Ügyiratszám: NAIH-6239-1/2023.
Előzmény: NAIH-5363-3/2022.
Hiv. sz.: AJB-108/2022.
Dr. Kozma Ákos részére
Alapvető Jogok Biztosa
Alapvető Jogok Biztosának Hivatala
Budapest
Tisztelt Biztos Úr!
A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) részére
megküldött, a különélő szülők gyermekük iskoláztatásával kapcsolatos tájékoztatási jogaival és
egészségügyi adatainak megismerésével összefüggésben AJB-108/2022.számon kiadott
jelentésével kapcsolatban a Hatóság az alábbi tájékoztatást adja.
I. Az Intézkedések 3. pontjával kapcsolatban:
Ahogyan a Hatóság a NAIH-5363-3/2022. sz. levelében kifejtette, a GDPR-nak1 a célhoz kötöttséget
és adattakarékosságot megfogalmazó alapelvi rendelkezésének megfelelően2 a köznevelési
intézmények a feladatkörük ellátáshoz, jogszabályban előírt kötelezettségeik teljesítéséhez és az
adatkezelési érintetti kérelmek elbírásához szükséges mértékben kezelhetik a gyermek szülői
felügyeletére vonatkozó adatot.
A Hatósághoz kis számú olyan beadvány érkezett, amely a köznevelési intézmények gyakorlatát
érintette a dokumentumok kezelése kapcsán, és ezek is zömmel az egymással rossz viszonyt ápoló
különélő szülők egymással szemben való fellépésének – a Hatóság NAIH-5363-3/2022. sz. levelében
bemutatott – eszközeként jelentek meg, és a panaszok nem kifejezetten a dokumentumok kezelését
sérelmezték. Panasz hiányában jelenleg sem folytat a Hatóság kifejezetten a szülői felügyeletre
vonatkozó adatot tartalmazó, a köznevelési intézmények által őrzött iratok kezelésével kapcsolatos
eljárást.
Konkrét egyedi panasz híján eshetőlegesen kiválasztott intézmények gyakorlatának ellenőrzése nem
adna átfogó képet a dokumentumok kezelésének gyakorlatáról, azonban a Hatóság felkérte a
Klebelsberg Központ elnökét, ossza meg az irányú tapasztalatait a Hatósággal, hogy a köznevelési
intézményekben a szülői felügyeletre vonatkozó adatot tartalmazó dokumentum (bírósági,
1 Az EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése
tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános
adatvédelmi rendelet, vagy GDPR)
2 GDPR 5. cikk (1) A személyes adatok:
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető
módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából,
tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk
(„adattakarékosság”);
gyámhatósági döntés, vagy egyéb irat) kezelését milyen tartalommal és módon szabályozzák. Az
erre vonatkozó esetleges kötelező eljárásrendek, körlevelek, ajánlások, tájékoztatók stb.
megküldését is kérte. Amennyiben ebben a témakörben készültek beszámolók, összegző jelentések,
úgy a Hatóság azok továbbítását is kérelmezte, illetve, ha folyt köznevelési intézménnyel szemben a
tárgyban fenntartó előtti eljárás, úgy annak eredményének közlését is kérte a Klebelsberg Központ
elnökétől.
A Klebelsberg Központ elnöke úgy nyilatkozott, miszerint az elmúlt időszak jogszabályi és szervezeti
változásaira is tekintettel nem áll módjában teljeskörűen választ adni. Az állami köznevelési
közfeladat ellátásában fenntartóként részt vevő szervekről, valamin a Klebelsberg Központról szóló
134/2016. (VI. 10.) Korm. rendelet 15. § (1) és (2) bekezdése, az 5. §-a és 9. § (1) bekezdése,
valamint az államháztartásról szóló 2011. évi CXCV. törvény alapján a Klebelsberg Központ nem
fenntartója a köznevelési intézményeknek, erre vonatkozó hatáskört nem gyakorol. A köznevelési
intézmények tanulói és szülői adatainak vonatkozásában adatkezelési feladatokat nem végez, a
köznevelési intézmények önálló adatkezelők. A Klebelsberg Központ ezek miatt a köznevelési
intézmények tekintetében a szülői felügyeletre vonatkozó adatot tartalmazó dokumentum kezelésével
és szabályozásával kapcsolatban nem adott ki kötelező eljárásrendet, körlevelet, ajánlást, vagy
tájékoztatót sem a köznevelési intézményeknek, sem azok fenntartóinak, vagyis a tankerületi
központoknak. Továbbá a Központ – a köznevelési intézmények fenntartói hatáskörének hiányára is
alapozva – nem készített e tárgyban beszámolót, vagy összegző jelentést, valamint nincs tudomása
arról sem, hogy folyt-e köznevelési intézménnyel szemben a fenntartó (tankerületi központ) előtt
eljárás.
