Az mHealth applikációk adatvédelmi kérdései

Az mHealth applikációk elsősorban azok a mobiltechnológiák, amelyek az azokat használó felhasználók által meg­adott személyes adatokat, azon belül pedig különösen érzékeny egészséggel kapcsola­tos adatokat gyűjtenek, kezelnek akár ma­gán az azt futtató okoseszközön, akár vala­milyen felhő alapú technológián keresztül tárolva, és amelyek alapvetően képesek ezeket az adatokat hozzáférhetővé tenni, megosztani a széles nyilvánossággal. Ebbe a körbe tartoznak a hordható, hordozha­tó, beültethető eszközök és technológiák, amelyeket egyének használnak a saját egészségük, fittségi állapotuk monitorozására vagy egészségük kezelésére. Ezek a technológiák támogathatják pl. az orvosi ellátást (diagnózis és betegség kezelése), és lehetnek életmóddal kapcsolatos céljaik is (súlycsökkentés, egészséges diéta, dohány­zásról való leszokás, fizikai erőnlét javítása). Ebbe az átfogó kategóriába tartoznak pl. a hordható fitnesszokoseszközök, viselhe­tő érzékelők, vezeték nélküli adatátvitelt lehetővé tevő hálózatok, okostelefonok, közösségi média hálózatok.

Az mHealth alkalmazások egyszerre vagy külön-külön többféle célt is szol-gálhatnak:¹

• fiziológiai paraméterek monitoro­zása: mérés, rögzítés, riportolás, pl. szív­ritmus, vérnyomásadatok;
• aktivitás és viselkedés monitorozá­sa: mozgási, fizikai és szociális aktivitás mé­rése, rögzítése, riportolása vagy pl. étkezési szokások figyelése;
• információhoz való hozzáférés: egészséggel kapcsolatos adatokhoz való hozzáférés biztosítása, pl. leletek letöltése, döntéstámogató eszközök, egészségügyi adatok feltöltése és eljuttatása az orvoshoz;
• távolról történő orvoslás (telemedicina): a beteg és az orvos közötti kom­munikáció, pl. virtuális orvosi látogatás lebonyolítása.

A fent említett mHealth eszközök új lehetőséget jelentenek mind az egyének, mind pedig a közegészségügy és annak valamennyi résztvevője számára. Ezekkel az egészségügyi, fitnessz, sport és életmód mobilapplikációkkal, eszközökkel hatéko­nyabbá tehető a gyógyításban, betegellá­tásban az orvos-beteg kapcsolat, lehetővé válik az egészségi állapottal kapcsolatos adatok egy helyen történő tárolása. Ezen túlmenően a mobil egészségügyi techno­lógiával javítható az egészségügyi ellátás színvonala, növelhető az egészségügyi szolgáltatásokhoz való hozzáférés, és nem utolsósorban csökkenthetők az egészség­ügyi költségek azáltal, hogy az egyének tudatosságát növeli az egészségmegőrzés területén, ösztönzi az egészséges életmó­dot, és fontos szerepet játszik a betegségek megelőzésében is.

A mobiltechnológiák elterjedése az egészségügyben a különböző orvosi és gyógyszerészeti kutatás-fejlesztéseket is nagymértékben segítheti, hiszen ezekkel az mHealth technológiákkal tömegesen és könnyen gyűjthetők tudományos, kutatási, statisztikai célra adatok a célközönségtől, amelyek a kutatásokban is felhasználhatók.

Felhasználói oldalról is egyre nagyobb az igény az ilyen mobilalkalmazásokra, hi­szen a közösségi média világában szocia­lizálódott, mobil okoseszközökön felnőtt fiatal korosztály számára az a természetes, hogy nem csupán napi tevékenységükkel kapcsolatos információkat osztanak meg a világhálón, hanem fittségi állapottal, étrenddel, életmóddal kapcsolatos ada­tokat is, gondoljunk itt pl. a sport-és fitnesszapplikációk által mért testmozgási teljesítményekre, az ezekkel kapcsolatos okosórák, okoseszközök által mért egyéb adatokra: lokációra, távolságra, pulzusra, domborzati viszonyokra, elégetett kaló­riára, lépésszámra, orvosi diagnózisokra, leletekre. Ráadásul ez a korosztály már nem azonnal az orvoshoz fordul, ha egészség­ügyi problémája merül fel, hanem először a közösségi média hálózatokon, speciális csoportokban, az interneten keres válaszo­kat és gyógymódokat, miközben jelentős mennyiségű egészségügyi és személyes adatot közöl magáról a gyors probléma­megoldás reményében.

