Cikkek

Ez a cikk a Magyar Fogorvosi Kamara weboldalán jelent meg.

A teljes cikket ezen a linken érhetik el: https://www.kamara.fogorvos.hu/index.php?action=login&fname=gdpr&module=login&page=1&perpage=10

Milyen feladatai vannak a fogorvosi praxisoknak az új Európai Uniós Általános Adatvédelmi Rendelet a GDPR 2018. május 25-i hatálybalépéséig?

Milyen változások lesznek, hogyan érinti ez a mindennapokat?

Dr. László Tünde, jogász, adatvédelmi szaktanácsadó tájékoztatója.

E-mailek tömkelege érkezik mostanában a praxisokba, amelyek vagy hatalmas bírságokkal fenyegetnek, vagy valamilyen szolgáltatást ajánlanak a GDPR-ral kapcsolatban. Mi is ez a GDPR és kire vonatkozik?

A GDPR a 2016/679 Európai Uniós Általános Adatvédelmi Rendelet. A rendelet mindenkire vonatkozik, aki gazdasági tevékenysége során személyes adatot kezel.

Mi lehet személyes adat? Azonosított vagy azonosítható természetes személyre vonatkozó bármely információ. Azonosítható az, akit közvetve vagy közvetlenül bármely egy vagy több adat vagy információ alapján azonosíthatunk. Így például ilyen a név, valamely szám, helymeghatározó adat, online azonosító vagy a személy testi, fiziológiai, genetikai stb. jellemzője.

A fogorvosi praxisok ráadásul speciális helyzetben vannak, mert ők a személyes adatok privilegizált fajtáját, egészségügyi adatot, úgynevezett "különleges adatot" kezelnek.

Mi tartozik a különleges adatok körébe? A különleges adatokat, mint tételes felsorolást találjuk. "Faji etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, szakszervezeti tagságra utaló adatok, valamint a természetes személyek genetikai, biometrikus adatai, az egészségügyi adatok és a szexualitásra vonatkozó adatok."

Az egészségügyi adat pedig a "természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat. Ide értve a személy számára nyújtott egészségügyi szolgáltatásokat, amelyek információt hordoznak az egészségi állapotról."

Van- e speciális előírás az egészségügyi adatok kezelésére? Ha nincs mi az minimum biztonság, amit alkalmazni kell az eü-.i adatkezelői tevékenység során? Azért, hogy érezzük, mennyire hangsúlyosan kívánja a rendelet óvni ezeket az adatokat, felvázolom a jogszabályt. A különleges személyes adatok kezelése TILOS. Ez az alaphelyzet. Ehhez képest, a kivételeket sorolja fel a 2. bekezdés. Ilyen kivétel például a gyógykezelés, vagy a kifejezett egyértelmű hozzájárulás. Ennek tükrében az egészségügyi adatkezelésnél nem a minimum kritériumokat kell megütni. A GDPR az adatkezelő kötelességeiről azt mondja, hogy megfelelő szervezeti és biztonsági intézkedéseket kell tennie. Véleményem szerint, ilyen minimum biztonsági intézkedés 2018-ban például a tárolt adatok jelszavas védelme, a felhő alapú tárolást használóknak, a megfelelő titkosítás. Ezekről a technikai megoldási lehetőségről tájékozódni kell a rendszergazdától vagy a felhőszolgáltatótól. Azt sem árt megkérdezni, hogy az Európai Unióban van-e a szerver fizikailag, ahol egészségügyi adatot tárolunk Mert ha pl: Kínában van ott nem alapértelmezett követelmény a GDPR-nak való megfelelés. Gondoskodnunk kell az adatok tárolásának biztonságáról, biztonsági mentésekről, mindezt a hosszú tárolási időnek megfelelően.

