BH 2019.10.272 Az adatkezelő által kezelt, a természetes személy azonosítását közvetve - az adatkezelő által nem kezelt további adat összekapcsolásával - lehetővé tevő adat személyes adat, amely az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek [2011. évi CXII. tv. (Infotv.) 3. §, 4. § (3) bek., 14. §].

A felülvizsgálat alapjául szolgáló tényállás

[1] Az alperes Állami Egészségügyi ellátó Központ adatkezelési tevékenységét a Tételes Egészségügyi Adattár (a továbbiakban: TEA) elnevezésű nyilvántartás útján végzi. Ebben olyan adatbázisból kérhetők le statisztikai adatok, amelyeket a közfinanszírozású egészségügyi szolgáltatók jogszabályi előírás alapján jelentenek. Az adatok elsődleges gyűjtését és feldolgozását az Országos Egészségbiztosítási Pénztár (a továbbiakban: OEP) végzi, melyeket a 76/2004. (VIII. 19.) ESzCsM rendelet előírása alapján személyazonosításra alkalmatlan módon kell átadnia az alperes részére.

[2] A TEA adattár tartalmazza a fekvő- és járóbeteg szakellátás, művesekezelés, CT/MRI vizsgálatok, esetfinanszírozott eszközök és beavatkozások rekordjait. Az adattár nyilvános, mindenki számára elérhető, abból ún. aggregált, összesített adatokat lehet lekérdezni különböző megjelenítési és szűrőfeltételek beállításával, melynek eredményeként egy összesített adatokat tartalmazó eredménytáblázat jelenik meg a beállításnak megfelelő bontásban. Ha a megadott szűrési feltételek eredményeként ötnél kevesebb esetszám adódik, a rendszer adatot nem szolgáltat. Az alperes feladatellátása során az OEP által a részére átadott adatokkal kapcsolatba hozható személyek személyazonosító adataival nem rendelkezik, nem ismeri az adott személynek az OEP által képzett és kiadott kilenc jegyű ún. kapcsolati kódját (quasi TAJ-szám), az ehhez tartozó személyt és személyazonosító adatait.

[3] Az OEP a felperessel - kérésére - közölte a kapcsolati kódját, és felhívta a figyelmét, ha jelzi az alperesnek, hogy ez a kapcsolati kód hozzá tartozik, személye beazonosíthatóvá válik. A felperes 2014. március 12-én az alpereshez intézett levelében kérte az általa tárolt személyes adatainak másolatát oly módon, hogy kapcsolati kódját az alperesnek egy arra alkalmas számítógépébe saját maga begépeli, majd az adatokat lekéri.

[4] Az alperes 2014. április 16-án kelt válaszában közölte, hogy a TEA adatbázisban személyes adatok kezelésére nincs felhatalmazása, ilyeneket nem is kezel, így a felperes egészségügyi ellátási eseteivel kapcsolatos adatok sem állnak a rendelkezésére. Amennyiben a felperes által javasolt eljárással kér le adatokat, nem állapítható meg, hogy a felperes valóban a saját TAJ számából képzett kulcsot gépelt-e be a rendszerbe, mert ennek ellenőrzésére nincs lehetősége. Ugyanakkor a felperes sem tudna meggyőződni arról, hogy a kapcsolati kódot az informatikai rendszer tárolja-e, ebben az esetben ugyanis az érintett adatok visszaszemélyesítése lehetővé válik. Tájékoztatta arról is, hogy a felperes által javasolt eljárással a részéről személyes adatkezelés valósulna meg, amelyhez felhatalmazással nem rendelkezik.

[5] Megkeresésére a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala arról tájékoztatta a felperest, hogy a 2014. január 1-jei adatok szerint Sz.-en a 6724 irányítószámon vele azonos születési idővel 1 fő férfi rendelkezik érvényes lakóhellyel.

A kereseti kérelem és ellenkérelem

[6] A felperes a 2014. december 14-én benyújtott keresetében adatvédelmi felvilágosítás keretében a róla tárolt adatok másolatának kiadására kérte kötelezni az alperest, és arra az esetre, ha bizonyítást nyerne, hogy a tárolt adatok személyes adatok, kérte megállapítani az adatkezelés jogellenességét és az adatok törlésének elrendelését.

