ORSZÁGOS EGÉSZSÉGBIZTOSÍTÁSI PÉNZTÁR. Az Országos Egészségbiztosítási Pénztár Főigazgatójának. 5/2012. számú OEP Szabályzata

Átírás

1 ORSZÁGOS EGÉSZSÉGBIZTOSÍTÁSI PÉNZTÁR Az Országos Egészségbiztosítási Pénztár Főigazgatójának 5/2012. számú OEP Szabályzata Az Adatvédelmi Szabályzatról 1. Preambulum Az Országos Egészségbiztosítási Pénztár Főigazgatója az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény 24. (3) bekezdésében megfogalmazott kötelezettségnek eleget téve az alábbiak szerint állapítja meg az adatkezelés és adatbiztonság alapvető szabályait A szabályzat célja 2. Általános rész E szabályzat célja, hogy biztosítsa az adatvédelem alkotmányos elvének, az információs önrendelkezési jognak, valamint az adatbiztonság alapvető követelményeinek érvényesülését, továbbá, hogy meghatározza az OEP, valamint a Kormányhivatal egészségbiztosítási pénztári szakigazgatási szerveinél (a továbbiakban együttesen: egészségbiztosítási szerv) történő adatkezelés rendjét A szabályzat hatálya A szabályzat szervi, személyi és tárgyi hatálya kiterjed: a) az egészségbiztosítási szerv minden szervezeti egységére, természetes személyre amely, vagy aki az OEP kezelésében lévő adatot kezel b) minden, az egészségbiztosítási szervvel kapcsolatba került vagy kerülő, illetve annak megbízásából adatot kezelő, illetve azt feldolgozó személyre, szervezetre c) minden az egészségbiztosítási szervnél kezelt adatra E szabályzat alkalmazásában: 3. Alapfogalmak a) Adatvédelem: a személyes (és különleges) adatok gyűjtésének, feldolgozásának és felhasználásának korlátozását, az érintett személyek védelmét biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összessége b) Adatbiztonság: az adatok jogosulatlan megismerése, megszerzése, továbbítása, módosulása és megsemmisülése elleni, illetve hitelességük,

2 integritásuk, bizalmasságuk és rendelkezésre állásuk biztosítása érdekében tett intézkedések c) Egészségügyi adat: meghatározott személyhez köthető, annak egészségi állapotára vonatkozó különleges adat d) Adatvédelmi felelős: az OEP központi adatvédelmi felelősei, az OEP területi kihelyezett szervezeti egységeinek megyei adatvédelmi felelősei, a Kormányhivatalok egészségbiztosítási pénztári szakigazgatási szerveinek szakigazgatási adatvédelmi felelősei e) Egészségbiztosítási pénztári szakigazgatási szerv: A Kormányhivatal megyei szervezetének önálló, az egészségbiztosítási szakterületet képviselő része f) OEP területi kihelyezett szervezeti egysége: az OEP Alapító Okiratának I. 6. pontjában meghatározottak szerint g) Adatkezeléssel megbízott személy: az egészségbiztosítási szerv azon dolgozója, akinek a munkaköri leírása szerint feladatainak ellátásához elengedhetetlenül szükséges egészségügyi és személyes adat megismerése h) Személyes adat: az érintettel kapcsolatba hozható adat különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret, valamint az adatból levonható, az érintettre vonatkozó következtetés i) Érintett: bármely meghatározott, személyes adat alapján azonosított vagy közvetlenül vagy közvetve azonosítható természetes személy j) Különleges adat: a. a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, b. az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat k) Közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat. 2

3 l) Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja m) Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép, hang vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujjvagy tenyérnyomat, DNS minta, íriszkép) rögzítése n) Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele o) Nyilvánosságra hozatal: az adat bárki számára hozzáférhetővé tétele p) Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges q) Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából r) Adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése s) Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik t) Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján beleértve a jogszabály rendelkezése alapján történő szerződéskötést is adatok feldolgozását végzi 3