Az mHealth appok, közösségi média­felületek azonban csak akkor segíthetnek a fenti előnyök kiaknázásában, ha az ada­taik biztonságába vetett bizalom, valamint az információs szimmetria az egyének és a szolgáltatójuk oldalán fennáll. Az mHealth appok nagyon sérülékenyek, tekintettel arra is, hogy érzékeny egészségügyi ada­tokat tárolnak, gyakran sajnos nem elég­séges adatbiztonsági eszközök mellett és nem megfelelő tájékoztatást nyújtva a felhasználóiknak.

Az mHealth appok esetében ezért foko­zottan kell ügyelni az adatvédelmi, adat- és információbiztonsági előírások megfelelő betartására.

Milyen adatokat kezelhetnek az mHealth appok?

Az mHealth alkalmazások egyrészt sze­mélyes adatokat, másrészt egészségügyi adatokat kezelhetnek a felhasználókról. A kétféle adattípus elkülönítése jogi szem­pontból releváns, mivel eltérő szabályok vonatkoznak mind a magyar, mind az uniós jogban a kétféle adattípus kezelésére. Az mHealth appok esetében ezért először ar­ról kell meggyőződni, hogy melyik típusba tartoznak a gyűjtött, kezelt adatok.

Személyes adatnak a magyar szabályo­zás alapján² valamennyi, a felhasználóval kapcsolatba hozható adat minősül, így pl. a felhasználó neve, azonosító jele, lokációja, a fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jel­lemző egy vagy több ismeret, valamint az adatból levonható, a felhasználóra vonat­kozó következtetés.

Ezzel szemben egészségügyi adat a fel­használó testi, értelmi és lelki állapotára, kóros szenvedélyére, valamint a megbete­gedés, illetve az elhalálozás körülményei­re, a halál okára vonatkozó, általa vagy róla más személy által közölt, illetve az egész­ségügyi ellátó hálózat által észlelt, vizsgált, mért, leképzett vagy származtatott adat; továbbá az előzőekkel kapcsolatba hozha­tó, azokat befolyásoló mindennemű adat (pl. magatartás, környezet, foglalkozás).³ Ebbe a körbe tartoznak pl. a hordható vagy beültetett szenzorok, érzékelők által gyűj­tött adatok (vérnyomás, pulzus, szívritmus, cukorszintmérő stb.), amelyekből az egészségügyi állapotra vonható le következtetés.

A kétféle adattípus elkülönítése nem mindig egyszerű, különösen az életmód­dal kapcsolatos adatok esetében, amelyek egyszerű személyes adatként kezelendők akkor, ha nem kapcsolódnak az egyén egészségéhez. Egészségügyi, és nem pusz­ta személyes adatot kezel pl. az az appli­káció, amely az orvos által felírt gyógyszer bevételét ellenőrzi, nem kezel azonban ilyen adatot az az alkalmazás, amely lé­pésszámot rögzít, sportaktivitást mér. Ha viszont ezeket az adatokat egészségügyi kockázatok mérésére vagy előrejelzésére használják, vagy a felhasználó egészségi állapotának megállapításához tárolják, akkor felmerül az egészségügyi adatok kezelésének lehetősége is.⁴

Még szigorúbb szabályok vonatkoznak a biometrikus és genetikai adatok kezelé­sére, ezért ezt is szükséges vizsgálni az applikációk fejlesztésének folyamatában.

Akár személyes, akár egészségügyi, biometrikus vagy genetikai adatokat kezel az alkalmazás, mindenképpen szükséges az adatkezelés megkezdése előtt részletesen tájékoztatni a felhasználót a kezelt adatok pontos köréről.⁵ Ez a szabály alkalmazandó a felhasználó által bevitt adatokra, vagyis pl. a regisztráció során megadott szemé­lyes adatokra (telefonszám, név, e-mail cím, lakcím stb.), az app által kért, további számításokhoz használt adatokra (pl. nem, születési dátum vagy életkor, testmagas­ság, testsúly, bevitt napi kalóriamennyiség).

