A pirosat vagy a kéket választod, Neo? – avagy az egészségügyi adatok másodlagos felhasználásában rejlő új lehetőségek

A „Mátrix” című ikonikus film egyik kulcsfontosságú jelenetében Morpheus két pirulát kínál fel Neonak: egy kéket és egy pirosat. „Ha a kéket veszed be, a játéknak vége... felébredsz az ágyadban, azt hiszel, amit hinni akarsz. De ha a pirosat, maradsz Csodaországban, és én megmutatom, milyen mély a nyúl ürege." - hangzik el az ominózus idézet. Az egészségügyi adatok uniós szintű kezelése, felhasználása területén a tagállamok mostanra hasonló választás elé érkeztek: vagy fenntartják a jelenlegi fragmentált, ám mostanra kellőképpen bejáratott nemzeti adatkezelési elveiket, szabályaikat, vagy belevágnak egy egységes európai adattér kialakításába, amely új dimenziókat nyithat meg az egészségügyi adatok másodlagos, kutatási célú felhasználása terén, ám a vonatkozó javaslat elfogadásához még hosszú és rázós út vezet, amely során a  tagállamoknak rengeteg nyitott kérdést szükséges tisztázniuk és szabályozniuk.

A jelenlegi helyzet

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679 számú Európai Parlamenti és Tanácsi (EU) rendelet – közismertebb angol nyelvű rövidítése: GDPR – hatályba lépése alapjaiban változtatta meg az uniós közösség adatkezeléshez, adatvédelemhez való hozzáállását, illetőleg e téren jelentős jogszabályi változtatásokat is eredményezett, mind közösségi, mind tagállami szinten. A GDPR bevezetésével ugyanis jelentősen felértékelődött a személyes adatok védelméhez való alapvető jog szerepe a mindennapokban, ezzel párhuzamosan pedig a tagállamokban, így Magyarországon is a korábbiaknál szigorúbb adatkezelési, adatvédelmi szabályozások, előírások kerültek bevezetésre.

A rendelet hatályba lépése óta eltelt évek tapasztalatai alapján azonban úgy tűnik, hogy a GDPR sem oldott meg minden problémát az egészségügyi adatok közösségi adatkezelése- és felhasználása terén, mi több, újabb megválaszolandó kérdések merültek fel a szabályozás kapcsán, különösen az egészségügyi adatok másodlagos felhasználását illetően, amelyekre a közösségnek mindenképpen adekvát választ kellene adnia a közeljövőben.

Hiba a Mátrixban – mik a problematikus pontok a jelenlegi szabályozás kapcsán?

Az egészségügyi adatok másodlagos felhasználása leegyszerűsítve azt jelenti, hogy a természetes személyektől többnyire valamilyen egészségügyi beavatkozás, kezelés során jogszerűen begyűjtött egészségügyi adatokból az erre hatáskörrel rendelkező szervek összeállítanak egy olyan adathalmazt, amelyekből az adatforrások, azaz az egyes természetes személyek alapvetően nem beazonosíthatók, ellenben az adatok felhasználása elősegíti a különböző egészségügyi kutatásokat (pl. a rák elleni küzdelemben).

A TEHDAS-munkacsoport (’the joint action Towards the European Health Data Space’ – egy olyan, 25 európai állam részvételével zajló projekt, amely támogatja az EU tagállamait és az Európai Bizottságot az európai egészségügyi adattér kiépítésében, illetőleg az egészségügyi adatok másodlagos felhasználásának elvei kidolgozásában) a 2023. március 1-jén közzétett jelentésében az alábbi kritikus pontokat nevezte meg a jelenlegi szabályozás kapcsán:

a)      A GDPR nem tartalmaz részletes leírást arról, hogyan lehet megfelelően megvalósítani a személyes adatok álnevesítését vagy az anonimizálást, a szabályozás egyes jelenlegi kritériumainak alkalmazása pedig a gyakorlatban kihívást jelent, arról nem is beszélve, hogy a tagállamok által alkalmazott eltérő eljárásrendek és műszaki megoldások rendkívül megnehezítik az ilyen adatok közösségi szintű felhasználását.

b)      Jelenleg nincs egységes európai fogalommeghatározás a tekintetben, hogy pontosan mit jelent a személyes adatok másodlagos felhasználása.

c)      A tagállamok a GDPR mellett saját nemzeti jogszabályokat is alkalmaznak az egészségügyi kutatás és adatfelhasználás területén, amelyek többnyire nincsenek tekintettel a többi tagállam hasonló szabályozására.

d)     A tagállamoknak lehetőségük van egyes kérdésekben eltérni a GDPR rendelkezéseitől.

e)     Az egyes tagállamok eltérő megoldásokat preferálnak a személyes adatok kezelésének jogalapja meghatározását illetően.

f)       Az egészségügyi adatok a GDPR értelmében különleges kategóriájú adatoknak minősülnek, emiatt az egészségügyi adatok kezelése és felhasználása tekintetében más elbírálás alá esnek, mint más típusú adatok.

