Privacy of Medical Information: Employer and Employee Rights and Obligations
Ez a cikk a The Maryland Bar Journal 2002. január/februári számában jelent meg.
LEVEZETÉS
A munkáltatók rendszeresen szereznek orvosi információkat a pályázókról és alkalmazottakról különböző forrásokból, beleértve az egészségbiztosítási nyomtatványokat, a munkavállalói kártérítési jelentéseket, a szabadságkérelmeket, a hiányzásokra vonatkozó orvosi feljegyzéseket, valamint a pályázókkal és alkalmazottakkal folytatott általános beszélgetéseket és interakciókat. Bár a legtöbb munkáltató tisztában van azzal, hogy az ilyen információkkal óvatosan kell bánni, sok munkáltató nem tudja, hogy a munkavállalók és a pályázók egészségügyi adatai a szövetségi és állami törvények értelmében különleges védelem alá eshetnek. Szövetségi szinten az amerikaiak fogyatékossággal élő személyekről szóló törvény, a családi és egészségügyi szabadságról szóló törvény, a tisztességes hitel- és adatszolgáltatási törvény, valamint az egészségbiztosítás hordozhatóságáról és elszámoltathatóságáról szóló törvény alapján kiadott rendeletek közvetlenül vagy közvetve mind kapcsolódnak a munkáltató birtokában lévő egészségügyi adatokhoz. A marylandi törvények és a szokásjog szintén kötelezettségeket és korlátozásokat ró a munkáltatókra.
ADA
A legalább 15 alkalmazottat foglalkoztató munkáltatókra vonatkozó amerikai fogyatékossági törvény (ADA) tiltja “a fogyatékossággal élő, képzett, fogyatékossággal élő személy fogyatékossága miatti megkülönböztetést” az egyén jelentkezésének vagy foglalkoztatásának bármely szempontja tekintetében. 42 USC §12112(a). A (d) alszakasz előírja, hogy “az (a) alszakaszban említett megkülönböztetés tilalma kiterjed az orvosi vizsgálatokra és vizsgálatokra”. A (d) alszakasz korlátozza azokat az orvosi vizsgálatokat, amelyeket a munkáltatók a pályázók és munkavállalók körében végezhetnek, kötelezi a munkáltatókat, hogy külön űrlapokat használjanak a pályázók és munkavállalók egészségi állapotára vagy kórtörténetére vonatkozó információk gyűjtésére, és előírja a munkáltatók számára, hogy az ilyen információkat a többi személyzeti aktától elkülönítve tárolják. Továbbá az ADA megköveteli a munkáltatóktól az ilyen információk bizalmas kezelését, bizonyos szűk kivételektől eltekintve.
A törvény értelmében a munkáltató csak a következőknek adhatja át az ilyen információkat: (i) a felettesek és vezetők számára, ha az “a munkavállaló munkájának vagy feladatainak szükséges korlátozására és a szükséges alkalmazkodásra” vonatkozik; (ii) az elsősegélynyújtó és biztonsági személyzet számára “adott esetben, ha a fogyatékosság sürgősségi ellátást igényelhet”; és (iii) az ADA betartását vizsgáló kormányzati tisztviselők számára, kérésre. Az ADA-t végrehajtó Equal Employment Opportunity Commission (EEOC) az ADA technikai segítségnyújtási kézikönyvében és útmutatókban értelmezte ezeket a rendelkezéseket.
Az EEOC Guidance on Pre-Employment Disability-Related Inquirires and Medical Examinations Under the ADA (1995. október 10-én kiadott) útmutatója szerint a munkáltatók a munkáskártérítési törvényekkel összhangban orvosi információkat is átadhatnak a munkáskártérítési biztosítóknak és az állami munkáskártérítési hivataloknak, és “felhasználhatják az orvosi információkat biztosítási célokra” – például a munkáltató biztosítójának az egészségbiztosítási terv kezeléséhez szükséges információk átadásával. Az iránymutatás azt is megjegyzi, hogy az orvosi információk megoszthatók a munkáltató azon képviselőivel, akik részt vesznek a felvételi eljárásban vagy a pozitív diszkriminációs program végrehajtásában, amennyiben e képviselőknek “ismerniük kell az információkat.”
