XVI. KERÜLET KERTVÁROSI EGÉSZSÉGÜGYI SZOLGÁLATA 1163 Budapest, Tekla u. 2/c.

Átírás

1 ADATVÉDELMI SZABÁLYZAT Az eljárást készítette: Krejcár Ottmárné (Intézményi Adatvédelmi Felelős) Varga Tünde (Intézményi Adatvédelmi Megbízott) Dátum: A dokumentáció kódja MSZ-10 Változat száma 04 Az eljárást jóváhagyta: Dr. Kiss Marianna Igazgató Dátum: File név Adatvedelem Oldalak száma 38 Mellékletek száma 8 Érvénybelépés ideje Az Adatvédelmi Szabályzat a XVI. Kerület Kertvárosi Egészségügyi Szolgálata szellemi tulajdona. Továbbadása, sokszorosítása írásos engedélyhez kötött. A Szabályzatban szereplő információkat csak a KESZ működtetéséhez lehet felhasználni!

2 MÓDOSÍTÁSOK JEGYZÉKE Módosította, felülvizsgálta Aláírás / Dátum Módosítást követő változat száma verzió szám Módosított oldalszám Jóváhagyta Aláírás / Dátum Kibocsátás dátuma Teljes dok. Igazgató , 28., 29 Igazgató teljes dok Igazgató Tulajdonos: XVI. Kerület Kertvárosi Egészségügyi Szolgálata Az Adatvédelmi Szabályzat a XVI. Kerület Kertvárosi Egészségügyi Szolgálata szellemi tulajdona. Továbbadása, sokszorosítása írásos engedélyhez kötött. A Szabályzatban szereplő információkat csak a KESZ működtetéséhez lehet felhasználni!

3 PREAMBULUM A XVI. Kerület Kertvárosi Egészségügyi Szolgálata (továbbiakban XVI. Kerületi KESZ) fontosnak tartja, hogy személyes adatokat csak törvényes cél eléréséhez szükséges esetekben és mértékben kezeljenek. A XVI. Kerületi KESZ által végzett betegellátó tevékenységben részt vevő valamennyi betegellátó a tudomására jutott személyes adatokat orvosi titokként kezeli. A XVI. Kerületi KESZ vallja azt az elvet, hogy tevékenységének jó minősége csak a dokumentáció jó minőségével együtt érhető el, ezért kifejezésre juttatja a dokumentáció és adatkezelés korrektségét és fontosságát, kimondja, hogy a dokumentáció az intézményé, az abban foglalt személyes adat az érintett tulajdona, és azt az érintettek javára és érdekében kell karbantartani és megőrizni. A Szabályzat célja, hogy a vonatkozó jogszabályoknak megfelelően és azokkal együttesen biztosítsa a KESZ által kezelt egészségügyi és személyazonosító adatok biztonságát, az ellátottakkal kapcsolatos adatok kezelésének feltételeit: a társadalom és az ellátott személy érdekeinek megfelelően védje az ellátása során keletkezett adatokat a károsodástól, megsemmisüléstől, megváltoztatástól, nyilvánosságra kerüléstől, illetéktelen hozzáféréstől, ezenkívül segítséget nyújtson az orvosi titoktartás és az adatvédelmi előírások megsértésének megelőzéséhez. A Szabályzat csupán a Törvény gyakorlati alkalmazási útmutatója kíván lenni, a Törvény szabályozását azonban teljességgel nem helyettesíti. Jogszabályi környezet évi CLIV. tv. az egészségügyről(a továbbiakban: Eütv.) A évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: Infotörvény). Az évi XLVII. törvény az egészségügyi és hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről (a továbbiakban: Eüat.). Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésének egyes kérdéseiről rendelkező 62/1997. (XII.21.) NM rendelet (a továbbiakban: Eünr.). 335/2005. (XII. 29.) Korm. rendelet a közfeladatot ellátó szervek iratkezelésének általános követelményeiről évi XX. törvény a személyazonosító jel helyébe lépő azonosítási módokról és az azonosító kódok használatáról évi XLVI. törvény a statisztikáról (OSAP végrehajtás évente) Az Adatvédelmi Szabályzat a XVI. Kerület Kertvárosi Egészségügyi Szolgálata szellemi tulajdona. Továbbadása, sokszorosítása írásos engedélyhez kötött. A Szabályzatban szereplő információkat csak a KESZ működtetéséhez lehet felhasználni!

