Zárójelentést pénzért?
Annak érdekében, hogy egészségügyi szolgáltatóként ne kövessünk el jogsértést az egészségügyi adatok kiadásával kapcsolatban, illetve egészségügyi ellátást igénybe vevőként tisztában legyünk a jogainkkal, célszerű röviden áttekinteni az egészségügyi adatokhoz való érintetti hozzáférés szabályait.
Jelen blogbejegyzésünkben a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) egy 2022-es határozata alapján röviden bemutatjuk, milyen módon kell teljesíteni a betegek egészségügyi adatok megismerésével kapcsolatos kérelmét, továbbá, hogy milyen esetben lehet díjat felszámítani az egészségügyi adatok kiadáskor és mikor kell azt ingyenesen biztosítani a beteg számára.
Jogi háttér
Az egészségügyi dokumentáció, így az egészségügyi adatok megismerhetőségével kapcsolatos alapvető szabályokat az egészségügyről szóló törvény, valamint az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló törvény rendelkezései tartalmazzák, ugyanakkor irányadóak rá az általános adatvédelmi rendelet (GDPR) hozzáférési jog gyakorlására vonatkozó szabályai is.
Az egészségügyről szóló törvény alapján a beteg jogosult a róla készült egészségügyi dokumentációban foglaltakat megismerni, így jogosult a fekvőbeteg-gyógyintézetből történő elbocsátásakor zárójelentést, illetve a járóbeteg-szakellátási tevékenység befejezésekor ambuláns ellátási lapot kapni. Az egészségügyi szolgáltató oldaláról ez kötelezettségként jelenik meg: az egészségügyi szolgáltató az ellátási folyamat végén vagy fekvőbeteg-gyógyintézeti ellátást követően az ellátás adatait összefoglaló zárójelentést, illetve a járóbeteg-szakellátási tevékenység befejezésekor, a beteg ellátásával és gyógykezelésével kapcsolatos összefoglaló adatokat tartalmazó ambuláns ellátási lapot készít és azt a betegnek átadja.
Az egészségügyi szolgáltató köteles a törvényben meghatározott adatokat, leleteket, eredményeket az Elektronikus Egészségügyi Szolgáltatási Térbe (EESZT) feltölteni, amely az állam által üzemeltetett rendszer, amelyhez a betegek elektronikus úton hozzáférnek.
A GDPR alapján – a hozzáférési jog gyakorlása keretében – az egészségügyi szolgáltató mint adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát a beteg mint érintett rendelkezésére bocsátja. A beteg által kért további másolatokért az egészségügyi szolgáltató az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Az egészségügyi adatok kezeléséről szóló törvény szerint minden további másolatért miniszteri rendeletben meghatározott költségelemek alapján díjat kell fizetni; továbbá e törvény rendelkezik az egészségügyi dokumentáció hosszú időn át történő megőrzési kötelezettségéről.
A határozat szerint egy beteg a róla kezelt minden személyes adat és lelet térítésmentes kiadását kérte az egészségügyi szolgáltatótól, amely viszont arra hivatkozott, hogy a GDPR alapján a leletmásolatokért – tehát azon leletek ismételt kiadásáért, amelyet a beteg korábban már megkapott – jogosult díjat felszámítani.
Első vagy további másolat?
Az egészségügyi szolgáltató arra hivatkozott, hogy az első leletmásolatot a beteg a vizsgálat alkalmával megkapta, álláspontja szerint ez az ellátás befejezésekor a zárójelentés, illetve az ambuláns ellátási lap (lelet), az eredeti példányt pedig az egészségügyi adatkezelésről szóló törvény szerint a szolgáltató őrzi, ebből következően az adatkérés már a további másolat kiadásának minősül, így az általános adatvédelmi rendelet alapján az díjköteles.
Ezzel szemben a kérelmező beteg szerint a GDPR az adatok első másolatának díjmentességét rögzíti, amelynek értelmében az egészségügyi szolgáltató a hozzá benyújtott kérelemben foglalt adatok díjmentes szolgáltatására köteles.