Az mHealth alkalmazások azonban ál­talában nem csupán azokat az adatokat ke­zelhetik, amelyeket a felhasználók visznek be közvetlenül az alkalmazásba, hanem az applikáció automatikusan is mér és tárol különböző értékeket: geolokációs ada­tokat, lépésszámot, sebességet, megtett távolságot, mért vérnyomást, szívritmust, pulzusszámot, amelyek körét szintén elő­zetesen közölni kell a felhasználóval, és az ilyen adatok egy része már egészségügyi adatnak minősül, amelyeket külön fel kell tüntetni. Ugyanez a szabály vonatkozik az alkalmazás által automatikusan gyűjtött adatokra is, amelyek általában az alkal­mazással kapcsolatos viselkedési adato­kat, használati szokásokat, GPS adatokat, az appot használó készülék jellemzőit, a használt operációs rendszert, mobilplat­formot és egyebeket rögzítik és tárolják, amelyekről a felhasználónak szintén külön tájékoztatást kell kapnia. Lehetséges, hogy ezek az automatikusan gyűjtött adatok ön­magukban nem köthetők egy meghatáro­zott személyhez, de az összességükből, összekapcsolásukból kirajzolódhat egy olyan profil, amelynek alapján az adott felhasználó beazonosítható, felismerhető, ez pedig már személyes adattá teszi az ön­magukban annak nem minősülő adatokat.

A kezelhető (rögzíthető, gyűjthető, mér­hető, tárolható) adatok körét, mennyiségét mind a magyar, mind az uniós jog szerint korlátozza az adatminimalizálás elve: csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához el­engedhetetlen és a cél elérésére alkalmas.⁶ Gondosan meg kell tehát válogatni, hogy milyen adatokat gyűjtsön az alkalmazás, mi­vel csak azok az adatok kezelhetők, amelyek szigorúan véve szükségesek az app funkcio­nalitásának teljesítéséhez. Így pl. ha elegen­dő sávosan megadni az életkor adatát, akkor nem szükséges pontos születési dátumot kérni a felhasználótól.

Miről és hogyan kell tájékoztatni a felhasználót?

Az mHealth alkalmazást használók alap­vető, Alaptörvényben rögzített joga, hogy követni és ellenőrizni tudják a velük kap­csolatos adatok kezelésének útját, vagyis azt, hogy az alkalmazásban ki, mikor, hol, milyen célra használja fel az ő személyes adataikat.⁷ Ezt az általános szabályt váltja aprópénzre Az információs önrendelkezési jogról és az információszabadságról szóló törvény (Infotv.), amikor meghatározza, hogyan és miről szükséges tájékoztatni a felhasználókat az adatkezeléssel kap­csolatban.⁸ E tájékoztatás alapján képes ugyanis a felhasználó felismerni azt, hogy az adott adatkezelés milyen hatással van az információs önrendelkezési jogára és a magánszférájára. Az érintettek a meg­felelő tájékoztatáson keresztül ismerhe­tik meg a személyes adataikra vonatkozó adatkezelést, illetve ezáltal érvényesülhet az információs önrendelkezési joguk. Meg­felelő tájékoztatás hiányában az adatkeze­lő oldalán olyan „információs erőfölény” alakulhat ki, amelynek felhasználásával az érintett jogai, érdekei sérülhetnek.⁹

Az Infotv. fent hivatkozott szabályai alapján a tájékoztatásnak a következő kri­tériumoknak kell megfelelnie:
• az adatkezelés megkezdése előtt kell megtörténnie;
• részletes és egyértelmű tájékoztatást kell nyújtani egyszerű, zsargon nélküli, ért­hető, figyelemfelkeltő szövegben, amely a rendszeres/átlagos felhasználók számá­ra érthető (vagyis nem megfelelő, ha az adatvédelmi szabályzat csak megismétli a jogszabály szövegét, a szabályzat lénye­ge az, hogyan alkalmazza az mHealth app üzemeltetője önmagára a jogszabályokat);
• minden adatkezeléssel érintett tényre ki kell terjednie, vagyis teljesnek kell lennie, így tartalmaznia kell legalább az adatkezelés célját és jogalapját, az adatkezelésre és az adatfeldolgozásra jogosult személyét, az adatkezelés időtartamát, kik ismerhetik meg az adatokat; fel kell tüntetni azt is, hogy ki­nek és milyen célra továbbítják az adatokat, továbbá hogy az adatok feldolgozásához az applikáció üzemeltetője vesz-e igénybe adatfeldolgozót, és ha igen, milyen célra;
• tájékoztatni kell a felhasználót arról, hogy milyen jogai és jogorvoslati lehetősé­gei vannak az adatkezeléssel kapcsolatban;
• a tájékoztatásnak közvetlenül a fel­használóhoz kell eljutnia, közvetlenül el­érhetőnek, jól láthatónak, feltűnőnek kell lennie (így pl. a nagyításra lehetőséget nem adó, nagyon kicsi betűméret sem alkalmazható);
• a tájékoztatásnak az átlagos felhasz­nálók által beszélt nyelven kell megtörtén­nie, vagyis pl. ha egy magyar fejlesztésű alkalmazás külföldi felhasználók adatait is kezeli, nem elegendő pusztán magyarul közzétenni az adatvédelmi szabályzatot, szükség van ezen kívül legalább az angol nyelvű változatra is.¹⁰