A fentiek összességében amiatt tekinthetők kritikus pontoknak, mert egységes szabályozás hiányában a tagállami szabályozás fragmentálttá válik azáltal, hogy kizárólag a nemzeti viszonyokra van tekintettel, az eltérő szabályozás és nemzeti sztenderdek pedig jelentősen megnehezítik az egyes tagállamok közötti adatcserét, ami veszélyeztetheti a nemzetközi egészségügyi kutatások sikerességét is. 

Van kiút a nyúl üregéből: az Európai Egészségügyi Adattér

Az európai közösség tehát az egészségügyi adatok másodlagos felhasználása terén választás elé került: vagy fenntartja a jelenlegi működő, de a nemzetközi kooperációt jelentősen megnehezítő tagállami szintű szabályozást, vagy létrehoz egy olyan új, egységesített európai szintű szabályozást, amely minden tagállamra irányadó lesz a jövőre nézve.

Ennek nyomán az Európai Parlament és a Tanács végül elfogadta az európai egészségügyi adattérről szóló rendelet-javaslatot, amely az elvárások szerint egy új szintre emelné a tagállamok együttműködését az egészségügyi adatok kezelése és felhasználása terén. A javaslat az egészségügyi adatok másodlagos felhasználását illetően meghatározza az egészségügyi adatok minimumkategóriáit, amelyek kizárólag a javaslatban meghatározott másodlagos felhasználási célokra használhatók fel, egyúttal megjelöli azokat az esetköröket is (mint pl. egészségügyi szakemberekre, egészségügyi szervezetekre vagy természetes személyekre irányuló reklám- vagy marketingtevékenységek, természetes személlyel vagy természetes személyek csoportjaival kapcsolatban olyan döntések meghozatala, amelyek kizárják őket a biztosítási szerződésből, vagy módosítják járulékaikat és biztosítási díjaikat stb.), amely célokból az egészségügyi adatok másodlagos felhasználása kifejezetten tiltott.

A javaslat előírja továbbá az adatok másodlagos felhasználását illetően az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek kijelölését, létrehozását, megállapítja azok feladat- és hatáskörét, azok természetes személyekkel szemben fennálló kötelezettségeit. Meghatározásra kerülnek továbbá az ún. adattulajdonosok kötelezettségei (akik jelen esetben javarészt a különböző egészségügy intézményeket jelentik), az adathozzáférés kapcsán fizetendő díjak, az illetékes szervek által normaszegés esetén alkalmazható szankciók, a másodlagos felhasználására irányuló engedélykérés feltételei, valamint az adatkészletekre vonatkozó minimális előírások. A javaslat emellett elrendeli az egészségügyi adatok másodlagos felhasználására szolgáló, határokon átnyúló egységes infrastruktúra kialakítását is.

Látható tehát, hogy a javaslat összességében rendkívül előremutató intézkedéseket tartalmaz az egészségügyi adatok másodlagos felhasználását illetően, elfogadása esetén pedig a tagállamoknak lehetősége nyílik egy olyan paradigmaváltásra, egy olyan környezet megteremtésére, amely elősegíti az adatok megosztását és másodlagos felhasználásra való rendelkezésre bocsátását, mindezt pedig a tagállamok és állampolgáraik közötti bizalom és a közös uniós elvekre építve. A javaslat révén a tagállamoknak egyúttal arra is lehetősége lesz, hogy felszabadítsák az egészségügyi adatok gazdaságában rejlő lehetőségeket. Ugyanakkor a javaslat hatályba lépéséig még hosszú út vezet, ezalatt pedig a tagállamoknak még rengeteg részletet meg kell vitatniuk a szabályozás kapcsán, annak érdekében, hogy a javaslatban lefektetett szabályok a gyakorlatban is az elvárt eredményeket érjék el.

Képek forrása: Hersson Piratoba, internet