4 A szakmai jogszabályokban elrendelt kötelező egészségügyi adatszolgáltatások (OSAP részeként) Informatikai Tárcaközi Bizottság 8. sz és 12. sz. ajánlása Az EU praestandard (CEN TC 251) Az évenként esedékes OEP szerződésben meghatározott adatközlések 4 Oldalszám:4/39

5 I. RÉSZ: ÁLTALÁNOS RENDELKEZÉSEK Az Infotörvény és a kapcsolódó jogszabályok értelmében az adatvédelem elsősorban a személyes adatokkal rendelkező természetes személyek saját adataikkal történő törvényi kereteken belüli rendelkezésének biztosítását szolgálja, és nem maguknak az adatoknak a védelmét jelenti. A szabályzatban meghatározott adatbiztonsági szabályok ezen elsődleges cél megvalósíthatóságának érdekében, a személyes adatokra korlátozódnak. A Szabályzat területi és személyi hatálya A szabályzat területi és személyi hatálya kiterjed: A XVI. Kerületi KESZ azon szervezeti egységeire, ahol személyes és/vagy egészségügyi adatot kezelnek. Minden személyre, aki a XVI. Kerületi KESZ dolgozójaként, vagy annak megbízásából személyes és/vagy egészségügyi adatot kezel. A vonatkozó jogszabályi környezet előírásai szerint kezelt, az érintettre vonatkozó egészségügyi és személyazonosító adatra. Minden, a XVI. Kerületi KESZ szolgáltatását igénybe vevő természetes személy adataira, függetlenül attól, hogy beteg-e vagy egészséges. Az adatkezeléssel kapcsolatba került vagy kerülő szakmai felügyeletet, ellenőrzést, jogszerű adatszolgáltatást igénylő szervezetre és külső szolgáltatóra, amely a XVI. Kerületi KESZ illetékességi körébe tartozó személyes adatot kezel, vagy azzal kapcsolatba kerül. Az adatkörök csoportosítása adatkezelők szerint A XVI. Kerületi KESZ személyzeti nyilvántartása, bér- munkaügyi nyilvántartása, a Betegellátó egységek által ellátottak nyilvántartásai. A személyi adatokat (közalkalmazottak, és egyéb szerződéses jogiszonyban állók, orvosok, asszisztensek stb. adatai) a munkaköri beosztás szerinti illetékesek kezelik (a XVI. Kerületi KESZ Szervezeti és Működési Szabályzatában meghatározottak szerint). A XVI. Kerületi KESZ által ellátottak (betegek, ügyfelek) személyi és egészségügyi adatait az egészségügyi dolgozók (orvosok, szakdolgozók, adminisztrátorok) közül azok kezelik, akik az adott beteg ellátásában vagy adataik feldolgozásában részt vesznek. 5 Oldalszám:5/39

6 A Szabályzat időbeli hatálya XVI. KERÜLET KERTVÁROSI EGÉSZSÉGÜGYI SZOLGÁLATA A Szabályzat időbeli hatálya határozatlan időre terjed ki, azzal, hogy a XVI. Kerületi KESZ igazgató (a továbbiakban: intézményvezető)ja a szabályzatot az adatvédelmi felelős bevonásával legalább három évente felülvizsgálja, illetve esetileg akkor, ha azt jogszabályi változás, szakmai-technikai fejlődés, feltárt hiányosság, vagy más egyéb ok szükségessé teszi. A Szabályzat megismerése és használata A Szabályzat szükséges mértékű ismerete a kinevezési okirat aláírásának feltétele 1. A Szabályzat egy nyomtatott példánya a XVI. Kerületi KESZ igazgatóságán hozzáférhető. Az elektronikus változat, valamint egyéb vonatkozó jogforrások elektronikus verziója minden dolgozó számára a XVI. Kerületi KESZ belső informatikai hálózatán hozzáférhető. A munkaköréhez szükséges mértékben a XVI. Kerületi KESZ valamennyi a KESZ tevékenységében résztvevő munkatársnak, jogállásra való tekintet nélkül, meg kell ismernie a Szabályzatot és annak előírásait mindenki köteles betartani. A Szabályzattal kapcsolatos fogalmak magyarázó értelmezése Érintett: minden, az adatkezelő szervvel kapcsolatba került vagy kerülő, illetve annak szolgáltatásait igénybe vevő természetes személy. Adatkezelés: az alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely művelet vagy a műveletek összessége, (pl. gyűjtés, felvétel, rögzítés, rendszerezés, tárolás, megváltoztatás, felhasználás, továbbítás, nyilvánosságra hozatal, összehangolás vagy összekapcsolás, zárolás, törlés és megsemmisítés, valamint az adatok további felhasználásának megakadályozása). Adatkezelésnek számít a fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj-, vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése is. Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai műveletek elvégzése függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől. Adattovábbítás: ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik. 1 Megismerési nyilatkozatot ír alá a dolgozó belépéskor. 6 Oldalszám:6/39