Hogyan kell hozzájárulást szerezni az adatkezeléshez a felhasználótól?

A magyar Infotv. szerint mHealth alkalma­zásban is csak akkor kezelhető személyes adat, ha az adatkezeléshez a felhasználó hozzájárult, vagy az adatkezelést törvény közérdekből elrendeli. Az mHealth appok esetében, mivel azokat általában nem a köz­egészségügyi ellátásban, gyógyászati ellá­tórendszerben alkalmazzák, az adatkezelés szinte sosem jogszabályi engedélyen alapul. Ebből eredően ezeknek az alkalmazásoknak minden esetben hozzájárulást kell kérniük a felhasználóktól az adatkezeléshez. A hoz­zájárulásnak mindig meg kell felelnie a kö­vetkező négy követelménynek:¹¹
• a fentiekben említett előzetes tájé­koztatáson kell alapulnia, mivel a hozzá­járulást nem lehet megadottnak tekinteni olyan adatkezelés tekintetében, amelyről a felhasználót az alkalmazás üzemeltetője előzetesen nem tájékoztatta;
• önkéntesnek kell lennie, vagyis nem lehet szankciót alkalmazni, ha a felhasználó nem járul hozzá az adatkezeléshez, a hoz­zájárulás jelölőnégyzet nem lehet előre kipipálva, viszont lehet ajándékot, egyéb előnyt ígérni arra az esetre, ha a hozzájá­rulását a felhasználó megadja;
• határozottnak és félreérthetetlennek kell lennie: nem elegendő tehát annak biz­tosítása, hogy ha a felhasználónak nem tet­szik, akkor tiltakozhat az adatkezelés ellen (opt-out), hanem hozzájárulást kell tartal­maznia, vagyis az opt-in elvet kell követnie;
• tényleges választási lehetőséget kell biztosítania a felhasználónak a hozzájáru­lás megadásánál a kezelt adatok körére és az adatkezelés céljára vonatkozóan.

Ha az mHealth alkalmazás nem pusztán életmódhoz kapcsolódó vagy egyéb sze­mélyes adatot, hanem egészségügyi ada­tot is kezel, még szigorúbb feltételeknek kell megfelelnie, amikor hozzájárulást kér a felhasználótól: kizárólag írásbeli hozzájá­rulás alapján kezelhetők ezek az adatok.¹²

Az egészségügyi adatokat gyűjtő, kezelő mHealth alkalmazások e jogi előírás miatt a magyar jogszabály alapján gyakorlati megvalósíthatóság szempontjából tulaj­donképpen ellehetetlenülnek, hiszen az adatkezeléshez minden egyes felhasználó­tól írásbeli (pl. papír alapú vagy elektroni­kus aláírással ellátott) hozzájárulást kellene kérniük, ami kivitelezhetetlen a nagyszámú felhasználó miatt, és nem összeegyeztethe­tő a mobilapplikációk lényegével: a bárhol, bárhonnan, azonnali elektronikus hozzáfér­hetőséggel. A nemzetközi és európai uniós viszonylatban is rendkívül szigorú magyar jogszabály nemcsak a magyar fejlesztésű alkalmazások üzemeltetőit köti, hanem minden olyan külföldi alkalmazás fejlesztőit/üzemeltetőit is, amely Magyarország területén folytat adatkezelést. Az mHealth alkalmazásokban az adatkezeléshez való hozzájárulás az esetek túlnyomó többsé­gében nem felel meg, és technikai okokból nem is tud megfelelni e követelményeknek, vagyis elmondható, hogy a legtöbb, ma Ma­gyarországon elérhető egészségügyi adatot kezelő mHealth applikáció nem tud jogsze­rűen működni.

Milyen célra kezelhetők az adatok?