4 4. Az adatkezelés célja és jogalapja 4.1. Az egészségügyi és személyazonosító adatok kezelésének célja Az egészségbiztosítási szerv egészségügyi és személyazonosító adatot törvényben meghatározott esetekben az alábbi célból kezel: a) orvos szakmai és epidemiológiai vizsgálat, elemzés, az egészségügyi ellátás tervezése, szervezése, költségek tervezése, b) statisztikai vizsgálat, c) hatásvizsgálati célú anonimizálás és tudományos kutatás, d) az egészségügyi adatot kezelő szerv vagy személy hatósági vagy törvényességi ellenőrzését, szakmai vagy törvényességi felügyeletét végző szervezetek munkájának elősegítése, ha az ellenőrzés célja más módon nem érhető el, valamint az egészségügyi ellátásokat finanszírozó szervezetek feladatainak ellátása, e) a társadalombiztosítási, illetve szociális ellátások megállapítása, amennyiben az az egészségi állapot alapján történik, f) az egészségügyi ellátásokra jogosultak részére a kötelező egészségbiztosítás terhére igénybe vehető szolgáltatások rendelésének és nyújtásának, valamint a gazdaságos gyógyszer, gyógyászati segédeszköz és gyógyászati ellátás rendelési szabályai betartásának a vizsgálata, továbbá a külön jogszabály szerinti szerződés alapján a jogosultak részére nyújtott ellátások finanszírozása, illetve az ártámogatás elszámolása, g) közigazgatási hatósági eljárás, h) az egészségügyi ellátásokra jogosultak részére vényen rendelt gyógyszer, gyógyászati segédeszköz és gyógyászati ellátás folyamatos és biztonságos kiszolgáltatása, illetve nyújtása érdekében, i) a munkabalesetek, foglalkozási megbetegedések ideértve a fokozott expozíciós eseteket is kivizsgálása, nyilvántartása és a szükséges munkavédelmi intézkedések megtétele A pontban meghatározott céloktól eltérő célra is lehet az érintett, illetve törvényes vagy meghatalmazott képviselője (a továbbiakban együtt: törvényes képviselő) megfelelő tájékoztatáson alapuló írásbeli hozzájárulásával egészségügyi és személyazonosító adatot kezelni A és pontok szerinti adatkezelési célokra csak annyi és olyan egészségügyi, illetve személyazonosító adat kezelhető, amely az adatkezelési cél megvalósításához elengedhetetlenül szükséges A személyes adatok kezelésének jogalapja, célhoz kötöttség Az egészségbiztosítási szerv személyes adatot kizárólag meghatározott célra, jogszabály alapján, vagy az érintett személy hozzájárulásával kezel. 4

