Tavaly májusban a Bors hozott nyilvánosságra egy, az Országos Mentőszolgálattól (OMSZ) származó jegyzőkönyv-részletet arról az esetről, amikor Varga Judit gyógyszermérgezés gyanúja miatt mentőt hívott akkori férjéhez, Magyar Péterhez. A volt igazságügyi miniszter tavaly márciusban, nem sokkal a kegyelmi ügy kirobbanása után nyilatkozott az incidensről. „Ott volt egy ilyen xanaxos levél úgy, hogy már csak egy darab volt a tízes levélben, nem tudtam, hogy csak egyet vett be, vagy 9-et, vagy 8-at” – magyarázta Varga, hogy miért hívott mentőt. A mentők megérkezésekor azonban Magyar Péter már nem tartózkodott a helyszínen.
Korábban megírtuk: Kunetz Zsombor egészségügyi szakértő szerint bűncselekmény, hogy nyilvánosságra került az egészségügyi dokumentum, azt pedig a Kormányinfón kérdésünkre a Miniszterelnökséget vezető Gulyás Gergely is elismerte, hogy jogsértés történt.
A kiszivárgott esetlap miatt a mentőszolgálat belső vizsgálatot rendelt el, amelynek eredményét végül októberben közölte az OMSZ az RTL-nek küldött rövid válaszában: „A Bors által közölt információk kapcsán dolgozóik körében nem azonosítottak személyiségi jogsértésért vagy adatvédelmi szabályok megsértéséért felelős személyt.”
Ezzel párhuzamosan azonban folyt egy másik vizsgálat is, mivel a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) is górcső alá vette az esetet, és lapunk megkeresésére most részletes beszámolót küldött. A NAIH, amely június 24-én döntött adatvédelmi hatósági eljárás megindításáról, leszögezi: eljárásuk kizárólag adatvédelmi kérdések vizsgálatára terjedt ki az esetlap nyilvánosságra kerülésével kapcsolatban.
A mentési eseményről nem készült papíralapú dokumentáció
A NAIH elnöke, Péterfalvi Attila azt írja, az OMSZ az esettel kapcsolatban lefolytatott belső vizsgálata során megvizsgálta a cikkben megjelent dokumentumon szereplő azonosítószámmal a rendszerében kezelt esetlapot, és megállapította, hogy „az esetlap és a sajtóban megjelent dokumentum között tartalmi eltérések álltak fenn, ugyanakkor a sajtóban megjelent dokumentumon olyan adatok szerepeltek, amelyek eredetileg az esetlapon kerültek rögzítésre.” (Ez a megállapítás az OMSZ az RTL-nek küldött válaszában nem szerepelt.)
A NAIH így folytatja: „Az OMSZ és a Hatóság is megállapította, hogy az esetlap alapjául szolgáló mentési esemény, illetve az esetlapon szereplő adatok ismeretében készült dokumentum került nyilvánosságra, amely feltételezi, hogy a dokumentumot a sajtó részére továbbító személy az esetlapot az OMSZ rendszerében megtekintette.”
A NAIH leszögezte azt is, ami a Borsban megjelent dokumentumon egyértelműen látszik: az adatok nagy részét kitakarták, „így az nem volt megállapítható, hogy azon eredetileg pontosan milyen személyes adatok szerepeltek.” A mentőegység érkezésekor a beteg már nem tartózkodott a helyszínen, ezért az eredeti esetlapon a beteg ismeretlen személyként van megjelölve, életkora kivételével egyéb személyes adatát nem rögzítették.
A NAIH vizsgálata megállapította továbbá azt is, hogy „a mentési eseményről nem készült papíralapú dokumentáció, betegadatok hiányában az esetlap nem került feltöltésre az Elektronikus Egészségügyi Szolgáltatási Térbe (EESZT), az esetlap kapcsán más hatóság vagy a beteg részére adatszolgáltatás nem történt.”