A GDPR felváltja az eddigi adatvédelmi jogszabályokat és csak ennek kell majd megfelelni?: A GDPR a jogszabályi hierarchia tetején helyezkedik el. Ez azt jelenti, hogy a hatálybalépése után ezzel ellentétes rendelkezés nem lehet, de más jogszabályok továbbra is szabályozhatnak egyes jogterületeket. Így hatályban marad pl. az eddigi 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Infó törvény), de az egészségügyi szolgáltatók adatkezelésük során még a 1997. évi XLVII. törvény az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről és a 39/2016. (XII. 21.) EMMI rendelet (EESZT rendelet) rendelkezéseit is be kell tartsák. Bár a felsorolt jogszabályok mindegyike a GDPR-nak való kötelező megfelelés miatt módosítás előtt áll.

Tényleg olyan nagy változást fog hozni a mindennapokban ez a rendelet? : A GDPR legfontosabb újítása, hogy egy átfogó, minden tevékenységünket átható adatvédelmi tudatosságot követel meg. Tehát nem egy újabb softver beszerzését és plusz néhány nyilatkozat aláíratását a páciensekkel! A követelményeknek ezzel nem teszünk eleget, a praxisokban folyó adatkezelések szempontjából pedig felesleges egy ilyen adatkezelő softver megvásárlása és feltelepítése. Ilyenek maximum a többféle eltérő jogalapon sok 10.000 személyes adatot kezelőknél indokolt. A GDPR-nak való megfeleléshez valóban tenni kell. Folyamatba épített adatvédelem, alapértelmezett adat védelem a követelmény. Ennek az elérése egy eddig az adatvédelemre, mint csak akadályozandó tényezőre gondoló vállalkozás esetében valóban nem könnyű feladat. A magyar adatvédelmi szabályok európai viszonylatban a szigorúbbak közé tartoztak eddig is. Vannak a rendeletben újdonságok, de ezek nem feltétlenül csak szigorítást jelentenek. A jogalapok tekintetében például a GDPR-nak köszönhetően az adatkezelés könnyebbé válik.

Az általánosságok után nézzük meg a fogorvosi praxisokat közvetlenül érintő kérdéseket. Hogyan kezdjen hozzá egy fogorvosi praxis a feladathoz, mit kell tenni?

A legkisebb praxistól a több alkalmazott fogorvost foglalkoztató nagy rendelőkig mindenkinek ugyan úgy kell az első lépésben eljárnia. Át kell tekinteni az adatkezelését. Ez a gyakorlatban azt jelenti, hogy végig kell vizsgálni a működését, milyen személyes adatokat kezel. Hány fajta jogalap mentén kezel adatokat? Megfelelő biztonsággal kezeli ezeket az adatokat? Kinek ad, kinek van hozzáférése ezekhez az adatokhoz? Megfelelő-e a beteg tájékoztatója, ami azt jelenti, hogy az nem csak egy kimásolt jogszabályszöveg. Adatvédelmi tisztviselőt kell kijelölni. Az adatait - nevét, elérhetőségét, telefonszámát - közzé kell tenni mint az adatkezelő adatvédelmi tisztviselőjét. Ezt az adatkezelési tájékoztatóban, ha van weboldalon kell megtenni. Lényeg, hogy az érintettek könnyen megtalálják és így adatvédelmi ügyükkel hozzá fordulhassanak. Az adatvédelmi tisztviselőnek be kell jelentkezni, mint az adatkezelő adatvédelmi tisztviselője a NAIH-nál (Nemzeti Adatvédelmi és Információszabadság Hatóság), aki nyilvántartásba veszi és adatvédelmi kérdésekben vele lép először kapcsolatba.

Beszéljünk az adatvédelmi tisztviselőről, mert ebben a kérdésben nagyon sok a bizonytalanság. Minden praxisnak ki kell jelölnie adatvédelmi tisztviselőt.

Az eddigi szabály szerint csak a húsz fő foglalkoztatotti létszám felett volt kötelező belső adatvédelmi felelőst kijelölni. A GDPR-nak megfelelően már mindenkinek, aki nagy számú egészségügyi adatot kezel, kötelező az adatvédelmi tisztviselő kijelölése.