5 Az adatkezelésnek annak minden szakaszában meg kell felelnie ennek a célnak, és az adatkezelés csak a cél megvalósulásához szükséges mértékig és ideig történhet Az egészségbiztosítási szerv által kezelt személyes adatok csak jogszabályban meghatározott esetekben és módon, azaz vagy az érintett hozzájárulásával, vagy jogszabály felhatalmazásával (amennyiben az adatkezelés feltételei minden egyes adatra nézve teljesülnek) továbbíthatók, vagy kapcsolhatók össze más, külső nyilvántartással. Ezek a feltételek szükségesek a személyes adatok helyesbítése és törlése esetén is, amennyiben azt nem maga az érintett kéri Az érintett kérelmére, kezdeményezésére indult bírósági vagy hatósági eljárásban az eljárás lefolytatásához szükséges személyes adatok tekintetében, az érintett kérelmére indult más ügyben az általa megadott személyes adatok tekintetében az adatainak kezeléséhez, továbbításához való hozzájárulást az ügyintézéshez szükséges mértékig vélelmezni kell, ebben az esetben külön hozzájáruló nyilatkozatra nincs szükség. 5. Adatkezelés és adattovábbítás 5.1. Az adatkezeléssel megbízott személy: a) kezeli és megőrzi a munkaköréhez tartozó adatokat, b) gondoskodik arról, hogy az általa vezetett nyilvántartások adataihoz illetéktelen személy ne férhessen hozzá, ügyel a nyilvántartások biztonságos kezelésére és tárolására, c) betartja a személyes adatok kezelésére vonatkozó jogszabályi rendelkezéseket, belső utasításokat és előírásokat, 5.2. A személyes adatot kezelő személy a köztisztviselők jogállásáról szóló évi XXIII. törvény 38. (3) (4) bekezdésben foglaltak szerint köteles megtagadni minden olyan utasítás végrehajtását, amely ellentétes az adatkezelésre, adatvédelemre vonatkozó jogszabályokkal vagy az OEP belső utasításaival, szabályzataival Az egészségbiztosítási szerv a társadalombiztosítás igazgatási szervei, illetve nem társadalombiztosítási szerv, valamint természetes személy részére adatot csak törvény, illetve törvény felhatalmazása alapján a felhasználás céljának és jogalapjának egyidejű megjelölésével jogszabályban meghatározott módon szolgáltathat A jogszabályi előíráson alapuló adatszolgáltatási kötelezettségen kívüli esetekben az adattovábbítás írásbeli megkeresés alapján történik. A szóban előterjesztett adatkérésekre a közigazgatási és hatósági eljárás és szolgáltatás általános szabályairól szóló évi CXL. törvényt kell alkalmazni Amennyiben az adatkérés az I. számú mellékletben foglalt kritériumoknak nem felel meg, illetve nem egyértelmű az adatok kiadására vonatkozó döntés, akkor a kérelmet meg kell küldeni az adatvédelmi felelősnek, aki: a) megfelelő indokolással elutasítja a kérelmet, vagy 5

6 b) ha a kérelem formailag nem megfelelő, kiegészítésre hívja fel az adatkérőt c) vagy engedélyt ad az adatok kiadására Az adattovábbítás írásban vagy elektronikus úton történhet. Abban az esetben, amikor az adattovábbítás elektronikus adatfeldolgozással hatékonyabban teljesíthető, akkor is biztosítani kell, hogy az adatkérésben érintett személyre vonatkozóan mind a kérelem, mind pedig a megtett intézkedések visszakereshetők legyenek Adattovábbítás külföldre Személyes adat külföldi adatkezelő részére csak akkor továbbítható, ha az érintett ahhoz hozzájárult, vagy azt törvény teszi lehetővé és az adatkezelés feltételei a külföldi adatkezelőnél minden egyes adatra nézve teljesülnek Személyes adatok a nemzetközi jogsegélyről, valamint a kettős adóztatás elkerüléséről szóló nemzetközi szerződés végrehajtása érdekében, a nemzetközi szerződésben meghatározott célból, feltételekkel és adatkörben továbbíthatók harmadik országba Az EGT államokba irányuló adattovábbítást úgy kell tekinteni, mintha a Magyar Köztársaság területén belüli adattovábbításra kerülne sor. 6. Adatok helyesbítése és törlése 6.1. Ha a személyes adat a valóságnak nem felel meg és a valóságnak megfelelő személyes adat az adatkezelő rendelkezésére áll köteles hivatalból, illetve bárki megalapozott írásbeli kérésére helyesbíteni Az adatok helyesbítésére irányuló kérelemben meg kell jelölni a helyesbíteni kért adatot, a helyesbítés okát vagy az azt megalapozó tényeket, csatolva a dokumentumokat A személyes adatot törölni kell a) a jogszabályban elrendelt adatkezelések kivételével az érintett kérésére, vagy abban az esetben, amikor b) jogellenes az adatkezelés, vagy c) az adatkezelés célja megszűnt Az igénybevett és az OEP által finanszírozott egészségügyi ellátásra vonatkozó adatokat az érintett kérésére sem lehet törölni. 6