7 Adathordozó: minden olyan anyag vagy eszköz, amely adatok felvételére, elektronikus továbbítására, lejegyzésére, tárolására, a tárolt adatok megjelenítésére vagy megváltoztatására, és visszaolvasására alkalmas. Adatkezelő: a betegellátó, az adatvédelmi felelős, illetve az adatkezeléssel általunk megbízott egyéb személy, a tolmács és a jeltolmács, valamint a külön törvény alapján adatkezelésre felhatalmazott személy vagy szerv vezetője. Adatfeldolgozó: az a természetes vagy jogi személy, jogi személyiséggel nem rendelkező szervezet, aki, vagy amely az adatkezelő megbízásából beleértve a jogszabály rendelkezése alapján történő megbízást is a személyes adatok feldolgozását végzi. Harmadik személy: olyan természetes, vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval. Egészségügyi ellátó-hálózat: egészségügyi ellátást nyújtó, valamint szakmai felügyeletét, ellenőrzését végző szervezet és természetes személy. Személyes adat: bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt közvetlenül vagy közvetve név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet. Egészségügyi adat: az érintett testi, értelmi és lelki állapotára, kóros szenvedélyére, valamint megbetegedés, illetve az elhalálozás körülményeire, a halál okára vonatkozó, általa vagy róla más személy által közölt, illetve az egészségügyi ellátó hálózat által észlelt, vizsgált, mért, leképzett vagy származtatott adat, továbbá az előzőekkel kapcsolatba hozható, vagy azokat befolyásoló mindennemű adat (pl. magatartás, környezet, foglalkozás). Személyazonosító adat: a családi és utónév, leánykori név, a nem, a születési hely és idő, az anya leánykori családi és utóneve, a lakóhely, a tartózkodási hely, a társadalombiztosítási azonosító jel (a továbbiakban: TAJ szám) együttesen vagy ezek közül bármelyik, amennyiben alkalmas vagy alkalmas lehet az érintett azonosítására. 7 Oldalszám:7/39

8 Különleges adat: a faji eredetre, a nemzeti, nemzetiségi és etnikai hovatartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat, valamint a bűnügyi (a büntetett előéletre vonatkozó) személyes adat. Gyógykezelés: minden olyan tevékenység, amely az egészség megőrzésére, továbbá a megbetegedések megelőzése, korai felismerése, megállapítása, gyógyítása, a megbetegedés következtében kialakult állapotromlás szinten tartása vagy javítása céljából az érintett közvetlen vizsgálatára, kezelésére, ápolására, orvosi rehabilitációjára, illetve mindezek érdekében az érintett vizsgálati anyagainak feldolgozására irányul. Ideértve a gyógyszerek, gyógyászati segédeszközök, gyógyfürdőellátások kiszolgálását, a mentést és betegszállítást, valamint a szülészeti ellátást is. Orvosi titok: a gyógykezelés során az adatkezelő tudomására jutott egészségügyi és személyes adat, továbbá a szükséges vagy folyamatban lévő, illetve befejezett gyógykezelésre vonatkozó, valamint a gyógykezeléssel kapcsolatban megismert egyéb adat. Az adatkezelőre vonatkozik az orvosi titoktartás, mely alól csak a beteg írásos hozzájárulása adhat felmentést, illetve a törvény alapján kötelező adattovábbítás jelent kivételt. Egészségügyi dokumentáció: a gyógykezelés során a betegellátó és adatkezelő tudomására jutott egészségügyi és személyazonosító adatokat tartalmazó feljegyzés, nyilvántartás vagy bármilyen más módon rögzített adat, függetlenül annak hordozójától vagy formájától. Kezelést végző orvos: az érintett gyógykezelését végző vagy abban közreműködő orvos. Betegellátó: a kezelést végző orvos, az egészségügyi szakdolgozó, az érintett gyógykezelésével kapcsolatos tevékenységet végző egyéb személy, a gyógyszerész. Közeli hozzátartozó: a házastárs, az egyenes ágbeli rokon, a házastárs egyenes ágbeli rokona, az örökbe fogadott, a mostoha- és nevelt gyermek, az örökbe fogadó, a mostoha- és nevelőszülő, valamint a testvér és az élettárs. Sürgős szükség: Az egészségi állapotában hirtelen bekövetkezett olyan változás, amelynek következtében azonnali egészségügyi ellátás hiányában az érintett közvetlen életveszélybe kerülne, illetve súlyos vagy maradandó egészségkárosodást szenvedne. XVI. Kerületi KESZ adatvédelmi felelőse, azonos az Intézményi Adatvédelmi Felelőssel, (IAVF): Ő a Szabályzat elkészítője, és a jelen Szabályzat első oldalán megnevezett intézményi adatvédelmi felelős, aki az intézményvezető által írásban megbízott munkatárs, és aki a XVI. Kerületi KESZ egészére vonatkozóan, az Intézményi Adatvédelmi Megbízottal (IAMB) és az 8 Oldalszám:8/39