Mit jelent pontosan a "nagy szám": A "nagy számnak" jogszabályi meghatározása nincsen. Állásfoglalásból, iránymutatásból kiolvasható, hogy betegek adatainak kezelése egy szakorvos által nem tekintendő nagy számnak. Tehát ha több orvos dolgozik egy praxisban -alkalmazottként vagy megbízási jogviszonyban - az már "nagy szám" lehet. Természetesen az egy szakorvos adatkezelésének is ugyan úgy meg kell felelnie a GDPR követelményeinek, de az adatvédelmi tisztviselő kijelölési kötelezettség alól mentesülhet. Ez viszont azt is jelenti, hogy ebben az esetben ennek a szakorvosnak, saját magának kell az adatvédelmi tisztviselő munkáját a megfelelő hozzáértéssel elvégezni.

Kinek kell biztosan adatvédelmi tisztviselőt kineveznie? Akinek legalább 200 páciense van? 200 x 5 adat =1000 adat, ez már "nagy szám"? Tudom furcsa, hogy kötelező, de mégis megfoghatatlan, hogy honnan kötelező. A nem kötelező esetekről is, azt mondja a jogszabály "más esetben ajánlott" ez sem túl kézzel fogható. Azt gondolom - és ez csak vélemény - hogy egy orvos által egyedül, egy rendelőben kezelt 300 beteg nem nagy szám. Két orvos által fejenként ugyanannyi beteg már nagy szám. Ebben az esetben, amikor több orvos, asszisztens dolgozik együtt szerintem mindenképpen indokolt.

Milyen feladatokat kell ellátnia az adatvédelmi tisztviselőnek?: Ő az adatvédelem lelke. Gyakorlatban ez azt jelenti, hogy átvizsgálja a szervezet teljes adatkezelését. Tanácsokat ad a szabályos adatkezelés megvalósításához. Ellenőrzi az adatkezelést. Elkészíti a szükséges szabályzatokat, tájékoztatókat. A Nemzeti Adatvédelmi és Információszabadság Hatóságnál a praxis oldaláról a kapcsolattartó és az esetleges eljárásokban a képviselője. Az érintettek -páciensek - panasz vagy kérdés esetén hozzá fordulhatnak, hiszen az Ő elérhetőségeit kell feltüntetni, közzétenni, ahogy arra előzetesen már kitértem. A NAIH weboldalán on-line be lehet jelenteni az adatvédelmi tisztviselőt.

Ki lehet adatvédelmi tisztviselő?: Az adatvédelmi tisztviselői intézmény elődje a jogász végzettségű belső adatvédelmi felelős volt. A GDPR már nem követeli meg a jogász végzettséget, de a rátermettséget, a releváns szakmai ismereteket és az alkalmasságot igen. Nem sok értelmét látom kinevezni egy hozzá nem értőt csak, hogy a sok feladatból egyet kipipálhassunk, hiszen az adatvédelemmel kapcsolatos szakmai munkát az adatvédelmi tisztviselő [MHÁ1] végzi.[MHÁ2] Az adatvédelmi feladatok jogi ismereteket kívánnak meg. A praxisokban való adatkezelések megismerése után, a szükséges, elvégzendő IT feladatokat az adatvédelmi tisztviselő vagy az adatvédelmi tanácsadó meg tudja határozni a rendszergazda számára. Mostanában sok tanfolyamról lehet hallani, amely akkreditált képzést nyújt, de valójában nem létezik adatvédelmi tisztviselő végzettség. Szakértő tanácsot jogásztól kaphat az ember adatvédelmi kérdésekben. Ezek közül a tanfolyamok közül vannak nagyon színvonalasak, de egy 1-2 napos képzés nem tud olyan mélységi ismereteket nyújtani, amely elegendő lenne a feladatok teljes körű megoldásához.

