Mekkora nyűg valójában az adatkezelési nyilvántartás?

A nyilvántartások közül a betegnyilvántartás minden praktizáló orvos számára eddig is a hétköznapok megkerülhetetlen része volt. A GDPR azonban egy olyan új nyilvántartást is életünk részévé tett, amelyet 2018. május 25. óta az orvosoknak is vezetniük kell. Ez az adatkezelési nyilvántartás. De vigyázat! A két nyilvántartás csak egyvalamiben hasonlít egymásra: mindkettőt nyilvántartásnak hívják.

Tegyük fel, hogy egy új beteg lép be a rendelőbe. Még nem ismerjük, kezet fogunk vele, és hellyel kínáljuk. Aztán bevezetjük a személyazonosító adatait a betegnyilvántartásba, majd megvizsgáljuk őt, és rögzítjük a betegnyilvántartásban mindazokat az információkat az egészségi állapotáról, amelyeket a vizsgálat során megállapítottunk. Ez eddig is így volt, és ebben nincs is semmi változás. Idén májustól azonban itt az adatkezelési nyilvántartás is, és ezzel kapcsolatban egy új szerepbe is bele kell tanulnunk. Ez pedig az adatkezelői szerep.

Amikor egymással szemben ülünk a páciensünkkel, természetesen arra gondolunk, hogy mint orvos és beteg ülünk itt. De ugyanerre a helyzetre ránézhetünk egy kevésbé magától értetődő nézőpontból is, az adatvédelem nézőpontjából. És ha innen nézzük a helyzetet, akkor mi adatkezelők vagyunk, a páciensünk pedig az a személy, akinek az adatait kezeljük.

Az adatkezelési nyilvántartás elkészítéséhez ebből a nézőpontból kell a praxisunkra tekintenünk. Talán a legnehezebb ebbe a szokatlan nézőpontba belehelyezkednünk, mert amúgy, az adatkezelési nyilvántartás egyáltalán nem bonyolult dolog. Viszont elengedhetetlen minden orvosi praxis számára, mert ha az adatvédelmi hatóság bármikor ellenőrzi a praxisunk adatkezelési megfelelőségét, ez lesz a legelső dokumentum, amit elkér tőlünk.

És miért állítjuk, hogy nem bonyolult elkészíteni és vezetni az adatkezelési nyilvántartást?

Talán a legfontosabb, hogy összevetve a betegnyilvántartással, az adatkezelési nyilvántartásban nagyon kevés információt kell szerepeltetnünk, és ha egyszer rendesen elkészítettük, könnyen lehet, hogy évekig nem kell hozzányúlnunk. De az egészen biztos, hogy napi szinten nem kell vele foglalkoznunk.

Szintén könnyebbség a betegnyilvántartáshoz képest, hogy míg ott az egyes betegek ezernyi, nagyon is konkrét „személyes adatát” vezetjük be naponta a nyilvántartásba, addig az adatkezelési nyilvántartásba betegadatot egyáltalán nem kell (nem is szabad) bevezetni. Ebben a nyilvántartásban azt kell fellistáznunk, hogy milyen különböző célokból tartjuk nyilván, tároljuk, továbbítjuk emberek csoportjainak (és nem egyes embereknek) az adatait és az egyes adatkezelési célok keretében hogyan tesszük ezt.

Az adatkezelési nyilvántartás központi eleme tehát az adatkezelési cél. Minden e körül forog. Ha csak egy adatkezelési célból (gyógykezelés céljából) kezel az orvos személyes adatot, akkor az egész adatkezelési nyilvántartása egy sorból fog állni. Ebben az egy sorban lesznek feltüntetve a gyógykezelési célú adatkezelés azon jellemzői, amelyeket a GDPR alapján fel kell tüntetni az adatkezelési nyilvántartásban.

Ha a gyógyítási cél mellett még kapcsolattartási célból és munkaviszony céljából is kezeli az orvos emberek bizonyos adatait (mert pl. e-mailen is tartja a kapcsolatot a betegeivel és asszisztenst is foglalkoztat a praxisában) akkor további két sor kerül be az adatkezelési nyilvántartásba.

Az adatkezelési nyilvántartás tehát nem bonyolult, de fontos dokumentum, minden orvosi praxis szabályszerű adatkezelésének alapköve. Helyes elkészítésében nagy segítséget nyújt az Adatsólyom Doki, mely tartalmaz egy adatkezelési nyilvántartás minta dokumentumot és annak kitöltését példákon keresztül, szemléletesen segíti. Így nem kell aggódni: az adatkezelési nyilvántartás egy orvoson sem tud majd kifogni.