A sportban és vele együtt a sportegészségügyben mára már elengedhetetlen a sportolók adatainak megfelelő kezelése és védelme a vonatkozó jogszabályok pontos betartása mellett. A sportszervezetek a náluk amatőr vagy hivatásos sportolói státuszban tevékenységet végző sportolók személyes adatait kezelik és tartják nyilván nap mint nap. A sportban az adatkezelés kétféleképpen fordulhat elő. Egyrészt akkor, amikor az adott sportoló jogviszonyt létesít az őt fogadó sportszervezettel, másfelől, amikor részt vesz a számára előírt sportorvosi vizsgálatokon. Ez utóbbi képezi a sportegészségügyben történő adatkezelés tárgykörét.
A sportegészségügyben számos adat kerül rögzítésre az adott sportolóról, amelyek ún. adathálót képeznek. Ezért nem mindegy, hogy az adatkezelést hogyan végzik az egyes - a sportegészségügy keretein belül működő - egészségügyi szolgáltatók. Mivel a vizsgált terület nagyon tág, ezért a jelen tanulmány a teljesség igénye nélkül, kizárólag a sportegészségügyben történő adatkezelést mutatja be lényegre törően, az adatkezelés lehetséges jogalapjai és alapelvei mentén.
Jelen tanulmány a sportegészségügyben történő adatkezelés jogszabályi hátterét és jogalapjainak szerepét mutatja be. Rövid betekintést nyújt abba, hogy mely jogszabályok alkalmazandók az adatkezelés során. Emellett az egészségügyi adatkezelés jogalapjairól nyújt leírást, bemutatva a jogalapok szerepét, jelentőségét az adatkezelés végzése közben. A tanulmány két fejezetre tagolódik. Az első fejezet az adatkezelés jogszabályi hátterét írja le, míg a második fejezet az adatkezelés jogalapjainak elemzésébe nyújt betekintést. A tanulmány a vizsgált témát a sportegészségügyi jog keretein belül tárgyalja, egyúttal törekszik az egészségügyi adatkezeléssel kapcsolatos bírói gyakorlat nyomon követésére is.
Az adatkezelés bonyolult és összetett technikai művelet, amelyet számos jogszabály szabályoz. Mivel adatkezelés bárhol történhet, mindig az adott élethelyzetben végzett adatkezelésre jellemző jogszabályanyag az irányadó. A szabályozást illetően, nemzetközi szinten az Európai Unió tagállamaiban a GDPR[1] alkalmazandó általános jelleggel. Nemzeti szinten azonban, a nemzetközi szabályozás mellett, egy adott ország jogát is figyelembe kell venni.
A téma szempontjából Magyarország nemzeti joga alkalmazandó, amely nagyon sok élethelyzetet számtalan, különböző normával szabályoz. Az egyik ilyen élethelyzet a sport, amelynek egy speciális része a sportegészségügy. Éppen ezért a sportegészségügyben történő adatkezelést az ide vonatkozó jogszabályok betartásával kell elvégezni. Ennek megfelelően a sportegészségügyben történő adatkezelés hazai jogszabályi hátterét az információs önrendelkezési jogról és az információ szabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) mellett a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.), a sportról szóló 2004. évi I. törvény (a továbbiakban: Stv.), és speciálisan az egészségügy területére vonatkozóan az egészségügyről szóló 1997. évi CLIV. törvény (a továbbiakban: Eütv.), az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (a továbbiakban: Eüak.), valamint a 215/2004. (VII. 13.) Korm. rendelet a sportorvoslás szabályairól és a sportegészségügyi hálózatról alkotják. Jól látható, hogy az egészségügyi adatkezelést illetően a magyar szabályozás igen változatos palettával rendelkezik.
Ahogy arról már szó esett, az adatvédelem terén a magyar jogszabályi környezet mellett figyelemmel kell lenni a nemzetközi szintre is, amelynek szerepe jelentősen megnőtt, hiszen 2018. május 25-ével hatályba lépett az Európai Unió általános adatvédelmi rendelete, a GDPR. A GDPR hatálybalépése óta kötelezően alkalmazandó az Európai Unió tagállamaiban. Ennek eredményként a sportegészségügyben az Infotv. háttérbe szorult, és most már annak csak néhány rendelkezése alkalmazható a GDPR és az Eüak. szakaszai mellett, kiegészítésképpen. Ilyen kiegészítő jellegről lehet beszélni például a szakértői tevékenység során végzett adatkezelésnél, az alapelvek egyes pontjai vagy az érintettek egyes jogaival kapcsolatos passzus egy részét illetően, ahol az eddig említett jogszabályok mellett az Infotv. vonatkozó szakaszait is alkalmazni kell.
A sportegészségügyi adatok kezelése során tehát egységesen, a GDPR-ral párhuzamosan elsősorban az Eüak. szabályait kell alkalmazni. Magyarországon az általános adatkezelés során a GDPR mellett az Infotv. és az Eüak. szubszidiárius szerepet tölt be. Az egészségügyben nemzeti szinten az adatkezelés terén viszont az Eüak. alkalmazandó primer jelleggel, hiszen az egészségügyi adatok, más néven a betegadatok, olyan szenzitív adatoknak minősülnek, amelyek szabályait a jogterület speciális jellegére tekintettel az Eüak. szabályoz-
- 1/2 -
za. Fontos megjegyezni - a fentieket kiegészítve -, hogy a GDPR hatálybalépése előtt az Infotv. ugyancsak szubszidiárius jelleggel volt alkalmazandó az Eüak. mint elsődleges nemzeti jogszabály mellett, de a GDPR e szerepét még jobban csökkentette. Azt is lehet mondani, hogy az Infotv. egyszerre szolgál kiegészítő, másodlagos jogszabályként a GDPR és az Eüak. számára.
A fent tárgyalt jogszabályok mellett nemzeti szinten a másik fontos jogszabály a Ptk., amely a 2:43. § e) pontjában a magántitokhoz és a személyes adatok védelméhez való jogot a nevesített személyiségi jogok csoportjában intézményesíti. A Ptk. e szakasza szintén másodlagos, hiszen az egészségügyi adatokat - mint személyes és szenzitív adatokat - azok jellegére tekintettel az Eüak. védi. A Ptk. e rendelkezése tulajdonképpen megerősíti az Eüak. ide vonatkozó szabályait.
A fentiekben leírt okfejtésből jól látható, hogy a sportegészségügyben az adatkezelés szabályozása lépcsőzetes, amely két szinten valósul meg. Az első, európai uniós szinten a GDPR határozza meg az adatkezelés jogalapját. A GDPR alkalmazása és betartása az Európai Unió minden tagállamra nézve kötelező, és azon államok állampolgáraira, illetve szervezeteire is, amelyek nem tagjai ugyan az Európai Uniónak, de valamelyik tagállamban folytatnak vállalkozási tevékenységet szervezeteiken, leányvállalataikon keresztül. A második, nemzeti vagy hazai szinten két jogszabály is alkalmazandó az egészségügyben történő adatkezeléssel kapcsolatban. Az egyik jogszabály az Eüak., amely kizárólag az egészségügyben történő adatkezelést szabályozza, annak céljával együtt, és a Ptk., amely a személyes adatok körét a magántitokhoz való joggal együtt a nevesített személyiségi jogok csoportjába emeli. Ezzel a Ptk. a személyes adatok védelmét megerősíti. A sportegészségügyben e két pillér alkotja az adatkezelés szabályozásának magját, amely alapján az adatkezelést végzik.