9 egyes szervezeti egységek Egység Adatvédelmi Megbízottjaival (EAMB) együttműködve ellátja az adatvédelmi feladatokat. Az osztályok vezető asszisztensei jelen szabályzat 2. melléklete szerinti megbízólevél aláírásával töltik be az egységszintű adatvédelmi megbízott pozíciót. bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat; közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat; közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli; hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez; tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri; nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele; adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges; adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából; adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából; 9 Oldalszám:9/39

10 adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése; adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján - beleértve a jogszabály rendelkezése alapján kötött szerződést is - adatok feldolgozását végzi; adatfelelős: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett; adatközlő: az a közfeladatot ellátó szerv, amely - ha az adatfelelős nem maga teszi közzé az adatot - az adatfelelős által hozzá eljuttatott adatait honlapon közzéteszi; adatállomány: az egy nyilvántartásban kezelt adatok összessége; 10 Oldalszám:10/39

11 II. RÉSZ: A SZEMÉLYES ADATOK VÉDELME Adatkezelés 1. Személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul, vagy azt törvény vagy- törvény felhatalmazása alapján, az abban meghatározott körben helyi önkormányzat rendelete elrendeli. 2. Különleges adat akkor kezelhető (a gyógykezelés céljából történő adatkezelés kivételével), ha az adatkezeléshez az érintett írásban hozzájárul, vagy az törvényben kihirdetett nemzetközi szerződés végrehajtásához szükséges, vagy azt az Alaptörvényben biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése érdekében vagy honvédelmi érdekből törvény elrendeli. egyéb esetekben azt törvény közérdeken alapuló célból elrendeli. 3. Személyes adattal összekapcsolt különleges adat (pl. egészségügyi adat) kezelésére a különleges adat szigorúbb előírásait kell alkalmazni. 4. Személyes adatok védelméhez fűződő jogot és az érintett személyiségi jogait ha törvény kivételt nem tesz az adatkezeléshez fűződő más érdekek, ideértve a közérdekű adatok nyilvánosságát is, nem sérthetik. Adatfeldolgozás 1. Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit az Infotörvény, valamint az adatkezelésre vonatkozó külön törvények keretei között az adatkezelő határozza meg. Az adatkezelési műveletekre vonatkozó utasítások jogszerűségéért az adatkezelő felel. 2. Az adatfeldolgozó tevékenységi körén belül, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltozásáért, törléséért, továbbításáért és nyilvánosságra hozataláért. 3. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezése szerint köteles tárolni és megőrizni. 4. Az adatfeldolgozásra vonatkozó megbízási szerződést írásba kell foglalni. Az adatfeldolgozásra nem adható megbízás olyan vállalkozásnak, amely a feldolgozandó személyes adatokat felhasználó tevékenységben érdekelt. Célhoz kötöttség Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. 11 Oldalszám:11/39