Az mHealth alkalmazások – ugyanúgy, mint más mobilapplikációk – az általános adatkezelési elveknek megfelelően ponto­san meg kell hogy határozzák mindazokat a célokat, amelyekre az adatokat kezelik.¹³ A célok meghatározása kellően konkrét kell hogy legyen, így nem elfogadható olyan adatkezelési cél megjelölése, amely elfedi az adatok felhasználásának tényleges, valós indokát, célját. Az mHealth applikációk ese­tében pl. az egészségügyi adatok kezelésé­nek célja egészségügyi jellegű, nem pedig gazdasági célt szolgál, így ha az üzemeltetők gazdasági, pl. marketing célra is kíván­ják használni a felhasználók egészségügyi adatait, akkor ezeket a gazdasági, marketing célokat külön fel kell tüntetniük az adatkezelésről szóló tájékoztatóban. Amennyiben az mHealth alkalmazás többféle adatot sokféle célra kezel, szükséges a kezelt adatok köré­nek a hozzájuk tartozó adatkezelési céllal történő összepárosítása is, vagyis meg kell határozni, hogy az adott célra mely adatokat kezeli az applikáció. A felhasználó ugyanis akkor tudja felmérni azt, hogy az adatkeze­lés milyen hatással jár a magánszférájára, ha a kezelt adatok körét is látja – ennek alapján tudja megítélni azt, hogy az adatkezeléshez hozzájáruljon-e vagy sem.

Kezelhetők-e az adatok másodlagos célokra?

Az egészségügyi szektor az, ahol a big data alkalmazása az egyének mindennapi életére különösen nagy hatással lehet. A big data által kinyerhető jobb adatok az mHealth alkalmazásokkal együtt számos előnnyel járnak mind a felhasználók, mind az egész­ségügyi ellátórendszer számára. Valamennyi mHealth alkalmazás esetében kulcskérdés ezért, hogy vajon másodlagos célokra, így különösen big data analitika, statisztika, tudományos kutatás céljára kezelhetők-e az alkalmazáson keresztül gyűjtött adatok. A big data analitika céljára történő adatgyűj­tésnek és adatkezelésnek ugyanúgy meg kell felelnie az adatkezelési előírásoknak, mint bármilyen más célra történő adatgyűj­tésnek és adatkezelésnek, vagyis a big data analitika sem jelent kivételt a jogszabályok alól. Ebből eredően a big data analitika sem lehet kifogás az adatok felhalmozására, raktározására, az üzleti vagy egyéb cél által indokoltnál hosszabb megtartására. A big data analitika alapvető elvei, törekvései és az adatkezelés európai uniós és magyar elvei között azonban alapvető ellentét fe­szül: míg a big data analitika célja az, hogy a megszerezhető összes adatot összegyűjt­sék és kezeljék, historikus adatokkal együtt a lehető leghosszabb időre megőrizzék, tá­rolják, addig a jogszabályi elvek a fent már részletesen említett adatminimalizálás elvén nyugszanak, vagyis csak a minimálisan szük­séges mennyiségű és fajtájú adat kerüljön kezelésre, és az is csak a cél eléréséhez fel­tétlenül szükséges ideig.

A fenti ellentétes érdekek feloldására több lehetőség is kínálkozik. A legegysze­rűbb az, ha a big data analitikai, statisztikai, kutatási célt is feltüntetik az adatkezelési cé­lok között, és ahhoz a felhasználó hozzájárul. Ha ez elmarad, és az alkalmazás üzemelte­tője utólag kívánja ilyen új célra felhasználni az adatokat, kénytelen külön hozzájárulást kérni a felhasználóktól erre a célra, ami fel­használói élmény és marketing szempont­jából nem előnyös, és nem is hatékony. Nem szükséges azonban azonnal elvetni a big data analitikai célú adatkezelést a felhasz­nálói hozzájárulás beszerzésének nehézsé­gei miatt: az adatok teljes anonimizálásával, maszkolásával, pszeudonimizálásával elke­rülhető a hozzájárulás-kérés.

Mind az európai uniós, mind pedig a magyar jogszabályok alapján ugyan­is a személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható; az érintettel pedig akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.¹⁴

A fenti előírás alapján tehát ha az adat már nem hozható kapcsolatba a felhaszná­lóval, vagyis egy meghatározott személlyel, nem lehetséges egy meghatározott sze­mélyt azonosítani sem magából az adatból, sem adatok kombinációjából, és az adat kezelője nem tudja azonosíthatóvá vis­szaalakítani az anonim adatot, továbbá az anonimizált és eredeti adatok nem kapcsol­hatók össze (pl. szervezeten belül), akkor az nem minősül személyes adatnak sem, így kezeléséhez nem szükséges hozzájárulás.

