Kötelező lesz-e a biometrikus beléptetőrendszer alkalmazása a kórházakban vagy sem? Milyen dokumentumokat kell elkészítenie a megfigyelés „jogszerűségének” igazolásához az intézményeknek? Mit tehetnek a kórházakban dolgozó orvosok, akik nem értenek egyet a megfigyelés módjával, rendszerével? Alkalmazhat-e a Kórház szankciót az orvosokkal szemben pl.: egy 30 perces késés esetén vagy sem? – Január 1. napján hatályba lépett az egészségügyi törvény új módosítása!
Az egészségügyi ellátás folyamatosságának biztosítása a belépés monitorizálásával?
2025. január 1. napján hatályba lépett az 1997. évi CLIV. tv. (Eütv.) új módosítása, amely lehetővé teszi az állami fenntartású egészségügyi intézményekben az egészségügyi szolgáltatóval munkavégzésre irányuló jogviszonyban (tehát nemcsak a munkavállalók, de a megbízási jogviszonyban vagy személyes közreműködői viszonyban) álló személyek be- és kilépésének egységes beléptető rendszer alkalmazásával történő monitorozását.
A jogszabály a „munkaidő betartását” illetve az egészségügyi ellátás folyamatosságának biztosítását jelöli meg mint az adatkezelés jogalkotói célját. De ténylegesen alkalmas lehet-e egy ilyen rendszer a jogalkotói célok biztosítására?
Talán érdemes azzal kezdeni, hogy a kórházaknak – vezetői döntés alapján – eddig is lehetősége volt beléptetőrendszer használatára és alkalmazására, ami viszont változott, hogy ehhez a jövőben már „jogszabály által biztosítottan” használhatnak arcképes azonosítást is.
Ki kell emelni, hogy az egészségügyi intézményeknek a beléptető rendszer alkalmazása továbbra is csak egy jogszabályi lehetőség, de nem kötelezettség, tehát (elviekben) szabadon dönthetnek az intézmények ennek bevezetéséről a jövőben, alkalmazása nem kötelező.
Kell-e hatásvizsgálatot végeznie a Kórházaknak vagy sem?
Ha egy állami fenntartású kórház úgy dönt a jövőben, hogy bevezeti az arcképes azonosításra alapított beléptetési rendszert, akkor nem csak a beléptetési rendszer technikai követelményeire kell gondolnia (a beléptető rendszerek telepítése, beüzemelése, az egészségügyi dolgozók arcképének rögzítése és rendszerbe történő feltöltése, tesztüzem stb.), de adatvédelmi hatásvizsgálatot is el kell végeznie.
Az adatvédelmi hatásvizsgálat lefolytatása az EU 679/2016 általános adatvédelmi rendelet (közismert nevén GDPR) alapján ilyen esetekben kötelező, hiszen nyilvános helyek módszeres megfigyelése történik, ráadásul a munkavállalókra joghatással – pl.: munkajogi következményekkel is – járhat egy-egy késés, vagy a munkaidőnél hamarabb történő távozás. A hatásvizsgálat szükségességét a Nemzeti Adatvédelmi és Információszabadság Hatóság által kiadott ún. „fehér” lista (hatásvizsgálati lista) is megerősíti. (Elérhető a NAIH weboldalán.)
Az adatvédelmi hatásvizsgálat lényege nagyon leegyszerűsítve az, hogy az adatkezelés megkezdése előtt feltárja az adatkezelés jellegét, körbe járja, hogy az adatkezelés ténylegesen szükséges és arányos-e az adott cél eléréséhez (esetünkben az ellátás folyamatosságának biztosításához). Ezen felül a hatásvizsgálat segítheti az adatkezeléssel érintett egészségügyi dolgozók, munkavállalók személyes adatainak kezelése körében esetlegesen bekövetkező kockázatok felmérését, azok értékelését és azok elkerülésére szolgáló intézkedések meghatározását.