12 Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, és csak a cél megvalósulásához szükséges mértékben és ideig. Az érintettel az adat felvétele előtt közölni kell, hogy az adatszolgáltatás önkéntes vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is. Az adatkezelésről való tájékoztatás megtörténik azzal, hogy jogszabály rendelkezik a már létező adatkezelésből továbbítással vagy összekapcsolással az adat felvételéről. A tájékoztatás különösen statisztikai, vagy tudományos célú adatkezelés esetén megtörténhet az adatgyűjtés tényének, az érintettek körének, az adatgyűjtés céljának, az adatkezelés időtartamának és az adatok megismerhetőségének mindenki számára hozzáférhető módon történő nyilvánosságra hozatalával, ha az egyénre szóló tájékoztatás lehetetlen, vagy aránytalan kötelességgel járna. Adattovábbítás, az adatkezelések összekapcsolása Az adatok akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárult, vagy törvény azt elrendeli/megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek. Adatbiztonság, adatok védelme Alapelv: az adatok, dokumentumok esetében a sérülés, elvesztés vonatkozásában a fő hangsúly ezen problémák megelőzésén van. Ennek biztosítására a Szabályzatban foglaltak betartása, betartatása, azok ellenőrzése és a józan ítélőképesség egyaránt fontos. Az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni, az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket, és kialakítani azokat az eljárási szabályokat, amelyek az Infotörvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton, vagy egyéb informatikai eszköz útján történik. Az adatkezelőnek és az adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek. 12 Oldalszám:12/39

13 Minden adatkezeléssel foglalkozó személy munkája közben köteles az elvárható legnagyobb gondossággal eljárni az adatok hitelessége, megőrzése és az illetéktelen hozzáférés megakadályozása érdekében. Az adatok tárolása és továbbítása során az általános baleset- és tűzvédelmi előírásokat, esetleges csőtörés miatti dokumentum megsemmisülés megelőzésére hozott intézkedéseket be kell tartani. Manuálisan kezelt adatok Az adatokat keletkezésükkor megfelelő minőségű (hagyományos papír, formanyomtatvány) adathordozóra kell rögzíteni. Az adatok olvashatóságáért az azokat felvevő, illetve rögzítő (leíró) személy felel. Az adatokat az ellátás időtartama alatt rendezett, visszakereshető formában, zárható körülmények között kell tárolni. Az adatok visszakereshetőségét olyan megoldással kell biztosítani, hogy az akut ellátás esetében azonnal, visszarendelés esetében azonnal vagy 30 percen belül, dokumentum másolat kérés esetében 2 munkanapon belül megvalósítható legyen. Elektronikusan tárolt adatok Elektronikusan tárolt adatok esetében adatot csak a hozzáférési listára felvett, nyilvántartott adatkezelő kezelhet. Hozzáférési jogot csak a XVI. Kerületi KESZ közalkalmazottai, illetve szerződéses partnerei kaphatnak, a szerződés hatályosságának időtartamára. Az adatkezelőnek egyéni, titkos jelszóval kell bejelentkeznie a rendszerbe. Az adatkezelés befejeztével a rendszerből ki kell lépni. A rendszerbe történt, jelszóval védett adatkezelésért az adatkezelő felel. Az esetleges visszaélések elkerülése érdekében az adatkezelő kötelessége, hogy egyéni jelszava titkosságát biztosítsa. A rendszer fejlesztése az adatkezelés aktuális adatait tároló és működtető egységeitől elkülönítetten kell, hogy megtörténjen. A fejlesztés során a fejlesztő köteles együttműködni az adatvédelmi felelőssel az adatvédelmet érintő kérdésekben. A hálózati rendszerek esetén a szerverekben tükrözött adattárolást kell alkalmazni. Az adatok környezetének védelme Manuális adatok környezetének védelme 13 Oldalszám:13/39