[7] Az alperes a kereset elutasítását indítványozta. Védekezése szerint jogszabályi felhatalmazás alapján és kizárólag a jogszabály által meghatározott körben kezel személyazonosításra nem alkalmas, a kapcsolati kódok alapján pusztán a betegutat azonosítható adatokat, amelyek személyes adatoknak nem minősülnek.

Az első- és másodfokú ítélet

[8] Az elsőfokú bíróság ítéletével a keresetet elutasította. A felperes fellebbezése alapján eljárt másodfokú bíróság ítéletével az elsőfokú bíróság ítéletét helybenhagyta.

[9] A jogerős ítélet indokolása szerint, az egészségügyben szenzitív adatok kezelése folyik, amelyre az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (a továbbiakban: Eüak.) speciális szabályokat ír elő. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) az Eüak. háttérjogszabályát képezi. Az Eüak. az információáramlás veszélyeinek elhárítását és az Infotv. előírásaival való harmonizáció megteremtését kívánja megvalósítani úgy, hogy meghatározza az egészségügyi adatokat, illetve az azokhoz kapcsolódó személyazonosító adatok összekapcsolt kezelésének feltételeit. Az Eüak. elsődlegesen az egészségügyi ellátó hálózaton belüli adatkezelést szabályozza, ugyanakkor szabályozásra kerülnek az ezen kívüli adatkezelési szituációk is. A törvény az egészségügyi hálózattal kapcsolatba került, vagy kerülő személyek - tehát nem feltétlenül csak betegek - személyiségi jogait védi az adatokhoz való illetéktelen hozzáféréssel szemben, lehetőség szerint nem gátolva az adatok célhoz rendelt hatékony felhasználását.

[10] A másodfokú bíróság hivatkozott a személyes adat Infotv. 3. §-ában meghatározott fogalmára, valamint az Infotv. 4. § (1) bekezdése alapján a személyes adat célhoz kötött kezelésének kötelezettségére. Ismertette az egyes személyazonosításra alkalmatlan ágazati (egészségügyi, szakmai) adatok körének meghatározására, gyűjtésére, feldolgozására vonatkozó részletes szabályokról szóló 76/2004. (VIII. 19.) ESzCsM rendelet (a továbbiakban: Rendelet) 4. §-át, amely előírja, hogy az OEP az általa finanszírozási célból gyűjtött és kezelt adatokhoz való hozzáférés és ellenőrizhetőségük érdekében a 2. számú melléklet B) és C) pontjai szerinti adatokat, az ott meghatározott időszakok szerint, megküldi az alperesnek, aki azokat havi gyakorisággal feldolgozza. A tételes jelentési kötelezettséget tartalmazó Rendelet 2. számú mellékletének B) pontja szerint az OEP az adatokat személyazonosításra alkalmatlan módon, kapcsolati kóddal ellátva szolgáltatja, amely biztosítja az ellátott betegek megkülönböztetését, az egyes ellátási események összefűzését.

[11] A másodfokú bíróság megállapította, hogy a megismételt eljárásban az elsőfokú bíróság - a hatályon kívül helyező végzés előírásainak megfelelően - vizsgálta, hogy az alperes az OEP-től ténylegesen milyen adatokat kap, és ezek alapján hogyan történik a TEA adatbázis összeállítása. A bizonyítási eljárás eredményeként kétségtelenül megállapítható, hogy az OEP a Rendelet 2. számú melléklet B) pontja alapján szolgáltat adatokat az alperes részére, az átadott adatok adatszerkezete a Rendeletben meghatározott adattartalmon alapul. Az alperes az Infotv. 22. § (2) bekezdésében foglalt bizonyítási kötelezettségének, mely szerint adatkezelése "jogszabályszerű", azaz nem kezel személyes adatot, eleget tett. Az OEP által a Rendelet szerint megküldött adatok, amelyek kezelését az alperes jogszabály alapján végzi, személyazonosításra nem alkalmasak. A felperes ennek ellenkezőjét nem bizonyította. Önmagában a felperes szubjektív véleménye, mely szerint meggyőződése, hogy a TEA adatbázisból a személyazonosítás elvégezhető, megfelelő bizonyítéknak nem tekinthető.