Betegdokumentumokhoz történő hozzáférés, egészségügyi adatkezelés a rendelőkben

Kérhet-e egy magánrendelő vagy egy fogászat költségtérítést a betegdokumentáció másolatáért vagy azt ingyenesen kell-e biztosítania a pácienseinek? Ki kell-e adnia a betegdokumentációt az orvosnak akkor is, ha a beteg kártérítési pert akar ellene indítani? Mire érdemes figyelni az egészségügyi dokumentáció kiadása során?

Számtalan esetben marasztalja el az adatvédelmi hatóság az egészségügyi szolgáltatókat (pl.: magánkórházak, fogászatok, nőgyógyászati rendelők stb.) mert nem vagy nem megfelelően teljesítik a betegek egyik legalapvetőbb jogát, a betegdokumentációhoz történő hozzáférést és másolat kiadást. 

Ez az összefoglaló igyekszik olyan „jó gyakorlatokat” felsorakozhatni, amelyek segíthetnek az egészségügyi szolgáltatóknak a páciensekkel történő jogvitás helyzeteket megelőzni illetve elkerülni. 

Milyen jogszabályok irányadóak az egészségügyi adatok kezelésére? 

Az egészségügyi adat „fogalma”

Az egészségügyi adat fogalmát nehéz megalkotni, még a jogszabályok sem vállalkoznak erre közvetlenül, de talán a GDPR 35. cikke jár a leközelebb. Lényegében minden olyan személyes adatot egészségügyi adatnak tekinthetünk, amelyek információt hordoznak egy adott természetes személy múltbeli, jelenlegi vagy jövőbeli testi vagy pszichikai egészségi állapotáról, és így lehetővé teszik számunkra, hogy következtetést vonjunk le egy adott természetes személy egészségügyi állapotára vonatkozóan.

Az egészségügyi adatkezelésekre vonatkozó európai uniós és hazai jogszabályi háttér

Az egészségügyi adatok a személyes adatok különleges kategóriáiba tartoznak, így kiemelt védelmet élveznek. A GDPR főszabály szerint tiltja az egészségügyi adatok kezelését, és másodlagosan, a főszabály alóli kivételként, sorolja csak fel azokat az eseteket, amikor egy adatkezelő mégis kezelhet ilyen adatokat. A másodlagos felsorolás első eleme, épp az az eset, amikor a természetes személy maga járul hozzá kifejezetten ahhoz, hogy személyes adatait más kezelje. 

A GDPR mellett a hazai jogszabályokat is figyelembe kell vennünk, amelyek a GDPR rendelkezéseinél szigorúbb szabályokat is tartalmazhatnak.  

Magyarország több olyan jogszabállyal is rendelkezik, amely a természetes személyek egészségügyi adatainak kezelését érinti. Ezek közül is ki kell emelni az egészségügyről szóló 1997. évi CLIV. törvényt (Eü. tv.) és az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvényt. (Eüak.)  

A betegdokumentumok kiadásának biztosítására vonatkozó szabályozás

Az Eü. tv. alapján a beteg vizsgálatával és gyógykezelésével kapcsolatos adatokat az egészségügyi dokumentáció tartalmazza. Az egészségügyi dokumentációt úgy kell vezetni, hogy az a valóságnak megfelelően tükrözze az ellátás folyamatát. A magyar szabályozás alapján a beteggel az egészségügyi dokumentációt meg kell ismertetni, ennek alapját járóbetegellátásban az ambulánslap, míg fekvőbeteg ellátásban a zárójelentés átadása képezi. Az egészségügyi dokumentációban kötelezően rögzítendő információk körére, annak részletes vezetésére, az egészségügyi dokumentáció esetleges javítására, megőrzésére az Eütv. és az Eüak. részletes szabályokat tartalmaz. Az egészségügyi szolgáltatóknak tehát az egészségügyi szolgáltatás részeként nem csak hogy vezetnie kell a betegek egészségügyi „kartonját”, de egyes dokumentumokat papír alapon is át is kell(ene) adnia a pácienseknek. 

Az egészségügyi szolgáltatóknak a fizikai dokumentum átadáson felül, a vonatkozó jogszabályok előírják, hogy az egészégügyi dokumentumokat az EESZT-be, azaz az Egységes Egészségügyi Szolgáltatási Térbe is fel kell tölteniük. Az EESZT bevezetése óta a kötelezően feltöltendő egészségügyi dokumentumok köre több körben is bővült, az EESZT mind asztali gépen, mind mobilappon keresztül elérhető, így a páciensek akár a mobiltelefonjukról is könnyedén elérhetik már az egészségügyi szolgáltató által feltöltött dokumentumaikat. 

