A „GDPR” rendelet hírverése az utóbbi hetekben egyre erősödik, fókusza azonban kissé eltolódott a várható büntetések, ellenőrzések, teljesíthetetlen kötelezettségek irányába. Félreértések is előfordulnak.

Az EU új Adatvédelmi rendeletének kommunikációjában egy kicsit háttérbe került a hétköznapi magyarázat, a józan ésszel követhető elvek és gyakorlat ismertetése, ezért kialakult néhány tipikus félreértés, amit sok látogatónkkal megbeszéltünk a Semmelweis Napokon.

Igyekszünk rávilágítani ezekre:

1/ „A rendelet csak a számítógépet használókra vonatkozik” -> Ez úgy tapasztaljuk gyakori félreértés. A rendelet minden vállalkozásra vonatkozik, tehát nem tesz különbséget a nyilvántartási célú papír alapú, manuális adatkezelés és az automatizált, számítástechnikai megoldások közt! Adatkezelési incidens (sérülés, jogosulatlan hozzáférés, illetéktelen kezekbe kerülés) a papírral is előfordulhat!

2/ „Csak a marketingeseket, a hírlevél küldőket érinti” -> Bár a legtöbb és legismertebb adatkezelési incidens valóban ezen a területen történik, ez azonban a rendeletnek csak egy kis szelete. A rendelet minden olyan adatkezelési folyamatot szabályoz, ami során személyes adatok kezelése valósul meg.

3/ „A 250 főnél kisebb vállalkozásokat nem érinti!” -> Ez a Rendelet 30. cikk 5. bekezdésének felszínes értelmezése. A mondatot figyelmesen kell végigolvasni: „kivéve, … ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok … különleges (közte: egészségügyi) kategóriáinak … a kezelésére. „

4/ „A pácienseim adatainak kezelésére a jövőben jobban kell figyelnem” –> nem csak a páciensekére! A fogászatban a közvetlen gyógyító tevékenységen túl jónéhány más célú személyes (sőt érzékeny) adatkezelésére is sor kerül:

• munkavállalók személyzeti, bér, munkaügyi, táppénz adatai

• munkaerő felvételnél a toborzások dokumentumai, interjúk információi

• számlázások során kezelt személyes adatok

• beszállítók, alvállalkozók kapcsolattartó személyeinek kontakt adatai

• röntgenfelvételek tárolása és továbbítása

• webkamera felvételek, rögzített telefonbeszélgetések, stb…

5/ „Mindenkivel alá kell íratni egy hozzájárulást az adatai kezeléséhez - még visszamenőlegesen is” -> Ez így nem igaz. A személyes adatok kezelésének eltérő céljai vannak (munkavállalói nyilvántartás, gyógyítás, hírlevél küldés, stb.) és a különböző célú adatkezelések más-más jogalap révén történhetnek. A fogászati tevékenység jogalapja lehet a beteg önkéntes hozzájárulása a kezeléséhez, vagy szerződés teljesítése (pl. kezelési terv alapján), ami egyes személyes adatainak megadása nélkül nem valósítható meg. Fontos, hogy csak olyan személyes adatokat kérjünk a betegtől, ami a cél elérése érdekében valóban szükséges, valamint, hogy a bekért adatokat más célra ne használjuk fel! Ha ugyanazokat az elérési adatokat pl. marketing célra is szeretnénk hasznosítani, akkor ehhez az új adatkezelési célhoz már valóban a páciens tevőleges hozzájárulásának beszerzésére van szükségünk!

6/ „A jövőben a páciens kérésére törölnöm kell az adatait?” -> Ez így szintén nem igaz. A jogszabályi kötelezettségek pontosan megfogalmazzák az egyes iratkörök kötelező megőrzési elévülési idejét, és ez felülbírálja a páciens kérését. Viszont más célra az adatait tovább már nem használhatom fel! A „törléshez való jog” helyett ilyenkor a „felejtéshez való jog” a helyesebb megfogalmazás.

Miben tudunk segíteni? A partnereink által jól ismert fogászati Minőségügyi Rendszerekhez hasonlóan a maximum 2 székes és 5 akalmazottnál nem nagyobb rendelők számára egységes szerkezetű, rendelőre szabott GDPR–kompatibilis Adatkezelési rendszert és dokumentáció csomagot dolgozunk ki mind a manuális mind a számítógépes betegnyilvántartást és -kommunikációt használó fogászatok számára.