Mi a közös az emberi szövetmintákban, az orvosi titokban és a gyermekrajzokban? – szelvények az adatvédelem köréből

Mi a közös az emberi szövetmintákban, az orvosi titokban és a gyermekrajzokban? Mi a helyzet a kiskorúakkal? És a különleges adatokkal? Ilyen és ehhez hasonló kérdésekre keresem a választ cikkemben.

A személyes adataink védelméhez való jog az élet számos területét átszövi, manapság lehetetlen nem belebotlani, hiszen a fogorvostól egészen az internetes vásárláson át még a röntgenbe is elkísér bennünket. Mindenki találkozott már vele, de teljesen senki sem tudja, hogy mi az.

Háttér

Személyes adataink védelméhez való jog olyan alapvető jog, amely minden természetes személyt megillet.

Elsőként az Emberi Jogok Európai Egyezménye részesítette a személyes adatok védelméhez fűződő jogot oltalomban, mint a magán-és családi élet, a lakás és a levelezés tiszteletben tartásához való jog részjogosultsága, majd az első nemzetközi, jogilag is kötelező erejű, kifejezetten adatvédelemmel foglalkozó szabályozás 1981-ben született meg az Európa Tanács égisze alatt.

Az Európai Unión belül kezdetben az Európai Parlament és a Tanács 95/46/EK irányelve a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (az Adatvédelmi Irányelv) szabályozta az adatvédelmet.

Jelenleg az Európai Parlament és a Tanács (EU) 2016/679 rendelete, az Általános adatvédelmi rendelet (továbbiakban: GDPR) rendelkezik a személyes adataink védelméről.

Hazánkban az elsődleges, uniós szabályozás mellett számos másodlagos szabályozás érvényesül, ilyen például Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Info tv.) vagy Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (továbbiakban: Eker tv.).

Mi minősül személyes adatnak?

Az Általános adatvédelmi rendelet értelmében személyes adatnak minősül az azonosított vagy azonosítható természetes személyre vonatkozó bármely információ. Mit jelent ez a gyakorlatban?

Azonosíthatónak általánosságban akkor tekinthető egy természetes személy, ha a személyek egy csoportján belül a csoport valamennyi tagjától elkülöníthető, azaz bír olyan tulajdonsággal, amely alapján könnyedén beazonosítható. Példaként szolgálhatnak a személy megjelenésének külső jegyei, mint például a magassága, a hajszíne, a ruházata stb., vagy a személy olyan tulajdonsága is, amelyet nem lehet azonnal érzékelni, mint például a hivatása, vagy ezek kombinációja. Egy adott személyt azonosítani lehet közvetlenül a neve, míg közvetett módon a telefonszáma, autója rendszáma, társadalombiztosítási száma, útlevélszáma révén. Ez utóbbiakat együttesen azonosítóknak nevezzük.

Speciális azonosítók a biometrikus adatok, amelyek egyaránt minősülnek azonosítónak és az egyénre vonatkozó információ tartalmának. Biometrikus adatok az ujjlenyomatok, a retinaminták, az arcstruktúra, a hangok, de a kezek geometriája, az erezet mintázata vagy akár valamely mélyen rögzült képesség vagy egyéb viselkedési jellegzetesség is, mint például a kézi aláírás, a gépelés módja, a jellegzetes járás vagy beszéd.

Biometrikus adatok nyerhetőek ki az emberi szövetmintákból, azonban önmagukban nem minősölnek biometrikus adatnak. Ellenben a mintákból nyert információk személyes adatok gyűjtésének minősül, így a rendelet hatálya alá tartoznak.

Gyermekrajzok

Jelenlegi joggyakorlat tükrében személyes adatnak minősülnek bizonyos gyermekrajzok is. Egy gyermekelhelyezési perben benyújtott, egy kislány által a neuropszichiátriai vizsgálat során a családjáról készített rajz az azon keresztül feltárt egészségügyi és családi élettel kapcsolatos információk okán a bíróság döntése értelmében személyes adatnak minősült, így az esetben érintett szülők gyakorolhatták egyedi információhoz való hozzáféréshez jogukat.

A kislány által készített rajz olyan jelentős információkkal szolgált a kislány kedélyállapotáról és a család különböző tagjai iránti érzéseiről, mely alapján egyértelműen az Általános adatvédelmi rendelet hatálya volt megállapítható.

Mi a helyzet a pszeudonimizált, valamint az anonim adatokkal?

A pszeudonimizálás (álnevesítés) a személyazonosság elrejtésének folyamata, amely célja, hogy ugyanazon személyre vonatkozóan további adatokat lehessen gyűjteni anélkül, hogy személyazonossága ismertté válna.