A hazai szabályozási struktúrában természetesen elsődlegesen az Alaptörvény érvényesül, amely jogrendszerünk alapja. Éppen ezért a fentebb már említett két pillér közül a hazai szint szabályozása az Alaptörvényen alapul. Az Alaptörvény nem közvetlen, hanem csak közvetett része az adatvédelem területén megvalósuló szabályozásnak, hiszen annak alapját képezi. Az Alaptörvény I. cikk (3) bekezdése kimondja, hogy az alapvető jogokra és kötelezettségekre vonatkozó szabályokat törvény állapítja meg. Alapvető jog más alapvető jog érvényesülése vagy valamely alkotmányos érték védelme érdekében, a feltétlenül szükséges mértékben, az elérni kívánt céllal arányosan, az alapvető jog lényeges tartalmának tiszteletben tartásával korlátozható. A Q) cikk (2) bekezdése értelmében Magyarország nemzetközi jogi kötelezettségeinek teljesítése érdekében biztosítja a nemzetközi jog és a magyar jog összhangját. Az Alaptörvény hetedik módosításának VI. cikk (3) bekezdése szerint mindenkinek joga van a személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez. A (4) bekezdés pedig kimondja, hogy a személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi.
Az Alaptörvény fent hivatkozott három rendelkezéséből az első kettő megteremti a személyes adatok védelméhez fűződő alapjog jogszabályi alapját, intézményesíti annak megjelenését a magyar jogrendszerben, illetve azon belül az egyes jogviszonyokban, valamint a jogharmonizációs folyamtoknak köszönhetően biztosítja, hogy a magyar adatvédelmi szabályozás teljes mértékben összhangban álljon a nemzetközi joggal. Ez azt jelenti, hogy a magyar szabályozás az adatvédelem terén is beépíti jogrendszerébe azokat az alapelveket, normákat és más követelményeket, amelyek szükségesek ahhoz, hogy az adatkezelés során a személyes adatok védelme biztosított legyen. Az e két cikkben foglalt követelményen túl, az Alaptörvény VI. cikke támaszt további feltételeket az adatvédelemmel kapcsolatban. Ebből a rendelkezésből kiderül, hogy az Alaptörvény a személyes adatok védelmét alapjogként deklarálja, amely minden embert egyenlő mértékben megillet. Az Alaptörvény VI. cikkének az előbbiek során ismertetett két bekezdésből pedig egyértelműen kikövetkeztethető, hogy az adatvédelem szabályozását az Alaptörvény külön törvényekre bízza.
Az Alaptörvény tehát megteremti a hazai adatvédelem szabályozásának alapját a már említett rendelkezésével, amely szerint a személyes adatok védelmének joga minden egyes embert megillet. A részleteket azonban külön törvény(ek)nek kell szabályoznia. Hazánkban e két törvény a már említett Eüak. - amely kizárólag az egészségügyi adatok kezelésének szabályozásával foglalkozik - és az Infotv. A GDPR hatálybalépésével az Infotv. háttérbe szorult, és már csak egyes kérdésekben alkalmazható. Ilyen fontos terület lehet például, a már említett, a szakértők adatkezelésével kapcsolatos rendelkezések vagy az adatvédelem jogszabály szerinti érvényesülését ellenőrző hatóságra vonatkozó passzusok szabályozása.
Az eddig leírtakat figyelembe véve a magyar sportegészségügy területén megvalósuló adatkezelést a GDPR, az Eüak. és a Ptk. rendelkezései alapján kell lefolytatni. Az Infotv. pedig szubszidiárius jelleggel szolgálja az egészségügyi adatvédelem hazai szabályozását. A szakirodalmi álláspont - annak szó szerinti átvétele mellett - szintén és egyértelműen kiemeli, hogy az Infotv. hatályát megállapító rendelkezések oly módon lettek módosítva, hogy azok a GDPR hatálya alá tartozó adatkezelési jogviszonyok vonatkozásában nem az Infotv. normatartalmának teljességét, csupán egyes, taxatív módon meghatározott előírásait rendelik a GDPR szabályai mellett, azok kiegészítéseként alkalmazni.[2] Jól látható, hogy a sportegészségügyben megvalósuló adatkezelésre egy komoly, komplex jogszabályi háttér épül. Ahhoz, hogy az adatkezelés a sportegészségügyben megfelelően valósuljon meg, az előbbiek során felsorolt jogszabályok rendelkezéseinek maradéktalanul eleget kell tennie az egészségügyi szolgáltatónál adatkezelési tevékenységet végző adatkezelőnek és az adatfeldolgozónak is.
A következő fejezetben a sportegészségügyben érvényesülő jogalapok és alapelvek szabályainak ismertetésére, valamint a sportolókkal kapcsolatos egészségügyi adatok jellegének bemutatására kerül sor.
- 2/3 -
Már érdemes rögtön a jelen fejezet elején felhívni a figyelmet arra, hogy korlátlan adatkezelés nem létezik. Ez azt jelenti, hogy adatkezelést csak és kizárólag alapos indokkal, a megfelelő jogalap birtokában lehet végezni. A jogalap eldöntésére, az eset összes körülményeit vizsgálva, a megfelelő jogszabály(ok) alkalmazásával kerülhet sor. Ez különösen igaz az egészségügyi adatkezelésre.
A sportegészségügyben a speciális célcsoportot azon betegek képezik, akik aktív, hivatásos vagy amatőr sportolói tevékenységet folytatnak egy adott sportszervezetnél. Ahhoz, hogy az adatkezelés a megfelelő jogalap kiválasztásával történjen meg, nagyon fontos, hogy az adatkezelő a megfelelő jogszabályok szerint járjon el. Ezért a jogalap kiválasztása előtt szükséges azon jogszabályok meghatározása, amelyek az egészségügyi szolgáltató számára biztosítják az adatkezelés lehetőségét, ugyanis ezen jogszabályok fogják részben meghatározni azon jogalapokat is, amelyek alapján az adott egészségügyi szolgáltató elvégezheti az adatkezelést. Ehhez szükséges az adott élethelyzet - jogviszony, szituáció -, és az azon belül történő adatkezelés tárgyának meghatározása.
A sporttevékenység jellegéből kifolyólag az Stv. 2. § (4) bekezdés b) pontja alapján a versenyző sportorvosi alkalmassági vizsgálaton való részvétele kötelező. Ezt az Stv. sportegészségügyi ellenőrzésnek vagy alkalmassági szűrővizsgálatnak hívja. Az Stv. e rendelkezésével deklarálja azt a speciális élethelyzetet, amelyre a vizsgálódás tulajdonképpen irányul, vagyis a sportegészségügyi vizsgálatokon való kötelező részvételt, amely alapján a beteg adatait kezelik. Ezzel együtt az Stv. nemzeti szinten megteremti azon személyes adtok kezelésének jogalapját is, amelyek mindenképpen szükségesek a sportegészségügyi vagy doppingellenes szűrővizsgálatok elvégzése során. Az Stv. 4/A. § (1) bekezdése értelmében, a sporttevékenységgel összefüggésben személyes adatok kezelésére - különös tekintettel az egészségügyi, a genetikai és biometrikus adatokra - a sportoló egészségének és a sport tisztaságának védelme, a tiltott teljesítményfokozás visszaszorítása, a sportrendezvények biztonsága, a látvány-csapatsport és az állami sportcélú támogatások nyújtása mint kiemelten fontos közérdek alapján kerülhet sor.
Az Stv.-nek ugyanez a szakasza határozza meg a genetikai adat fogalmát, amely szorosan kapcsolódik az egészségügyi adatok köréhez. E rendelkezés szerint genetikai adatként a sportolótól származó vizelet, vér-, haj-, vagy nyálminta, vagy a sportoló egyéni genetikai profilját adó más biológiai anyag, valamint azok analízisének eredményét vagy eredményeit magában foglaló adatok kezelése történik. Az Stv. 4/A. § (7) bekezdése értelmében a nemzeti doppingellenes szervezet a doppingellenes vizsgálat lefolytatása során a versenyző azon egészségügyi adatait is kezeli, amelyek alapján dönt a doppingellenes tevékenység szabályairól szóló kormányrendelet szerinti tiltólistán szereplő tiltott szer vagy módszer versenyző által történő, gyógyászati célú alkalmazásának engedélyezéséről. Az Stv. 4/A. § (2) bekezdése pedig rendelkezik azon személyes adatok kezeléséről is, amelyek a doppingellenes szűrővizsgálatnál mindenképpen szükségesek.
