- A másolatkérési jog, mint a hozzáférési jog részjogosítványa
A GDPR 15. cikke alapján az érintettet megilleti a személyes adataihoz történő hozzáférés joga. A GDPR 15. cikk (3) bekezdése alapján a hozzáférési jog részjogosítványa a másolatkérési jog. A GDPR 15. cikk (3) bekezdése szerinti másolatkérési jog tehát kizárólag az érintettet illeti meg. Az érintett az első másolatra ingyenesen jogosult, az adatkezelő jogosult minden további másolatért díjat felszámolni. A másolatkészítési díjjal külön bejegyzésben foglalkozom.
A másolatkérési jog gyakorlására speciális rendelkezéseket tartalmaz az egészségügyi ágazati adatvédelmi jogszabály, az Eüak. 7. § szakasza. Az Eüak. 7. § (3) bekezdése visszautal a GDPR 15. cikk (3) bekezdésére, azaz az első ingyenes másolat kizárólag az érintettet illeti meg, amelynek jelentősége az egészségügyben abban áll, hogy az Eüak. és az Eütv. az érintetten kívüli más személyeknek is lehetővé teszi meghatározott esetekben a betegre vonatkozó személyes és egészségügyi adatok megismerését és azokról másolat kérését, akik azonban nem jogosultak ingyenes másolatra. Az ingyenes másolatra való jogosultság kérdéskörében amennyiben az érintett helyett törvényes vagy meghatalmazott képviselője gyakorolja a másolatkérési jogot, azt úgy kell tekinteni, mintha maga az érintett járna el, azaz ebben az esetben is megilleti az érintettet az ingyenes másolat.
- Az egészségügyi dokumentáció megismerésére irányuló jog, mint betegjog és érintetti jog
Az egészségügyi dokumentáció megismerésére irányuló jogot biztosítja a GDPR 15. cikke szerinti hozzáférési jog, mint az érintettet megillető jog, amely így adatvédelmi jogi védelemben részesül. Amennyiben az érintett részére az adatkezelő nem biztosítja a hozzáférési jogot, az érintett panasszal élhet az illetékes adatvédelmi hatóságnál, valamint személyhez fűződő jogai megsértéséből eredő igényeit bíróság előtt érvényesítheti.
Az egészségügyi dokumentáció megismerésére irányuló jogot az Eütv. 24. § szakasza betegjogként nevesíti. Az egészségügyi dokumentáció megismerésére irányuló jog megsértése esetén a beteg – a fenti GDPR által biztosított jogain kívül – a betegjogi képviselőhöz is fordulhat (Eütv. 30. § (2) a)).
- Az egészségügyi dokumentáció megismerésére irányuló jog korlátai
A GDPR 15. cikk (4) bekezdése korlátozza a hozzáférési jog gyakorlását, az nem érintheti hátrányosan mások jogait és szabadságait. A GDPR 15. cikk (4) bekezdésével összhangban az Eütv. 24. § (5) bekezdése is rögzíti, hogy „amennyiben a betegről készült egészségügyi dokumentáció más személy magántitokhoz való jogát érintő adatokat is tartalmaz, annak csak a betegre vonatkozó része tekintetében gyakorolható a betekintési, illetve a (3) bekezdésben említett egyéb jogosultság.”
A fenti korlátozás nem vonatkozik a beteg egészségügyi ellátásában résztvevő azon személyekre, akiknek a személyes adatai törvény előírása folytán szükségszerűen az egészségügyi dokumentáció részét képezik. Ilyen rendelkezést tartalmaz többek között az Eütv. 13. § (6) bekezdése, amely alapján „a betegnek joga van megismerni az ellátásában közvetlenül közreműködő személyek nevét, szakképesítését és beosztását”. Az Eütv. 136. § (2) bek. k) pontja alapján „az egészségügyi dokumentációban fel kell tüntetni a bejegyzést tévő egészségügyi dolgozó nevét és a bejegyzés időpontját”. Ezeket az adatokat tehát a hozzáférési jog biztosításakor nem kell kitakarni a beteg egészségügyi dokumentációjában.