Az EEOC ugyanezen iránymutatása előírja, hogy a munkáltató ADA szerinti titoktartási kötelezettségei azokra az orvosi információkra is vonatkoznak, amelyeket egy jelentkező vagy munkavállaló önként közölt a munkáltatóval, azon információk mellett, amelyeket az egyén orvosi megkeresésre vagy orvosi vizsgálatra adott válaszul. Az iránymutatás kimondja, hogy a munkavállalók általános személyi aktái nem tartalmazhatnak “semmilyen orvosi vonatkozású anyagot”. Ebben a tekintetben az iránymutatás különbséget tesz a puszta értesítés között, miszerint a munkavállaló betegszabadságot vett ki vagy orvoshoz ment, ami nem minősül egészségügyi információnak, és az olyan dokumentáció között, amely a munkavállaló diagnózisára vagy tüneteire vonatkozó információkat tartalmaz, ami egészségügyi információnak minősül. Az Útmutató szerint a titoktartási kötelezettségek nem szűnnek meg, amikor az egyén már nem pályázó vagy alkalmazott.
Az EEOC-nak az ADA foglalkoztatási rendelkezéseiről szóló (1992 januárjában kiadott) technikai segítségnyújtási kézikönyvének 6.5. szakasza előírja, hogy a munkáltatónak “lépéseket kell tennie az orvosi információk biztonságának garantálása érdekében”, beleértve az információk “külön, zárt szekrényben lévő orvosi aktában való tárolását, a személyi akták helyétől elkülönítve”, és az ilyen aktákhoz való hozzáférés korlátozását egy meghatározott személyre vagy személyekre. A kézikönyv engedélyezi továbbá a fogyatékosságon alapuló megkülönböztetést tiltó egyéb szövetségi és állami törvények betartását vizsgáló kormányzati tisztviselők számára történő közzétételt, és a “más szövetségi törvények és rendeletek alapján történő közzététel szintén megkövetelheti a vonatkozó orvosi információk közzétételét.”
Az EEOC fogyatékossággal kapcsolatos vizsgálatokról és orvosi vizsgálatokról szóló végrehajtási útmutatója az ADA alapján (2000. július 26-án kiadott) előírja, hogy a munkáltatónak a szervezeten belül egy másik pozícióra pályázó munkavállalót pályázóként kell kezelnie. Ennek megfelelően az EEOC kimondja, hogy az a jelenlegi felettes, aki tud az ilyen munkavállalóra vonatkozó orvosi információkról, nem fedheti fel ezeket az információkat a munkavállalót az új munkakör betöltésére irányuló interjún részt vevő személynek vagy az új munkakör felettesének.
Ebben az iránymutatásban az EEOC azt az álláspontot képviseli, hogy az orvosi vizsgálatokra vonatkozó korlátozások és a titoktartási kötelezettségek “minden munkavállalóra vonatkoznak, nem csak a fogyatékossággal élőkre”. Ezt az álláspontot a Nyolcadik, a Kilencedik és a Tizedik Körzet támogatja, de ellentétes az Ötödik Körzet álláspontjával. Hasonlítsa össze a Griffin v. Steeltek, 160 F. 3d 591 (10th Cir. 1998); Fredenburg v. County of Contra Costa, 172 F. 3d 1176 (9th Cir. 1999); és Cossette v. Minnesota Power and Light, 1888 F. 3d 964 (8th Cir. 1999) az Armstrong v. Turner Industries, Inc., 141 F. 3d 554 (5th Cir. 1998). A Harmadik Kör nemrégiben elutasította a kérdés eldöntését. Tice v. Centre Area Transportation Authority, 245 F. 3d 506 (3d Cir. 2001. április 23.).
Az azon pereskedésen túl, hogy egy nem fogyatékos személy benyújthat-e igényt a 12112(d) § alapján, a bíróságok foglalkoztak azzal is, hogy milyen mértékű kár szükséges az említett rendelkezés szerinti igény alátámasztásához. A legutóbbi fellebbviteli bírósági határozatok megkövetelték, hogy a felperes bizonyítsa, hogy a 12112(d) § megsértése kárt okozott a felperesnek.
A Tice ügyben a Third Circuit megerősítette a gyorsított eljárásban hozott ítéletet egy munkavállaló ellen, és megállapította, hogy a felperesnek nincs jogalapja a 12112(d) § megsértésére anélkül, hogy bizonyítaná a tényleges kár fennállását, “akár tényleges (érzelmi, anyagi vagy egyéb) kár révén, akár olyan folyamatos jogellenes gyakorlat fennállása révén, amelynek a felperes a bíróság beavatkozása nélkül valószínűleg ki lesz téve”. A bíróság megállapította, hogy a felperes “puszta állításai a mentális/érzelmi stresszről, lelki gyötrelemről, stresszről és kellemetlenségről” nem elegendőek. A bíróság az Ötödik Kerület Armstrong-ügyben hozott döntését idézve zárta, és kijelentette, hogy “sem az ADA szövege, sem annak története nem utal arra, hogy a 12112(d) § technikai jellegű megsértése kártérítésre adna okot”.