Jól látható tehát, hogy az Stv. mind a személyes, mind pedig az egészségügyi és genetikai adatok kezelését intézményesíti a kötelező sportorvosi és doppingvizsgálatok tekintetében. Azonban a sportegészségügyi hálózat, valamint annak keretein belül történő sportorvosi és doppingvizsgálatok elvégzésének részletes szabályozását külön jogszabályra bízza. Az Stv. 79. § (1) bekezdés b) pont bg) alpontja rendeletben történő szabályozást ír elő a jogalkotó számára. A sportegészségügyi hálózat és az annak keretein belül történő egészségügyi vizsgálatok elvégzésének szabályait a sportorvoslás szabályairól és a sportegészségügyi hálózatról szóló 215/2004. (VII. 13.) Korm. rendelet (a továbbiakban: Sr.) tartalmazza.
Ahogy arról már szó esett, a - hivatásos vagy amatőr sportoló - versenyző számára a sporttevékenység sajátosságaiból kifolyólag kötelező a sportegészségügyi szűrővizsgálatokon való részvétel. Az Stv. e rendelkezését az Sr. 6. § (1) bekezdése is megerősíti, amikor kimondja, hogy a versenyző az edzések megkezdése és a sportorvosi engedély lejárta előtt sportorvosi vizsgálaton köteles részt venni. Az Sr. 6. § (2) bekezdése értelmében a versenyen való részvétel csak érvényes sportorvosi engedéllyel lehetséges, amely alól az Sr. csak kevés sportág esetében tesz kivételt. Az Sr. 7. § (1)-(2) bekezdései szerint a sportorvosi vizsgálatot - az amatőr sportoló vizsgálata kivételével - az Országos Sportegészségügyi Intézet (OSEI) sportegészségügyi szakrendeléseinek sportorvosai, valamint az országos sportegészségügyi hálózat területileg, illetve a fővárosban kerületileg illetékes sportorvosai végzik az OSEI sportszakmai irányelvei alapján. Az Sr. 7. § (3) bekezdése értelmében a sportorvosi vizsgálatot végző orvosnak, sportorvosi szakképesítéssel kell rendelkezni. Az amatőr sportolók esetében az iskolaegészségügyi szolgálat orvosa vagy a házi orvos is elvégezheti a vizsgálatot.[3] Az Sr. 9. § (1) bekezdése kimondja, hogy a sportorvosi vizsgálat eredményét a sportszövetség által külön e célra - az OSEI konzultatív hátterével - készített nyomtatványon, a sportorvosi engedélyen kell nyilvántartani. A sportorvosi engedély egyéb egészségügyi adatot nem tartalmazhat.[4] A versenyengedélyt, amely az adott sportoló személyes adatait tartalmazza a Nemzeti Sportinformációs Rendszerben (NSR) tartják nyilván.[5]
A sportegészségügyi vizsgálat előtt kérdőívet töltetnek ki a sportolóval, amelyben már szerepelhetnek kórelőzményi adatok, amelyek viszont egészségügyi adatoknak minősülnek. A sportorvosi és alkalmassági vizsgálatokról az egészségügyért felelős minisztérium - jelenleg az Emberi Erőforrások Minisztériuma (EMMI) - szakmai protokollja tartalmazza a kérdőívet.[6] Az egészségügyi adatokat - különösen az egészségügyi panaszokat, kórelőzményi adatokat, az élettanilag elfogadottól eltérő klinikai elváltozásokat - az orvosi vizsgálat során röviden a Törzslapon fel kell tün-
- 3/4 -
tetni.[7] A Törzslapot az egészségügyi szolgáltatónak elkülönítve kell kezelni, ahhoz a kezelőorvoson és a betegen kívül harmadik személy nem férhet hozzá. A szakirodalom szerint az egészségi alkalmassági minősítésre vonatkozó megállapítást is a Törzslapon kell feltüntetni. Ez azt jelenti, hogy az orvosi vagy a sportpszichológiai vizsgálat során megállapított és levont következtetéseket a kezelőorvosnak, illetve a sportpszichológusnak külön, a Törzslapon kell feltüntetnie.[8] E megállapítások ugyanis a vizsgálat szerves részét képezik, így szenzitív egészségügyi adatoknak minősülnek.
Az egészségügyi adat a GDPR 9. cikk (1) bekezdése értelmében a személyes adatok különleges kategóriáját képezi, amelyet a szenzitív jelzővel szokás még illetni. Ezek az egészségügyi adatok egységesen, minden sportorvosi vizsgálat során az OSEI-n keresztül felkerülnek az Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) rendszerébe is. A személyes és egészségügyi adatok áramlása az egyes egészségügyi szolgáltatok és gyógyszertárak között jóval könnyebbé válik, egyúttal biztonságosabb is, hiszen a betegnek nem kell sok papíralapú dokumentációt magánál tartania, amely szenzitív egészségügyi adatokat tartalmaz.
Az eddig leírtak alapján egyértelműen megállapítható, hogy a sportegészségügyi vizsgálatok során a sportolóról a sportegészségügyi szolgáltató adatot kezel. Tehát az Stv. és az Sr. intézményesíti azt az élethelyzetet, amelyben az egészségügyi szolgáltató a betegről adatot kezelhet. Ez az élethelyzet a sportorvosi vizsgálat, illetve az azon való kötelező részvétel. A sportegészségügyi szolgáltató a sportoló beteg személyes adatait ezen élethelyzet alapján, annak keretein belül kezeli és dolgozza fel.
Az Sr. tartalmazza azon szabályokat, amelyek megállapítják az országos sportegészségügyi hálózat, és az annak központja, az OSEI működésének feltételeit. Az Sr. ad szabályozást továbbá a sportorvos feladatairól, a sportolók és a sportszakemberek sportorvosi vizsgálatáról, és a sportrendezvényekkel és a szabadidősport eseményekkel kapcsolatos sportegészségügyi és sürgősségi feladatokról. Az Sr. 1. számú melléklete pedig egy mintát tartalmaz a sportorvosi engedélyről. Az Sr. 4. § (2) bekezdése felsorolja azokat a vizsgálatokat, amelyek során az egészségügyi szolgáltató adatot kezel a vizsgálatban részt vevő sportolóról. Ezek a vizsgálatok az alábbiak: több szakkonzíliumból álló emelt szintű alkalmassági vizsgálat; terhelhetőséget megállapító élettani vizsgálat; táplálkozási szaktanácsadás; sportpszichológiai vizsgálat; a nemzeti válogatottak keretorvosi hálózata szakmai tevékenységének összehangolása és működtetése; edzőtáborok és olimpiai központok sportorvosi ellátásának működtetése; valamint a doppingellenőrző laboratórium működtetése. Ezeket az ellátásokat az OSEI a sportpolitikáért felelős miniszterrel kötött támogatási szerződés alapján biztosítja a sportolók számára.[9] Az Sr. 1. § (1) bekezdése szerint, annak hatálya kiterjed mind a hivatásos, mind pedig az amatőr és szabadidő sportolókra egyaránt.
