Adatvédelmi és Adatbiztonsági Szabályzat

Átírás

1 Országos Frédéric Joliot-Curie Sugárbiológiai és Sugáregészségügyi Kutató Intézet OSSKI Adatvédelmi és Adatbiztonsági Szabályzat Kapcsolódó szabályzatok: - ÁNTSZ OTH Adatvédelmi Szabályzata - Az Országos Tiszti Főorvos 31/2009. utasítása az ÁNTSZ OTH Adatvédelmi Szabályzatáról - Iratkezelési Szabályzat - Titokvédelmi Szabályzat - Közzétételi Szabályzat - OSSKI Informatikai Biztonsági Politika és Szabályzat - Számítástechnikai Üzemeltetési Szabályzat Készítette: Jóváhagyom: Dr. Szarkáné Németh Ágnes intézeti adatvédelmi felelős Dr. Turai István mb. főigazgató főorvos Hatályba lép: Budapest,

2 TARTALOMJEGYZÉK TARTALOMJEGYZÉK A SZABÁLYZAT CÉLJA A SZABÁLYZAT HATÁLYA ILLETÉKESSÉG ÉS FELELŐSSÉG MEGHATÁROZÁSA FOGALMAK Adat Adatvédelem Adatbiztonság Adatkezelés Felelős Adatfajták Személyes adat Különleges személyes adat, egészségügyi adat Tudományos (szerzői) adat Pénzügyi/gazdasági adat Szolgálati adat Minősített adatok Közérdekű adat Az adatok minőségi követelményei Adatfeldolgozás Adattovábbítás Adattörlés Adatmegsemmisítés Adatkezelő Adatfeldolgozó Adatgazda Érintett/Szerző/Ügyfél Harmadik fél Hozzájárulás Nyilvánosságra hozatal SZABÁLYZAT LEÍRÁSA Az Intézetben történő adatkezelés védelmi lépései Általános irányelvek az adatkezelésekre Az Intézetben megtett adatbiztonsági lépések Az adatkezelés kiemelt lépései Az adatfeldolgozás Adattovábbítás, adatátadás/átvétel, különböző adatkezelések összekapcsolása Adattovábbítás külföldre Az adatok módosítása és törlése Az adatok megsemmisítése Személyes adatok feldolgozása és felhasználása az Intézetben Személyes adatok felhasználása statisztikai célra Az adatkezelő bejelentési kötelezettségei Elutasított kérelmek jelentése Az Intézet kötelezettségei, az Érintettek jogai Közérdekű adatok nyilvánossága Az Intézetben történő adatkezelés ellenőrzési lépései Az Intézet adatvédelmi felelőse Az adatgazdák szerepe Az adatvédelmi nyilvántartás HIVATKOZÁSOK Kapcsolódó jogszabályok Kapcsolat a belső szabályozó dokumentumokkal MELLÉKLETEK ZÁRÓ RENDELKEZÉSEK... 15