A Cossette ügyben a Nyolcadik Kerület úgy ítélte meg, hogy a felperesnek “az állítólagos jogellenes közzététel által okozott kézzelfogható kárt kell bizonyítania” a kereset fenntartásának előfeltételeként. Ms. Cossette azt állította, hogy a munkáltatója jogellenesen hozott nyilvánosságra bizalmas orvosi információkat mind a vállalaton belül, mind egy független szervezet számára, amelynél állásra jelentkezett. A bíróság kimondta, hogy ha a leendő munkáltatónak való jogellenes adatközlés ahhoz vezetett, hogy nem kapott jobban fizető állást, akkor a hölgynek életképes ADA-követelése lenne. A bíróság ezután megállapította, hogy a belső nyilvánosságra hozatal “problémásabb”. A bíróság megjegyezte, hogy az, hogy a munkatársak lekezelő és lekezelő módon bántak velük a bizalmas orvosi információk nyilvánosságra hozatala miatt, “nem elegendő ahhoz, hogy a 12112(a) § alapján a fogyatékossággal kapcsolatos megkülönböztetés prima facie esetének megállapításához szükséges hátrányos foglalkoztatási intézkedésnek minősüljön”. Ugyanakkor visszautalta az ügyet, hogy a kerületi bíróság megállapíthassa, hogy az ilyen bánásmód elegendő alapot jelent-e az orvosi információk jogellenes nyilvánosságra hozatalára vonatkozó, a §12112(d) szerinti állításhoz.
A Griffin v. Steeltek ügyben a felperes első ízben a Tizedik Körzetben győzött, amely úgy döntött, hogy nem kell fogyatékosnak lennie ahhoz, hogy a §12112(d) alapján pert indíthasson. Visszatérve a kerületi bíróságra, Griffin úr érdemben veszített. A második fellebbezését elutasítva a Tenth Circuit a Griffin kontra Steeltek, 2001 U.S. App. LEXIS 18917 (2001. augusztus 22.), hogy “pusztán a tiltott kérdés feltevése önmagában nem elegendő a felismerhető kár okozásához”, és hogy kompenzációs kártérítés (beleértve a névleges kártérítést is) csak akkor jár, ha a felperes bizonyítja, hogy a tiltott kérdés feltevésével a munkáltató “ténylegesen jogellenes szándékos megkülönböztetést követett el”. A bíróság ezután megerősítette a felperesnek járó ügyvédi költségek megtagadását, hivatkozva a Legfelsőbb Bíróság közelmúltbeli döntésére a Buckannon Bd. & Care Home, Inc. v. West Va. Dept. of Health & Human Resources, 121 S. Ct. 1835 (2001). A Tenth Circuit elutasította a “változás katalizátorának” elméletét, és úgy ítélte meg, hogy az a felperes, aki egy ADA ügyben ítélet vagy beleegyező határozat révén nem nyer érdemben, nem jogosult ügyvédi díjra, “még akkor sem, ha a pereskedés folytatása az alperes magatartásában kívánt és önkéntes változást okozott”, például a megengedhetetlen vizsgálatok beszüntetését.
Az EEOC számos pert indított a 12112(d) § alapján ADA-követeléseket érvényesítve a munkáltatókkal szemben a megengedhetetlen vizsgálatok, a személyi aktákban szereplő orvosi információk összekeverése vagy a titoktartás megsértése miatt. Az EEOC azonban mindezekben az ügyekben az ADA vagy más polgári jogi törvények egyéb megsértését is állította. Az EEOC baltimore-i kerületi irodájának 2001 szeptemberében aktív peres ügyek listáján szereplő 27 ügy közül egy olyan állítást tartalmaz, amely szerint a munkáltató elmulasztotta az orvosi információkat külön dossziéban tartani, egy másik pedig a bizalmas orvosi információk jogellenes nyilvánosságra hozatalára vonatkozó állítást tartalmaz.
A negyedik kerület vagy a marylandi kerület szövetségi kerületi bíróságának nincs olyan határozata, amely a munkáltató felelősségével foglalkozna az orvosi információk bizalmas kezelését előíró ADA rendelkezések megsértése miatt. Az EEOC továbbra is törekszik e rendelkezések érvényesítésére. Ezen túlmenően az ADA alapján az egyéneknek magánjogi kereseti joga van. Az ADA titoktartási rendelkezéseinek megsértése miatt a munkáltatókat terhelő kockázatok mértékét még nem határozták meg.