Amint arra a szakirodalmi álláspont is rámutat, az adatvédelmi jog tárgya a személyes adat, amely az érintettel kapcsolatba hozható adat, valamint az abból levonható, az érintettre vonatkozó következtetést jelenti. Személyes adatnak minősül bármilyen információ, mely lehet valós vagy a valóságnak nem megfelelő is. Személyes adata csak természetes személynek lehet.[10] Egy másik értelmezés szerint személyes adat meghatározott természetes személlyel kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés; ami az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható.[11] E definíciót a hatályos bírói gyakorlat is alátámasztja.[12]
Ismert olyan meghatározás is, amely a régi, azóta hatályon kívül helyezett a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (a továbbiakban: Avtv.) 2. § 1. pontjában foglaltakra támaszkodik. E meghatározás értelmében személyes adat minden természetes személlyel kapcsolatos adat, és az abból az adatkezeléssel érintettre levonható következtetés.[13] Az Avtv.-t hatályon kívül helyező Infotv. az értelmező rendelkezései között, 3. §-a 2. pontjában a személyes adat fogalmára egy jóval rövidebb, de pontosabb fogalmat használ, amelynek értelmében személyes adat az érintettre vonatkozó bármely információ. Jól látható, hogy az Infotv. már nem a természetes személyre vonatkozó következtetést, hanem egy jóval pontosabban és könnyebben körülírható szót, az információt tekinti személyes adatnak. Ugyanezzel a szóval határozza meg a személyes adat fogalmát a GDPR is. Ennek értelmében személyes adat azonosított vagy azonosítható természetes személyre - érintettre - vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.[14]
Az eddigi definíciókból megállapítható, hogy az egészségügyi adat is személyes adat, azonban annak egy speciális körét képezi, amely kimondottan az érintett fizikai és mentális-pszichikai egészségi állapotára vonatkozó adat, és nem bármely információ. Úgy is lehet mondani, hogy az információk egy meghatározott, speciális részét alkotja. Az Stv. fentebb hivatkozott rendelkezései a sportolók adatait csak általánosságban említik meg, nem határozzák meg a betegadatok fogalmát. A szakirodalmi álláspont és a GDPR - ellentétben a fent hivatkozott jogszabályokkal - röviden, de lényegre törően definiálja az egészségügyi adat fogalmát. Az egyik álláspont szerint az egészségügyi adat a személyes adatok szűkebb köre, amely az egyén magánszféráját mélyebben érinti.[15] A személyes adatok szűkebb körének csoportját a különleges személyes adat, vagy más néven szenzitív adat elnevezéssel szokták illetni. Egy másik álláspont az Eüak. rendelkezésére támaszkodik, amely szerint egészségügyi adatnak minősül az illető betegségére, testi-lelki állapotára, halálának körülményeire, saját maga vagy más által közölt, illetve az ellátók által észlelt, vizsgált vagy mért, továbbá származtatott adat.[16] Egy további álláspont szó szerinti átvétele értelmében "az egészségügyi adat az érintett személy testi, értelmi és lelki állapotára, kóros szenvedélyére,
- 4/5 -
valamint a megbetegedés, illetve az elhalálozás körülményeire, a halál okára vonatkozó, az érintett által vagy róla más személy által közölt, illetve az egészségügyi ellátóhálózat által észlelt, vizsgált, mért, leképezett vagy származtatott adat (például magatartás, környezet, foglalkozás, valamint a szexuális szokásokra vonatkozó adat)".[17] A GDPR pedig a következőképpen határozza meg az egészségügyi adat fogalmát: egészségügyi adat egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról.[18]
Az Stv. és az Sr. tárgyalt rendelkezései tehát pontosan meghatározzák a sportegészségügyön belül a téma szempontjából vizsgálandó élethelyzetet, vagyis a felek közötti azon jogviszonyt, amelyben a szolgáltatást igénybe vevő fél adatainak kezelése, feldolgozása, tárolása történik. Ez az élethelyzet pedig a már említett sportegészségügy, amely magába foglalja a sportorvosi vizsgálatot és a kötelező doppingvizsgálatokat is. Az Stv. kötelezi a sportolót arra, hogy a sportorvosi vizsgálatokon részt vegyen, a doppingvizsgálatnak pedig vesse alá magát, hiszen a sport tisztaságának biztosítása mint törvény szerinti társadalmi közérdek csak e módon valósulhat meg. E cél mentén biztosítható a sportoló egészsége is.
Az Stv. a jogviszony meghatározásán kívül megadja a sportegészségügyön belül az adatkezelés jogszabályi alapját is.[19] A jogszabályi rendelkezések és a jogirodalmi fogalommeghatározások egyúttal megjelölik az adatkezelés tárgyát is. A sportegészségügyi vagy más néven sportorvosi vizsgálat során a személyes adtok, illetve azok különleges köre a szenzitív, egészségügyi adatok - betegadatok - gyűjtése és kezelése történik. A sportorvosi és doppingvizsgálat eredményét - alkalmas/nem alkalmas, versenyezhet/nem versenyezhet - mint személyes adatot a versenyengedélyen kell feltüntetni és nyilvántartani, de a vizsgálat során megállapított kórelőzményi betegadatokat és a további vizsgálati anamnézist - kórelőzmény, a kórisme vagy más néven a diagnózis - viszont elkülönítve, a Törzslapon kell kezelnie az egészségügyi szolgáltatónak. Az egészségügyi adatok pedig különleges, szenzitív adatoknak minősülnek a GDPR és az Eüak. értelmében, amelyek kiadására szigorú feltételek betartása mellett van lehetőség. E megállapítást támasztja alá a hatályos bírói gyakorlat is.[20]
Az említett két jogszabály mellett az Eütv. is tartalmaz rendelkezést a sportegészségügyről. Az Eütv. 43. § (1) bekezdése egészen pontosan a sportegészségügyi gondozás célját határozza meg, míg ugyanezen szakasz (2) és (3) bekezdései egy utalószabályt tartalmaznak, amelyek alátámasztják az Stv. és az Sr. már említett rendelkezéseit, amelyek értelmében a hivatásos sportolók sportorvosi és doppingvizsgálaton való részvétele kötelező. Az Eütv. 43. § (3) bekezdése a doppingvizsgálatot is a sportegészségügyi gondozás körébe sorolja.
Az eddigi megállapításokat összefoglalva egyértelmű, hogy az adatkezeléshez kötődő élethelyzet a sportegészségügy, amelynek egyaránt részét képezi a sportorvosi és doppingvizsgálat. E két vizsgálat során az egészségügyi szolgáltató, a fent leírtakat is figyelembe véve, mind személyes, mind pedig egészségügyi adatot kezel az adott sportolóról. A versenyengedélyen csak személyes adatok közölhetők, mint például név, születési hely és idő, anyja neve, sportág megjelölése, sportoló amatőr vagy hivatásos jogállása, sportorvosi és doppingvizsgálat eredménye, a vizsgálatokat végző személyek neve. Az egészségügyi adatokat a Törzslapon elkülönítve kell kezelni, azokat a versenyengedélyben nem lehet feltüntetni. Az Stv., ahogyan arról már szó esett, nemcsak az adatkezelés szempontjából vizsgált élethelyzetet teremti meg, de ezzel párhuzamosan meghatározza a sportegészségügyben történő adatkezelés tárgyát és az adatkezelés jogszabályi alapját is, hiszen az Stv. és az Sr. egyértelműen kötelezi az egészségügyi szolgáltatót a sportoló személyes és egyéb egészségügyi, genetikai adatainak a kezelésére, nyilvántartására.
Érdemes megjegyezni, hogy a sportegészségügy az adatkezelés terén részben nyitott, részben zárt rendszert alkot, hiszen egy adott sportoló személyes adatai megismerhetők a versenyengedélyből, de az egészségügyi adatai már elzártan vannak kezelve, így ezekhez az adatokhoz harmadik személy nem férhet hozzá. Ebből viszont az következik, hogy a sportegészségügy egy komplex rendszer, hiszen a személyes adatok és az egészségügyi adatok kezelésében és nyilvántartásában egyszerre van jelen az NSR és az EESZT. E két adatnyilvántartási rendszer, kataszter képezi a sportegészségügyi adatkezelés nyílt és zárt rendszerét. A kataszterek közhiteles rendszerek, amelyek a kezelt adatok tárolásáért és nyilvántartásáért felelnek. A sportegészségügyön belül ekképpen valósul meg az adatkezelés egységessége.