7 7. Az érintettek jogai 7.1. Az érintett tájékoztatást kérhet személyes adatainak kezeléséről, illetve kérheti személyes adatainak helyesbítését, és a kötelező adatkezelés kivételével azok törlését vagy zárolását Az érintett adataira vonatkozó megkeresést, amennyiben a kérelem az I. számú mellékletben foglaltaknak nem felel meg, vagy az ügyintéző nem tudja eldönteni a leírtak alapján, hogy teljesülnek e a feltételek, akkor a kérelmet meg kell küldeni az adatvédelmi felelősnek, aki: a) megfelelő indokolással elutasítja a kérelmet, vagy b) ha a kérelem formailag nem megfelelő, kiegészítésre hívja fel az adatkérőt c) vagy engedélyt ad az adatok kiadására Az adatok helyesbítésére, illetve törlésére irányuló kérelmet, továbbá az adatok hivatalból történő helyesbítésére, törlésére irányuló javaslatot az adatvédelmi felelős megvizsgálja Amennyiben a kérelem vagy javaslat megalapozott, úgy az adatkezelő elvégzi az adat helyesbítését, törlését vagy zárolását, majd értesíti az érintettet és mindazokat, akiknek korábban az adatot adatkezelés céljából továbbították (másodlagos adatkezelő) Az adatok helyesbítésével, törlésével, zárolásával kapcsolatban az a szervezeti egység, illetve igazgatási szerv jár el, amely az adatot nyilvántartja Az adatkezelő köteles az érintett jogait érintő kérelmét az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény 15. (4) bekezdésében rögzített módon a benyújtástól számított legrövidebb idő alatt, de legfeljebb 30 napon belül elintézni és erről írásban megadni a tájékoztatást. 8. A közérdekű adatok nyilvánossága 8.1. A közérdekű adatokra vonatkozó kérelmek esetében az adatkezelés célja nem vizsgálandó A közérdekű adatok átadásával, továbbításával összefüggő, illetve az egészségbiztosítási nyilvántartást érintő megkeresést szükség esetén az adatvédelmi felelős előzetesen megvizsgálja, és ha az adatok kiadhatók további intézkedésre megküldi a kért adatokat kezelő és azok átadására jogosult szervezeti egységhez Ha az adatkérés nem minősül közérdekű adatkérésnek és egyébként teljesítésének feltételei nem állnak fenn akkor azt el kell utasítani Az elutasításról, annak indokolásával együtt 8 napon belül írásban vagy amennyiben az igényben elektronikus levelezési címét közölte elektronikus úton értesíteni kell az igénylőt Az elutasított közérdekű adatkérésekről a kérelmező személyes azonosítása nélkül nyilvántartást kell vezetni. 7

8 8.4. Az OEP sajtó kapcsolattartással foglalkozó szervezeti egységéhez, kizárólag az újságíróktól érkező adatkérések esetén az adatvédelmi vizsgálatot az adatvédelmi felelős helyett a szervezeti egység vezetője végzi el, és tartja nyilván az elutasított kérelmeket Amennyiben az adatkérés jellege ezt indokolja, a szervezeti egység vezetője döntése előtt megkeresi a vezető adatvédelmi felelőst A közérdekű adat megismerésére irányuló kérelemnek a legrövidebb idő alatt, legfeljebb 15 napon belül kell eleget tenni. 9. Jelentés a Hatóság részére 9.1. A Nemzeti Adatvédelmi és Információszabadság Hatóságot évente tájékoztatni kell: a) a személyes adatok kezelésével kapcsolatos teljesített kérelmek számáról b) a személyes adatok kezelésével kapcsolatos elutasított kérelmek számáról, indokáról c) közérdekű adatok megismerésére irányuló elutasított kérelmek számáról és indokáról 9.2. Személyes adat iránti kérelem alatt az érintett által benyújtott, saját adataira vonatkozó betekintési, törlési, helyesbítési kérelmet kell érteni Közérdekű adat iránti kérelem az egészségbiztosítási szerv kezelésében lévő, valamennyi tevékenységére vonatkozó adat megismerésére irányuló kérelem A jelentés elkészítése érdekében a területi kihelyezett szervezeti egységek megyei adatvédelmi felelősei minden év január 21 ig elküldik a hozzájuk tartozó terület előző évi adatait az OEP Jogi Főosztály Adatvédelmi Osztályára. Az adatokat a központi adatvédelmi felelősök összesítik és küldik meg a Hatóság részére, minden év január 31 ig. 8