Azonban ez nem egy anonimizálási módszer, hanem csupán egy biztonsági intézkedés, amely során az adott adatállomány az érintett személy személyazonosságával való összekapcsolhatóságának esélyét csökkenti. A pszeudo anonim adatok esetében a személyek közvetve azonosíthatóak, így ennélfogva a rendelet hatálya alá tartoznak. Közvetett azonosíthatóságuknál fogva vissza lehet jutni az egyénhez oly módon, hogy az egyén személyazonossága felfedhetővé váljon, de csak előre meghatározott körülmények között.

Manapság főként kutatások és statisztikai felmérések terén alkalmazzák ezt az eljárást, leginkább a gyógyszeriparban. A gyógyszereket tesztelő szakemberek ugyanis az egyes vizsgálati alanyokat különböző kódokkal jelölik meg, és a kapott klinikai eredményeket e kódok felhasználásával juttatják tovább az érintett személyeknek. Abban az esetben, ha a tesztelés alatt álló gyógyszerek valamelyikéről kiderülne, hogy veszélyes, akkor a beteg azonosítását követően lehetőség van arra, hogy a megfelelő kezelésben részesüljön.

A pszeudo anonim adatokkal ellentétben az anonimizált adatok olyan korábban azonosítható személyre vonatkozó adatok, melyek esetében az azonosítás többé már nem lehetséges, így azok az adatvédelmi jogszabályok hatálya alá nem tartoznak. Bár az ilyen adatok nem részesülnek adatvédelmi oltalomban, egyéb rendeletek az érintetteknek más jogokat biztosítanak a védelemre. Ilyen jog például a közlések titkosságának védelme.

Kiskorúak

A rendelet az egyes személyes adatokat azok jellegüktől függően eltérő védelemben részesíti.

Különös védelemben részesülnek a kiskorúak személyes adatai tekintettel arra, hogy életkorukból fakadóan kevésbé vannak tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel, az azokhoz kapcsolódó garanciákkal és jogosultságokkal. Ezt a különös védelmet főként a gyermekek személyes adatainak olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermekek személyes adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő gyűjtésére.

Esetükben szülői hozzájárulás szükséges adataik kezeléséhez. A hozzájárulás szükségessége életkorhoz kötött, mely tagállamonként eltér. Míg az Egyesült Királyságban és Írországban 13. életévet betöltött kiskorúak esetében a személyes adataik kezeléséhez már nem szükséges a szülői hozzájárulás, addig Magyarországon és Hollandiában a 16. életév betöltéséhez köti a jogalkotó e hozzájárulás szükségességének elhagyását.

Mindössze egyetlen egy esetben mellőzhető életkortól függetlenül ez a hozzájárulás, amennyiben a közvetlenül a gyermek részére nyújtott szolgáltatás megelőzési és tanácsadási jelleggel történik.

További kritérium, hogy a kifejezetten gyermekekre vonatkozó adatkezelés vonatkozásában minden információt és kommunikációt olyan világos és közérthető nyelven kell megfogalmazni, amelyet a gyermek könnyen megért.

A szabályozás jelentőségét mutatja, hogy a GDPR hatályba lépése óta a valaha volt második legmagasabb bírságot (162 milliárd Forint) a kiskorúak adatainak védelmére vonatkozó szabályozás megsértése végett szabta ki Az Ír Adatvédelmi Hatóság (DPA) az Instagrammal szemben. Az érintett közösségi médiafelület megsértette a személyes adatok kezelésére vonatkozó jogszerű, tisztességes és átláthatóság, valamint az adatminimalizálás elvét többek között azzal, hogy az annak üzleti fiók funkcióját használó gyermekek e-mail címének és/vagy telefonszámának nyilvános közzétételét engedélyezte.

Hazánkban is folyamatosan számottevő kérelem érkezik a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felé kiskorúak adatainak védelmére vonatkozó szabályozás megsértésére vonatkozólag. A hatóság emellett hivatalból is folytat le vizsgálatokat. Legutóbb 2023. áprilisában a NAIH hivatalból folytatott vizsgálata szintén a kiskorúak adatainak védelmére vonatkozó szabályozás érvényesülésére irányult, melyben az életmentő inkubátorban elhelyezett ismeretlen szülőktől származó gyermekek nyilvánosságra hozott neveinek megváltoztatását, így személyük azonosíthatóságának védelmét szolgálta.

A különleges adatok védelme

A GDPR a kiskorúak adatainak védelménél magasabb szintű oltalomban részesíti a különleges vagy másnéven szenzitív adatokat.

Szenzitív adatnak minősül a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.

Az ilyen adatok nem kezelhetők. Az adatkezelési tilalomtól való eltérés bizonyos esetekben mégis megengedett. Ilyen például, ha az érintett kifejezett hozzájárulását adja, ha az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, és az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni, vagy ha arról tagállami vagy uniós jog rendelkezik. Ez utóbbi esetben feltétel, hogy megfelelő garanciák mellett kerüljön sor a kezelésükre más alapvető jogok védelme, valamint a közérdek (nyugdíj, fertőző betegségek) érdekében.