A hazai sportegészségügyben az adatkezelést elsősorban a magyar jogszabályok alapján kell lefolytatni. Az egészségügyi adatkezelés során ezért elsősorban az Eüak. rendelkezéseit kell figyelembe venni. Ahogy azonban arról már szó volt 2018-ban hatályba lépett a GDPR, így annak szabályait az egészségügyi adatvédelmi törvénnyel párhuzamosan kell alkalmazni a sportolók betegadatainak kezelése során. Az Infotv.-t mögöttes jogszabályként egy-két esetben kell alkalmazni akkor, ha az előbbi két jogszabály nem tartalmaz rendelkezést az adott kérdés szabályozására vagy nem kell speciális szabályozást alkalmazni.[21] Az egészségügyi adatkezelés a megfelelő jogalap kiválasztásával, az adatkezeléshez kapcsolódó alapelvek figyelembevétele és betartás mellett végezhető el szabályosan.
Az egészségügyben, így annak egy szegmensében a sportegészségügyben is az adatkezelést egységesen a már többször említett jogszabály rendelkezései szerint kell elvégezni, amelyről a következő alpontban lesz szó.
A jelen fejezet bevezetőjében utalás történt arra, hogy azon jogszabályok meghatározása, amelyek ahhoz szükségesek, hogy egyrészt az adatkezelés lehetőségét biztosítják az egészségügyi szolgáltató részére, másrészt részben meghatározzák az adatkezelés jogalap-
- 5/6 -
ját, már maguk is jogalapnak minősülnek. A fentiekben tárgyalt jogszabályoknak kettős funkciója van az adatkezelés szempontjából. Egyrészt meghatározzák azt az élethelyzetet, vagyis jogviszonyt, amelyben az egészségügyi adatkezelés történik, másrészt viszont kötelezően előírják az egészségügyi szolgáltató számára, hogy a vizsgált személyről adatot vegyen fel és kezeljen. Ezt a második funkciót hívja mind a jogirodalom, mind pedig a GDPR egységesen jogi kötelezettségnek.
A jogi kötelezettséget mint jogalapot, ahogy arra már utalás történt, a sportegészségügyi ellátáson belül az Stv., az Sr., az Eütv., valamint a Ptk. szabályai teremtik meg a GDPR 6. cikk (1) bekezdés c) pontja alapján. Az itt felsorolt jogszabályok azonban nem határozzák meg a többi jogalapot, amely szóba jöhet az egészségügyi adatkezelés során, egyúttal nem szabályozzák azt sem, hogy milyen módon kell kiválasztani a megfelelő jogalapot az adatkezelés során. Az egészségügyi adatkezelés során ezekre a kérdésekre a választ egyértelműen az Eüak., a GDPR, az Infotv., valamint a Ptk. egyes rendelkezései adják meg.
A sportegészségügyben, az eddig leírtakat figyelembe véve megállapítható, hogy a sportolók egészségügyi adatainak kezelése és feldolgozása során elsősorban azok speciális jellegére tekintettel az Eüak. rendelkezéseit kell alkalmazni. Ahogy arról már szó volt, az egészségügyi adat is személyes adat, csak annak egy speciális formáját, a különleges vagy más néven szenzitív adatok csoportját alkotják. Ezért szükséges külön törvényben szabályozni az egészségügyi adatkezelést, ami azonban nem jelenti azt, hogy más jogszabályok alkalmazása ne jöhetne szóba. Az egészségügyi adatkezelés szempontjából, annak első lépéseként, azt szükséges tudni, hogy ki jogosult a beteg egészségügyi adatait kezelni? Erre a kérdésre a választ az Eüak. egy hosszú felsorolással adja meg, amelyből csak néhány elem kerül itt említésre.
Az Eüak. 3. § i) pontja szerint az egészségügyi adatkezelés során adatkezelőnek minősül többek között a betegellátó, az intézményvezető, az adatvédelmi felelős, a betegjogi képviselőket foglalkoztató szerv, és az egészségügyi dokumentációt kezelő szerv. E meghatározással párhuzamosan az Eüak. 5. § (1) bekezdésében megállapítja, hogy ki minősül adatkezelésre jogosultnak. Ennek értelmében az egészségügyi ellátó hálózaton belül az egészségügyi és személyazonosító adatkezelésére a betegellátó, az intézményvezető, valamint az adatvédelmi felelős jogosult. Jól látható, hogy a két jogszabályhely definíciója majdnem megegyezik, de az utóbbi jóval szűkebb körben határozza meg az adatkezelésre jogosult személyek körét. Erre a kommentár is utal, megjegyezve, hogy a két meghatározás között ún. jogalkotói inkoherencia fedezhető fel.[22] A sportegészségügyben történő egészségügyi adatkezelés esetén annyi eltérés tapasztalható, hogy ebben az esetben az adatkezelésre jogosult az OSEI mint szerv, annak intézményvezetője, orvosai és az intézmény adatvédelmi felelőse. Az Eüak.-nak az egészségügyi adatkezelésre jogosultak körével kapcsolatos fenti meghatározása mellett a kommentár kiemeli, hogy az adattovábbítás az adatkezelés egy szelete. Egyúttal felhívja a figyelmet arra, hogy az Eüak. már nem szabályozza az adattovábbítás intézményét, ezért a kommentár szerint érdemes az egészségügyi szolgáltató adatvédelmi szabályzatában megjelölni az egészségügyi adatkezelésre jogosult személyt.[23] Ebből arra lehet következtetni, hogy az adatkezelés jogalapjának helyes megválasztása annak a személynek vagy szervnek a feladat, aki/ami az adatkezelésre fel van jogosítva a törvény által, így az egészségügyi adatkezelés szempontjából az Eüak. 5. § (1) bekezdés a)-c) pontjai alkalmazandóak. Ennek alapján pedig a már említett betegellátó, intézményvezető, illetve adatvédelmi felelős jogosult arra, hogy a megfelelő jogalapot kiválassza és az adatkezelést szabályosan elvégezze.
Az adatkezelés előtt fontos, hogy a betegellátó, vagyis az egészségügyi szolgáltató, megfelelően tájékoztassa a vizsgált személyt, tehát a sportolót, az adatkezelés céljáról.[24] Ez azt jelenti, hogy az érintett személyről adatot kezelni csak megfelelő cél birtokában lehet szabályosan.[25] Az Eüak. 4. § (1) bekezdése felsorolja azokat a célokat, amelyek alapján az egészségügyben, így a sportegészségügyben adatot lehet kezelni. A kommentár az egészségügyi adatkezelési célokat csoportokba sorolja. A téma szempontjából az Eüak 4. § (1) bekezdése bír jelentőséggel, amely az egészségügyi adatkezelési célok első csoportját alkotja. Az Eüak. 4. § (1) bekezdése öt elemet ad meg, amelyek a kommentár szerint az egészségügyi ellátóhálózaton belüli adatkezelési célokat képezik. Az Eüak. e rendelkezése a következő öt elemet sorolja fel mint lehetséges adatkezelési célt: a betegellátási, a népegészségügyi, a járványügyi, a betegjogok érvényesítési, valamint részben az eddigiekhez kapcsolódóan szakfelügyeleti területet.[26] A sportegészségügyben elsősorban betegellátási, egyes esetekben népegészségügyi és járványügyi célból történő adatkezelés a jellemző, de e területek mellett a fennmaradó adatkezelési célokat is figyelembe kell venni. Az Eüak. 4. § (4) bekezdése ugyanakkor kimondja, hogy az egészségügyi ellátóhálózaton belüli és kívüli adatkezelésnél csak az adott cél eléréséhez feltétlenül szükséges adat kezelése megengedett. Az Eüak. e rendelkezését a szakirodalmi álláspont garanciális jelentőségűnek és általános érvényűnek mondja ki, amelyet az Alkotmánybíróság határozatában megerősített.[27] A beteg tájékoztatásának magában kell foglalnia, hogy a kezelőorvos mely jogszabály alapján végzi az adatkezelést a vizsgálat során.
