A kapcsolati kóddal tárolt személyes adatokról is kérhető másolat

A Szegedi Ítélőtábla 2015. május 11-én kelt végzése eredményeként került be az egészségügyi adatok kezeléséről szóló törvény 35/L. § (5) bekezdésébe karácsony előtt ez a lehetőség. (2016. január 11.)

A magyar adatvédelmi joggal kapcsolatos aggályaimat már sokszor hangoztattam és megpróbáltam rajta változtatni. Számos alkotmánybírósági ügyem volt, aztán szerencsét próbáltam Strasbourgban is. Ezek a próbálkozások sokszor sikertelenek maradtak. Ezért a következő természetes lépés, az Európai Unió Bíróságához (EUB) fordulás.

A tavalyi év végén kezdtem bele abba a projektbe, hogy a Lisszaboni Egyezményben létrehozott új jogintézményt, az Európai Unió Bíróságának előzetes döntéshozatali eljárását kipróbáljam és fontos adatvédelmi perek esetén kérjem az EUB eljárását. Mint az ismert, az adatvédelmi pereket a törvényszékeken kell kezdeni, amely fellebbezés esetén az ítélőtáblán folytatódik. A bíróságok bármelyikén lehet kérni az előzetes döntéshozatali eljárást, az ítélőtáblán már a bíróság köteles elküldeni az EU jogának alkalmazandóságáról szóló kérdéseket Luxemburgba. Ettől csak abban az esetben lehet eltekinteni, hogy ha a bíróság maga is úgy tartja, hogy az EU jogát kell alkalmazni.

Mielőtt az igazán nagy horderejű pereket elindítottam volna, kellett egy bemelegítés, egy olyan ügy, amely a betanulást szolgálta. Ezért 2014 decemberében pert kezdeményeztem a TEA (Tételes Egészségügyi Adattár) adatkezelője ellen. Az adattár működésével már régóta nem értek egyet. A törvény szerint ide csak személyazonosításra alkalmatlan adatok kerülhettek volna (Eüak. 20. § (4) bekezdése). Azonban ez még véletlenül sincs így, számtalan módon lehet az ott található adatokat azonosítani. Először is magával a kapcsolati kóddal, de a születési dátum / lakóhely irányítószáma / férfi-nő kombóval, sőt még vényazonosítóval is, amely ugyancsak egyszerű és egyértelmű személyazonosítást tesz lehetővé.

Az adatkezelő is lényegében tudja, hogy az adatok beazonosíthatók, de még véletlenül sem mondana le erről. Folyamatosan fenntartja magának azt a jogot, hogy esetleg, ha egyszer majd kell, akkor azonosítson személyeket. Ez viszont ma egyértelműen törvényellenes - de hát ki tudja, lehet hogy holnap majd megadják a jogot neki a személyek azonosítására.

A per lényege a subject access volt, azaz, hogy a rám vonatkozó adatokat az adatkezelő adja ki. Ehhez megküldtem a kapcsolati kódomat (az OEP-től megkaptam), a születési dátumomat / irányítószámomat és a népességnyilvántartó igazolását, hogy más személy nem szerepel a lakossági nyilvántartásban ezekkel az adatokkal. Az első megmérettetés a papírforma szerint zajlott, amikor is a Szegedi Törvényszék lesöpörte a bizonyítékokat az asztalról és azzal az indoklással, hogy kötelező az adatkezelés és punktum - elutasította az indítványomat. Ezt követte a fellebbezés, amelyben semmivé tettük az elsőfokú bíróság érvelését és előterjesztettük az EUB felé elküldendő kérdéseinket.

Az ítélőtábla nehéz helyzetbe került, de végül kivágta magát belőle. Hozott egy végzést, amely szerint egyetért azzal, hogy a perben az EU jogát alkalmazni kell. Egyúttal új, körültekintőbb eljárásra visszaküldte az ügyet a törvényszékre. A végzés elolvasható itt.

Az a két kérdés, amellyel az ítélőtábla is egyetértett a következő volt:

1. A Tételes Egészségügyi Adattár Az Európai Parlament és a Tanács 95/46/EK számú, a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló irányelve (1995. október 24.) hatálya alá tartozik-e?
2. Az Európai Alapvető Jogok Chartája 8. cikke (2) bekezdése alkalmazandó-e a tekintett esetben?

Az EU Alapjogi Chartájának 8. cikke

(1) Mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.
(2) Az ilyen adatokat csak tisztességesen és jóhiszeműen, meghatározott célokra, az érintett személy hozzájárulása alapján vagy valamilyen más, a törvényben rögzített jogos okból lehet kezelni. Mindenkinek joga van ahhoz, hogy a róla gyűjtött adatokat megismerje, és joga van azokat kijavíttatni.

A pernek még koránt sincs vége, ez egyelőre csak egy közbülső eredmény. A továbbiaktól is sokat remélek. Az utolsó simitásokat végzem a következő nagyobb ügyön, amely már érzékeny pontra fog tapintani, a kényszerintézkedés alapú adatkezelést fogom firtatni az EUB előtt a társadalombiztosítás ürügyén. Aztán jöhetnek a további perek.

A per során egyértelműen kiderülni látszik, hogy az élethosszig megőrzött, kapcsolati kóddal ellátott adatok nyilvánvalóan személyes adatok és már így gondol rájuk a jogalkotó is. Úgy néz ki, hogy ejtette azt az elképzelést, hogy ezek az adatok eleve azonosításra alkalmatlanok. Jelenleg már a kapcsolati kódolt adatállomány személyes adat, de ebből lehet majd származtatni az anonimizált adatokat. Azzal a gondolattal is meg kell barátkoznia, hogy akkor a kapcsolati kódolt állományok esetében is biztosítani kell az érintettek különböző jogait a tiltakozáshoz, kijavításhoz és egyebekhez.

Dr. Alexin Zoltán