14 Személyes adatokat tartalmazó hagyományos adathordozó kezelésében csak a XVI. Kerület Kertvárosi Egészségügyi Szolgálatával munkavégzésre irányuló jogviszonyban álló dolgozó vehet részt. Azokban a helyiségekben, amelyekben személyes adatok kezelése történik, csak az alábbi személyek tartózkodhatnak: munkavégzés, tanulás céljából jelen lévő személy, az érintett vagy törvényes képviselője, valamint az érintett által írásban felhatalmazott személyek manuálisan kezelt dokumentációt előfordulási helyeiken el kell zárni, vagy folyamatos felügyeletet kell biztosítani kommunális térben történő kényszer tárolás esetében a tárolók zárhatóságát és a zárás tényét az egység adatvédelmi felelőse köteles rendszeresen ellenőrizni. Mindemellett törekedni kell arra, hogy ilyen helyiségekben dokumentáció ne kerüljön tárolásra. nagy mennyiségű adat tárolására szolgáló helyiségek biztonsági zárhatóságáról, a tűzés vízbetörés elleni védelemről gondoskodni kell. Ugyanakkor kerülni kell a biztonsági berendezések túlzott és kihívó alkalmazását. Az elektronikusan tárolt adatok környezetének védelme A hálózati rendszerek esetén a szervereket önálló gépteremben kerülnek elhelyezésre, mely helyiség tűzvédelmi riasztóberendezéssel felszerelt. A megfelelő hőmérséklet klímaberendezéssel biztosított. A gépterem számítástechnikai eszközeinek áramellátása szünetmentes áramforrással legyen biztosított. Bármilyen nem informatikai karbantartás vagy szerelés a gépteremben csak az üzemeltetést végző szervezeti egység adatvédelmi felelősének engedélyével és felügyelete mellett történhet. A takarítószemélyzetet a takarítás során követendő speciális eljárásokra ki kell oktatni. Az oktatás az egység adatvédelmi felelősének feladata. Jogosulatlan tartózkodás elleni védelem: A gépteremben csak az üzemeltetést végző szervezeti egység vezetőjének engedélyével lehet tartózkodni. A géptermet riasztóberendezéssel kell ellátni, ami jogosulatlan behatolás esetén riasztást ad. Hálózati elemek védelme: A számítógépes hálózaton kezelőszervvel ellátott részegység csak megfelelő fizikai védelemmel (zártan) helyezhető el. A közüzemi hálózaton történő karbantartás vagy szerelés esetén különös gondot kell fordítani a számítógépes hálózat vezetékének épségére. A számítógépes hálózat vázlatát, a szerelést, karbantartást végző részlegeknek külső vállalkozók esetében a szerelés, karbantartás idejére át kell adni. Az átadásért, vagy a korábbi átadás megtörténtének ellenőrzéséért a XVI. Kerületi KESZ kapcsolattartója (elrendelő, szakmai irányító) felelős. 14 Oldalszám:14/39

15 Munkaállomások védelme: A munkaállomásokat, különösen az adatokat saját adathordozón történő tárolás esetén - az eltulajdonítás ellen - fizikai eszközökkel is védeni kell (a helységekben folyamatos személyes jelenlétet kell biztosítani, ennek hiányában azokat zárva kell tartani, szükség esetén ablakrácsot, mozgásérzékelős riasztást vagy kamerás megfigyelést kell alkalmazni). Archiválás Manuálisan kezelt adatok Az archiálási munka pontos menete jelen Szabályzat 3. sz. mellékletében foglaltak szerint történik. Az dokumentumok átadás-átétele e szabályzat 4. melléklete szerint kerül dokumentálásra, selejtezésre történő leadása pedig az 5. sz. melléklet nyomtatvány kitöltésével. Elektronikus adatkezelés Elektronikus adatkezelés esetén az adatok biztonságos és gyors rendelkezésre állása érdekében szükséges az adatok kezelt és archivált állapota között elhelyezkedő közbenső állapot, a mentett adat állapot. Az archiválást évente egyszer, csak írható adathordozóra kell elvégezni, a mentés naponta történik. Tárolásuknál elsődleges szempont, hogy az eredeti adattároló sérülése esetén az adatok helyreállítása a legrövidebb időn belül megtörténhessen. A mentés/archiválás alapelvei: A mentést hordozható háttértárolóra kell elvégezni Az archiválásnak, az adatok tárolásának helyétől eltérő fizikai helyen lévő tárolóegységen kell történnie A mentés/ archiválás visszatölthetőségéről meg kell győződni. Az adathordozókat megfelelő tűzálló dobozban vagy szekrényben, az eredeti adatokat tartalmazó eszközöktől eltérő tűzszakaszban kell tárolni. Az adathordozókon fel kell tüntetni: Az egyedi azonosítót Az eredeti adathordozó eszköz nevét A használatba vétel dátumát A mentés dátumát, időpontját Ellenőrzésekkel, rendkívüli eseményekkel és a selejtezéssel kapcsolatos bejegyzéseket, az adathordozókhoz történő minden hozzáférést rögzíteni kell, az alábbiak szerint: Az engedélyező neve és aláírása A felhasználó neve A felhasználás célja A felhasználás időpontja 15 Oldalszám:15/39