FMLA
Más szövetségi törvények is védik az orvosi információkat a foglalkoztatással összefüggésben. A Family and Medical Leave Act (FMLA), 29 U.S.C. §§ 2601 et seqq. közvetve védelmet nyújt a munkavállaló orvosi információinak azáltal, hogy korlátozza a munkáltató azon jogát, hogy ilyen információkat kérjen vagy kérdezzen. A munkáltatók megkövetelhetik az FMLA szabadságot saját súlyos egészségi állapotuk vagy egy érintett hozzátartozó súlyos egészségi állapota miatt igénybe vevő munkavállalóktól, hogy az egészségügyi szolgáltatótól orvosi igazolást nyújtsanak be. A munkaügyi minisztérium által kiadott rendeletek értelmében azonban a munkáltató nem követelheti meg a munkavállaló vagy az érintett hozzátartozó diagnózisát. 29 CFR § 825.306. Továbbá, ha az orvosi igazolás megtörtént, a munkáltató nem kérhet további információkat az egészségügyi szolgáltatótól. Bár a munkáltató felveheti a kapcsolatot a munkavállaló egészségügyi szolgáltatójával az orvosi igazolás tisztázása vagy hitelesítése céljából, a kapcsolatot a munkáltatót képviselő egészségügyi szolgáltatónak kell felvennie, és csak a munkavállaló engedélyével. 29 CFR § 825.307. Másrészt, ha a munkavállaló az FMLA szabadsággal egyidejűleg munkáskártérítési táppénzen van, és a munkáskártérítési jogszabály rendelkezései lehetővé teszik a munkáltató számára, hogy közvetlen kapcsolatot tartson fenn a munkavállaló munkáskártérítési orvosával, akkor a munkáltató továbbra is tarthat ilyen kapcsolatot. 29 CFR § 825.307 (a)(1).
FCRA
A szövetségi Fair Credit and Reporting Act (FCRA), 15 U.S.C. §§ 1681-1681u, szintén védelmet biztosít a munkavállalók egészségügyi adatai számára. Az FCRA szabályozza a munkáltató hozzáférését a “fogyasztói jelentéseket készítő ügynökségektől” származó “fogyasztói jelentésekhez”. 15 U.S.C. § 1681. A törvény előírja a munkáltató számára, hogy tájékoztassa a pályázót vagy munkavállalót arról, hogy információkat fog beszerezni egy adatszolgáltató ügynökségtől az egyén foglalkoztatásának mérlegelése során történő felhasználás céljából. 15 U.S.C. § 1681d. Az FCRA 604(g) szakasza megtiltja a fogyasztói adatszolgáltató ügynökségeknek, hogy a jelentés tárgyát képező fogyasztó külön előzetes beleegyezése nélkül orvosi információkat tartalmazó jelentéseket adjanak ki foglalkoztatási célokra, illetve hitel- vagy biztosítási ügyletekkel kapcsolatban. Abban az esetben, ha az orvosi információt foglalkoztatási céllal kérik, a fogyasztónak kifejezetten bele kell egyeznie az orvosi információ kiadásába, amellett, hogy a munkáltatót felhatalmazza a fogyasztói jelentés általános beszerzésére. A 603. szakasz i) pontja az “orvosi információ” fogalmát úgy határozza meg, hogy az “olyan információk vagy feljegyzések, amelyeket – annak a személynek a hozzájárulásával, akire vonatkoznak – engedéllyel rendelkező orvosoktól vagy egészségügyi szakemberektől, kórházaktól, klinikáktól vagy más orvosi vagy orvosi vonatkozású intézményektől szereztek be”. A nem orvosi forrásokból, például a munkáltatóktól származó információk nem minősülnek “orvosi információnak”.”
HIPAA
Amikor a Kongresszus elfogadta az Egészségbiztosítási hordozhatósági és elszámoltathatósági törvényt, 42 U.S.C. § 1320d, et seq. (“HIPAA”), az “adminisztratív egyszerűsítésre” vonatkozó rendelkezéseket tartalmazott, amelyek célja “az egészségügyi ellátórendszer hatékonyságának és eredményességének javítása . . . az egyes egészségügyi információk elektronikus továbbítására vonatkozó szabványok és követelmények megállapítása révén”. P.L. 104-191 261. §. Az egészségügyi információk elektronikus továbbításának hangsúlyozása aggodalomra adott okot a magánélet védelmével kapcsolatban, és a jogszabály előírta, hogy az Egészségügyi és Humán Szolgáltatások Minisztere (“HHS”) tegyen ajánlásokat a Kongresszusnak az egészségügyi információk védelméről, és előírta, hogy amennyiben a Kongresszus három éven belül nem fogad el törvényt, a Miniszter köteles rendeletet kiadni az egészségügyi információk magánéletének védelme érdekében. P.L. 104-191 264. §. A Kongresszus nem fogadta el a jogszabályt, és a HHS 2000 decemberében kiadta a HIPAA végleges adatvédelmi rendeleteit. 65 Fed. Reg. 82526 (12/28/00). Az előírásoknak 2003. április 14-ig kell megfelelni, bár a kis egészségügyi terveknek (a 45 C.F.R. § 160.103 szerint az 5 millió dolláros vagy annál kisebb éves bevétellel rendelkezők) további egy év áll rendelkezésükre.