A teljes anonimizálás azonban a big data esetében általában nem lehetséges, ezért más technikák is szóhoz jutnak. Ilyen pl. az adatmaszkolás, ahol a neveket és a nyilván­való személyes azonosítókat törlik az ada­tokból, vagy a pszeudonimizálás (kódolás). Ezek a technikák azonban nem teljes mér­tékben elégítik ki a fenti anonimizálási kö­vetelményeket, ezért alkalmazásuk esetén a big data célú felhasználáshoz való hozzá­járulás még mindig kérdésként vetődik fel.

Az anonimizáláson kívüli megoldást je­lenthet az, ha a big data analtikai célú adatke­zelés összeegyeztethető a felhasználók által jóváhagyott eredeti adatkezelési célokkal. Általánosságban nem lehet olyan kijelentést tenni, hogy valamely adatkezelési cél összeegyeztethető, más pedig nem a big data analitikai céllal, ezt minden mHealth üze­meltetőnek esetről esetre kell megvizsgálnia.

Alapvetésként kijelenthető, hogy a big datától eltérő eredeti adatkezelési cél nem feltétlenül jelenti, hogy összeegyeztethe­tetlen a big datával. Ha a big data analitika célja trendek és összefüggések előrejelzé­se, akkor általában megengedett másod­lagos adatkezelési célt jelent; míg ha a big data analitika célja egyének döntésének befolyásolása, akkor általában új célnak minősül, és a felhasználók külön hozzájá­rulása szükséges hozzá.¹⁵

Könnyebb lesz-e az mHealth appoknak ezután?

Jövőre, 2018. május 25-én lép hatályba az Európai Parlament és a Tanács (EU) 2016/679. rendelete a természetes sze­mélyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helye­zéséről (általános adatvédelmi rendelet – GDPR). A rendelet valamennyi uniós tag­állam nemzeti adatvédelmi jogszabályának helyébe lép, így az Európai Unió teljes te­rületén azonos szabályok lesznek érvénye­sek az adatkezelésre. Az országhatárokon átnyúló szolgáltatásokat nyújtóknak, így pl. az mHealth applikációk üzemeltetőinek előnyös lesz e változás, hiszen jövő évtől már csak egy rendeletnek való megfelelést kell biztosítaniuk az EU teljes területén, ami jelentős költségmegtakarítással jár.

A GDPR az amúgy is szigorú magyar sza­bályozáshoz és joggyakorlathoz képest szi­gorítást nem sok tekintetben hoz, a legtöbb rendelkezése eddig is létezett a magyar adatvédelmi jogban valamilyen formában.

Az mHealth applikációk szempontjá­ból fontos újítása lesz az EU-s rendeletnek, hogy a hatályos magyar jogszabályokkal el­lentétben nem kér írásbeli hozzájárulást az egészségügyi adatok kezeléséhez, viszont a többi személyes adathoz képest szigo­rúbb, „kifejezett” hozzájárulást kíván meg. Ez a gyakorlatban azt fogja jelenteni, hogy a felhasználónak az egészségügyi adatai kezeléséhez elkülönülten, kifejezetten hozzá kell járulnia, a hozzájárulás formája azonban megegyezik a többi személyes adatéval: egyértelmű és határozott hoz­zájárulásnak kell lennie, amely a mostani magyar szabályozással szemben megtehe­tő elektronikusan is, pl. checkbox kipipálá­sával. A GDPR azonban hagy egy kiskaput a nemzeti kormányoknak, amelyeknek lehetőségük lesz többek között éppen az egészségügyi adatokra saját szabályozást kialakítani, így a magyar kormányzat elv­ben fenntarthatja az egészségügyi adatok kezelésére vonatkozó, a rendeletnél szigo­rúbb írásbeli hozzájárulás követelményét. A GDPR hatályba lépése előtt egy évvel nincs még konkrét magyar jogszabály, amely ezt kimondaná, de a magyar adat­védelmi hatóság nyilatkozatai és a szigo­rúbb magyar szabályozás egyes elemeinek fenntartására vonatkozó tervei alapján nem zárható ki ennek lehetősége. Egy ilyen szabályozás a magyar mHealth applikáció fejlesztőket az egységes uniós piacon ver­senyhátrányba hozhatja; akadályozhatja, hogy az EU többi tagállamában elérhető mHealth szolgáltatások azonos feltételek­kel és módon legyenek itthon is elérhetők.