A válaszban foglaltak szerinti központi rendelkezés és adatok híján a Hatóság részéről az egyes
tankerületek megkeresése lenne szükséges, illetve önálló adatkezelőkként a köznevelési
intézmények egyenkénti vizsgálata, ez azonban a Hatóság jelenlegi leterheltsége mellett nem
megvalósítható, és a NAIH-5363-3/2022. sz. levélben kifejtettek okán, rendszerszintű probléma
azonosítása híján nem is indokolt. Természetesen egyedi panasz, vagy kérelem esetén a Hatóság
az adott intézmény esetében eljár, és egyedi, vagy az egyedi panaszon túlmenő probléma esetén a
megfelelő intézkedéseket megteszi.
II. Az egészségügyi dokumentáció megismerésével kapcsolatban:
Az ombudsman-i vizsgálat kezdeményezésekor, 2018. végén a GDPR már kötelezően alkalmazandó
volt, azonban a jogalkotó az egészségügyi ágazatai szabályokat még nem harmonizálta, ez az
egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997.
évi XLVII. törvény (a továbbiakban: Eüak.) esetében 2019. IV. 26-i hatállyal, az egészségügyről szóló
1997. évi CLIV. törvény (a továbbiakban: Eütv.) esetében 2020. I. 1-jei hatállyal valósult meg.
Az általános adatvédelmi rendelet 2018. május 25-ét megelőző kötelező alkalmazása előtti
szabályozás szerint az érintett az Eütv-ben a betegjogi cím alatt részletezett módon3 és az Eüak-ban
3 Az
Eütv. 2019. XII. 31-ig hatályos szabályi
értelmében 24. § (1) A beteg jogosult megismerni a róla készült egészségügyi
dokumentációban szereplő adatait, illetve joga van ahhoz, hogy - a 135. §-ban foglaltak figyelembevételével - egészségügyi adatairól
tájékoztatást kérjen.
(2) Az egészségügyi dokumentációval az egészségügyi szolgáltató, az abban szereplő adattal a beteg rendelkezik.
(3) A beteg jogosult
a) a gyógykezeléssel összefüggő adatainak kezeléséről tájékoztatást kapni,
b) a rá vonatkozó egészségügyi adatokat megismerni,
c) az egészségügyi dokumentációba betekinteni, valamint azokról kivonatot vagy másolatot készíteni vagy saját költségére másolatot kapni,
foglaltak alapján4 volt jogosult az egészségügyi dokumentáció megismerésére, valamint másolatának
igénylésére – és ez a rendelkezés is elkülönült attól, hogy a beteg az ellátás végén az ambuláns
lapot, zárójelentést egyébként kézhez vette –, és ettől függetlenül illették meg az Infotv-ben
szabályozott adatkezelési érintetti jogok a tájékoztatásra vonatkozóan. Az Infotv. az érintett
tájékoztatása során nem írta elő a kezelt adatok, dokumentumok másolata kiadásának
kötelezettségét, míg az egészségügyi ágazati szabályozás ezt biztosította az érintett részére. Az
általános adatvédelmi rendelet szabályainak hazai jogharmonizációja során a jogalkotó egybe terelte
az addigi ágazati szabályokat és az általános adatvédelmi rendelet által biztosított hozzáférési és
másolatkérési jogot, így a dokumentációról való másolat biztosítása során kizárólag az általános
adatvédelmi rendelet szabályai alkalmazandóak5. Ezt indokolta, hogy az általános adatvédelmi
rendelet (63) preambulum-bekezdése6 is megfogalmazza, miszerint a hozzáférési jog
„magában
foglalja az érintett jogát arra, hogy az egészségi állapotára vonatkozó személyes adatokhoz – mint
például a diagnózis, a vizsgálati leletek, a kezelőorvosok véleményei, valamint a kezeléseket és a
beavatkozásokat tartalmazó egészségügyi dokumentációk – hozzáférjen” a hozzáférési jog
gyakorlásával a15. cikkben részletezettek szerint.
