2) At EESZT nem az egészségügyi adatok adattárolásának eszköze, hanem bizonyos (rész)adatok másodlagos tárolásának helye ( A GDPR megfogalmazásában "címzett"). Az adatok elsősorban a helyi rendszerekben vannak és onnan kezelik őket.
Tehát ha betörsz a rendelőbe és elviszed a szervert, azon rajta lesznek az adatok.
Az EESZT-nek a célja az adatcsere. Egy orvos csak akkor fordul oda, ha egy másik intézményben keletkezett adatra (vizsgálati lelet, zárójelentés) van szükség.
Szerintem nem kell. Kiemelem a szerintem releváns részt.
17. cikk
A törléshez való jog („az elfeledtetéshez való jog”)
(1) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
a)
a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b)
az érintett visszavonja a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c)
az érintett a 21. cikk (1) bekezdése alapján tiltakozik az adatkezeléseó ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
d)
a személyes adatokat jogellenesen kezelték;
e)
a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f)
a személyes adatok gyűjtésére a 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
(2) Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
(3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:
a)
a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b)
a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
c)
a 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;
d)
a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
e)
jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
„A novemberi éles indulást megelőzően folyik az e-egészségügyi szolgáltatási rendszer tesztelése. A csatlakoztatandó kórházi informatikai rendszerek szállítói már sok tapasztalattal rendelkeznek, ám az érintett felhasználók, az orvosok mintha még kevés információt kaptak volna.
Novembertől minden közfinanszírozott egészségügyi szolgáltatónak csatlakoznia kell az e-egészségügyi szolgáltatási rendszerhez. A jogszabály szerint a magánintézményeknek további egy év áll rendelkezésükre a kötelező csatlakozáshoz. Az Állami Egészségügyi Ellátó Központ (ÁEEK) irányításával kifejlesztett, felhőalapú rendszerbe a kórházakból, szakorvosi járóbeteg-rendelőkből, az alapellátásban dolgozóktól, valamint a gyógyszertárakból kerülnek be a betegek egészségügyi állapotával, illetve ellátásával kapcsolatos adatok. Az így létrejövő központi elektronikus rendszernek köszönhetően az orvosok – webes felületről – bárhol és bármikor azonnal hozzájuthatnak a beteggel kapcsolatos minden fontos információhoz. Előbb-utóbb tehát teljesen feleslegessé válnak a papíralapú dokumentációk – leletek, receptek stb.
Én most munkaügyben utazom ... na itt aztán teljes a kavar ezügyben. A dolgozó kérésére az adatait meg kell semmisíteni ... bérügyi anyagokat viszont TILOS a magyar adótörvények értelmében megsemmisíteni ... f@sza
A GDPR legnagyobb problémája, hogy a megfogalmazása teljesen általános. Amiben a maga szempontjából van ráció. Másrészt ez nagyon megnehezíti az alkalmazását. Főként ha bekövetkezett az a bizonyos incidens.
Teljes biztonság ugyanis nincsen. Van kicsi biztonság, közepes biztonság, nagy biztonság. Teljes biztonság nincs.
Vegyünk egy hasonlatot a a való életből.
Van egy házad. Tárva-nyitva hagyod az ajtót és valaki betör, elviszi a családi ezüstöt. A kár a tied, de ezért nem vagy büntethető (legfeljebb röhögnek rajtad a szomszédok), a bűnös továbbra is a betörő.
De tegyük fel, hogy orvos vagy és a lakásban örzöd a betegkartonokat. Adatokat kezelsz másokról. Ha most ide betörnek, attól függetlenül hogy kár ér, de nem nyúl senki sem a kartonokhoz, jöhet a vizsgálat. Ha a vizsgálat az deríti ki, hogy a kartonokat felelőtlenül őrizted, jöhet a büntetés. Te is áldozat vagy, de bűnös lehetsz a hanyagságodért.
A GDPR viszont nem ad semmiféle kapaszkodót olyan értelemben, hogy egy körzeti orvosnak hogyan kell őrizni a kartonokat.
- Elég zárni az orvosi rendelőt?
- A kartonokat zárható (mennyire?) szekrényben kell őrizni?
- A helységet riasztóval kell ellátni?
- A riasztót be kell kötni a rendőrségre?
- A kartonokat navahó indián nyelven kell vezetni? (titkosítás)
Azaz történik egy incidens vagy jön egy vizsgálat. Bármennyire biztonságos a rendszered, lehetne biztonságosabb. Az ellenőr mondhatja ( hiszen ő a kibic), hogy miért nem ezt vagy azt tetted tetted. Viszont az ez-meg-az árát neked ( vagy a kuncsafnak) kell állnia.
Azaz a rendelet tág teret ad az önkénynek. Amit a viág szerencsésebb részén esetleg kezelni is tudnak. Itt viszont biztosan nem.