3 1 A SZABÁLYZAT CÉLJA Az Adatvédelmi és Adatbiztonsági Szabályzat (AASZ) célja, hogy meghatározza az adatok adatkezelési módját az Országos "Frédéric Joliot-Curie" Sugárbiológiai és Sugáregészségügyi Kutató Intézetben (a továbbiakban: Intézet) az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek megfelelően, a Belső Adatvédelmi Nyilvántartás rendje szerint. Az AASZ célja továbbá, hogy az adatok védelmének érdekében a szükséges műszaki, szervezési és ellenőrzési rendszerek létrejöjjenek, a fentiek betartásával megakadályozza a jogosulatlan hozzáférést, az adatok megváltoztatását és jogosulatlan nyilvánosságra hozatalát, valamint, hogy amennyiben a jogszabály kivételt nem tesz személyes adatával mindenki szabadon rendelkezhessen, a közérdekű adatokat pedig mindenki megismerhesse. A közérdekű adatok közzétételi kötelezettségének teljesítéséről a Közzétételi Szabályzat rendelkezik. Az államtitok és a szolgálati titok védelméről a Titokvédelmi Szabályzat rendelkezik. A szabályzatban nem szereplő kérdésekben a Mellékletben felsorolt jogszabályok, az ÁNTSZ OTH Adatvédelmi és Adatbiztonsági Szabályzata, valamint a kapcsolódó intézeti szabályzatok az irányadóak. 2 A SZABÁLYZAT HATÁLYA A szabályzat szervezeti hatálya kiterjed az Intézet valamennyi szervezeti egységére, ahol személyes, különleges vagy közérdekű adatokat kezelnek. Az AASZ személyi hatálya kiterjed az Intézet valamennyi szervezeti egységének munkatársaira, valamint a szervezeti egységekkel szerződéses vagy egyéb kapcsolatban álló munkatársakra, akik a munkájuk során személyes, különleges vagy közérdekű adatokat kezelnek. Az AASZ tárgyi hatálya kiterjed az Intézet szervezeti egységeinél nyilvántartott valamennyi személyes, különleges és közérdekű adatra, a velük végzett adatkezelési műveletek teljes körére, keletkezésük, felhasználásuk, feldolgozásuk helyétől, valamint megjelenési formájuktól függetlenül. 3 ILLETÉKESSÉG ÉS FELELŐSSÉG MEGHATÁROZÁSA A szabályzatban meghatározott, szabályozott tevékenységek végrehajtásában az alábbiak illetékesek, felelősek: jelen szabályzat készítéséért: adatvédelmi felelős Nyilvántartási szám: 987-2/2010 Fájlnév: Adatvedelmi_Szabalyzat_ pdf Oldal: 15 Változat szám: 02 A dokumentum eredeti példánya az OSSKI Igazgatósági Titkárságán ( C épület 2. em os irodában) található.

4 jelen szabályzat jóváhagyásáért: főigazgató-főorvos jelen szabályzat alkalmazásáért meghatározott feladatkörben: az Intézet vezetői szervezeti egységek vezetői adatvédelmi felelős informatikai biztonsági felügyelő az Intézet munkatársai jelen szabályzat alkalmazásának ellenőrzéséért: adatvédelmi felelős informatikai biztonsági felügyelő főosztályvezetők osztályvezetők belső ellenőrök minőségügyi vezető 4 FOGALMAK 4.1 Adat A tények, az elképzelések nem értelmezett, de értelmezhető közlési formája, szimbólum. Valakinek vagy valaminek a megismeréséhez, jellemzéséhez hozzásegítő (nyilvántartott) tény, részlet. 4.2 Adatvédelem Az adatok kezelésével kapcsolatos törvényi szintű jogi szabályozás formája, amely az adatok valamilyen szintű, előre meghatározott csoportjára vonatkozó adatkezelés során az érintett személyek jogi védelmére és a kezelés során felmerülő eljárások jogszerűségeire vonatkozik. 4.3 Adatbiztonság Az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere. 4.4 Adatkezelés Adatok feltérképezése, gyűjtése, felvétele, tárolása, rendszerezése, feldolgozása, hasznosítása, sokszorosítása, továbbítása (hozzáférhetővé tétele harmadik fél számára), átadása, ábrázolása, táblázatok, ábrák, grafikonok készítése, számításokban történő felhasználás, statisztikákban történő szerepeltetés stb., nyilvánosságra hozatala, bárminemű megváltoztatása, átalakítása, további felhasználásuk megakadályozása, illetve törlése a jogszabályi és a belső szabályozási követelmények betartásával.