Jelenleg tehát az egészségügyi dokumentáció másolatának joga, mint betegjog külön nincs nevesítve
az ágazati szabályozásban, hanem az adatkezelési érintetti joggyakorláson keresztül érvényesíthető.
Pontosabban a megismerés jogát az Eütv. 24. § (1) bekezdése deklarálja, annak érvényesítése,
másolat igénylése azonban a (2) bekezdés értelmében a GDPR szerinti szabályok alapján történhet.
A Hatóság a fenti szabályozás okán
nem ért egyet a jelentés 50. oldala 6. bekezdésében
megfogalmazottakkal, miszerint
a szolgáltató a – különélő, de – közös szülői felügyelet esetén
bármelyik szülő tájékoztatásával eleget tesz tájékoztatási kötelezettségének, ezért az AJB- 08/2022.
sz. jelentés korrekcióját javasolja az alábbiak miatt.
4
Az Eüak. 2019. IV. 25-ig hatályos 7. § (3) bekezdése szerint Az érintett jogosult tájékoztatást kapni a gyógykezeléssel összefüggésben
történő adatkezelésről, a rá vonatkozó egészségügyi és személyazonosító adatokat megismerheti, az egészségügyi dokumentációba
betekinthet, valamint azokról - saját költségére - másolatot kaphat.
5
Eütv. vonatkozó rendelkezései:
„
24. § (1) A beteg jogosult a róla készült egészségügyi dokumentációban foglaltakat - a 135. §-ban foglaltak figyelembevételével -
megismerni.
(2) A betegnek a rá vonatkozó személyes adataival kapcsolatos jogaira a természetes személyeknek a személyes adatok kezelése
tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános
adatvédelmi rendelet) szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet, és az egészségügyi és a hozzájuk
kapcsolódó személyes adatok kezeléséről és védelméről szóló törvény rendelkezései irányadóak.
(3) A beteg jogosult
a) a fekvőbeteg-gyógyintézetből történő elbocsátásakor a 137. § a) pontja szerinti zárójelentést kapni,
b) a 137. § b) pontjában foglaltak szerint a járóbeteg-szakellátási tevékenység befejezésekor ambuláns ellátási lapot kapni.”
Eüak.
7. § (3) Az érintettnek az (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet) 15.
cikk (3) bekezdésében meghatározott, az adatkezelés tárgyát képező személyes adatok minden további másolatért miniszteri rendeletben
meghatározott költségelemek alapján díjat kell fizetni.” 6 Az általános adatvédelmi rendelet (63) preambulum-bekezdése alapján:
„Az érintett jogosult, hogy hozzáférjen a rá vonatkozóan gyűjtött
adatokhoz, valamint arra, hogy egyszerűen és észszerű időközönként, az adatkezelés jogszerűségének megállapítása és ellenőrzése
érdekében gyakorolja e jogát. Ez magában foglalja az érintett jogát arra, hogy az egészségi állapotára vonatkozó személyes adatokhoz -
mint például a diagnózis, a vizsgálati leletek, a kezelőorvosok véleményei, valamint a kezeléseket és a beavatkozásokat tartalmazó
egészségügyi dokumentációk - hozzáférjen. Ezért minden érintett számára biztosítani kell a jogot arra, hogy megismerje különösen a
személyes adatok kezelésének céljait, továbbá ha lehetséges, azt, hogy a személyes adatok kezelése milyen időtartamra vonatkozik, a
személyes adatok címzettjeit, azt, hogy a személyes adatok automatizált kezelése milyen logika alapján történt, valamint azt, hogy az
adatkezelés - legalább abban az esetben, amikor az profilalkotásra épül – milyen következményekkel járhat, továbbá hogy minderről
tájékoztatást kapjon. Ha lehetséges, az adatkezelő távoli hozzáférést biztosíthat egy biztonságos rendszerhez, amelyen keresztül az
érintett a saját személyes adataihoz közvetlenül hozzáférhet. Ez a jog nem érintheti hátrányosan mások jogait és szabadságait, beleértve
az üzleti titkokat vagy a szellemi tulajdont, és különösen a szoftverek védelmét biztosító szerzői jogokat. Ezek a megfontolások
mindazonáltal nem eredményezhetik azt, hogy az érintettől minden információt megtagadnak. Ha az adatkezelő nagy mennyiségű
információt kezel az érintettre vonatkozóan, kérheti az érintettet, hogy az információk közlését megelőzően pontosítsa, hogy kérése mely
információkra vagy mely adatkezelési tevékenységekre vonatkozik.”
