skip to Main Content

Adatvédelmi vizsgálat hozzáférési jog akadályozása miatt

Egy 2020. augusztus 3-án kiadott döntésben a Belga Adatvédelmi Hatóság (APD) a hozzáférési jog gyakorlásával kapcsolatban számos olyan kérdést tisztázott, mely céges auditok kapcsán a munkakörüknél fogva érintett munkavállalók részére nyújtandó tájékoztatással kapcsolatos. Az adatvédelmi vizsgálat során az adatkezelő egy kórház, az érintett pedig egy olyan volt munkavállaló, aki kíváncsi volt arra, hogy vele kapcsolatban milyen megállapításokat tettek a lefolytatott audit során. Ahogy korábban már láthattuk, az egészségügyi intézmények adatkezelésére kiemelt figyelmet fordítanak a hatóságok.

Az ügyben érintett kórház a radiológia osztályon tapasztalt hiányosságok miatt kezdeményezett vizsgálatot. Ennek elvégzésére egy külső szakértőt kértek fel, abból a célból, hogy a kérdésekre magyarázatot és a feltárt problémákra megoldásokat ajánljon. Az audit elvégzését követően a kórház radiológia osztályának vezetőjét elbocsátották.

A szóban forgó orvos a vizsgálat lezárása után betekintést kért az audit anyagaiba, különös tekintettel a rá vonatkozó pontokra. A kórház négy okra hivatkozva tagadta meg a kért adatok közlését:

• a kórház az ügyben nem volt adatkezelő (adatkezelőként a kórház a szakértőt nevezte meg),
• a jelentés bizalmas jellegű,
• a jelentést szerzői jog védi, illetve,
• a jelentésben más érintettek személyes adatai is megtalálhatók.

Döntésében az APD a következőket állapította meg:

• A GDPR 4. cikk (7) bekezdése értelmében az adatkezelő a kórház, mivel – bár a vizsgálatot külső szakértő végezte – a kórház állapította meg az adatkezelés céljait.
• Adatkezelőként a kórház feladata lett volna a GDPR 5. cikk (1) bekezdésében lefektetett adatvédelmi alapelvek betartásának demonstrálása (elszámoltathatóság), az ehhez szükséges szervezeti és technikai intézkedések meghozatala, illetve a 12. cikk szerint az érintettek jogai gyakorlásának elősegítése.
• Az adatok közlését a kórház nem tagadhatta volna meg azok bizalmasságára hivatkozva, mivel nem tudta bizonyítani azok bizalmas voltát, illetve még azt sem, hogy azok a szakmai titoktartás védelme alá tartoznak (GDPR 14. cikk (5) bekezdés d) pont).
• A szerzői jog védelme alapján nem tagadható meg egy dokumentumba való betekintés, illetve a szakértő nem tiltakozott a jelentés harmadik feleknek történő közlése ellen.
• Az egyéb érintettek személyes adatai nem akadályozhatják meg a dokumentum közlését, mivel azok a közlés előtt törölhetők belőle.
• A kórház megsértette a GDPR 12. cikkének (4) pontját, mivel az elutasítással egyidejűleg nem tájékoztatta az érintettet, hogy az panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
• Szintén kimondta a Hatóság a GDPR 13. és 14. cikkének megsértését, mivel a kórház nem nyújtott az érintetteknek tájékoztatást a vizsgálattal kapcsolatosan a személyes adatok kezeléséről. A GDPR 12-14. cikk alapján az APD felhívta a figyelmet, hogy az érintettnek minden tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kellett volna nyújtania. A kórház tájékoztatása azonban általános kijelentéseket tartalmazott, mely alapján az érintett nem tudta a kezelt személyes adatok körét és azok felhasználását megfelelően azonosítani.
• Az APD a 15. cikkel kapcsolatosan is aggályokat fogalmazott meg: a kórház nem adott lehetőséget hozzáférési kérelem elektronikus módon történő beadására, csupán személyes találkozó keretében. A Hatóság szerint ez a gyakorlat ”megfélemlítő” hatást gyakorolhatott az érintettekre. Ezzel egyidőben az APD arra is felszólította a körházat, hogy vizsgálja meg, valóban szükség van-e az érintettek személyazonosító igazolványának bemutatására hasonló kérelmek beadásakor, vagy használható-e ugyanerre a célra egy alternatív módszer is.

Az ügyben az APD végül nem állapított meg bírságot, mivel kórház volt az adatkezelő. A 2018-ban elfogadott Belga Adatvédelmi Törvény 221. cikkének (2) bekezdése értelmében ugyanis állami szervezet nem bírságolható, csak abban az esetben, ha például termékek, szolgáltatások értékesítésével foglalkoznak. Az APD azonban megrovásban részesítette a kórházat és felszólította, hogy adjon hozzáférést az ügy további dokumentumaihoz, illetve, hogy hozza adatkezelését a Rendelettel összhangba a döntés meghozatalától számított 3 hónapon belül.

Back To Top