16 A selejtezendő adathordozókat fizikai roncsolással kell megsemmisíteni, a selejtezés idejét és tényét a mentési nyilvántartásban rögzíteni kell. A mentés/ archiválást informatikus végzi minden olyan szerveren, vagy önálló munkaállomáson, ahol az adatok fizikai tárolása történik. 16 Oldalszám:16/39

17 III. RÉSZ: AZ ADATVÉDELMI RENDSZER FELÉPÍTÉSE, SZABÁLYOZÁSA Az adatvédelmi szervezet felépítése Az Intézményvezető feladatai: Az intézményen belül a személyes adatok védelméért, a nyilvántartás megőrzéséért az ezzel kapcsolatos szabályozásért és a feltételrendszer biztosításáért az adatot kezelő intézmény vezetője felelős. Tevékenysége során: kinevezi és írásban megbízza az intézmény adatvédelmi felelősét (IAVF), akinek operatív tevékenységén keresztül biztosítja az alábbiak megvalósulását: az adatvédelmi szabályok intézményi szintű betartása, az adatkezelők és adatfeldolgozók adatkezeléssel, illetve adatfeldolgozással összefüggő tevékenységének ellenőrzése. o kinevezi és írásban megbízza az intézmény adatvédelmi megbízottját (IAMB), akinek feladata az IAVF támogatása a papíralapú adatok és iratok biztonságának megőrzésére szolgáló eljárások kialakításában és betartásának / betartatásának felügyeletében, o kezdeményezi az adatvédelem, illetve az adatbiztonság területén kifejlesztett új technológiák, eszközök alkalmazását, o tudományos kutatás esetén intézményi és intézetek közötti viszonylatban engedélyezi az orvosi dokumentációba való betekintést, o a szervezeti egységek adatvédelmi megbízottjai (EAMB) adatvédelemmel kapcsolatos feladatait és jogait az e szabályzat 2. számú melléklete szerinti megbízólevélben rögzíti, o ellenőrzi, jóváhagyja a XVI. Kerületi KESZ adatvédelmi felelőse által benyújtott előterjesztéseket. Szükség esetén állásfoglalást kér az illetékes szakemberektől. A XVI. Kerületi KESZ adatvédelmi felelősének (IAVF) feladatai A XVI. Kerületi KESZ adatvédelmi felelősének alapvető feladata, hogy jelen Szabályzatban rögzített kötelezettségeit teljesítve, a XVI. Kerületi KESZ adatvédelmi és az ezzel összefüggő adatbiztonsági szempontok kielégítő működését biztosítsa. Az adatvédelmi felelős a XVI. Kerületi KESZ igazgatója felé tájékoztató, előterjesztő, javaslattevő, véleményező jogosultságokkal bír, ennek kifejtése érdekében jogok illetik, valamint kötelezettségek terhelik. 17 Oldalszám:17/39

18 Az IAVF kötelezettségei: Az adatvédelmi és az ezzel összefüggő adatbiztonsági feladatokról, az adatvédelemmel kapcsolatos problémákról, folyamatosan tájékoztatja az intézményvezetőt. Kezdeményezi az engedélyeztetési, jóváhagyási eljárásokat. Javasolja és támogatja az adatvédelem, illetve az ahhoz kapcsolódó adatbiztonság területén kifejlesztett új technológiák és eszközök alkalmazását, Gondoskodik a XVI. Kerületi KESZ adatvédelmi, illetve adatkezelési szabályzatának naprakészségéről. Időszakosan, de évente legalább egyszer az informatikussal közösen ellenőrzi az intézmény adatvédelemmel kapcsolatos helyzetét, Továbbképzést tart a szervezeti egységek EAMB-jei, illetve az adatkezelésben érintett munkatársaknak az elektronikusan tárolt és archivált dokumentumok vonatkozásában. Az Intézményvezető felkérésére megadja az érintettek kérdéseivel kapcsolatos állásfoglalását. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felé bejelenti a XVI. Kerületi KESZ adatkezeléseit Az IAVF jogai: Rendelkezésére kell, hogy álljon minden dokumentáció és egyéb információ, amely munkája ellátásához szükséges. Betekinthet az adatvédelemmel kapcsolatos bármely iratba és dokumentációba. Tanácskozási és jóváhagyási joggal résztvesz minden fórumon, ahol hatáskörébe tartozó témák szerepelnek napirenden. Előterjesztési jog illeti meg a vezetőség felé vitás kérdésekben, vagy ha a törvényi, illetve jelen Szabályzatban előírt szempontok veszélyeztetését, be nem tartását észleli és közvetlen intézkedése nem járt eredménnyel. Közvetlen intézkedési jogát az intézményvezető a kinevezési megbízásában határozza meg. A XVI. Kerületi KESZ intézményi adatvédelmi megbízott (IAMB) feladatai: Az IAMB jogai és kötelezettségei Az IAMB felelős a manuálisan kezelt dokumentumok szabályzatban foglalt biztonságáért Feladata elvégzéséhez jelen Adatvédelmi szabályzat ad alapot, tevékenységét az IAVF-sel történő együttműködésben, annak koordinálása és ellenőrzése mellett végzi. Időszakos képzését az intézményvezető döntése alapján az IAVF szervezi. Továbbképzést tart a szervezeti egységek EAMB-jei résére a manuálisan kezelt dokumentumok tárolásai illetve archiválása vonatkozásában. 18 Oldalszám:18/39