Az adatvédelmi tisztviselő nem kell, hogy az alkalmazottunk legyen. Megbízási jogviszony keretében kijelölhetjük a megfelelő személyt. Több fogorvosi praxis is kijelölheti ugyanazt a személyt. Bár minden praxis önálló felelősséggel bíró adatkezelő, lehet ugyanaz az adatvédelmi tisztviselőjük.

Van-e adatvédelmi szempontból különbség a "TB" támogatott ellátást végző orvosok adatkezelése és a magán praxisok között?

Nincs. Az adatvédelmi szabályok mindenkire ugyanúgy érvényesek. Egyetlen különbséget látok csak, a fogtechnikusnak történő adattovábbításnál.

Hogyan adhat át egy praxis egészségügyi adatot - harmadik félnek - a fogtechnikusnak?

A "TB" finanszírozott ellátásnál nincs probléma. A fogtechnikus ugyanúgy a NEAK szerződött partnere, jogszabály alapján továbbítható neki az adat. Magán praxisnál azonban más a helyzet. A fogtechnikus ugyanis jogilag, nem a betegellátó hálózat része, hanem harmadik fél. Az adat, részére csak külön felhatalmazás alapján továbbítható. Erre két viszonylag egyszerű megoldást tudok javasolni. A fogtechnikussal kötött általános szerződésünkben mindenképpen térjünk ki a titoktartás kérdésére vagy a meglevő szerződést egészítsük ki ezzel. Az adattovábbításról informáljuk a beteget. A másik megoldás pedig az lehet, hogy a fogtechnikusnak adott munkalap nem tartalmaz személyes adatot. Vigyázat! A név önmagában is lehet személyes adat! Csak a fogászati feladat leírása pl: monogrammal, általunk generált azonosítóval - nem TAJ számmal - már tökéletesen megfelelő.

Magán praxis esetén kell-e adatfeldolgozási szerződést kötni a fogtechnikussal, a könyvelővel, vagy a honlap és e-mail szolgáltatóval, őket meg kell-e jelölni valahol? A fogorvosi praxisoknak valószínűleg van egy szerződése ezekkel a szolgáltatókkal. Ezt lehet, kell kibővíteni az adatok átadásával kapcsolatos megállapodással. Ha adattovábbítás történik a részükre nevesíteni kell őket a tájékoztatóban.

A GDPR a "lehető legkevesebb adatot tároljunk" szemlélete ellentétben áll az egészségügyi adatkezelés hosszú iratmegőrzési kötelezettségével. Melyik lesz a döntő?

Az egészségügyi adatkezelésről szóló törvény egészségügyi adatok megőrzéséről szóló részei szerint kell eljárni! Nehogy valaki elkezdjen a GDPR-nak való megfelelés szándékával leleteket megsemmisíteni. Az egészségügyben folytatott adatkezelés szinte mindig a kivételek közé tartozik. Mondok egy egyszerű példát: Amikor önként bejön a rendelőbe egy beteg, az adatainak a gyógykezelése céljából történő kezeléséhez nem kell a hozzájárulását kérnünk. Semmiféle hozzájáruló nyilatkozat nem kell! Az ágazati jogszabályunk ugyanis azt mondja, hogy az adatkezeléshez a hozzájárulást megadottnak tekinti. Figyelem! A marketing célú adatkezeléshez már nem! Csak a gyógykezelés céljából történő adatkezeléshez. De ahhoz igen.

Kell-e hozzájárulást kérni valamire betegektől, akár közfinanszírozott ellátás akár magánrendelés esetén?

A gyógykezelési célú adatkezeléshez nem kell hozzájárulást kérni. Ha marketing célból szeretnénk megkeresni - hírlevél, reklám - kell a hozzájárulása. A nevének, címének a számlán való feltüntetéséhez szintén nem kell hozzájárulás, mert ezt is jogszabályi felhatalmazás alapján kezeljük. Mindenféle fényképfelvétel készítéséhez kell a hozzájárulás. Hozzájárulás kell ahhoz is, amikor egy látványos kezelés eredményét szeretnénk publikálni. (előtte-utána fotók)

A munkavállalói adatok kezelésére is vonatkozik a GDPR?

