Ha valaki az elmúlt időszakban egy kicsit is érdeklődött a vállalkozások vagy a gyógyszertárak működését érintő szakmai kérdések iránt, akkor biztosan találkozott már a GDPR kifejezéssel. Szinte nem volt olyan hét az elmúlt fél évben, amikor ne rendeztek volna konferenciát vagy szakmai workshopot ezzel kapcsolatban. A rendelet hatályba lépésének dátuma vészesen közeleg, ennek ellenére még mindig sokan nincsenek tisztában az alapvető tudnivalókkal sem. Nekik készítettük ezt a rövid tájékoztatót, melyet terveink szerint több is követ majd a közeljövőben.
Mi az a GDPR?
A GDPR a General Data Protection Regulation kifejezés rövidítése, melyet magyarul általános adatvédelmi rendeletnek lehetne fordítani. A rövidítés az Európai Parlament és a Tanács 2016/679 számú rendeletére utal, melynek teljes szövegét itt lehet elolvasni.
Mi a GDPR célja?
A GDPR elsődleges célja, hogy az uniós állampolgárok személyes adatait védje, és megakadályozza a jogszerűtlen adatkezelést. Az elképzelések szerint a szigorú szabályozás bevezetése nemcsak csökkenti majd a visszaéléseket, hanem növeli a lakosság bizalmát is a vállalkozások, hivatalok és szervezetek felé. Emellett az sem hátrány, hogy az egész Unió területén egyetlen jogszabálynak kell megfelelnie mindenkinek, ezzel megkönnyítve azoknak a vállalkozásoknak a működését, amelyek több tagállamban is tevékenykednek. Ezek alapján az új szabályozástól a digitális gazdaság fellendülését is várják.
Mikortól kell alkalmazni, és lesz-e türelmi időszak?
A rendeletet 2016 áprilisában fogadták el, és a rá következő hónapban hirdették ki. A jogszabály előírásait 2018. május 25-től kötelező alkalmazni az Unió összes tagállamában, így hazánkban is. Eddig a napig mindenkinek át kell állnia a rendelkezések betartására, újabb türelmi időszak nem lesz. A GDPR bevezetésére már így is két év állt mindenki rendelkezésére.
Mi változik a szabályozásban?
Az adatvédelem területén az eddigi szabályozás úgy nézett ki, hogy volt egy uniós ajánlás, melynek alapján az egyes tagállamok megalkották a saját nemzeti szabályozásukat. Május végétől azonban a korábbi ajánlás helyébe a GDPR lép. A lényeges különbség az, hogy a rendeletben foglalt előírások alkalmazásához semmilyen szintű nemzeti jogalkotásra nincs szükség, azt közvetlenül alkalmazni kell minden tagállamban. Egyes kérdéseket továbbra is nemzeti hatáskörben kell rendezni (például az adatvédelmi hatóság kijelölését), azonban ezek körét is a GDPR határozza meg.
Mi a számít személyes adatnak?
Ahogy korábban is említettük a GDPR célja az állampolgárok személyes adatainak védelme. Ennek megfelelően a vállalkozások, hivatalok és egyéb szervezetek adatainak védelmével nem foglalkozik a jogszabály. A rendelet szerint személyes adatnak számít az azonosított vagy azonosítható természetes személyre vonatkozó bármilyen információ.
Személyes adatnak minősül:
- a név,
- a lakcím,
- az azonosító szám (TAJ szám, SZIG szám stb.),
- a tartózkodási hely,
- az online azonosító,
- az egészségügyi és genetikai adat,
- a szellemi, gazdasági, kulturális és szociális jellemző.
Kire vonatkozik a szabályozás?
A rendeletet mindenkinek alkalmaznia kell, aki az Unió területén végzi a tevékenységét, és közben személyes adatokat kezel. Ebbe a körbe beletartozik minden egyes vállalkozás is, függetlenül attól, hogy egyéni vállalkozóként, betéti társaságként, korlátolt felelősségű társaságként vagy részvénytársaságként működik. Értelemszerűen kiterjed a hatálya az összes gyógyszertárra, és az azokat működtető gazdasági társaságokra is.
Melyik hatóság ellenőrzi a rendelkezések betartását, és milyen büntetésre lehet számítani?
Hazánkban az adatvédelemmel kapcsolatos feladatokat a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) látja el. Ez a hatóság felel majd a GDPR betartásáért, ők végzik az ellenőrzéseket, és ők szabják ki a szankciókat is. Az egyik legnagyobb változás a GDPR bevezetésévél a büntetési tételek drasztikus emelkedése. Egyes jogsértések esetén ugyanis a hatóságnak lehetősége van akár 20 millió euro vagy az előző pénzügyi év teljes forgalmának 4%-ának megfelelő összegű bírságot kiszabnia. (A kettő közül azt, amelyik magasabb!)
Természetesen kisebb jogsértések és mulasztások esetén nem fog mindjárt első alkalommal ilyen magas összegű bírságokat kiszabni a hatóság. Azonban a számok jól mutatják, hogy mennyire komolyan vették a jogalkotók a személyes adatok védelmét.
Mit kell tenni a GDPR bevezetéséig?
A GDPR-ban foglaltak megfelelő betartása sok tennivalót igényel a vállalkozások részéről, ezek részletezése bőven meghaladja egy blogbejegyzés kereteit. A legfontosabb üzenet, amit most át tudunk adni, hogy mindenképpen el kell kezdeni foglalkozni a gyógyszertár adatvédelmi szabályzatának kialakításával. Erre leginkább úgy kell tekinteni, mint a meglévő mellett egy második belső minőségügyi rendszerre, amely kifejezetten az adatok kezelésével foglalkozik.
Minden belső minőségügyi rendszert az adott egészségügyi intézmény működéséhez kell igazítani, hogy teljesen lefedje az intézmény által végzett tevékenységeket. Ugyanez igaz az adatkezelésre is. Valószínűleg hamarosan rendelkezésünkre fognak állni előre elkészített sablonok, melyek alapján már ki fogjuk tudni dolgozni a saját gyógyszertárunkra vonatkozó szabályzatokat. Addig azonban érdemes minél többet megtudni az előttünk álló feladatokról.
Ha valaki nagy vonalakban szeretne képbe kerülni, akkor tudjuk ajánlani az Európai Bizottság oldalait (itt és itt), valamint a NAIH által közzétett tájékoztatót is.