9 10.1. Adatbiztonság követelménye 10. Adatbiztonság Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az információs önrendelkezési jogról és az információszabadságról szóló törvény valamint az egyéb adat és titokvédelmi szabályok érvényre juttatásához szükségesek Az adatokat védeni kell különösen a jogosulatlan: - hozzáférés - megváltoztatás - továbbítás - nyilvánosságra hozatal - törlés vagy megsemmisítés - valamint a véletlen megsemmisülés és sérülés - továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen Az adatok kezelésére jogosult személy részére biztosítani kell a munkavégzéshez szükséges mértékben és időben történő adathozzáférést A minősített, a személyes, illetve a különleges adatokat, csak azok és csak olyan mértékben ismerhetik meg, a szükséges ismeret elve alapján akiknek a munkaköri leírásukban meghatározott feladatok elvégzéséhez elengedhetetlenül szükséges A minősített adatokra vonatkozó rendelkezéseket a minősített iratok kezeléséről szóló külön Szabályzat tartalmazza Az egészségbiztosítási szerv számára még elfogadható minimális kockázati szintű, a rendszer minden elemére kiterjedő, a potenciális kárértékkel arányos biztonságot kell megteremteni és fenntartani Adatbiztonsági célok Az adatok kezelése során biztosítani kell a bizalmasság, sértetlenség, letagadhatatlanság, hitelesség és rendelkezésre állás adatbiztonsági célok megvalósítását Az adatbiztonsági célok elérését a kezelt adatok körének pontos meghatározásával, azok biztonsági osztályba sorolásával, a biztonsági osztályokhoz tartozó védelmi követelmények meghatározásával, az adatkezelés, az adatfeldolgozás részletes szabályainak érvényre juttatásán keresztül kell megvalósítani Az adatok nyilvántartását, kezelését, és az adatok biztonsági osztályba sorolását az OEP Iratkezelési Szabályzata szabályozza Biztonsági események 9

10 Biztonsági esemény minden olyan gondatlan vagy szándékos a biztonsági előírások megsértésén alapuló esemény, amelynek következménye vagy lehetséges következménye az adatbiztonsági célok sérülése, meghiúsulása Minden adatkezelő illetve adatkezeléssel megbízott személy köteles a tudomására jutott biztonsági eseményről vagy annak gyanújáról a szervezeti egység vezetőjét területi kihelyezett szervezeti egységek esetében az igazgatót haladéktalanul tájékoztatni A területi kihelyezett szervezeti egység vezetője jelentést tesz az egészségbiztosítási szerv vezetőjének, és egyben tájékoztatja a Beruházási Üzemeltetési és Vagyongazdálkodási Főosztály biztonsági szakterületét Az egészségbiztosítási szerv vezetője intézkedik a fennálló biztonsági esemény azonnali megszüntetésére, illetve a biztonsági esemény kivizsgálására a Szervezeti és Működési Szabályzatnak megfelelően bizottságot hozhat létre A bizottság elvégzi a biztonsági esemény kivizsgálását A bizottság megvizsgálja a biztonsági esemény bekövetkezésének okát és körülményeit, a személyi érintettséget illetve felelősséget, az okozott kár mértékét és egyéb következményeit A bizottság a vizsgálatról jegyzőkönyvet készít, mely tartalmazza a vizsgálat tényeit, az intézkedési és felelősségre vonási javaslatokat Informatikai biztonság Az egészségügyi és személyes adatokat is tartalmazó informatikai rendszerekhez való hozzáférési jogosultságokról a hozzáférési jogosultságok kiadásáért felelős szervezeti egységnek naprakész nyilvántartást kell vezetni Az informatikai rendszerekben kezelt adatok védelme érdekében megfogalmazott követelmények betartásáért az informatikai rendszer (alapinfrastruktúra, alkalmazás, adatbázis, adattárház) működtetésére vonatkozóan az üzemeltetését ellátó szervezeti egység vezetője, a lokális adatfeldolgozási rendszerek vonatkozásában az adatfeldolgozást végző szervezeti egység vezetője a felelős Az informatikai biztonságra vonatkozó részletszabályokról az OEP Informatikai Biztonsági Szabályzata rendelkezik. 10