A beteg – jelen esetben a gyermek – a dokumentációban foglalt adatok kezelésének érintettje, és az
érintetti minőség, illetve a
törvényes képviselő által gyakorolt érintetti hozzáférési jog biztosítása
során a GDPR szabályai érvényesek. Az érintett gyermek különélő, de szülői felügyeletet közösen
gyakorló, így törvényes képviseleti jogosultsággal rendelkező szüleinek mindkét tagja egyenként is
jogosult az érintetti jogérvényesítésre a gyermek nevében a GDPR-ban rögzített érintetti joggyakorlás
okán. Az adatkezelő egészségügyi szolgáltató ezáltal nem tagadhatja meg a hozzáférési jog
biztosítását valamely törvényes képviselőnek arra hivatkozással, hogy a Ptk. szerinti együttműködés
keretében a másik szülőnek már kiadta az iratokat, mivel a törvényes képviselő az érintett – gyermek
– képviseletében jár el, annak jogait érvényesítve.
A szolgáltató legfeljebb a jogérvényesítés egyéb feltételeit mérlegelheti – pl. első, vagy többedik
érintetti másolatkérés a hozzáférés tárgya, aránytalan vagy túlzó kérelem7, stb. – de az érintetti
hozzáférési jogot a szülői együttműködési kötelezettségre hivatkozva nem tagadhatja meg, mert a
GDPR ilyen hozzáférés-korlátozási szempontot nem ismer. A fent leírtak miatt az ilyen gyakorlat
ellentétes a GDPR szabályaival, az adatkezelési érintetti jogérvényesítés biztosításával.
A szülők közötti együttműködés a valóságban sok esetben nem valósul meg, a Hatósághoz forduló
szülők esetében biztosan nem, mert a vizsgálatok tárgya javarészt éppen az, hogy bizonyos
információkat az egyik szülő nem biztosított a másik szülő számára, ezért annak a gyermeket ellátó
intézményhez kellett fordulnia.
Ezen esetekre hatékony állami jogvédelmi eszköz nincs, az együtt nem működő szülők mediáció
keretében bírhatók rá az együttműködésre8, ez azonban hosszadalmas folyamat, és az adott
problémát azonnal nem orvosolja. A Hatóság minden ilyen esetben felhívja a konfliktusos viszonyt
ápoló szülők figyelmét arra, hogy a gyermek mindenek felett álló érdeke biztosítása a kötelességük,
és nem szolgálja a gyermek érdekét, ha az őt ellátó köznevelési intézményt, egészségügyi
szolgáltatót vagy más szervet használnak fel vélt vagy valós igazuk érvényesítésére. A Hatóságnak
azonban az eljárásai során a GDPR szabályainak érvényesülését kell biztosítania a vizsgált
intézmények és érintetti jogot gyakorló személyek vonatkozásában.
Kelt: Budapest, az elektronikus aláírás szerint
Dr. habil. Péterfalvi Attila
elnök, c. egyetemi tanár
7 GDPR 12. cikk (5) A 13. és 14. cikk alapján rendelkezésre bocsátott információkat és a 15-22. és 34. cikk alapján végzett minden
tájékoztatást és intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő
jellege miatt - túlzó, az adatkezelő:
a) a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségek figyelembevételével
észszerű összegű díjat számíthat fel, vagy *
b) megtagadhatja a kérelem alapján történő intézkedést. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az
adatkezelőt terheli.
GDPR 15. cikk (3) Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az
érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az
érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre
bocsátani, kivéve, ha az érintett másként kéri.
(4) A (3) bekezdésben említett, másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.
8 Ptk. 4:177. § [Közvetítés a gyámhatósági eljárásban]
A gyámhatóság, kérelemre vagy a gyermek érdekében hivatalból, a szülői felügyeletet gyakorló szülő és a gyermekétől különélő szülő
közötti megfelelő együttműködés kialakítása, a különélő szülő jogainak biztosítása - ideértve a különélő szülő és a gyermek közötti
kapcsolattartást -érdekében a szülők számára közvetítői eljárás igénybevételét rendelheti el.