A biztonság növelésének ára viszont nem lineáris. A dupla biztonság ( amennyiben mérhető), nem kétszeresébe, hanem négyszeresébe, nyolcszorosába vagy tizanhatszorosába kerül.
Van egy bűvös háromszög:
- bekerülési/fenntartási költség (erőforrásigény)
- használhatóság/kényelem/komfort/gyorsaság
- biztonság
Ebből a háromból mindíg legfeljebb kettő lehet az ideális szint közelében.
Eddig egy egyszeru tetoterbeepites miatt megtudhattam a harom szomszedos lakohaz tulajdonosaina anyja nevet es szuletesi datumat, mi lesz ha meg ezt is betiltjak?
Azt nem tudom okoz-e majd problémát az Európán kívülieknek és betartják-e, de azt tutira veszem, hogy Magyarországon méretes szopások lesznek. A szoftverfejlesztők is megnyomják a ceruzát számlázáskor annyira amennyire csak bírják, és amire fedezet hogy az adatvédelmisek is megnyomják ami csak belefér ha gond lenne. A magyar cégek viszont kisebb tőkével pörögnek kisebb fordulatszámon mint a nyugatiak, így relatíve sokszoros teher lesz nekik megfelelniük az előírásoknak mint egy hasonló méretű nyugati cégnek (erre az egyik cikk is céloz, hogy a bírságban sem lesz különbség ország szerint). Ráadásul az informatikai megoldások egy nagy halmaza nem függ az alkalmazás példányszámától, például százmillió személyi adat védelmének költsége nem százmilliószorosa az egy adat kezelési költségének - ez relatíve a nagyobb cégeknek kedvező.
Az adatvédelmi incidensekkel összefüggő kötelezettségek nem feltétlenül jelentenek újdonságot az adatkezelőknek, hiszen a magyar adatvédelmi törvény 2015. októberi módosítása óta valamennyi adatkezelőnek belső nyilvántartást kellet vezetnie a bekövetkezett adatvédelmi incidensekről, feljegyezve benne annak időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket.
A GDPR ezt a kötelezettséget azzal bővíti ki, hogy az adatkezelőknek főszabály szerint be is kell jelenteniük az adatvédelmi incidenseket a Hatóság számára.
A bejelentés egyik kötelező tartalmi eleme pedig az, hogy az adatkezelő nyújtson felvilágosítást arról, hogy milyen incidens történt, az milyen kockázatokat, következményeket jelent az érintettek számára, illetve milyen intézkedéseket tett az adatkezelő az elhárítás érdekében.
A NAIH az incidens kivizsgálására vonatkozó kötelezettséget már jelenleg is elvárja az adatkezelőktől. A BKK adatvédelmi incidense miatt indult eljárást lezáró, 2018. januári határozatában a NAIH elrendelte azt is, hogy az adatkezelő "tegye meg a szükséges intézkedéseket annak érdekében, hogy az adatvédelmi incidens körülményeit, valószínűsíthető kockázatait feltárja."
Sőt, ezen túlmenően azt is elvárta az adatkezelőtől, hogy "az incidensek kezelésével kapcsolatos belső eljárásrendet" is alkosson meg.
Az európai cégeket leszopatják vele, az amerikai szélsőliberális szörnyetegek (faszbúk, gogl stb.) pedig röhögnek a markukba, mert a lájkoló prolik forradalmat robbantanának ki, ha betartatnák velük is az európai törvényeket.
Ami lényeges eltérés, az az elszámoltathatóság elve. A GDPR azt mondja, hogy nemcsak meg kell felelni az adatkezelés szabályainak, hanem ezt bizonyítani is tudni kell. Ezért nem spórolható meg, hogy az adatkezelő megnézze a mai adatkezelését, hogy az GDPR-kompatibilis-e, illetve hol kell változtatnia rajta. Ebbe beletartozik az adatbiztonság követelménye is, hiszen azzal nagyot lehet bukni, ha valakinek meghekkelik az informatikai rendszerét.
Facebook’s chief financial officer, Dave Wehner, warned that GDPR could lead to a fall in users and revenue in Europe, particularly as people start tightening up their accounts to prevent so much targeted advertising.
“While we don’t expect the changes will have a significant impact on ad revenue, any change in our ability for us and advertisers to use data can impact our optimisation potential at the margin,” he said.
Despite pledging to roll out GDPR-compliant settings to all Facebook users, the chief operating officer, Sheryl Sandberg, said the settings “would not be exactly the same format”. Because of this, Facebook doesn’t expect there to be any impact on ad revenue outside Europe, indicating that those settings would not make a difference to the way Facebook uses people’s personal data, which is the whole point of GDPR.