A NAIH szerint a GDPR az adatkezelés érintettje, jelen esetben a beteg jogainak gyakorlását részletezi, amelynek keretében a beteg jogosult az adataihoz hozzáférni, az érintetti kérelemre kiadott adatok első másolata díjmentes, a további másolatokért számítható fel költség.
Az adatvédelmi hatóság álláspontja szerint az egészségügyi törvény alapján az egészségügyi szolgáltató kötelességeként fennálló zárójelentés, leletkiadás független az általános adatvédelmi rendeletben rögzített érintetti joggyakorlástól; a zárójelentésnek, a leletnek az ágazati törvény alapján történő kézhezvétele semmilyen formában nem minősül adatvédelmi érintetti joggyakorlásnak. Ebből következően amikor a beteg – az egyébként akár birtokában lévő leletről – az egészségügyi szolgáltatótól első alkalommal másolatot kér, a szolgáltató az érintetti joggyakorlás során nem hivatkozhat arra, hogy a lelet a beteg részére az egészségügyi ágazati jogszabály alapján már kiadásra került.
A NAIH kimondta az is, hogy az egészségügyi szolgáltató nem hivatkozhat a GDPR további másolatra vonatkozó rendelkezésére, és nem lehet az ágazati jogszabály alapján kiadott leletet már eleve másolatnak tekinteni arra hivatkozással, hogy a lelet eredeti példányát a szolgáltató köteles az egészségügyi adatkezelésről szóló törvény alapján őrizni – így a beteg a lelet kézhezvételekor eleve már másolatot kap, tehát az újabb példány már „további másolatnak” minősül –, mivel a lelet ilyen módon történő, és a beteg részére egyébként első alkalommal történő biztosítása az ágazati előírás szerinti kötelezettség teljesítése, nem pedig a betegnek mint az adatkezelés érintettjének biztosított jogérvényesítés során történt cselekmény.
Mindezek értelmében tehát a beteg az ellátás végén az ágazati törvény alapján jogosult kézhez venni az ambuláns lapot, a zárójelentést, ennek biztosításával az ellátó az egészségügyi szolgáltatókra vonatkozó speciális ágazati előírásnak tesz eleget.
Amennyiben viszont a beteg ezt követően kíván az egészségügyi szolgáltatótól a GDPR alapján hozzáférést gyakorolni, és ezúton a személyes adatait tartalmazó dokumentációról másolatot igényelni, akkor az egészségügyi szolgáltatónak már az általános adatvédelmi rendelet érintetti joggyakorlásra vonatkozó szabályainak megfelelően kell eljárnia, és a teljesítés lehetőségét vagy korlátait vizsgálnia, ekkor azonban az egészségügyi ágazati törvények vonatkozó szabályai már nem relevánsak. Ilyen esetben, tehát a hozzáférési kérelem teljesítésekor az egészségügyi szolgáltatónak azt kell vizsgálnia, hogy a beteg azonos adattartalomra vonatkozóan nyújtott-e már be kérelmet, és a költség meghatározását vagy a költségmentességet ennek alapján kell megítélni.
Ez alapján az egészségügyi szolgáltató az adatkezelés tárgyát képező személyes adatok másolatát a beteg rendelkezésére bocsátja, és mivel a GDPR szerint csak a további másolatokért kérhető díj, az első – beteg által történt érintetti joggyakorlás során kért – másolat ebből következően díjmentes.
A hozzáférés célja
A NAIH álláspontja szerint az egészségügyi dokumentáció esetében a másolat kérése nem csupán az adatkezelés jogszerűségének ellenőrzéseként, hanem kvázi betegjogként jelenik meg, ugyanis a beteg mint a hozzáférési jog gyakorlója gyakorolhatja e jogát az általános hozzáférési cél érdekében (hogy az adatkezelési körülmény jogszerűségéről meggyőződjön), ugyanakkor az egészségügyi dokumentáció esetében a dokumentáció másolatának igénylésekor az igénylés célja általában nem az adatkezelésnek az ellenőrzése, hanem a betegnek mint érintettnek a rá vonatkozó adatoknak, dokumentumoknak a birtokba vétele, ami betegjogként fogalmazódik meg.