- Az egészségügyi dokumentáció megismerése a beteg által
A beteg (érintett) részére a személyazonosító és egészségügyi adatokat hordozó egészségügyi dokumentáció megismerésére irányuló jogot az adatvédelmi jog és az egészségügyi jog is biztosítja. Amennyiben a beteg személyesen kívánja gyakorolni megismerési, másolatkérési jogát, az a személyazonossága ellenőrzését követően részére biztosítható. Az egészségügy dokumentáció megismerésére irányuló jog bizonyos esetekben korlátozható.
Amennyiben a másolatkérési jogát a beteg nem személyesen (postai úton vagy e-mailben) benyújtott kérelmével gyakorolja és kérelmében a másolatkérési jog teljesítését sem személyes átvétellel kéri (pl. postán vagy e-mailben történő kiküldéssel), a beteg személyazonosságát és így a másolatkérési jog gyakorlására irányuló jogosultságát valamilyen módon ellenőrizni kell. A kérelem teljesítésének feltétele a beteg személyazonosságának megállapítása. A GDPR 12. cikk (6) bekezdése biztosítja a jogot az adatkezelő részére ahhoz, hogy a kérelmezőtől a személyazonossága és ezáltal a jogosultsága megállapítása érdekében további információkat kérjen be. Erre tekintettel amennyiben a beteg nem személyesen nyújtja be másolat iránti kérelmét és a kérelem teljesítését sem személyes átvétellel kéri (mert legkésőbb a személyes átvételkor a személyazonosság ellenőrizhető lenne személyazonosító okmányok bemutatásával), a szakdolgozat írójának véleménye szerint az adatkezelő akkor jár el körültekintően, ha a betegtől legalább teljes bizonyítóerejű magánokiratba foglalt, azon belül is két tanú által hitelesített kérelem benyújtását várja el. Formailag megfelelő megoldás a kérelmen lévő aláírás közjegyzői hitelesítése vagy ügyvéd általi ellenjegyzése is, azonban ez költségekkel jár és az alkalmazása a gyakorlatban nem bevett. A teljes bizonyítóerejű magánokirat legkézenfekvőbb formája tehát az írásos kérelmen a beteg aláírásának két tanú általi hitelesítése a polgári perrendtartásról szóló 2016. évi CXXX. törvény (a továbbiakban: Pp.) 325. § (1) b) pontja alapján. A két tanúnak a hitelesített okirat tartalmát nem kell ismernie, ugyanis a két tanú aláírásával nem az okirat tartalmát hitelesíti, hanem azt, hogy a beteg az okiratot előttük írta alá vagy az okiraton lévő aláírását előttük saját kezű aláírásának ismerte el. Az okiraton a tanúk nevét, lakóhelyét, ennek hiányában tartózkodási helyét olvashatóan fel kell tüntetni és a tanúknak alá kell az okiratot írniuk. A gyakorlatban szokás az okiraton a tanúk más személyes adatait is feltüntetni (pl. személyi igazolvány számát), azonban a Pp. 325. § (1) b) pontjában meghatározott személyes adatokon kívüli más személyes adat feltüntetése és így annak kezelése jogosulatlan adatkezelést valósít meg az adatkezelő oldalán. Amennyiben a tanúknak a Pp. által előírt személyes adatai nem kerülnek feltüntetésre (név, lakóhely ennek hiányában tartózkodási hely, aláírás), az okirat nem meríti ki a teljes bizonyítóerejű magánokiratokra vonatkozó formai előírásokat, az okirat nem minősül teljes bizonyítóerejű magánokiratnak.