A HIPAA adatvédelmi szabályai közvetlenül az “érintett szervezetekre” vonatkoznak: az egészségügyi tervekre, az egészségügyi elszámolóházakra és az egészségügyi szolgáltatókra, amelyek bizonyos tranzakciókat elektronikus úton kívánnak lebonyolítani. 45 C.F.R. § 160.103. Csak azok az egészségügyi tervek nem tartoznak a hatálya alá, amelyeknek 50-nél kevesebb résztvevője van, és amelyeket a terv szponzora kezel. Id. Bár a rendeletek közvetlenül nem vonatkoznak a munkáltatókra, az egészségügyi ellátásokat nyújtó munkáltatók többségét érintik az egészségügyi tervekre és az “üzleti partnerekre” vonatkozó rendelkezések.
A rendeletek előírják, hogy az érintett szervezetek kötelesek megállapodásokat kötni az “üzleti partnereikkel”, hogy betartják ugyanazokat az adatvédelmi kötelezettségeket, amelyek az érintett szervezetekre vonatkoznak. 45 C.F.R. § 164.502(e). Üzlettársnak minősül minden olyan szervezet, amelynek a fedezett szervezet védett egészségügyi információkat ad át, ha ez a szervezet olyan funkciókat lát el vagy segít azok ellátásában, mint például a követelések feldolgozása, számlázás vagy az ellátások kezelése, vagy jogi, biztosításmatematikai, számviteli, tanácsadói, adminisztratív vagy pénzügyi szolgáltatásokat nyújt. 45 C.F.R. § 160.103. Ha egy munkáltató olyan feladatokat lát el vagy olyan szolgáltatásokat nyújt, amelyek az általa szponzorált egészségügyi terv üzleti partnerévé teszik, a munkáltatónak alá kell írnia egy üzleti partneri megállapodást, és ugyanazoknak a HIPAA adatvédelmi követelményeknek kell megfelelnie, mint az egészségügyi tervnek. Például sok munkáltató nyújt adminisztratív szolgáltatásokat az egészségügyi terveknek a beiratkozási és díjfizetési funkciók kezelésével.
A jogi szolgáltatásokat nyújtóknak az “üzleti partnerek” fogalmába történő bevonása azt jelenti, hogy az érintett szervezeteket vagy az érintett szervezetek üzleti partnereit (például az egészségügyi terveket szponzoráló munkáltatókat) képviselő ügyvédeknek meg kell határozniuk, hogy kapnak-e védett egészségügyi információkat az ügyfeleiktől, és hogy kötelesek lesznek-e üzleti partneri megállapodást aláírni.
A HIPAA adatvédelmi szabályai a “védett egészségügyi információkra” (“PHI”) vonatkoznak, amelyek az érintett szervezetek birtokában vannak. A PHI olyan információ, amely egyénileg azonosítható, és egészségügyi állapotra, kezelésre vagy egészségügyi ellátásért való fizetésre vonatkozik. 45 C.F.R. § 164.501. Minden PHI lefedett, függetlenül attól, hogy szóbeli, papíralapú vagy elektronikus formában van-e, 45 C.F.R. § 160.103, és a PHI-t csak a résztvevő által engedélyezett vagy a rendeletek által megengedett módon lehet felhasználni vagy nyilvánosságra hozni. A PHI felhasználására vonatkozó korlátozások szerepeltetése azt jelenti, hogy a rendeletek az információ belső felhasználására vonatkoznak, nem csak az információ kívülállókkal való közlésére.
A PHI meghatározása nagyon tág, és jóval túlmutat azon, amit a “védett egészségügyi információ” kifejezés általában eszünkbe juttat. A díjfizetésre, a kárigényekre, a meglévő állapotokra, a jogutódlásra és az ellátások koordinálására vonatkozó információk mind PHI-nek minősülhetnek. Az információnak nem kell tartalmaznia olyan azonosítókat, mint a név, a cím vagy a társadalombiztosítási szám ahhoz, hogy egyénileg azonosítható legyen. Például egy nagy összegű kárbejelentés, amely csak diagnózisokat vagy eljárásokat és kifizetett összegeket tartalmaz, tartalmazhat egyénileg azonosítható információt, ha megalapozottan feltételezhető, hogy az információ felhasználható a biztosított személyek azonosítására. 45 C.F.R. § 164.501.
