GDPR jogok a gyógyszertárban 2. rész – A törléshez való jog

A GDPR gyógyszertári alkalmazásával kapcsolatos előző blogbejegyzésünkben az érintettek hozzáférési jogával foglalkoztunk. Mai bejegyzésünkben az érintetteknek azt a jogát vizsgáljuk, amely alapján a megfelelő körülmények esetén a személyes adatokat törölnie kell a gyógyszertárnak.

A törléshez való jog

Mit is takar pontosan a GDPR-ban a törléshez, vagy más néven az elfeledtetéshez való jog? Egyrészt az érintett jogosult arra, hogy kérésére a gyógyszertár késedelem nélkül törölje a rá vonatkozó személyes adatokat. Másrészt, a gyógyszertár bizonyos esetekben, akár kérés nélkül is kötelező, hogy törölje a személyes adatokat.

Mikor és hogyan kell alkalmazni a törléshez való jogot? A GDPR több esetet is meghatároz, amikor a személyes adatokat törölni kell:

  • A személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték. Például, ha egy gyógyszertár egészségnapot rendez, és az érdeklődők nevét és elérhetőségét azért gyűjti, hogy az eseménnyel kapcsolatban tájékoztatást tudjon adni. A rendezvény végével az a cél, amiért a gyógyszertár az adatokat gyűjtötte, megszűnik, ezért az adatokat törölni kell.
  • Az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja. Egyértelműen ide tartoznak azok az esetek például, amikor egy gyógyszertár a honlapján elektronikus levelezési címeket gyűjt, hogy marketing célú leveleket küldjön az érintetteknek. Ha az érintettek kérik a törlésüket, akkor a gyógyszertárnak haladéktalanul törölnie kell az elérhetőséget a levelezési listából.
  • Törölni kell a személyes adatot akkor is, ha az érintett egy másik GDPR-ban foglalt jogával él, és tiltakozik az adatai kezelése ellen. Ha nincs elsőbbséget élvező jogszerű ok az adatkezelésre, akkor mindenképpen meg kell semmisíteni az adatokat.
  • Ha kiderül, hogy a gyógyszertár jogellenesen kezelte a személyes adatokat, akkor azokat azonnal törölni kell. Ehhez meg sem kell várni a beteg kérését, hanem azonnali intézkedésre van szükség. Ilyen eset lehet az, ha az expediáló olyan személyes adatot ír rá a vényre vagy a kiadási igazolásra, amire nincs szükség a vény kiváltásához (például személyi igazolvány számot).
  • Emellett törölni kell az érintett kérésére azokat az adatokat is, melyeket az információs társadalommal összefüggő szolgáltatások segítségével gyűjtöttek össze. Ilyen szolgáltatásokat a gyógyszertárak jelenleg még nem biztosítanak.
  • Végezetül törölni kell a személyes adatokat akkor, ha azt valamilyen uniós vagy tagállami jogban előírt rendelkezés azt kifejezetten előírja.

Ha a gyógyszertár nyilvánosságra hozta a személyes adatot (pl.: megjelentette a honlapján), és azt törölni köteles, akkor minden tőle telhetőt meg kell tennie, hogy értesítse azokat, akikhez az információ eljuthatott.  Meg kell tennie mindent, hogy minden olyan adatkezelő tudjon a törlési kérelemről, akinél másolat van azért, hogy az érintett jogai a lehető legszélesebb körben tudjanak érvényesülni.

A törléshez való jog mutatja meg leginkább, hogy miért fontos az, hogy gondosan bánjunk a ránk bízott személyes adatokkal. Ha a gyógyszertárral kapcsolatban álló beteg szeretné, hogy bizonyos adatait már ne kezeljük, akkor nem csak a saját adatbázisainkból kell eltüntetnünk azokat. Az általunk hozott intézkedések mellett egyúttal az adatkezelési nyilvántartás alapján értesítenünk kell azokat is, akikkel az adott adatot megosztottuk.

Amikor nem alkalmazható a törléshez való jog

Az elfeledtetéshez való joggal alapvetően akkor kell foglalkozni, ha az érintettek kérik azt, azonban vannak olyan esetek, amikor a kérés ellenére sem lehet törölni az adatokat. Ezeket a GDPR szintén külön nevesíti:

  • Nem kell törölnie a gyógyszertárnak azokat az adatokat, amelyek a jogi igényeinek előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükségesek. Ha például a gyógyszertár kamerarendszert üzemeltet, és a felvételek alapján sikerül beazonosítani egy tolvajt, akkor a gyógyszertár a képmást, mint személyes adatot felhasználhatja. Ilyen esetben a feltételezett elkövető nem kérheti a felvétel törlését, hiszen azzal nyilvánvalóan a gyógyszertár jól meghatározott érdeke sérülne.
  • Az egészségügy területén kiemelten fontos a betegségekkel és a gyógykezelésekkel kapcsolatos adatok feldolgozása és hasznosítása. Enélkül nem lehetne célzott és hatékony beavatkozásokat kivitelezni, és fejleszteni az ellátást. Éppen ezért, ha a népegészségügy területét érintő közérdek indokolja, vagy a statisztikai, tudományos vagy történelmi kutatás céljából szükség van még az egészségügyi vagy más személyes adatokra, akkor azokat nem lehet megsemmisíteni. Ide tartozik a közérdekű adatok archiválása is.
  • Nem lehet törölni az adatokat, ha azokra a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából szükség van. Gyógyszertárak esetén ennek az esetnek az alkalmazása nem jellemző.
  • Akkor sem lehet az érintett törlésre való kérésének eleget tenni, ha a személyes adatok kezelését valamilyen jogszabály írja elő, vagy valamilyen közhatalmi jogosítvány vagy feladat végrehajtása céljából van rá szükség. A mi esetünkben a legkönnyebben felhozható példa erre az, hogy a gyógyszertáraknak öt évig meg kell őrizniük azokat a vényeket, melyekre gyógyszert expediáltak.

Ahogy az életünk egyre jobban digitalizált lesz, egyre fontosabbá válik, hogy a személyes adataink feletti kontrollt meg tudjuk őrizni. Ennek egyik legfontosabb pillére, hogy ha nem szeretnénk, hogy mások kezeljék adatainkat, akkor rendelkezhetünk azok törléséről. Ha a gyógyszertárak hosszú távon is meg szeretnék őrizni a betegek bizalmát, akkor fel kell készülniük arra, hogy ezt a lehetőséget mindenkinek a lehető legkönnyebben biztosítani tudják.