11 11. Adatfeldolgozási tevékenység Általános szabályok Az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót nem vehet igénybe Az adatkör védelmére meghatározott követelmények betartásáért bármely adatkezelési műveletben az általa végzett adatfeldolgozási tevékenység során az adatfeldolgozó személyesen felelős Külső szervezetek és személyek adatkezelési tevékenysége Adatfeldolgozást kizárólag erre a tevékenységre az egészségbiztosítási szervvel kötött szerződésben felhatalmazott adatfeldolgozó végezhet Az OEP tevékenységéhez kapcsolódó és e szervek által kezelt adatok feldolgozását különösen indokolt esetben az adatkezelő (OEP) megbízásából külső szervezet, személy is végezheti. Különösen indokolt esetnek minősül az, ha az OEP az adatfeldolgozási tevékenységet a szükséges különleges szakmai és technikai feltételek hiányában nem tudja ellátni, és a feltételek megteremtésére nincs lehetőség A külső szerv vagy személy által végzett adatfeldolgozás feltétele az adatvédelmet garantáló személyi és tárgyi feltételek megléte Külső szervezet, személy adatfeldolgozói tevékenységére megállapodás csak írásban köthető. A megállapodás megkötése előtt a szerződés tervezetét az adatvédelmi felelős az adatvédelmi szabályok tekintetében megvizsgálja és véleményezi Megbízási szerződéssel foglalkoztatott adatfeldolgozók esetében a megbízási szerződésnek tartalmazni kell az utalást és a kötelezést az adatvédelmi szabályok betartására A szerződő féllel ismertetni kell az adatvédelmi szabályzatot és ennek tényét a megbízási szerződésben rögzíteni kell Az e fejezetben foglaltak végrehajtásáért az OEP részéről a szerződést kötő a felelős. 11

12 12. Az adatvédelem szervezeti kérdései Az adatvédelmi hatáskörök és feladatok az alábbi szereplők között oszlanak meg az egészségbiztosítás országos szervezetrendszerén belül: a) OEP főigazgatója, központi adatvédelmi felelősei b) OEP területi kihelyezett szervezeti egységének igazgatói, megyei adatvédelmi felelősei c) Kormányhivatal egészségbiztosítási pénztári szakigazgatási szerveinek vezetői, szakigazgatási adatvédelmi felelősei Adatvédelmi felelősnek jogi, közigazgatási, informatikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező személyt kell kinevezni A főigazgató hatásköre és feladatai A főigazgató: a) felügyeli és irányítja az adatvédelmi feladatok ellátását, b) kinevezi az OEP vezető adatvédelmi felelősét, c) adatvédelemmel összefüggő vizsgálatot rendel el d) jóváhagyja az OEP adatvédelmi munka és ellenőrzési tervének tervezetét A központi adatvédelmi felelősök A központi adatvédelmi felelős az OEP Jogi Főosztály Adatvédelmi Osztályán dolgozó kormánytisztviselő A központi adatvédelmi felelős hatásköre és feladatai különösen: a) dönt az adatkezeléssel összefüggő kérdésekben, b) ellenőrzi az adatkezelésre vonatkozó jogszabályok, valamint a belső adatvédelmi szabályok és követelmények betartását, és véleményezi az adatvédelmi tárgyú jogszabályokat c) szakmailag felügyeli és ellenőrzi az egészségbiztosítási szerv adatvédelmi tevékenységét d) kivizsgálja az adatkezeléssel, adatvédelmi tevékenységgel kapcsolatos bejelentéseket, e) az I. számú mellékletben meghatározott egyértelműen teljesíthető megkeresések kivételével véleményezi a külső szervektől érkezett személyes adatokat érintő megkereséseket, ennek keretében közvetlen adatszolgáltatást teljesít a megkereső szerv felé, vagy a kérelmeket adatvédelmi engedéllyel továbbítja a kért adatokat kezelő és azok átadására jogosult szervezeti egységnek, illetve elutasítást készít vagy, kiegészítésre kéri fel az adatkérőt, f) javaslatot tesz az adatok hivatalból történő törlésére, zárolására illetve helyesbítésére a feltételek megléte esetén, g) kapcsolatot tart a megyei és a szakigazgatási adatvédelmi felelősökkel, h) karbantartja és aktualizálja az OEP adatvédelmi szabályzatát, és kezdeményezi a hozzá kapcsolódó egyéb, adatkezeléssel kapcsolatos szabályzatok módosítását, 12