A rendeletek hatálya alá tartozó egészségügyi terveknek:
– Olyan írásbeli adatvédelmi irányelveket és eljárásokat kell elfogadniuk és alkalmazniuk, amelyek megfelelnek a rendeletek követelményeinek, 45 C.F.R 164.503(i);
– Minden résztvevőnek tájékoztatást kell adniuk az adatvédelmi irányelvekről és eljárásokról, 45 C.F.R. 164.520;
– Kiképzi az alkalmazottakat az adatvédelmi irányelvekről és eljárásokról, 45 C.F.R. 164.530(b);
– Kinevez egy adatvédelmi tisztviselőt, 45 C.F.R. 164.530(a);
– Engedélyt kér a PHI-nek a fizetéstől és az egészségügyi ellátási műveletektől eltérő célokra történő felhasználására, 45 C.F.R. 164.F.R. 164.508(a); és
– Csak a minimálisan szükséges PHI-t hozza nyilvánosságra, 45 C.F.R. § 164.502(b).
A szabályzat továbbá biztosítja a terv résztvevőinek a PHI megtekintéséhez és másolatának megszerzéséhez való jogot, 45 C.F.R. § 164.524, a PHI módosításának kérelmezéséhez, 45 C.F.R. § 164.526, a PHI nyilvánosságra hozataláról való elszámoláshoz, 45 C. F.R. § 164.524, a PHI módosításának kérelmezéséhez, 45 C. F.R. § 164.526, a PHI nyilvánosságra hozataláról való elszámoláshoz, 45 C. F.R. § 164.526.F.R. 164.528, és kérhetik a PHI felhasználásának és nyilvánosságra hozatalának korlátozását, 45 C.F.R. 164.522(a).
A HIPAA adatvédelmi szabályai hangsúlyozzák a különbséget az egészségügyi tervet szponzoráló munkáltató és maga az egészségügyi terv között, és korlátozásokat írnak elő arra vonatkozóan, hogy az egészségügyi terv mit közölhet a munkáltatóval. Az egészségügyi terv csak akkor adhatja át a PHI-t a munkáltatónak, ha a munkáltató igazolja, hogy a tervdokumentumokat a HIPAA adatvédelmi szabályzatának megfelelően módosították, 45 C.F.R. § 164.504(f), beleértve a következő rendelkezéseket:
– Megtiltja a munkáltatónak, hogy a PHI-t a tervdokumentumok által megengedett vagy előírt, illetve a törvény által előírtakon kívül felhasználja vagy átadja, 45 C.F.R. § 164.504(f)(2)(ii)(A);
– Tiltja a PHI felhasználását vagy közzétételét munkaviszonnyal kapcsolatos intézkedés céljából vagy a munkáltató által szponzorált bármely más juttatási tervvel kapcsolatban, 45 C.F.R. § 164.504(f)(2)(ii)(C);
– Kötelezi a munkáltatót, hogy jelentse a tervnek a PHI helytelen felhasználását vagy közzétételét, 45 C.F.R. § 164. §.504(f)(2)(ii)(D);
– A munkáltató kötelezése a PHI visszaszolgáltatására vagy megsemmisítésére az engedélyezett felhasználás befejezése után, 45 C.F.R. § 164.504(f)(2)(ii)(I); és
– Annak leírása, hogy mely alkalmazottak férhetnek hozzá a PHI-hez , 45 C. C.F.R. § 164.504(f)(2)(iii)(A), és az ilyen hozzáférés korlátozása a munkáltató által végzett tervadminisztrációs feladatokra, 45 C.F.R. § 164.504(f)(2)(iii)(B).
Azoknak a munkáltatóknak, amelyek egészségügyi terveket szponzorálnak, és amelyek a múltban nem tettek különbséget a munkáltató és a terv információi között, mostantól el kell ismerniük ezt a különbséget, és korlátozniuk kell a terv információinak használatát és az azokhoz való hozzáférést.