Ahhoz, hogy a sportegészségügyi vizsgálat során az egészségügyi adatkezelés megfelelően legyen lefolytatható, elengedhetetlen a sportoló hozzájárulásának az egészségügyi szolgáltató által történő beszerzése. Az egészségügyi és a személyazonosító adatoknak az érintett részéről történő szolgáltatása az ellátás igénybe vételéhez - egyes kivételektől eltekintve - önkéntes. Az érintett (sportoló) önkéntes egészségügyi ellátóhoz történő fordulása esetén a gyógykezeléssel összefüggő egészségügyi és személyazonosító adatainak kezelésére szolgáló hozzájárulását megadottnak kell tekinteni ellenkező jognyilatkozat hiányában, amelyről az érintettet vagy törvényes képviselőjét tájékoztatni kell az Eüak. 12. § (1)-(2) bekezdései szerint.
Ugyanakkor, ahogy arra már történt utalás, vannak olyan kivételek, amelyek esetén a személyes és egész-
- 6/7 -
ségügyi adatok szolgáltatása nem önkéntes, hanem kötelező. Ilyen kivételek közé tartoznak a szűrő- és alkalmassági vizsgálatok, amelyeket az Eüak. 2. számú melléklete sorol fel.[28] Az Eüak. 2. számú mellékletének 1. pontja rendelkezik a munkaköri, szakmai, és egészségi alkalmassági - előzetes, időszakos, soron kívüli és záró - orvosi vizsgálatokról. Az Stv. 8. § (1) bekezdése rendelkezik arról, hogy a hivatásos sportoló a sportszervezettel kötött munkaszerződés alapján fejti ki sporttevékenységét, míg az amatőr és a fiatalkorú sportoló az Stv. 5. § (1) bekezdése alapján sportszerződés keretein belül sportolhat. A sportszerződés az Stv. 5. § (2) bekezdése értelmében a sportszervezet és az amatőr, illetve a fiatalkorú sportoló közötti megállapodásnak minősül, amelyre a Ptk. megbízási szerződésre vonatkozó szabályait kell alkalmazni. Ebből arra lehet következtetni, hogy e megállapodás munkavégzésre irányuló egyéb jogviszonynak minősül, amelyet a szakirodalmi álláspont, a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) és a tanköteles fiatalkorúak sportcélú foglalkoztatásáról szóló rendelet is alátámaszt.[29] E fenti meghatározásokból pedig egyértelműen megállapítható, hogy a munkaszerződés alapján történő sportolói foglalkoztatás, valamint az amatőr és fiatalkorú sportoló együttműködési megállapodás alapján történő sportcélú foglalkoztatása megfelel - a már említett - Eüak. 2. számú melléklet 1. pontjában foglalt feltételeknek, amelyek értelmében a sportoló számára kötelező a személyes és egészségügyi adatainak megadása az egészségügyi szolgáltatónak.
Az adatkezelés szempontjából mind az Stv. és az Sr., mind az Eüak. megfelelő rendelkezései kötelezik a sportolót mint érintett személyt, hogy személyes és egészségügyi adatait adja meg a sportegészségügyi szolgáltatónak az Stv.-ben előírt kötelező sportorvosi vizsgálat elvégzéséhez.[30] Az egészségügyi adatkezelés e két jogalapját, vagyis a jogszabályi kötelezettség szerinti, illetve az érintett hozzájárulásán alapuló adatkezelést már az Infotv. is szabályozta korábban az Eüak. akkori elsődleges háttérszabályaként. Azonban az adatkezelést érintően 2018. május 25-től változás lépett életbe, mert hatályba lépett a GDPR. A jogharmonizáció során az Infotv. ennek megfelelően módosult, amelynek értelmében az adatkezelés során - egyes, az Infotv.-ben foglalt kivételektől eltekintve - a GDPR-t kell alkalmazni.[31] Erre utal a szakirodalmi álláspont is, amikor kimondja, hogy az Infotv. hatálya az adatkezelési jogviszonyok vonatkozásában úgy módosult, hogy az Infotv.-t a GDPR mellett kell alkalmazni, annak kiegészítéseként.[32] Az Infotv. hivatkozott rendelkezéséből egyértelműen kiderül, hogy az egészségügyi adatkezelés terén az Eüak. háttérjogszabálya a GDPR. A GDPR az adatkezelés jogalapjait a 6. cikk (1) bekezdés a)-f) pontjaiban szabályozza. Az egészségügyi adatkezelés terén emellett még figyelembe kell venni a GDPR 9. cikk (1) bekezdését, a (2) bekezdés a) és h) pontjait és a (3) bekezdést is.
A sportegészségügyi adatkezelés során a két legfontosabb jogalap a jogi kötelezettség és az érintett hozzájárulása szerinti jogalap, amelyet a GDPR 6. cikk (1) bekezdés a) és c) pontjai szabályoznak. Ugyanakkor a GDPR fentebb hivatkozott szakaszának (1) bekezdés a) pontja a személyes adatkezelésre vonatkozó jogalapot jelöli meg. Ahhoz, hogy az egészségügyi szolgáltató jogszerűen tudja tárolni a sportoló sportorvosi alkalmassági vizsgálata során tudomására jutott egészségügyi adatokat, figyelembe kell vennie a már korábban hivatkozott GDPR 9. cikk (2) bekezdés a) és h) pontjaiban foglaltakat, amely rendelkezések kifejezetten a sportoló egészségi alkalmassági vizsgálatára során kezelt egészségügyi adatainak a kezelésére vonatkoznak. Az Eüak. már említett rendelkezései a GDPR e passzusain alapulnak. Mint korábban említésre került, a sportegészségügyi vizsgálat során nemcsak a már hivatkozott jogszabályok kötelezik a sportegészségügyi ellátót a személyes és egészségügyi adatok kezelésére, hanem ahogy arról az Eüak. 12. § (1)-(2) bekezdései és a 2. számú melléklet 1. pontja rendelkezik, a sportoló mint érintett is köteles a személyes és egészségügyi adatainak megadására.
A jogszabályok e kétoldalú kötelezése könnyen kiszolgáltatottá teheti a sportolót, mert mindenképpen szolgáltatnia kell személyes és egészségügyi adatait, akár az egészségügyi szolgáltató van kötelezve arra, hogy adatot kezeljen, akár az érintett sportolót kötelezi a jogszabály az adatok szolgáltatására. A sportoló e kiszolgáltatott helyzetét segít orvosolni az adatok célhoz kötöttségét előíró alapelv, amely szorosan kapcsolódik az adatkezelés jogalapjaihoz, egyfajta elsődleges közvetítő szerepet lát el az egyes adatkezelési alapelvek között. Ezen alapelv biztosítja azt, hogy az egészségügyi szolgáltató teljesíteni tudja jogszabályi kötelezettségét, ugyanakkor megteremti a szabályos adatkezelés azon feltételét, hogy csak annyi adatot kezeljenek az adott sportolóról, amely az elérni kívánt cél érdekében feltétlenül szükséges.
Az egészségügyi adatkezelés célját az Eütv. határozza meg, amelyre a törvény sportegészségügyi gondozás címen hivatkozik. Az egészségügyi törvény tulajdonképpen e jogintézmény keretei között határozza meg, hogy milyen ok(ok) alapján végezhető a sportolókon sportegészségügyi vizsgálat, amely párhuzamosan az egészségügyi adatkezelés célját, vagyis annak indokát képezi. A sportegészségügyi gondozás keretei között szakorvosi vizsgálat akkor végezhető, ha az Eütv.-ben felsorolt célok valamelyike teljesül. Ennek értelmében sportegészségügyi szűrővizsgálat, illetve alkalmassági vizsgálat végezhető a diák- és szabadidősportban rendszeresen részt vevő személyek alkalmassági vizsgálata és rendszeres ellenőrzése; a fokozott fizikai megterhelésre alkalmatlan személyek kiszűrése; a rejtett megbetegedések feltárása; a fizikai állapotnak megfelelő kedvező élettani hatást kifejtő, szakszerűen irányított testmozgás sportegészségügyi ellenőrzése; a sporttevékenységre és az ezzel kapcsolatos életmódra vonatkozó tanácsadás; az iskolai testnevelési, könnyített és gyógytestnevelési feladatok ellátásával kapcsolatos tanácsadás; sportrendezvények felügyelete; a sportsérülések megelőzése és elsődleges ellátása; a szükséges további intézkedések megtétele; a sport- és mozgásprogramok kidolgozása; valamint ezek hatásának vizsgálata, lehetőség szerint rehabilitációs szakorvossal közös ellenőrzése céljából.[33] Az Eütv. e rendelkezése a szabadidősportban
- 7/8 -
tevékenykedő amatőr sportolók, illetve a sporttal kapcsolatba kerülő más személyek - például iskolai tanulók, gyógytestnevelésben részt vevő tanulók - sportegészségügyi ellátására, gondozására vonatkozó célokat és indokokat fogalmazza meg. E célok képezik a szabadidősportolók vizsgálatához szükséges adatkezelés alapját. A sportegészségügyben e célok alkotják egyúttal a sportegészségügyi gondozás általános szakterületét.
