Az érintettek GDPR szerinti hozzáférési joga (a személyes adatokat tartalmazó dokumentumokról való másolat rendelkezésre bocsátása) kapcsán nemrég fontos ítéletet hozott az Európai Unió Bírósága.
A C‑307/22. számú ügy tanulságait az alábbiakban foglaljuk össze.
Ennek nyomán az egészségügyi szolgáltatóknak érdemes felülvizsgálni a páciensek adatvédelmi jogainak gyakorlásával kapcsolatos szabályzataikat, hogy megfelelően tükrözik-e az Európai Unió Bíróságának és a NAIH-nak a gyakorlatát.
1. Mi történt?
Egy páciens az egészségügyi dokumentációjának másolatát kérte fogorvosától a fogorvosi ellátások részére történő nyújtása során állítólagosan elkövetett hibákért való felelősség megállapítása érdekében. A fogorvos azonban azt kérte, hogy a páciens a német jogban előírtaknak megfelelően viselje az egészségügyi dokumentáció másolatának rendelkezésre bocsátásával kapcsolatos költségeket.
A Német Polgári Törvénykönyv (Bürgerliches Gesetzbuch – BGB) 630 g. § (2) bekezdésének első mondata alapján a páciens kérheti az egészségügyi aktájának elektronikus másolatait. A törvény indokolására tekintettel ezt úgy kell értelmezni, hogy a páciens választása szerint fizikai vagy elektronikus másolatokat kérhet. A BGB 630 g. § (2) bekezdésének második mondata előírja, hogy a páciens köteles megtéríteni a kezelőorvos részére a felmerült költségeket.
A páciens azonban úgy vélte, hogy jogosult ingyenes másolatra, ezért a német bíróságokhoz fordult.
2. Az Európai Unió Bíróságának ítélete
Ítéletében az Európai Unió Bírósága emlékeztet arra, hogy
az adatkezelő csak akkor követelhet díjfizetést, ha az érintett már díjmentesen megkapta az adatainak első másolatát, és ezt követően ismét erre irányuló kérelmet nyújtott be.
A fogorvos adatkezelőként ezért köteles lenne a páciense adatainak első másolatát díjmentesen az utóbbi rendelkezésére bocsátani. A páciens nem köteles megindokolni a kérelmét.
A tagállami szabályok még a kezelőorvosok üzleti érdekeinek védelme érdekében sem háríthatják a páciensre az egészségügyi dokumentációja első másolatának költségeit.
A páciensnek tehát joga van arra, hogy megkapja az egészségügyi dokumentációjában szereplő dokumentumok teljes másolatát, amennyiben ez szükséges az e dokumentumokban szereplő személyes adatok kezelésének megértéséhez. Ez a jog magában foglalja az egészségügyi dokumentáció olyan információkat tartalmazó adatainak másolatát, mint a diagnózis, a vizsgálati leletek, a kezelőorvosok véleményei, valamint az érintetten végzett bármely kezelés vagy beavatkozás.
3. Mit mond a magyar szabályozás?
Magyarországon az egészségügyről szóló 1997. évi CLIV. törvény (Eütv.) 24. § (1) bekezdése alapján a páciens jogosult a róla készült egészségügyi dokumentációban foglaltakat megismerni, a (2) bekezdés pedig kifejezetten utal a GDPR-ra. Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (Eüak) 7. § (3) bekezdése alapján az érintettnek a GDPR 15. cikk (3) bekezdése szerinti minden további másolatért miniszteri rendeletben meghatározott költségelemek alapján díjat kell fizetnie, vagyis az első másolat ingyenes.
Az Európai Unió Bírósága ítéletének megállapításai összhangban vannak a NAIH gyakorlatával.
A NAIH-3849-16/2022 ügyben a hatóság megállapította, hogy az Eütv.-ben foglalt leletkiadás független az érintett GDPR-beli joggyakorlásától, így amikor az érintett első alkalommal másolatot kér, az adatkezelő az érintetti joggyakorlás során nem hivatkozhat arra, hogy a lelet az érintett részére az ágazati előírás alapján már kiadásra került. Ugyanis azzal, hogy a páciens az ellátás végén jogosult az Eütv. alapján kézhez venni a kezeléséről kiállított dokumentumot, a szolgáltató az egészségügyi szolgáltatókra vonatkozó speciális előírásnak tesz eleget. Amennyiben ezt követően kíván hozzáférést gyakorolni, akkor a GDPR szabályait kell alkalmazni, az Eütv. szabályai már nem relevánsak. A következő igényelt másolatért már kérhető díj – de az első, GDPR alapján történő kiadásért viszont nem.