13 i) megválaszolja a Hatóságtól érkező megkereséseket, j) az egységes jogértelmezési, jogalkalmazási és ügyintézési gyakorlat kialakítása céljából a munkatervben meghatározottak szerinti időpontban képzést tart a többi adatvédelmi felelősnek k) ellenőrzi az egészségügyi és személyes adatokat is tartalmazó informatikai rendszerekhez való hozzáférési jogosultságokról vezetett nyilvántartást A vezető adatvédelmi felelős a főigazgató által kinevezett, és az adatvédelmi feladatok tekintetében közvetlen szakmai felügyelete alá tartozó központi adatvédelmi felelős A vezető adatvédelmi felelős egyben az OEP Jogi Főosztály Adatvédelmi Osztályának vezetője A vezető adatvédelmi felelős szakmailag irányítja, felügyeli, ellenőrzi az egészségbiztosítási szerv adatvédelemi tevékenységét, az adatvédelmi felelősök munkáját és dönt az adatvédelmi tevékenység körébe tartozó ügyekben Az OEP területi kihelyezett szervezeti egysége igazgatójának hatásköre és feladatai Az OEP területi kihelyezett szervezeti egységének igazgatója: a) gondoskodik a kihelyezett szervezeti egységnél az adatvédelmi szabályok betartásáról, b) kinevezi, felügyeli, irányítja, ellenőrzi a megyei adatvédelmi felelősöket, és gondoskodik az esetleges helyettesítésükről, c) az adatvédelemmel összefüggő szabályok megsértése, vagy erre utaló körülmény esetén az adatvédelmi felelős útján vizsgálat kezdeményezésére tesz javaslatot az OEP főigazgatójának, A megyei adatvédelmi felelősök: A megyei adatvédelmi felelős az OEP területi kihelyezett szervezeti egységének igazgatója által kinevezett, felügyelt, irányított és ellenőrzött kormánytisztviselő, aki ellátja illetékességi területén (megye) a hatáskörébe utalt adatvédelmi feladatokat A megyei adatvédelmi felelős hatásköre és feladatai különösen: a) dönt az adatkezeléssel összefüggő kérdésekben, b) az I. számú mellékletben meghatározott egyértelműen teljesíthető megkeresések kivételével véleményezi a külső szervektől érkezett személyes adatokat érintő megkereséseket, ennek keretében közvetlen adatszolgáltatást teljesít a megkereső szerv felé, vagy a kérelmeket adatvédelmi engedéllyel továbbítja a kért adatokat kezelő és azok átadására jogosult szervezeti egységnek, illetve elutasítást készít vagy, kiegészítésre kéri fel az adatkérőt 13