A GDPR érintetti jogai ezek mellett (vagy ezeken felül?) biztosítják a betegnek azt is, hogy az egészségügyi szolgáltató által nyilvántartott egészségügyi dokumentumokból másolatot kérjenek. A GDPR 15. cikk 3. bekezdése biztosítja a páciens részére a jogot a személyes adatait tartalmazó dokumentum másolatának igényléséhez, míg az adatkezelő egészségügyi szolgáltató részére pedig kötelezettséget teremt a másolat kiadására. Az első ingyenes másolatért nem, de az ezen felüli további másolatokért az egészségügyi szolgáltató adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel a pácienseinek. 

Jogellenes gyakorlatok az egészségügyi szolgáltatók működése során és az adatkezelői „legjobb gyakorlatok” 

A páciensi hozzáférési joggyakorlás biztosításának elmaradása;

A NAIH két ügyben is azért marasztalt el egészségügyi szolgáltatót, mert nem biztosította a páciensek részére, hogy a hozzáférési jogukkal élhessenek. Az egyik esetben egy szülész-nőgyógyász olyan bérelt rendelőben nyújtott szolgáltatást, amelyik nem biztosította, hogy bárki átvegye azokat a postai küldeményeket, amelyeket a nőgyógyásznak címeztek, ideértve azt a küldeményt is, amely a betegének az egészségügyi dokumentáció kiadására vonatkozó postai levelét tartalmazta. A páciens hiába küldte el megkeresését, azokat a nőgyógyásznak kezelőhelyiséget biztosító bérbeadó visszaküldte a címzettnek, így azok el sem jutottak az orvoshoz. 

A másik esetben az orvosi ügyeletet ellátó szolgáltató több rendelőben, különböző helyszíneken is végezte a tevékenységét. A beteg hiába írta az egyik rendelőnek címezve megkeresését, ott senki sem vette át a postai levelet, mondván az orvos ott „csak” ügyeletet lát el. A NAIH mindkét esetben elmarasztalta az érintett szolgáltatást nyújtó orvost, kiemelte, hogy nagy mértékben sérült az átlátható adatkezelés alapelve, hiszen az adatkezelők nem nyújtottak tájékoztatást arról, hogy a páciensek milyen módon tudják érintetti jogaikat érvényesíteni. Az adatkezelési tájékoztató elkészítésével és dokumentált közzétételével mindkét adatkezelő elkerülhette volna a jogvitát, hiszen, ha a megkeresések megérkeztek volna (ha pl.: egy olyan levelezési címet tüntet fel, ahol valóban elérhető, vagy a küldemény átvétele biztosított), úgy az elmarasztalásra sem került volna sor. 

Az egészségügyi dokumentációról történő másolat kiadásáért történő díjszámítás

Egy orvos díjazás ellenében kívánta a betegnek kiadni az egészségügyi dokumentációja másolatát. A terjedelmes betegdokumentáció másodpéldánya több tízezer forintos költségre rúgott volna. A NAIH felhívta a figyelmet arra, hogy a szolgáltató kötelezettségeként a leletkiadást ágazati jogszabályok írják elő, így a leletkiadás független, a beteget egyébként a GDPR alapján megillető hozzáférési jogtól.  Tehát a beteg jogosult hozzáférést kapni a személyes adataihoz, és kérni betegdokumentumai vonatkozásában azok másolatát a GDPR-tól függetlenül is. 

Érdekesség, hogy a NAIH egy kiskorúakat érintő esetben, úgy érvelt, hogy ha a különélő, de felügyeleti jogot közösen gyakorló szülők nyújtanak be külön-külön hozzáférési igényeket (igényelnek másolatot a betegdokumentumokból), akkor az orvosnak mindkét szülő felé ingyenesen kell biztosítania az első másolatot. Nem tagadható meg a kérés arra hivatkozással, hogy az egyik szülőnek már korábban kiadta az orvos a dokumentumot. 

Az első ízben történő másolat kiadás ingyenességét nemrégiben az Európai Unió Bírósága is megerősítette, ráadásul az adott ügyben (C307/22 számú ügy) hozott döntésében kiemelte, hogy az adatkezelő fogorvos nem mérlegelheti a hozzáférési jog teljesítésekor, hogy a páciens milyen okból kéri az egészségügyi dokumentációja másolatát. A páciens nem köteles kérését indokolni, de ha megindokolja sem tagadhatja meg a fogorvos a dokumentáció kiadását. (Az adott ügyben a páciens kártérítési per indítását mérlegelte, és ehhez szeretett volna bizonyítékokat gyűjteni.) 