A HIPAA adminisztratív egyszerűsítésre vonatkozó rendelkezései büntetőjogi és polgári jogi szankciókat is előírnak a szabályok be nem tartása esetén. A tudatos és kereskedelmi előnyszerzésre vagy rosszindulatú károkozásra irányuló jogsértések esetén a büntetőjogi szankciók 250 000 dollárig terjedő pénzbírságot és tíz év börtönbüntetést tartalmaznak. 42 U.S.C. § 1320d-6. Az ugyanazon követelmény vagy tilalom megsértése esetén jogsértésenként 100 dollárig terjedő, évente legfeljebb 25 000 dollárig terjedő polgári jogi bírság szabható ki. 42 U.S.C. § 1320d-5. Mivel az adatvédelmi rendeletek több mint 50 különálló követelményt és tilalmat tartalmaznak, a polgári jogi bírságok összege meghaladhatja az évi 1,25 millió dollárt.
A rendeletek nem írnak elő magánjogi kereseti jogalapot, de a rendeletek előírásai mércéül szolgálhatnak arra, hogy mi számít “ésszerű gondosságnak” a munkavállalók egészségügyi információinak kezelése során, és az állami bíróságok a rendeletek alapján mérhetik fel, hogy a munkáltatók és az egészségügyi tervek ésszerűen jártak-e el a munkavállalók egészségügyi információinak kezelése során. Ez megnyithatja a munkáltatókat az állami kártérítési jog alapján indított pereknek.
Az adatvédelmi rendeletek egy alsó határt határoznak meg, nem pedig egy felső határt. Ha a HIPAA adatvédelmi követelményei szigorúbbak, mint az állami törvények, akkor a szövetségi előírások alkalmazandók. Másrészt, ha az állami törvények nagyobb védelmet biztosítanak az egészségügyi terv résztvevőinek, akkor az állami törvényeket kell alkalmazni. 45 C.F.R § 160.203.
MARYLANDI TÖRVÉNY
1990-ben Maryland elfogadta az orvosi feljegyzések bizalmas kezeléséről szóló törvényt, Md. Code Ann., Health-Gen. I, § 3-401, et seq., “az orvosi feljegyzések bizalmas kezelésének biztosítása és általában a betegek magánélethez fűződő jogainak megerősítése érdekében”. Warner v. Lerner, 115 Md. App. 428, 693 A.2d 394 (1997). A jogszabály szűk körben írja elő azokat az eseteket, amikor az egészségügyi személyzet az érintett személy engedélye nélkül nyilvánosságra hozhat információkat. Id., 4-305. §. Nem rendelkezik a munkáltatónak vagy foglalkoztatási céllal történő jogosulatlan közzétételről. Hasonló törvényi korlátozások léteznek az orvosi információk biztosító vagy biztosítási szolgáltató szervezet általi kiadása tekintetében, és a munkáltató ilyen információkhoz való hozzáférését a biztosított munkavállaló beleegyezéséhez kötik. Lásd Md. Ins. Code Ann., §4-403; 63 Op. Att’y Gen. 432 (1978).
Marylandben régóta törvényi tilalom tiltja, hogy a munkára jelentkezőktől egészségügyi állapotra vonatkozó információkat kérjenek, kivéve, ha az állapot “közvetlen, lényeges és időszerű kapcsolatban áll a jelentkezőnek a munkakör megfelelő ellátására való képességével vagy alkalmasságával”. Md. Ann. Code, Lab. & Empl., § 3-701. Továbbá, Maryland munkavédelmi és egészségügyi törvénye, Md. Ann. Code, Lab. & Empl., § 5-101 et. seq., megtiltja a munkáltatónak, hogy a munkavállalóval vagy a pályázóval szemben hátrányos foglalkoztatási intézkedést hozzon olyan információ alapján, amelyet az egyénnek a munkáltató csoportos orvosi biztosításában való részvétele alapján szerzett, kivéve, ha a relevancia vagy a munkavállaló által az egészségügyi állapotra vonatkozóan tett csalárd hamis állítás hasonló bizonyítása áll fenn. Id., § 5-604.
A közelmúltban elfogadott állami jogszabály korlátozza a munkáltató azon jogát, hogy a genetikai információkat felhasználja a foglalkoztatási döntésekkel kapcsolatban. 2001. október 1-jétől jogellenes foglalkoztatási gyakorlatnak minősül, ha a munkáltató nem alkalmaz vagy megtagadja a felvételt, vagy elbocsát egy személyt, vagy más módon diszkriminál egy személyt az egyén genetikai információi miatt, vagy azért, mert az egyén megtagadja a genetikai vizsgálat elvégzését vagy a genetikai vizsgálat eredményeinek rendelkezésre bocsátását. E célból a “genetikai információ” az alábbi információkat jelenti: (i) kromoszómákra, génekre, géntermékekre vagy öröklött tulajdonságokra, amelyek egy személytől vagy családtagtól származhatnak; (ii) amelyeket diagnosztikai vagy terápiás célból szereztek; és (iii) amelyeket olyan időpontban szereztek, amikor az egyén, akire az információ vonatkozik, tünetmentes a betegség tekintetében, de nem tartoznak ide a) a rutinszerű fizikai mérések; (b) a széles körben elfogadott és a klinikai gyakorlatban használt kémiai, vér- és vizeletvizsgálatok; vagy (c) a gyógyszerek használatára vonatkozó vizsgálatok. A “genetikai vizsgálat” az emberi kromoszómák, gének vagy géntermékek laboratóriumi vizsgálata, amelyet a betegséggel vagy betegséggel összefüggésbe hozható öröklött vagy veleszületett genetikai elváltozások jelenlétének vagy hiányának megállapítására használnak.