14 c) adatvédelmi szempontból felügyeli és ellenőrzi az adatkezelést, az adatkezelés és adatvédelem tapasztalataira alapozva javaslatot tesz az Adatvédelmi Szabályzat, vagy az adatkezelést érintő más szabályzat aktualizálására, d) az egységes jogalkalmazás kialakítása érdekében együttműködik a központi adatvédelmi felelősökkel, e) kivizsgálja az adatkezeléssel, adatvédelmi tevékenységgel kapcsolatos bejelentéseket, f) statisztikát készít az adatkérésekről az 9. pontban részletezett bontásban g) eseti megkeresésre adatvédelmi tájékoztatást nyújt a kormányhivatalok szakigazgatási adatvédelmi felelősei részére h) szükség esetén képzést tart az adatkezeléssel megbízott személyek részére A szakigazgatási adatvédelmi felelősök A szakigazgatási adatvédelmi felelős a Kormányhivatal egészségbiztosítási pénztári szakigazgatási szervének vezetője által kinevezett, felügyelt, irányított és ellenőrzött kormánytisztviselő, aki ellátja illetékességi területén a hatáskörébe utalt adatvédelmi feladatokat A szakigazgatási adatvédelmi felelős hatásköre és feladatai különösen a) dönt az adatkezeléssel összefüggő kérdésekben, b) az I. számú mellékletben meghatározott egyértelműen teljesíthető megkeresések kivételével véleményezi, az egészségbiztosítási pénztári szakigazgatási szervhez külső szervektől érkezett személyes adatokat érintő megkereséseket, ennek keretében közvetlen adatszolgáltatást teljesít a megkereső szerv felé, vagy a kérelmeket adatvédelmi engedéllyel továbbítja a kért adatokat kezelő és azok átadására jogosult szervezeti egységnek, illetve elutasítást készít vagy, kiegészítésre kéri fel az adatkérőt c) adatvédelmi szempontból felügyeli és ellenőrzi az adatkezelést, az adatkezelés és adatvédelem tapasztalataira alapozva javaslatot tesz az Adatvédelmi Szabályzat, vagy az adatkezelést érintő más szabályzat aktualizálására, d) az egységes jogalkalmazás kialakítása érdekében együttműködik a központi adatvédelmi felelősökkel, e) kivizsgálja az adatkezeléssel, adatvédelmi tevékenységgel kapcsolatos bejelentéseket, f) szükség esetén képzést tart az adatkezeléssel megbízott személyek részére 13. Záró rendelkezések A Szabályzat a közzétételét követő napon lép hatályba, ezzel egy időben hatályát veszíti az Országos Egészségbiztosítási Pénztár Főigazgatójának az Országos Egészségbiztosítási Pénztár Adatvédelmi Szabályzatáról szóló 44/2011 számú szabályzata A Szabályzat a helyben szokásos módon kerül közzétételre. Szövege az I. számú melléklet kivételével az OEP honlapján is közzétételre kerül. 14

15 13.3. A Szabályzatot a szervezeti egység vezetője köteles az adatkezeléssel megbízott személyekkel megismertetni. Budapest, január 31. Dr. Sélleiné Márki Mária főigazgató 15

16 TARTALOMJEGYZÉK 1. PREAMBULUM ÁLTALÁNOS RÉSZ ALAPFOGALMAK AZ ADATKEZELÉS CÉLJA ÉS JOGALAPJA ADATKEZELÉS ÉS ADATTOVÁBBÍTÁS ADATOK HELYESBÍTÉSE ÉS TÖRLÉSE AZ ÉRINTETTEK JOGAI A KÖZÉRDEKŰ ADATOK NYILVÁNOSSÁGA JELENTÉS A HATÓSÁG RÉSZÉRE ADATBIZTONSÁG ADATFELDOLGOZÁSI TEVÉKENYSÉG AZ ADATVÉDELEM SZERVEZETI KÉRDÉSEI ZÁRÓ RENDELKEZÉSEK