Igen.

A GDPR papír alapú dokumentumokra is vonatkozik?

Igen. Nem tesz különbséget papíralapú és elektronikus adattároló között. Ha a papír alapú rendszere kereshető pl: ABC sorrendben van, akkor vonatkozik rá.

Van valami teendő a számítógépes rendszereinkkel kapcsolatban?

Mint minden feladat ez is egyénre szabott. Meg kell vizsgálni a hozzáférési jogosultságokat. Ki, milyen módon fér hozzá az adatokhoz. Gondoskodni kell a biztonságos adattárolásról. Jelszavas védelem és szükséges esetben titkosítás kell. A felhőben[MHÁ3] való adattárolás sincs kizárva, a megfelelő titkosítással és jelszavas védelemmel. Az adatvédelmi tisztviselő részletesen el tudja mondani követelményeket a rendszergazdának. Általánosságban arra hívnám fel a figyelmet, hogy a felhő alapú tárolásnál ellenőrizni érdemes a tárolási helyet. Ha az Európai Unión kívül van a szerver park, az oda való egészségügyi adattovábbítást kerülni kell.

Milyen szabályok vonatkoznak a kamerákra?

A kamerás megfigyelés valóban nagyon érzékeny terület. Úgy gondolom, hogy ezt a fajta megfigyelést nagyon erősen korlátozzák. Közterületet nem figyelhetünk vele. Munkavállaló munkavégzését nem ellenőrizhetjük vele. A hangrögzítést nagyon, nagyon erősen meg kell indokolnunk. Részletes tájékoztatót kell kihelyeznünk. Az "itt kamera rendszer működik" felirat semmire sem elég. [MHÁ4] A NAIH sokat foglalkozott a kérdéssel. A weboldalukon az ezzel kapcsolatos állásfoglalások megtalálhatóak. A gyakorlatban leggyakrabban felmerülő kérdések: Öltözőben, ebédlőben, mellékhelyiségben, nem helyezhető el kamera. Orvosi váróban nem helyezhető el kamera. A kamera felvételeit 3 nap után törölni kell, csak indokolt estben lehet tovább őrizni. Például ha lopás történt és bizonyítékként őrzöm. Az, hogy talán történt valami, ami 2 hét múlva fog kiderülni és szeretném ellenőrizni, nem elégséges indok.

Fényképfelvételek [MHÁ5] tárolása vonatkozó szabályok: A fénykép, "képmás" személyes adat. Készítéséhez, tárolásához, különösen felhasználásához jogalapra van szükségünk. Ez lehet például hozzájárulás (írásban) de ennek önkéntesnek, kifejezettnek és egyértelműnek kell lenni.

Van- e külön jogszabály a kamera használatra, különösen egészségügyi intézményre vonatkozóan? Orvosi rendelő várójában nem helyezhető el kamera. Képzeljük el, hogy ülünk egy váróban. Ki melyik rendelésre várakozik? Belgyógyászat? Bőr és nemi beteg gondozó? Ezzel a példával talán érezzük, hogy egy váróban lévő kamera, igen is szolgáltat egészségügyi állapotra vonatkozó adatot.

Kell-e adatvédelmi tájékoztatót kifüggeszteni a rendelőben vagy kitenni a honlapra? Mind kettő jó megoldás, akár párhuzamosan is. A tájékoztatót "könnyen elérhetővé kell tenni"