Ha az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott, akkor abban az esetben sem szükséges az érintett személy személyes hozzájárulását az adatkezelőnek megszereznie.

Érdekesség, hogy a különleges adatok kezelésének feltételeire vonatkozó szabályokat kell alkalmazni a bűnügyi személyes adatok kezelése esetén, ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa ettől eltérően nem rendelkezik. Az Infotv. értelmében a személyes adatok bűnüldözési, nemzetbiztonsági és honvédelmi célú kezelésére e törvény rendelkezései az irányadóak.

Az igazságszolgáltatási tevékenység másik nagy területén, a civilisztikai ügyszakban végzett személyes adatok kezelése kapcsán egyébként – ellentétben a bűnügyi személyes adatok kezelésével- a GDPR szabályai az irányadók.

Egészségügyi adatok

Az Általános adatvédelmi rendelet értelmében a tagállamok további feltételeket – köztük korlátozásokat – tarthatnak hatályban, illetve vezethetnek be a genetikai adatok, a biometrikus adatok és az egészségügyi adatok kezelésére vonatkozóan.

Hazánkban az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről szóló 1997. évi XLVII. törvény tartalmazza az egészségügyi adatok kezelésére vonatkozó részletszabályokat.

Az egészségügyi személyes adatok, mint különleges adatok közé tartoznak az érintett egészségi állapotára vonatkozó olyan adatok, amelyek információt hordoznak az érintett múltbeli, jelenlegi vagy jövőbeli testi vagy pszichikai egészségi állapotáról. Ide tartoznak többek között például az érintett betegségével, fogyatékosságával, betegségkockázatával, kórtörténetével, klinikai kezelésével vagy fiziológiai vagy orvosbiológiai állapotával kapcsolatos információ, függetlenül annak forrásától, amely lehet például orvos vagy egyéb egészségügyi dolgozó, kórház, orvostechnikai eszköz vagy in vitro diagnosztikai teszt.

Az ilyen adatokat a hazai szabályozás értelmében kizárólag 30 évig lehetséges tárolni (zárójelentések esetében ez 50 év), ezt követően meg kell semmisíteni őket. Kivételt képeznek a kutatások, statisztikák során felhasznált adatok.

Az egészségügyi adatok védelméhez számos részjogosultság kapcsolódik, ilyen például a hozzáférés és betekintés joga. E részjogosultságok – ha törvény eltérően nem rendelkezik- kizárólag az érintetteket, valamint az érintettek által írásban meghatalmazott személyeket illeti meg, tehát az orvosi titok körébe tartozó egészégügyi, valamint személyazonosító adatok megismerésére csak e személyi kör jogosult, így kizárólag csak ők tekinthetnek bele az egészségügyi dokumentációba, illetve kaphatnak arról másolatot, felvilágosítást. Meghatalmazás hiányában az érintett személy egészségi állapotáról semmilyen formában – tehát telefonon keresztül sem- adható tájékoztatás, illetve egyéb információ harmadik személy részére.

Összegzés

A különböző adatvédelmi rendelkezések és a hozzájuk kapcsolódó joggyakorlatok mindamellett, hogy megmutatják az élet és a jog tudományának szimbiózisát, rávilágítanak arra a tényre is, hogy mennyire is fontos az,  hogy jogainkkal tisztában legyünk és tudjunk azokkal megfelelően élni.

Ez a cikk az Arsboni 2023. tavaszi gyakornoki programjának keretében készült.

Források

Általános adatvédelmi rendelet – GDPR

Európai Parlament és Tanács 2016/679 rendelete és 2009/136 EK irányelve

2003. évi C. tv. az Elektronikus hírközlésről

C-673/17. sz. ügy

2011. évi CXII.tv.

2018. évi XXXVIII. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek az Európai Unió adatvédelmi reformjával összefüggő módosításáról, valamint más kapcsolódó törvények módosításáról

1997. évi XLVII. törvény az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről

1997. évi CLIV. törvény az egészségügyről

NAIH 2023.április 23. napján, Budapesten közétett közleménye a kórházak babamentő inkubátoraiban elhelyezett, ismeretlen szülőktől származó gyermekek nyilvánosságra hozott neveinek megváltoztatásával kapcsolatban

https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/sensitive-data/what-personal-data-considered-sensitive_hu

https://europa.eu/youreurope/citizens/consumers/internet-telecoms/data-protection-online-privacy/index_hu.htm

https://commission.europa.eu/law/law-topic/data-protection/reform/what-personal-data_en

https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_hu.pdf

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.