Az EU rendeletétől eltérő nemzeti sza­bályozás lehetősége önmagában is meg­nehezíti a vállalkozásoknak a GDPR-re való, amúgy is jelentős erőforrásokat igénylő felkészülést, különösen ha az ilyen nem­zeti szabályozás esetlegesen a felkészülési időszak második felében, a felkészülés fini­sében születik meg, nem hagyva elegendő időt az adaptálására és az addigi felkészülés esetleges módosítására.

Levelezési cím: This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

Irodalom:
1. Kotz D, Gunter CA, Kumar S, Weiner JP. Privacy and Security in Mobile Health: A Research Agenda. IEEE Com­puter Society, 2016. www.computer.org/computer
2. 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Infotv.) 3. § 2. pontja
3. 1997. évi XLVII. törvény az egészségügyi adatok kezelé­séről és védelméről 3. § a) pontja
4. Code of Conduct on privacy for mobile health appli- cation. Európai Bizottság, 2016. https://ec.europa.eu/digital-single-market/en/news/code-conduct-privacy-mhealth-apps-has-been-finalised
5. Infotv. 20. § (2) bekezdése alapján
6. Infotv. 4. § (2) bekezdése alapján
7. Magyarország Alaptörvénye VI. cikk (2) bekezdése
8. Infotv. 20. § (2) bekezdése
9. Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ajánlása az előzetes tájékoztatás adatvédelmi köve­telményeiről, 2015. szeptember 29. https://www.naih.hu/ files/tajekoztato-ajanlas-v-2015-10-09.pdf
10. Az előzetes tájékoztatás követelményéről további részletek az Európai Bizottság Adatvédelmi Munkacso­portja által kibocsátott, 15/2011. számú véleményben. Az Adatvédelmi Munkacsoport az adatvédelemmel, valamint a magánélet védelmével kapcsolatos kérdésekkel foglalko­zó, független európai tanácsadó szerv. http://ec.europa. eu/justice/data-protection/article-29/documentation/ opinion-recommendation/files/2011/wp187_hu.pdf
11. Infotv. 3. § 7. pontja: //hozzájárulás:// az érintett akara­tának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegye­zését adja a rá vonatkozó személyes adat – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez
12. Infotv. 5. § (2) bekezdés a) pontja
13. Infotv. 4. § (1) és (2) bekezdés és 20. § (2) bekezdés
14. Infotv. 4. § (3) bekezdése
15. A big data adatvédelmi összefüggéseiről és kérdései­ről és az új adatvédelmi rendelet összefüggéseiről további részletek itt: Big Data, artificial intelligence, machine learning and data protection. Information Commissioner’s Office (ICO), Egyesült Királyság, 2017. https://ico.org.uk/media/ for-organisations/documents/2013559/big-data-ai-ml-and-data-protection.pdf