Ha igen, milyen legyen ez és hol legyen elhelyezve? Érdemesebb a bővebb, minden szükséges információt tartalmazó tájékoztatónkat kifüggeszteni a váróban, a recepción és a weboldalunkon (ha van). Mivel a fő tevékenységet nem a neten végezzük a váróban mindenképpen ki kell tenni, nem elég a honlapra. Ha a gyógykezeléstől eltérő céllal kívánunk adatot gyűjteni kezelni, pl: hírlevél, akkor az adatok elkérésekor ugyanezen a nyomtatványon az erre az adatkezelésre vonatkozó tájékoztatásnak is ott kell lenni. Ki az adatkezelő, miért gyűjtjük, meddig tároljuk, kinek adjuk át, milyen jogai vannak pl: kérésre bármikor töröljük. (ez egy rövidített adatkezelési tájékoztató lesz)

Ha honlapon történő közzététel szükséges, akkor mi a helyzet azoknál a praxisoknál, akik nem rendelkeznek honlappal? Ha nem rendelkezik valaki honlappal, akkor kifüggeszti a váróban a tájékozatót.

Milyen szabályzatokat kell készíteni és milyen nyilvántartásokat kell vezetni a GDPR kapcsán? Adatkezelési tájékoztatót mindenképpen el kell készíteni és közzétenni. Újra hangsúlyozom, nem jó, nem elég a jogszabályszöveget kimásolni, mert abból nem derül ki majdnem semmi az adatkezelésről. A jogszabály sorvezetőnek jó, hogy mikre kell kitérnünk. De az adatkezelési tájékoztatónak pontos válaszokat kell adni, nem csak általánosságokat tartalmaznia.

Hogyan foglalható össze pár mondatban a legfontosabbakat?

Minden fogorvosi praxis önálló adatkezelő, önálló felelősséggel. Tekintse át mindenki az adatkezelését. Végezze el a szükséges módosításokat, kiegészítéseket. Ha szükséges jelölje ki az adatvédelmi tisztviselőjét. Tegyen közzé adatkezelési tájékoztatót.

Remélem ezzel a rövid tájékoztatóval tudtam egy kis segítséget nyújtani. Mivel minden praxisban máshogy folyik az adatkezelés, az adatvédelmi feladatok is eltérőek. 

Milyen változások lesznek, hogyan érinti ez a mindennapokat?

Dr. László Tünde, jogász, adatvédelmi szaktanácsadó a www.ujadatvedelem.hu létrehozója, válaszol a kérdésekre.

Kire vonatkozik a GDPR? Az első és legfontosabb, hogy mindenkire vonatkozik a rendelet, aki gazdasági tevékenysége során személyes adatot kezel. Az egészségügyi szolgáltatók ráadásul speciális helyzetben vannak, mert ők a személyes adatok privilegizált fajtáját, úgynevezett "különleges adatot" kezelnek.

Kit értünk egészségügyi szolgáltatón?: A GDPR fogalomrendszerében - leegyszerűsítve - egészségügyi szolgáltató alatt értendő minden vállalkozás, aki egészségügyi személyes adatot kezel. Ilyen minden orvosi praxis, és ilyenek az egészségügyi termékeket forgalmazó cégek is.

A GDPR felváltja az eddigi adatvédelmi jogszabályokat és csak ennek kell majd megfelelni?: A GDPR a jogszabályi hierarchia tetején helyezkedik el. Ez azt jelenti, hogy a hatálybalépése után ezzel ellentétes rendelkezés nem lehet, de más jogszabályok továbbra is szabályozhatnak egyes jogterületeket. Így hatályban marad pl. az eddigi 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Infó törvény), de az egészségügyi szolgáltatók adatkezelésük során még a 1997. évi XLVII. törvény az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről és 39/2016. (XII. 21.) EMMI rendelet (EESZT rendelet) rendelkezéseit is be kell tartsák. Bár a felsorolt jogszabályok mindegyike a GDPR-nak való kötelező megfelelés miatt módosítás előtt áll.

Minden orvosi praxisnak és egészségügyi termékeket forgalmazó cégnek adatvédelmi tisztviselőt kell kineveznie? Igen. Az Infó. törvényben ez még csak a húsz fő foglalkoztatotti létszám felett volt kötelező, de a GDPR-nak megfelelően már mindenkinek, aki nagy számú egészségügyi adatot kezel, kötelező az adatvédelmi tisztviselő kijelölése.