A GDPR 14. cikke alapján az egészségügyi szolgáltató köteles a tanúkat is tájékoztatni személyes adataik kezeléséről. A GDPR 14. cikke tartalmazza az adatkezelési tájékoztató kötelező tartalmi elemeit. A tájékoztatást a GDPR 14. cikk (3) a) pontja alapján legkésőbb egy hónapon belül kell megadni. A személyes adataik kezelésének célja annak ellenőrzése és utólagos bizonyíthatósága, hogy az egészségügyi dokumentáció a megismerésére jogosult személynek került kiadásra.
A Pp. 325. § (1) a) pontja alapján teljes bizonyítóerejű magánokiratnak minősül az is, ha a kérelmező a kérelmet saját kezűleg írja és aláírja. Amennyiben a beteg nem személyesen adja át a kérelmet lehetőséget biztosítva személyazonossága igazolására, ez a forma a cikk írójának álláspontja szerint nem megfelelő, ugyanis az adatkezelő nem tudja azonosítani az előtte meg nem jelent személy személyazonosságát. A tanúk, közjegyző vagy ügyvéd alkalmazásával ugyanis bevonásra kerül egy olyan személy, aki elvégzi az aláíró személy azonosítását vagy ismeri őt. A kérdés lényege nem az okirat formája, hanem az, hogy a kérelem aláíróját más személy azonosítsa, ha az adatkezelőnek erre nincs lehetősége.
Nem megfelelő gyakorlat és a kérelem nem teljesíthető, ha a kérelmező a kérelmet e-mailben küldi el az egészségügyi szolgáltatónak csatolva a két tanú, ügyvéd vagy közjegyző által hitelesített kérelem másolatát, ugyanis az okiratokról készített másolat elveszíti bizonyítóerejét. Ugyanakkor elfogadható, ha a kérelmező később személyesen veszi át a másolatokat és akkor igazolja személyazonosságát.
A GDPR 12. cikk (2) első mondata alapján „Az adatkezelő elősegíti az érintett 15–22. cikk szerinti jogainak a gyakorlását.” Tekintettel arra, hogy a kérelmező általában nem tudja, hogy milyen adatokat kell megadnia ahhoz, hogy az adatkezelő a másolatkérés iránti kérelmét teljesíteni tudja, ezért az adatkezelő a GDPR 12. cikk (2) bekezdése alapján azzal segítheti az érintettek jogainak gyakorlását, ha egy egészségügyi dokumentáció másolat iránti kérelem formanyomtatványt biztosít a betegnek, amelynek kitöltésével, aláírásával és szükség esetén hitelesíttetésével és adatkezelőhöz történő visszajuttatásával tudja jogát gyakorolni.
Amennyiben a beteg postai úton kéri a másolat kiadását, az egészségügyi dokumentációt tértivevényes küldeményként javasolt kiküldeni. Amennyiben e-mailben kéri a beteg a másolat kiküldését, az adatkezelő akkor jár el helyesen, ha előtte elvégzi az egészségügyi dokumentáció megfelelő titkosítását és a titkosított dokumentumként küldi ki a megfelelően azonosított beteg és e-mail címe részére.
A másolatkérési jog nem személyesen történő gyakorlása során jogszerűtlen gyakorlat, ha az írásos kérelemhez az adatkezelő személyazonosító okmányok másolatának csatolását kéri. Ez a módszer egyrészt nem alkalmas a személyesen meg nem jelent beteg személyazonosságának igazolására, mivel a közokiratról készített egyszerű másolat a Pp. 324. § szakasza alapján nem őrzi meg bizonyítóerejét, így a személyazonosító okmányok másolataiban foglalt személyes adatok kezelésével a szándékozott adatkezelési cél nem valósul meg, az adattakarékosság (GDPR 5. cikk (1) c) pont) és a célhoz kötöttség (GDPR 5. cikk (1) b) pont) elve nem érvényesül, így a személyazonosító okmányok másolatának kezelésével jogszerűtlen adatkezelés valósul meg, amelyre már az az adatvédelmi hatóság is rámutatott (https://www.naih.hu/files/Adatved_allasfoglalas_2018-3654-2-V-okmanymasolas.pdf).