A sportegészségügyi gondozás speciális területét képezi a versenysportolók, a professzionális sportolók szakorvosi vizsgálata és felügyelete, amelynek az a célja, hogy megállapítsa az adott sportoló sporttevékenységre való alkalmasságát, a sporttevékenység egészségkárosító hatásainak megelőzése, valamint megakadályozza a tiltott szerek, készítmények szedését, meg nem engedett használatát.[34] Az Eütv.-t alátámasztja a szakirodalmi álláspont is, amely az OSEI Szakmai Útmutatójában foglaltakra hivatkozva szó szerint a következőket írja: "a sportorvosi alkalmassági és időszakos szűrővizsgálatok célja a betegségek, sérülések, illetve az ezekre hajlamosító kockázati tényezők kiszűrése, azon elváltozások felismerése, amelyek megléte esetén a versenyszerű sport, illetve egy adott sportág folytatása egészségkárosító hatású lehet. Alapvető célja a sportoló egészségének védelme."[35]
E fenti célok meghatározása jól mutatja, hogy a sportegészségügyi szolgáltató mint adatkezelő milyen indok alapján kezelhet adatot a sportolóról a vizsgálat során. Ehhez azonban szükséges a sportoló kifejezett, írásbeli hozzájárulása is. Az egészségügyi szolgáltatónak mindenképpen be kell szereznie a sportoló kifejezett írásbeli hozzájárulását, hiszen e nélkül jogszerűtlen lenne az adatkezelés is, függetlenül attól, hogy az ide vonatkozó jogszabályok kötelezik az egészségügyi szolgáltatót az adott sportoló személyes és egészségügyi adatainak kezelésére. Az érintett kifejezett hozzájárulása jogalapjának a szakirodalmi álláspont két funkciót tulajdonít. Az első funkció szerint a sportoló, az érintett valamilyen módon megerősíti a beleegyezését, míg a második funkció alapján megfelelő tudással, ismerettel rendelkezik annak tényéről, hogy az adatkezelés különleges adatokra fog vonatkozni és ebbe beleegyezését adja írásba.[36] A gyakorlatban a sportoló kifejezett írásbeli hozzájárulása személyes és egészségügyi adatainak kezeléséhez a kérdőív végén sajátkezű - vagy kiskorúsága esetén törvényes képviselője - aláírásával történik meg. Erre szolgál példaként az OSEI Szakmai Útmutatójának 1. számú mellékletében feltüntetett kérdőívminta.
Az eddigi megállapítások után egyértelműen kijelenthető, hogy amennyiben a sportoló az egészségügyi szolgáltatótól megkapta a szükséges és átfogó tájékoztatást személyes és egészségügyi adatainak kezelésével kapcsolatban az Eütv. 13. § (1) bekezdése alapján, és ismeri az egészségügyi adatkezelés célját, elveit, valamint annak módszerét, megadhatja kifejezett írásbeli hozzájárulását az adatkezelés lefolytatásához. Ahogy a jogi kötelezettség jogalapjánál, úgy az érintett kifejezett hozzájárulásának jogalapjához is kapcsolódik egy alapelv, amely a sportoló kiszolgáltatott helyzetét hivatott kiküszöbölni az adatkezelővel szemben az adatkezelés során. Ez az alapelv pedig a GDPR-ban hivatalosan a jogszerűség, tisztességes eljárás és átláthatóság elveként szerepel. Ahogy arról már korábban is szó volt, a már megemlített alapelvek a jogalapok között közvetítő szerepet látnak el, és biztosítják az adatkezelés során a sportoló jogainak érvényesülését, valamint annak lehetőségét, hogy adatait a jogszabályi kereteken túl, visszaélésszerűen kezeljék, amelynek eredményeként a sportoló nem kerül kiszolgáltatott helyzetbe az egészségügyi szolgáltatóval szemben. Ezért a bírói gyakorlat kimondja, hogy az adatkezeléshez való hozzájárulást teljes körű, az adatkezelés célját és módját is tartalmazó tájékoztatásnak kell megelőznie.[37] Az adatkezelő részéről az érintett felé történő tájékoztatás megadása biztosítja a célhoz kötöttség elvének érvényesülését, amely alapján az adatkezelés már jogszerű, tisztességes és átlátható lesz.
A sportoló jogainak adatkezelés során történő érvényesülésére, valamint személyes és egészségügyi adatainak célhoz kötött kezelésére jelent garanciát a fent leírtakon kívül az Stv. már említett 4/A. § (1) bekezdése, amely kimondja, hogy a sportoló személyes és egészségügyi adatainak kezelése a sportoló egészségének, a sport tisztaságának védelme, a tiltott teljesítményfokozás visszaszorítása, a sportrendezvények biztonsága, a látványcsapatsport támogatása és az állami sportcélú támogatások nyújtása mint kiemelten fontos közérdek alapján kerülhet sor. A sport tisztasága tehát közérdek, ami azt is jelenti, hogy csak a tiszta sport feltételeinek megléte esetében adható állami támogatás. Az Stv. e garanciális rendelkezése áll összefüggésben az Eüak. 4. § (1) bekezdésében, illetve az Eütv. 13. § (1) bekezdésében foglalt szabályaival, amelyek megakadályozzák, hogy a sportoló kiszolgáltatott helyzetbe kerüljön az adatkezelés során, ahogy arra korábban már utalás történt. Nagyon fontos, hogy az Eüak. fentebb említett adatkezeléssel kapcsolatos rendelkezéseinek összhangban kell állni a GDPR 13. cikk (1)-(2) bekezdéseiben foglaltakkal. Az eddig tárgyalt szabályok ismeretében érdemes azt is megjegyezni, hogy amennyiben a sportoló nem adná meg az adatkezeléshez szükséges írásbeli engedélyét, úgy a sportorvosi alkalmassági vizsgálat nem lenne szabályszerűen elvégezhető, és így nem lehetne számára kiadni a sportorvosi engedélyt, amely azzal a következménnyel járna, hogy a sportoló nem vehetne részt semmilyen, a versenyrendszerben kiírt hivatalos sporteseményen, mert versenyezni csak érvényes versenyengedély birtokában lehet.[38]
A sportegészségügyben főszabály szerint csak a fenti két jogalap, azaz a jogszabályi kötelezettség és az érintett hozzájárulása, illetve kifejezett hozzájárulása alapján kezelhet személyes és egészségügyi adatot az egészségügyi szolgáltató. A sportoló mint érintett személyes adatait illetően a sportorvos, illetve az adott egészségügyi intézmény a GDPR 6. cikk (1) bekezdés a) pontja figyelembevételével folytathatja le az adatkezelést, míg a sportoló egészségügyi adataival kapcsolatos adatkezelés során a GDPR 9. cikk (2) bekezdés b) és h) pontjait, a GDPR 9. cikk (3) bekezdés alkalmazása mellett köteles figyelembe venni. A (3) bekezdés azért fontos, mert az orvosi titoktartás mint az Eütv. 25. § (1) bekezdésében szabályozott
