adatkezelés és az informatikai, számítástechnikai megoldások közt!
Adatkezelő: az a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit meghatározza.
Esetünkben ez a Fogászat. Általában mint elnevezése is mutatja, az Adatkezelő végzi az adatok kezelését is (kartonozás, ambuláns napló vezetése, felvételek készítése és tárolása), de ez nem minden esetben van így: pl. a munkaügyi adatok kezelésének csak a célját (pl. bérszámfejtés) határozza meg az Adatkezelő, de magát az adatkezelést egy szerződött könyvelővel végezteti, vagy személyes adatokkal is ellátott munkalapokat ad át a fogtechnikának.
Adatfeldolgozó: az a természetes vagy jogi személy, amely az adatkezelő nevében személyes adatokat kezel.
Ide tartoznak az előző példában említett könyvelő, fogtechnikus. De ugyanígy ide sorolhatók a felhőben, vagy a saját szervergépen üzemeltetett betegnyilvántartó szoftvert szolgáltató informatikai vállalkozások. Ez esetben a legpraktikusabb megoldás, ha az Adatfeldolgozóval meglévő szerződésünket kiegészítjük egy garancianyújtási kötelezettséggel, miszerint ők nyilatkoznak, hogy teljesítik az EU 2016/679 adatvédelmi rendelet előírásait. Célszerű ebbe a szerződés-kiegészítésbe az ő saját alkalmazotti körükben a személyes adatokra vonatkozó titoktartási kötelezettséget is belevenni.
Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló, egyértelmű kinyilvánítása, amellyel jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.
Nem minden adatkezelési cél esetében van szükség az érintett hozzájáruló nyilatkozatára! Ha az adatkezelés jogszerűsége más jogalapon igazolható (következő hírlevelünkben részletezzük), akkor a hozzájárulás beszerzése nem szükséges.
Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Az operatív feladatok leginkább egy incidens bekövetkezésekor hárulnak ránk: 72 órán belül az ellenőrző hatóságnál (NAIH) be kell jelentenünk az incidens megtörténtét és hozzávetőleges körülményeit. Ilyen incidens lehet, ha adatainkat súlyos, visszaállíthatatlan sérülés éri pl. megsérült adathordozó, vagy tűzeset (ilyenkor számolnunk kell azzal, hogy pácienseink előbb-utóbb hiányolni fogják kórtörténetük rendelkezésre állását). Incidensnek számít, ha egy páciens panaszt tesz, miszerint személyes (főleg egészségügyi) adatait illetéktelen helyre továbbítottuk (pl. téves e-mail címre), vagy hozzájárulása nélkül használtuk fel elérési adatait arra, hogy kéretlen reklámokat küldünk neki.
Ugyanilyen incidensnek számít, ha személyes adatokat is tartalmazó laptopunkat, USB-pendrájvunkat, mobil telefonunkat elveszítjük, vagy ellopják. Józan ésszel ilyenkor mérlegelhetjük: milyen valószínűsége van ebből egy valós incidens bekövetkezésének? A rendelet szerint persze a mérlegelés nem jó gyakorlat, de egy vállalkozás vezetőjeként mindig is hozzászoktunk, hogy döntéseink kockázattal járnak. … No comment
Miben tudunk segíteni? A partnereink által jól ismert fogászati Minőségügyi Rendszerekhez hasonlóan a maximum 2 székes és 5 akalmazottnál nem nagyobb rendelők számára egységes szerkezetű, rendelőre szabott GDPR–kompatibilis Adatkezelési rendszert és dokumentáció csomagot dolgozunk ki mind a manuális mind a számítógépes betegnyilvántartást és -kommunikációt használó fogászatok számára.