Végezetül, a marylandi szokásjog további védelmet nyújtana, amennyiben a munkáltatónak a munkavállaló egészségügyi adataihoz való hozzáférése “a magánélet megsértését” jelentené. Maryland elismeri a “magányba való behatolás” és a “magánjellegű tények nyilvánosságra hozatala” miatti keresetindítási okot. Lásd Allen kontra Bethlehem Steel Corp., 76 Md. App. 642, 547 A.2d 1105, cert. denied, 314 Md. 458, 550 A.2d 1168 (1988). Az előbbi olyan “szándékos behatolást igényel egy másik személy magányába vagy elvonultságába, magánügyeibe vagy magánérdekeibe, amely egy ésszerűen gondolkodó ember számára erősen sértő lenne”. Lásd Furman v. Sheppard, 130 Md. App. 67, 73, 744 A.2d 583 (2000). Ez utóbbi igény akkor áll fenn, ha valaki nyilvánosságra hozza egy másik személy magánéletét érintő ügyet, és a nyilvánosságra hozott ügy olyan jellegű, amely a) egy ésszerű személy számára erősen sértő lenne, és b) nem tartozik a nyilvánosság jogos érdekei közé. Id. 77. o. A nyilvánosságra hozatali elem megköveteli a “személyek kis csoportján” túli terjesztést. Id. at 78.
Míg a marylandi bíróságok nem hoztak olyan határozatokat, amelyek az orvosi információk megszerzésén, felhasználásán vagy terjesztésén alapuló, a magánélet megsértésére vonatkozó kártérítési igénnyel foglalkoznának, a kérdés más joghatóságokban is felmerült. Lásd például a Knecht kontra Vandalia Med. Ctr., Inc., 470 N.E. 2d 230 (Ohio Ct. App. 1984) (megállapítja, hogy az orvosi feljegyzések jogosulatlan közzététele alátámaszthatja a magánélet megsértése iránti igényt). Az ilyen igények azonban nem járnak jól, hacsak a felperes nem tudja bizonyítani, hogy az orvosi információkhoz az ő tudta vagy engedélye nélkül jutottak hozzá, vagy hogy az információkat széles körben terjesztették olyan személyek számára, akiknek nem volt jogos érdekük az információkhoz. A Missouri Fellebbviteli Bíróság a St. Anthony’s Med. Ctr. v. HSH, 974 S.W. 2d 606 (Mo. Ct. App. 1998) elutasította azt az állítást, hogy az, hogy a kórház a felperes beleegyezése vagy tudta nélkül nyilvánosságra hozta a feljegyzéseket, vagy jogellenes “magányba való behatolásnak” vagy “magántény közzétételének” minősült, mivel a feljegyzéseket nem megtévesztéssel vagy más ésszerűtlen módszerekkel szerezték meg, és a közzététel nem történt “az általános nyilvánosság vagy nagyszámú személy számára”); Lásd még , 633 N.E. 2d 280 (Ind. Ct. App. 1994) (ugyanez); Luedtke v. Nabors Alaska Drilling, Inc, 768 P.2d 1123 (Alaska 1989) (megállapítva, hogy a felperesnek a munkáltató által megkövetelt vizeletvizsgálatból eredő, a magánszférába való behatolásra vonatkozó igénye elbukott, mivel nem volt bizonyítva sem “a behatolás ésszerűtlen módja, sem az indokolatlan célú behatolás”).
Összefoglalás
A munkáltatóknak, akik a pályázókra vagy munkavállalókra vonatkozó orvosi információkat szereznek be vagy tartanak birtokukban, tisztában kell lenniük az ilyen információkra vonatkozó számos állami és szövetségi védelemmel és korlátozással, és ki kell dolgozniuk olyan irányelveket és eljárásokat, amelyek biztosítják, hogy az ilyen információkat csak a törvényeknek megfelelően szerezzék be, tárolják, használják fel és adják ki.