- 8/9 -
jogintézmény nemcsak a vizsgálatot végző orvosra, hanem az adott egészségügyi szolgáltató - ebben az esetben például az OSEI - valamennyi dolgozójára is vonatkozik. Ahogy arra a szakirodalom is hivatkozik, az orvosi titok nemcsak az orvosokra, hanem valamennyi adatkezelőnek minősülő betegellátóra is vonatkozik.[39]
A sportegészségügyben alternatívaként - az előző két jogalap mellett - figyelembe kell venni egy harmadik jogalapot is. Ez a jogalap az érintett létfontosságú érdeke, amelyet a GDPR 6. cikk (1) bekezdés d) pont első fordulata szabályoz. E jogalap alkalmazására akkor kerülhet csak sor, ha az adatkezelésnek nincs más jogalapja.[40]
Ilyen eset ritkán fordul elő, hiszen a sportorvosi alkalmassági vizsgálatok során végzett adatkezelést elsősorban a már tárgyalt jogi kötelezettség és ezzel párhuzamosan az érintett kifejezett írásbeli hozzájárulása alapján folytatja le az egészségügyi szolgáltató. Előfordulnak azonban olyan esetek, amikor az adatkezelő az érintett létfontosságú érdekének jogalapja alapján kezelhet adatot. Ilyen esetről lehet beszélni például akkor, ha az adott sportolónak van valamilyen tartósabb betegsége - például asztma, pajzsmirigy-alulműködés, ekcéma vagy amputált végtag -, amely hatással lehet sportkarrierjének későbbi, jövőbeli alakulására, és ezért az erre vonatkozó rendeletben előírt sportorvosi vizsgálatoknál többször kell sportorvosi vizsgálaton megjelennie a sportolónak. A sportorvosi engedély tizennyolc éven felüli versenyző estén maximum egy év.[41]
Az egészségügyi adatkezelés negyedik és egyben utolsó alternatív jogalapjaként jöhet szóba a GDPR 6. cikk (1) bekezdés e) pont első fordulata, amikor az adatkezelés közérdekű feladat végrehajtásához szükséges. Az Stv. ilyen közérdekű feladat végrehajtásáról rendelkezik a már többször említett 4/A. § (1) és (2) bekezdéseiben, amikor kimondja, hogy a sportoló személyes, különösen a genetikai és egészségügyi adatainak sporttevékenységgel összefüggő kezelésére csak és kizárólag közérdekből, a sport tisztaságának biztosítása céljából kerülhet sor. Az Stv. e fenti rendelkezése - összhangban a GDPR 6. cikk (1) bekezdés d) pontjával - a sport tisztaságán a doppingmentes sportot érti, szem előtt tartva a sporteseményeken való egészséges sportolók részvételét.
A GDPR 6. cikk (1) bekezdés e) pont második fordulata az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében teszi lehetővé az adatkezelést az egészségügyi szolgáltató számára. A szakirodalmi álláspont ide sorolja például a járvány terjedésének nyomon követését, amely alapján megelőző intézkedések tehetők.[42] Az alternatív jogalapok alapján történő adatkezelésre csak rendkívüli esetben kerülhet sor. Amennyiben a megfelelő jogalap ki lett választva az egészségügyi szolgáltató által, úgy le kell folytatni az adatvédelmi hatásvizsgálatot, amellyel párhuzamosan el kell végezni az érdekmérlegelési tesztet. Ennek célja, hogy a sportorvosi alkalmassági vizsgálat során csak annyi adat legyen kezelve az adott sportolóról, amely ténylegesen szükséges, és az elérni kívánt céllal arányos.[43]
A sportorvosi vizsgálat alatt végzett személyes és egészségügyi adatkezelés során önmagában nem elegendő a helyes jogalap kiválasztása. Az adatkezelőnek az adatkezelés lefolytatása alatt - a megfelelő jogalap kiválasztása mellett - figyelemmel kell lennie az adatkezelés alapelveire is, ugyanis az adatkezelést csak így lehet szabályosan lefolytatni. ■
JEGYZETEK
[1] 2016/679/EU rendelet.
[2] Péterfalvi Attila - Révész Balázs - Buzás Péter (szerk.): Magyarázat a GDPR-ról. Wolters Kluwer, Budapest, 2018. 43.
[3] Sr. 7. § (4) bek., 8. § (1)-(2) bek.
[6] Hanti Péter: Kommentár az egészségügyi adatvédelmi törvényhez. Wolters Kluwer, Budapest, 2013. 423.
[7] Hanti i. m. (6. vj.) 402.
[8] Hanti i. m. (6. vj.) 403.
[10] Hegedűs Bulcsú: Adatvédelmi jog. In: Lamm Vanda (szerk.): Emberi jogi enciklopédia. HVG-ORAC, Budapest, 2018. 15.
[11] Sótonyi Péter: Orvosi felelősség. Semmelweis, Budapest, 2006. 335.
[12] BH 2019.272.
[13] Dósa Ágnes - Kovácsy Zsombor: A vállalkozó orvosok nagy kézikönyve. Complex, Budapest, 2011. 615.
[14] GDPR 4. cikk 1. pont.
[15] Hegedűs i. m. (10. vj.) 15.
[16] Dósa - Kovácsy i. m. (13. vj.) 627.
[17] Sótonyi i. m. (11. vj.) 329.
[18] GDPR 4. cikk 15. pont.
[19] Stv. 2. § (4) bek. b) pont, 3. § (4) bek., 4. § (1)-(2) bek., 4/A. §, 79. § (1) bek. b) pont bg) alpont; Sr. 6. § (1) bek., 9. § (1) bek.
[20] BDT 2014.3042. I.
[21] Infotv. 2. § (2) bek., 2. § (4) bek. a)-b) pont.
[22] Hanti i. m. (6. vj.) 62-63.
[23] Hanti i. m. (6. vj.) 62-63.
[24] Eütv. 13. § (1) bek.
[25] Eüak. 4. § (1) bek.
[26] Hanti i. m. (6. vj.) 61.
[27] Hanti i. m. (6. vj.) 61.; 67/2011. (VIII. 31.) AB hat.
[28] Eüak. 13. § b) pont.
[29] Gyulavári Tamás: Munkajog. ELTE Eötvös, Budapest, 2018. 40-41.; Mt. 34. § (3) bek.; 7/2001. (X. 4.) ISM rendelet 1. § (1) bek.
[30] Stv. 2. § (4) bek. b) pont, 4/A. § (1)-(2), (7) bek., 76/E. § (2) bek.; Sr. 6. § (1) bek., 9. § (1) bek.; Eüak. 12. § (1)-(2) bek., 13. § b) pont.
[32] Péterfalvi-Révész-Buzás: i. m. (2. vj.) 43.
[33] Eütv. 43. § (1) bek. a)-f) pont.
[34] Eütv. 43. § (2)-(3) bek.
[35] Vágó Hajnalka - Kiss Orsolya - Merkely Béla: Sportorvostan. Semmelweis, Budapest, 2020. 40.; Dósa Ágnes - Hanti Péter - Kovácsy Zsombor: Kommentár az egészségügyi törvényhez. Wolters Kluwer, Budapest, 2016. 127-128.
[36] Péterfalvi-Révész-Buzás: i. m. (2. vj.) 141.
[37] PJD 2021. 1. III.
[38] Sr. 6. § (1)-(2) bek.
[39] Dósa-Hanti-Kovácsy i. m. (35. vj.) 86.
[40] Péterfalvi-Révész-Buzás: i. m. (2. vj.) 142.
[41] Sr. 10. § (1) bek.
[42] Péterfalvi-Révész-Buzás: i. m. (2. vj.) 143.
[43] GDPR 35. cikk (1) bek., (3) bek. b) pont, (7) bek. a)-d) pont.
Visszaugrás