Milyen feladatokat kell ellátnia az adatvédelmi tisztviselőnek?: Át kell vizsgálni a szervezet teljes adatkezelését. Tanácsokat kell adnia a szabályos adatkezelés megvalósításához. A megvalósulást ellenőriznie kell. Új adatkezelések esetén adatvédelmi hatásvizsgálatot kell lefolytatnia. A Nemzeti Adatvédelmi és Információszabadság Hatóságnál a cég kapcsolattartója és az esetleges eljárásokban a képviselője. Az érintettek, panasz vagy kérdés esetén hozzá fordulhatnak, hiszen az Ő elérhetőségeit kell feltüntetni az adatkezelések során.

Ki lehet adatvédelmi tisztviselő?: Az adatvédelmi tisztviselői intézmény elődje a jogász végzettségű belső adatvédelmi felelős volt. A GDPR már nem követeli meg a jogász végzettséget, de a rátermettséget, a releváns szakmai ismereteket és az alkalmasságot igen. A fentebb felsorolt feladatokat el kell tudnia látni! Nem sok értelmét látom kinevezni egy hozzá nem értőt csak, hogy a sok feladatból egyet kipipálhassunk.

Tényleg olyan nagy változást fog hozni a mindennapokban ez a rendelet? : A GDPR legfontosabb újítása, hogy egy átfogó, minden tevékenységünket átható adatvédelmi tudatosságot követel meg. Ennek az elérése egy eddig az adatvédelemre, mint csak akadályozandó tényezőre gondoló vállalkozás esetében valóban nem könnyű feladat. A magyar adatvédelmi szabályok európai viszonylatban a szigorúbbak közé tartoztak eddig is. Van a rendeletben újdonság ehhez képest is, de ezek nem feltétlenül csak is szigorítást jelentenek. Például az adatkezelés jogalapját mindenképpen még az adatgyűjtés megkezdése előtt meg kell határozni. A GDPR-nak köszönhetően azonban ez jelentősen kibővül, könnyebbé válik. Már nem csak hozzájárulás alapján lehet adatot gyűjteni - ami valljuk be sokszor teljesen alaptalan volt - hanem például jogszabályi kötelezettségeinkre, vagy a köztünk lévő szerződésre hivatkozva is.

Mi az, amit mindenképpen meg kell tennünk május 25-ig? Első lépésként át kell vizsgálni minden adatkezelésünket, amelyben személyes adatot kezelünk. Minden egyes adatkezelésnek meg kell határozni a jogalapját, meg kell neveznünk az időpontot, ameddig tárolni kívánjuk ezeket az adatokat és miért. A GDPR elsősorban adattakarékosságot követel. Minél kevesebb személyes adatot tároljunk, minél rövidebb ideig. Át kell nézni az adatkezelési tájékoztatónkat és valószínűleg aktualizálni is kell a GDPR-nak megfelelően. Az érintetti jogok például jelentősen megváltoztak, az erről szóló felvilágosítást mindenképpen be kell illeszteni a tájékoztatóba. Szeretném felhívni a figyelmet, hogy azok, akik weboldalt üzemeltetnek és ott esetlegesen viselkedés alapú reklámot alkalmaznak, és adatkezelők számos plusz tennivaló előtt állnak.

A határidő közeleg. Egészségügyi szolgáltatóként, én mindenek előtt megkeresnék egy adatvédelmi tanácsadót, aki átvizsgálja, rendbe teszi az adatkezeléseimet, elkészíti az adatkezelési tájékoztatókat, szabályzatokat. A kezelt adatok mennyisége, havi szinten elvégzendő újabb feladatok és a várható adatvédelmi kockázatok tükrében vagy őt, vagy akár cégen belül más alkalmas személyt adatvédelmi tisztviselőnek jelölnék.