Eltelt egy év a GDPR rendelet hatályba lépése óta - és a Föld forog tovább! Volt értelme a tavalyi mizériának? Mi változott? Egyszerű, hétköznapi esettanulmányokkal próbálunk rávilágítani arra, mi lett volna ha …

Az agilis asszisztensnő esete A doktornővel a Semmelweis napokon beszéltünk a történetéről, kérte a véleményemet. Konkrétan még nem foglalkozott a GDPR-rel, de hallott róla. Elmondta, hogy asszisztensnőjétől nemrég megvált, közös megegyezéssel, igazából nem is rossz hangulatban. Néhány héttel azután felhívta egy barátnője (egyben páciense is): tud-e róla, hogy X.Y valószínűleg sorra hívja azokat, akikkel közelebbi kapcsolatba került a rendelőben, s az új munkahelyét ajánlja a további kezelésekre? Őt is megkereste. A doktornő gondolkodóba esett, s végül rövidre zárta a dolgot. Felhívta volt asszisztensét és négyszemközt tisztázták a történteket: mint kiderült, ő új munkaadójánál szeretett volna előnyt kovácsolni korábbi kapcsolataiból, ezért magával vitte jó néhány beteg telefonszámát, s valóban invitálta őket a másik rendelőbe. Elnézést kért és ígéretet tett arra, hogy több ilyen nem fog előfordulni. A doktornő elfogadta és nem csinált nagyobb ügyet belőle. Mi történt volna azonban, ha nem a barátnő és nem ilyen jóindulattal, hanem egy másik, kicsit „dörzsöltebb” (akár a GDPR szabályokban is jártasabb) páciens orrol meg a kéretlen, s a személyes adatait jogtalanul felhasználó telefonhívásra? Jelenthette volna például az esetet a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, aki az incidens tisztázására valószínűleg vizsgálatot indított volna. Mivel a doktornőnél még nem voltak rendezve a GDPR-rel kapcsolatos feladatok, nem voltak egyértelműen tisztázva és főleg írásba foglalva a munkavállaló munkaviszonya alatti és azt követő titoktartási kötelezettségei sem. Így bizonyítani sem tudta volna, hogy "minden elvárható technikai és szervezési eszközt" felhasznált a kezelt személyes adatok biztonsága érdekében, emiatt pedig a NAIH minden bizonnyal valamilyen szinten elmarasztalta volna őt. Ha azonban egy teljes körű GDPR dokumentációs csomag részeként aláíratta volna a munkavállalók titoktartására vonatkozó szakszerű szerződési kikötést … a felelősség egyértelműen a volt asszisztenst terhelte volna.