A 22-es csapdája
A „millió dolláros kérdés” azonban az, hogyha egy egészségügyi szolgáltató – összhangban az adatvédelmi hatóság ajánlásával – ténylegesen lefolytatja ezt az adatvédelmi hatásvizsgálatot, akkor milyen álláspontra jut. Ténylegesen csak és kizárólag biometrikus azonosítással biztosítható az egészségügyi ellátás folyamatossága az egészségügyi intézményekben? Vagy esetleg kevésbé invazív, az érintett orvosok privát szféráját kevésbé érintő (sértő?) opció is elérhető lenne? Lehetőség lenne egy adatkezelési célt megvalósító, lényegesen egyszerűbb, költséghatékonyabb megoldás is? Esetleg egy munkáltató által vezetett munkaidő nyilvántartás vagy jelenléti ív is elég lenne, amely egyébként is munkáltatói kötelezettség? Vélhetően hamarosan kiderül…
Tekintettel arra, hogy az ellátás jelenleg is folyamatos (pl.: jellemzően nem azért maradnak el beavatkozások, műtétek mert az altatóorvos (aneszteziológus) nem ért be idejében a munkahelyére), kérdéses, hogy egy ilyen adatvédelmi hatásvizsgálat tud-e olyan szempontokat felsorakoztatni amelyek a biometrikus adatkezelés szükségessége és nélkülözhetetlensége mellett ténylegesen is megállnak. (Feltehetően ez majd csak akkor fog kiderülni, ha egy orvos bepanaszolja a beléptetési rendszert az adatvédelmi hatóságnál, vagy peres eljárást indít a kórház ellen személyiségi jogainak sérelme miatt. )
Mindenesetre a kórházaknak mindenképpen indokolt az adatvédelmi hatásvizsgálatot lefolytatni, annak eredményét dokumentálni. Javasolt továbbá biztosítani egy hosszabb tesztüzemet, annak érdekében, hogy az esetleges „hibákat” ki lehessen javítani.
Az egészségügyi dolgozók részére meg kell adni az adatkezelési téjékoztatást, illetve biztosítani kell a felvételek kezelésére vonatkozó eljárások megismerhetőségét, nem utolsó sorban a beléptetőrendszer által rögzített adatokra alapított jogi következményeket is.
A teljesség igénye nélkül pl.: ki, mikor, mi alapján nézi meg a rendszer adatait, ki és hogyan dönthet az esetleges jogkövetkezmények alkalmazásáról, milyen eljárásrend alapján, milyen lehetőségei vannak az egészségügyi dolgozónak, aki sérelmezi a jogkövetkezményt.
Démoklész kardja
Vélhetően néhány késés miatt nem fog egy Intézmény sem felmondani az orvosának, de előfordulhat, hogyha ez rendszeressé válik, és a többszöri írásbeli munkáltatói figyelmeztetés ellenére sem változik az orvos „munkába járási” szokása, akkor erre alapítva megszüntetni a jogviszonyát az őt alkalmazó kórház.
Az egészségügyi dolgozók – ha és amennyiben egy ilyen rendszer bevezetésre kerül az intézményükben – saját helyzetükből adódó okokból bármikor jogosultak lehetnek tiltakozni az intézmények által folytatott adatkezelés ellen, hiszen erre lehetőséget ad számukra a GDPR.
Kérdés, hogyha egy intézmény valamennyi dolgozója benyújtja a tiltakozását, akkor vajon milyen lehetőségei maradnak az Intézménynek az adatkezelés megtartása mellett, illetve ha egyszer egy ilyen ügy az adatvédelmi hatóság asztalán landol vagy esetleg egy orvos a személyiségi jogaira hivatkozva azonnali hatályú felmondással él a munkáltatója ellen, akkor mire jutnak egymással a felek a bíróságon?
A beléptető rendszer alkalmazásával nyomon követhetővé válik az intézményekbe történő belépés, kilépés és benn tartózkodás időtartamának megfigyelése. Ugyanakkor a „mozgási” adatok rögzítése, ellenőrizhetősége még nem feltétlenül jelenti a munkavégzés tényleges időtartamának meghatározhatóságát is, hiszen ezzel a rendszerrel sem tudjuk, hogy meddig fog tartani egy ebéd vagy munkaközi szünet. Ezeket a helyiségeket nem lehet bekamerázni…
Ebből következően a jogalkotó által meghatározott célra közvetlenül egy ilyen rendszer aligha lehet alkalmas, maximum arra jó, hogy Démoklész kardjaként „ösztönözze” az orvosokat a munkaidő illetve ügyeleti időtartamok tényleges kitöltésére, az idő előtti távozás lehetőségének alapos „monitorozásával”.