19 Folyamatosan ellenőrzi a manuálisan kezelt dokumentumok tárolását, archiválását Rendelkezésére kell, hogy álljon minden dokumentáció és egyéb információ, amely munkája ellátásához szükséges. Betekinthet az adatvédelemmel kapcsolatos bármely iratba és dokumentációba. Tanácskozási és jóváhagyási joggal résztvesz minden fórumon, ahol hatáskörébe tartozó témák szerepelnek napirenden. Előterjesztési jog illeti meg a vezetőség felé vitás kérdésekben, vagy ha a törvényi, illetve jelen Szabályzatban előírt szempontok veszélyeztetését, be nem tartását észleli és közvetlen intézkedése nem járt eredménnyel. Közvetlen intézkedési jogát az intézményvezető a kinevezési megbízásában határozza meg. A XVI. Kerületi KESZ szervezeti egységei adatvédelmi megbízottainak (EAMB) feladatai A szervezeti egységek adatvédeleméért az egységek adatvédelmi megbízottai felelősek. Feladatuk elvégzéséhez jelen Adatvédelmi szabályzat ad alapot, tevékenységüket az IAVF koordinálja és ellenőrzi. Időszakos képzésüket az intézményvezető döntése alapján az IAVF szervezi. NAIH felé bejelentett adatkezelések A Nemzeti Adatvédelmi és Információszabadság Hatóság által nyilvántartásba vett adatkezelések megnevezése és száma: " ki- és belépések regisztrálása. beléptető- rendszer működtetése a KESZ által kibocsátott beléptető kártya használatával. " NAIH-58559/2012. " elektronikus megfigyelés - kamerázás. elektronikus megfigyelés KESZ telephelyén kamera megfigyelő rendszer alkalmazásával. " NAIH-58340/2012. humán erőforrás kiválasztás. beérkezett önéletrajzok kezelése a megfelelő munkaerő kiválasztása érdekében. NAIH-67473/2013. Az adatvédelmi képzés szabályozása Az új, belépő közalkalmazottak adatvédelemmel kapcsolatos felkészítését az egység adatvédelmi felelőse végzi, annak módját maga választhatja meg. Az alapismeretek oktatását és a tudomásul vételt írásban rögzíteni kell. Az aláírt nyilatkozat egy példányát a munkaköri leírás munkaügyi osztályon lévő példányához kell csatolni. Adatvédelmi képzés évente egy alkalommal kerül megrendezésre az EAMB-k részére, törvényi illetve egyéb jelentős változás esetén ettől eltérően, rendkívüli képzés kitűzésére is sor kerülhet. 19 Oldalszám:19/39

20 Az adatvédelmi jelentési kötelezettség szabályozása Különleges eseményekről (pl. érintettek bármely kérésének megtagadása, lopás, bármely hatóság részéről való megkeresés) jegyzőkönyvet, feljegyzést kell készíteni, a feljegyzést az adatvédelmi felelős készít el három példányban (1 db az intézményvezetőnek küldendő, 1 db az irattárba helyezendő, 1 db az adatvédelmi felelős saját példánya). A címzettekhez való eljuttatási határidő: eseményt követő 72 órán belül, amennyiben sürgősség és az esemény jelentősége mást nem indokol. 20 Oldalszám:20/39