Adatvédelmi incidens
„Az OMSZ által folytatott belső vizsgálatok eredménye és a mentőszolgálat által tett nyilatkozatok alapján megállapítható, hogy
a nyilvánosságra hozott személyes adatok egyedül az OMSZ rendszeréből kerülhettek ki
– írja az adatvédelmi hatóság, amely megállapította azt is, hogy az esetlapon szereplő személyes adatok jogosulatlan felhasználásával adatvédelmi incidens következett be, amit az adatok sajtóban történő közzététele követett.
Az incidens ugyanakkor egészségügyi személyes adatokat nem érintett, tekintettel arra, hogy az esetlapon nem szerepel egy konkrét beteggel kétséget kizáróan összefüggésbe hozható személyes adat – így a NAIH. Megállapították azonban azt is, hogy
A mentőszolgálat az incidenst 72 órán belül jelentette a NAIH-nak, valamint „az incidensből eredő kockázatokat megfelelően értékelte, az érintett mentődolgozókat tájékoztatta.” A NAIH megállapította, hogy az OMSZ a bekövetkezett adatvédelmi incidenssel kapcsolatban eleget tett a GDPR-ben foglalt, az incidens kezelésével kapcsolatos kötelezettségeinek.
Elégtelen a naplózás az OMSZ-nál, de nincs büntetés
Az OMSZ által folytatott belső vizsgálat azonban nem tudta egyértelműen megállapítani, hogy az esetlapot hányan, illetve milyen célból tekintette meg annak rögzítését követően, mivel az OMSZ rendszere csak a be- és kilépéseket, adatrögzítéseket- és adatmódosításokat naplózza, a naplózás nem terjed ki azokra a felhasználói tevékenységekre, amikor a dokumentumok adattartalmának módosítása nélkül, kizárólag az adatok megtekintésére kerül sor – magyarázza a NAIH, hozzátéve, hogy erre tekintettel megállapították, a mentőszolgálat nem tett eleget a saját belső szabályzatában is rögzített, a naplózásra vonatkozó követelményeknek, mivel naplózási rendszere nem alkalmas a felhasználói műveletek teljes körű utólagos felülvizsgálatára, és jogsértés esetén a felelősség megállapítására.
Az elégtelen naplózás következtében fennáll a lehetősége annak, hogy az OMSZ által kezelt egészségügyi adatokat észrevétlenül tekintenek meg jogosulatlanul, amely súlyos kockázatokat jelent a nagyszámú érintett személyes adatok védelméhez fűződő jogára nézve.
A NAIH megállapította azt is, hogy az OMSZ megsértette a GDPR-ben foglalt, az adatkezelésből eredő kockázatok mértékének megfelelő szintű adatbiztonság garantálását célzó, megfelelő technikai és szervezési intézkedések végrehajtására vonatkozó kötelezettségét. A hatóság azonban az ügy összes körülményének mérlegelését követően adatvédelmi bírság kiszabását nem tartotta indokoltnak.
Ezt a NAIH azzal indokolta, hogy az adatkezelő közfeladatot ellátó szerv, és a GDPR megsértésének megállapítására vele szemben korábban nem került sor. Közölték azt is, hogy az OMSZ az eljárás során együttműködött a NAIH-hal és „megkezdte az általa folytatott adatkezelés által jelentett kockázatok mértékének megfelelő szintű adatbiztonság garantálása érdekében szükséges fejlesztéseket.”
A Nemzeti Adatvédelmi és Információszabadság Hatóság megállapításaival kapcsolatban megkerestük az Országos Mentőszolgálatot is – a válaszukról beszámolunk.
A NAIH vizsgálatának lezárultával azonban még nincs vége az ügynek. Érdeklődtünk a rendőrségnél is, és azt írták, a dokumentum nyilvánosságra kerülése miatt
The post Megérkezett az adatvédelmi vizsgálat eredménye Magyar Péter kiszivárgott mentős esetlapjával kapcsolatban first appeared on 24.hu.