Erre tekintettel az egészségügyi dokumentációhoz való hozzáférés biztosítása, többféleképpen teljesíthető, figyelembe véve az adatkérés, mint hozzáférés lehetséges célját.
A NAIH szerint az egészségügyi szolgáltató a hozzáférés teljesítésekor hivatkozhat arra, hogy a kért iratok a beteg számára az EESZT-ből elérhetőek, ugyanakkor ez a lehetőség kizárólag akkor áll fenn, ha a szolgáltató meggyőződik arról, hogy a beteg rendelkezik az EESZT-hez való hozzáféréssel, az általa igényelt iratok ott maradéktalanul elérhetőek, valamint az érintett az EESZT útján való hozzáférést az erre irányuló tájékoztatás után nem kifogásolja. Amennyiben azonban a beteg ezen tájékoztatás ellenére papír alapú másolatot kér, a másolat kiadását nem lehet részére megtagadni, mivel a GDPR szerint az érintett kérheti a kérelem nem elektronikus úton való teljesítését is.
A hatóság szerint – a GDPR rendelkezéseivel összhangban – a beteg személyes adataihoz, egészségügyi dokumentációjához való hozzáférés az egészségügyi szolgáltató által távoli hozzáférés útján elérhető biztonságos rendszerhez való hozzáférés útján is biztosítható, amelyen keresztül a beteg saját jelszó birtokában fér hozzá közvetlenül a saját személyes adataihoz, amely az EESZT esetében megfogalmazott fenti követelmények figyelembevételével elfogadható.
Abban az esetben viszont, ha felmerül és a hozzáférési kérelemből kitűnik, hogy a beteg kifejezetten azért kéri az egészségügyi szolgáltatótól a másolatot, mert kétsége merül fel valamely dokumentum valamely adatával szemben, tehát nem a betegjogát kívánja gyakorolni, hanem kifejezetten az egészségügyi szolgáltató birtokában lévő iratot kérvényezi, a beteg számára a másolat közvetlenül biztosítandó, mivel ez esetben a hozzáférés gyakorlásának célja az adatkezelés jogszerűségének ellenőrzése, amelynek során az egészségügyi szolgáltatónak mint adatkezelőnek a birtokában lévő adatról kell másolatot biztosítania.
Mindezek alapján a hozzáférés céljának megítélése kizárólag a hozzáférés teljesítésének módja keretében bír relevanciával.
Összegzés
A jelen bejegyzésben csupán az egészségügyi adatkezelés egy szűk aspektusát, az adatokhoz való érintetti, beteg általi hozzáférés szabályait vizsgáltuk meg. A fentiek tükrében az egészségügyi szolgáltatóknak a jogszerű eljárásuk érdekében célszerű megvizsgálniuk a beérkezett kérelmek valódi célját és ez alapján eldönteni, hogy a kérelem az adatkezelés jogszerűségének ellenőrzésére irányul-e, akár esetleges további érintetti jogok (pl.: helyesbítés, törlés) gyakorlása érdekében, vagy a cél az egészségügyi adatok másolatnak a beteg saját birtokába kerülése, mint betegjognak a gyakorlása. Reméljük, hogy a leírtak hasznos információval szolgálnak olvasóink számára, amelyek birtokában akár egészségügyi szolgáltatóként, akár ellátást igénybe vevőként pontosabb képet kaptak a kötelezettségeikkel és jogaikkal összefüggésben.
A blogbejegyzésben leírtakkal összefüggő kérdések esetén a kapcsolatok menüpont alatti elérhetőségeken állunk szíves rendelkezésükre. A jelen blogbejegyzés kizárólag a tájékoztatás célját szolgálja, az nem minősül jogi tanácsadásnak; annak egyedi ügyben történő felhasználásáért a Récsényi Ügyvédi Iroda a jogi felelősségét kizárja.