Az Európai Unió Bírósága hangsúlyozta, hogy a „másolat” kiadás alatt nem csak a fizikai dokumentációt, hanem az abban szereplő átfogó személyes adatokat is érteni kell, így az adatkezelő köteles teljes dokumentumokat rendelkezésre bocsátani.

A páciens adathozzáférési igényének válasz nélkül hagyása

Egy szülő emailben kérte gyermeke fogorvosától a kiskorú betegdokumentumait. A fogorvos arra hivatkozással ezeket nem küldte meg a szülőnek, hogy ő már korábban szóban jelezte, hogy azokat papír alapon átveheti a rendelőben.  A fogorvos hozzátette, hogy ő az EESZT-be is feltöltötte a dokumentumokat.  

A NAIH kiemelte, hogy az EESZT révén is teljesíthető az elektronikus másolat biztosítása, ugyanakkor azt egy hármas feltételrendszerhez kötötte. Csak abban az esetben teljesülhetnek a kondíciók, ha a szolgáltató meggyőződik arról, hogy a páciens EESZT hozzáféréssel rendelkezik, a páciens által kért iratok ténylegesen elérhetőek az EESZT-ben, továbbá, ha a hozzáférés ilyen módon történő biztosítását a páciens nem kifogásolja. Egyéb esetben papír alapon is biztosítani kell a dokumentumokat. 

Az egészségügyi szolgáltató a páciens által igényelt formában (legyen az papír, vagy akár elektronikus út) köteles biztosítani az egészségügyi dokumentáció megküldését.

Egy másik ügyben egy egészségügyi szolgáltató ignorálta a beteg hozzáférési igényét, arra egyáltalán nem válaszolt.  Mivel a hatósági eljárásban sem működött együtt a magánklinika, így a NAIH 10.000.000, – Forintos adatvédelmi bírsággal honorálta az adatkezelő ténykedését. Ha egy picit együttműködőbb az egészségügyi szolgáltató, hamar kiderülhetett volna, hogy azért vont le téves következtetéseket az adatkezelő az érintettről (miszerint ő nem kezeli a beteg személyes adatait) mert eleve tévesen vitte fel annak családi nevét, így az érintett adatbázisa hibás adatot tartalmazott. 

Mit tehet az egészségügyi szolgáltató a rendelői „compliance” érdekében? 

Az adatvédelmi hatóság által felvonultatott esetekben visszatérő motívum, hogy az adatkezelő orvosirendelő, magánklinika egyáltalán nem vagy nagyon hiányos adatkezelési megfelelést szolgáló dokumentációval rendelkezett. A legalapvetőbb hiba az adatkezelési tájékoztató hiánya volt. Ebből eredt később, hogy az érintetti jogok érvényesítésének lehetőségei nem is kerültek közlésre a páciensekkel. 

Az orvosi rendelők, praxisközösségek, fogászatok, egészségközpontok megelőzhették volna a hatósági eljárásokat, ha

• a GDPR 13. -14 cikk által megkívánt adatkezelési tájékoztatót elkészítik,
• megfelelő módon közzéteszik ezeket, illetve olyan eljárásrendeket dolgoznak ki, amelyekkel a személyes adatok jogszerű kezelése, a betegek egészségügyi adatainak védelme biztosított.

A fenti dokumentumok hiányában, szimplán az érintett pácienssel történő kommunikáció és együttműködés, adott esetben adatvédelmi szakjogász igénybevétele is sokat segíthet abban, hogy ezek a panasz bejelentésre indult ügyek el se induljanak. 

Ha Ön orvos, fogorvos, gyógytornász vagy egészségközpontot üzemeltet, esetleg más egészségügyi szolgáltató, és eddig még nem készítette el az adatkezelési tájékoztatót illetve a megfelelési dokumentumokat, esetleg azokat átnézetné, keressen bizalommal elérhetőségeimen.

A cikk szerzője dr. Szabó Gábor LL.M ügyvéd, az SZGLEGAL – Dr. Szabó Gábor Pál Ügyvédi Iroda ügyvédje, adatvédelmi és egészségügyi szakjogász. A cikkben megfogalmazott gondolatok a szerző saját véleménye, és nem tekinthetőek és nem értelmezhetőek általános jogi állásfoglalásként, eseti jogi tanácsadásért keressen bizalommal.