További felhasznált irodalom:
1. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ajánlása az előzetes tájékoztatás adatvédelmi követelményeiről, 2015.09.29., https://www.naih.hu/files/tajekoztato-ajanlas-v-2015-10-09.pdf (2017.04.10.)
2. Az előzetes tájékoztatás követelményéről részletesebben az Európai Bizottság Adatvédelmi Munkacsoportja által kibocsátott, 15/2011. számú véleményében olvashat. Az Adatvédelmi Munkacsoport az adatvédelemmel, valamint a magánélet védelmével kapcsolatos kérdésekkel foglalkozó független európai tanácsadó szerv. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp187_hu.pdf (2017.04.10.)
3. Code of Conduct on privacy for mobile health application – Kiadta: Európai Bizottság, 2016. https://ec.europa.eu/digital-single-market/en/news/code-conduct-privacy-mhealth-apps-has-been-finalised
4. Big Data, artificial intelligence, machine learning and data protection. Information Commissioner’s Office (ICO) Egyesült Királyság, 2017.03.01., https://ico.org.uk/media/for-organisations/documents/2013559/big-data-ai-ml-and-data-protection.pdf (2017.04.10.)
5. Arora S, Yttri J, Nilsen W. Privacy and Security in Mobile Health (mHealth) Resarch, https://www.ncbi.nlm.nih.gov/pmc/articles/PMC4432854/pdf/arcr-36-1-143.pdf
6. https://www.ncbi.nlm.nih.gov/pmc/journals/2195/ (2017.04.10.)
7. Cattell J, Chilukuri S, Levy M. How big data can revolutionize pharmaceutical R&D? http://www.mckinsey.com/industries/pharmaceuticals-and-medical-products/our-insights/how-big-data-can-revolutionize-pharmaceutical-r-and-d
8. http://webcache.googleusercontent.com/search?q=cache:J39EFBjo5ZYJ:www.mckinsey.com/industries/pharmaceuticals-and-medical-products/our-insights/how-big-data-can-revolutionize-pharmaceutical-r-and-d&num=1&client=firefox-b-ab&hl=hu&gl=hu&strip=0&vwsrc=0 (2017.04.10.)
9. Mobile Medical Applications Guidance for Industry and Food and Drug Administration Staff, https://www.fda.gov/downloads/MedicalDevices/.../UCM263366.pdf (2017.04.10.)
10. O’Reilly KB. mHealth data security in spotlight at 2016 Interim Meeting, 2016, https://wire.ama-assn.org/ama-news/mhealth-data-security-spotlight-2016-interim-meeting (2017.04.10.)
11. Terry K. ONC Raises Issue of Lack of mHealth Privacy and Security, 2016, http://www.medscape.com/viewarticle/866416 (2017.04.10.)
12. Mare S, Sorber J, Shin M, Cornelius C, Kotz D. Adaptive security and privacy for mHealth sensing, http://www.cs.dartmouth.edu/~shrirang/papers/mare-healthsec11.pdf (2017.04.10.)
13. Johnson G, Tillett C, Walter K. Applied Clinical Trials Data Protection Regime Change in the EU: The Impact on the Pharmaceutical Industry, 2015, http://www.appliedclinicaltrialsonline.com/data-protection-regime-change-eu-impact-pharmaceutical-industry (2017.04.10.)
14. Prasad A, Sorber J, Stablein T, Anthony D, Kotz D. Exposing privacy concerns in mHealth, https://www.usenix.org/legacy/event/healthsec11/tech/final_files/prasad-healthsec11.pdf (2017.04.10.)
15. DeSalvo KB, Samuels J. Examining Oversight of the Privacy & Security of Health Data Collected by Entities Not Regulated by HIPAA, 2016, https://www.healthit.gov/sites/default/files/non-covered_entities_report_june_17_2016.pdf (2017.04.10.)
16. Kotz D, Gunter CA, Kumar S, Weiner JP. Privacy and Security in Mobile Health: A Research Agenda, 2016, http://seclab.illinois.edu/wp-content/uploads/2016/07/kotz2016privacy.pdf (2017.04.10.)
17. International Pharmaceutical Privacy Consortium Comments in Response to the Consultation on the Legal Framework for the Fundamental Right to Protection of Personal Data, 2009, http://ec.europa.eu/justice/news/consulting_public/0003/contributions/organisations_not_registered/international_pharmaceutical_privacy_consortium_en.pdf (2017.04.10.)
18. Kemp R. Big Data and Data Protection, 2014, http://www.kempitlaw.com/wp-content/uploads/2014/10/Big-Data-and-Data-Protection-White-Paper-v1_0-November-2014.pdf (2017.04.10.)
19. Kuner C, Cate FH, Millard C, Jerker D, Svantesson B. Editorial The challenge of ‘big data’ for data protection, 2012, https://oup.silverchair-cdn.com/oup/backfile/Content_public/Journal/idpl/2/2/10.1093/idpl/ips003/2/ips003.pdf?Expires=1492168776&Signature=cJseDUsySNBLbkY1zsp2vyCN7ljAG5PE7oqcyv8PAUvkdlDsFqQTNrzPUX9aCojalVZbPvFG0G8eAaFBl3P3BlIH0qQ~EM5uc6QLmjQ2uIoVM5g0L0vOORsv90~5QEzU6VE9SFMbj6R9gnU~BeBRrkqIn6K5sCIav02rVfkJSa6QriIXhZ-T7Q1~4MttI361YcOW-jgl5I-QtU~DFyDdj75LVtikSKTdyx9kexXIlwwmdFCgHMv0D9xd~MtLeg95N8y~95zM84NeYvOznur4hjb2Yddt25-J9z6TqI1E~V7ouh6sDgM8dyDnU9FgTqZU99SIosDi5vdgZzhsiEN-Og__&Key-Pair-Id=APKAIUCZBIA4LVPAVW3Q (2017.04.10.)