5 4.5 Felelős A rábízott dolgokról, személyekről, feladatokról számot adni, a velük kapcsolatos anyagi, jogi stb. következményeket viselni köteles természetes vagy jogi személy. 4.6 Adatfajták Személyes adat Személyes adat, a természetes személlyel (a továbbiakban: Érintett) kapcsolatba hozható adat, illetve az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt közvetlenül vagy közvetve név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet; Különleges személyes adat, egészségügyi adat Egészségi állapotra vonatkozó adat: bármely természetes személy testi, értelmi és lelki állapotára, kóros szenvedélyére, szexuális magatartására, valamint megbetegedéseire, továbbá esetleges elhalálozásának körülményeire, a halál okára vonatkozó közvetlen vagy közvetett (leképezett és/vagy származtatott) adat Tudományos (szerzői) adat Tudományos (szerzői) adatnak minősül minden olyan adat (még a belőle készített tudományos közlemény nyilvánosságra hozatala előtti állapotában is), amely az Intézet munkatársai által, a tudományos/szakmai tevékenységük eredményeként áll elő. (A szerzői jogi törvény értelmében is.) Pénzügyi/gazdasági adat Pénzügyi/gazdasági adatnak minősül az Intézettel bármilyen pénzügyi-gazdasági vonatkozásba hozható külső fél adata. Továbbá, pénzügyi/gazdasági adatnak minősül az Intézettel szerződő (vagy szerződést kötni készülő) külső félnek minden adata - kivéve, a jogszabályok, illetve a cégbíróság által nyilvánosan hozzáférhetővé tett adatai Szolgálati adat A szolgálati adat az Intézet jogszabályokban és az alapító okiratban előírt állami feladatainak ellátásához szükséges tevékenységeinek és működőképességének megőrzésével és folytatásával kapcsolatba hozható adat Minősített adatok A szolgálati titok alá eső adatok.

6 4.6.7 Közérdekű adat Az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő, valamint a tevékenységére vonatkozó, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől. Az Intézet részéről korlátozás nélkül hozzáférhető, elérhető bármely természetes és jogi személy számára. 4.7 Az adatok minőségi követelményei Felvételük és kezelésük tisztességes és törvényes. Pontosak, teljesek és ha szükséges időszerűek. Tárolásuk módja alkalmas arra, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani. Korlátozás nélkül használható, általános és egységes személyazonosító jel alkalmazása tilos. 4.8 Adatfeldolgozás Az adatkezelés azon része, amikor az adatból az adatkezelés céljául kitűzött feladatokat elvégzik, meghatározott műszaki berendezések segítségével, eredmény származik belőle, ami értékelésre, következtetések levonására, döntésekre alkalmas. 4.9 Adattovábbítás Az adatot meghatározott harmadik személy számára hozzáférhetővé teszik Adattörlés Az adatok felismerhetetlenné tétele oly módon, hogy helyreállításuk többé nem lehetséges Adatmegsemmisítés Az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítése Adatkezelő Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja Adatfeldolgozó Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából beleértve a jogszabály rendelkezése alapján történő megbízást is az adatok feldolgozását elvégzi.

7 4.14 Adatgazda Valamely szervezeti egységben történő adatkezelés lebonyolítására, a szervezeti egységen belül az egyes adatkezelési műveletek során az adatok védelmének és az adatok biztonságának megőrzésével és fenntartásával megbízott, az adott szervezeti egységbe beosztott egyszemélyi felelős Érintett/Szerző/Ügyfél Érintett az a természetes személy, aki a szabályzatban leírt cselekmények során személyes és/vagy egészségügyi adataival kapcsolatba hozható. Szerző az Intézeti azon alkalmazottja, aki tudományos-szakmai tevékenysége során annak eredményeként adatot állít elő. Ügyfél az Intézet valamely szolgáltatását igénybe vevő természetes személy, vagy jogi személy Harmadik fél Az adatkezelés kapcsán harmadik félnek minősül az a szervezet állományába nem tartozó, külső természetes vagy jogi személy: akire a szervezet birtokában lévő adatok vonatkoznak vagy akik valamilyen szerződéses vagy egyéb jogilag szabályozott kapcsolat keretében a szervezett valamely adataival kapcsolatban adatkezelést végeznek Hozzájárulás Az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok teljes körű vagy egyes műveletekre kiterjedő kezeléséhez Nyilvánosságra hozatal Nyilvánosságra hozatal, ha az adatot bárki számára hozzáférhetővé teszik. Minden olyan tevékenység, mely során az adat kikerül az intézeti adatkezelési folyamat alól és ennek eredményeként mind az adattartalmat megismerők köre, mind az adat felhasználási célja az Intézet számára ellenőrizhetetlenné válik.

8 5 SZABÁLYZAT LEÍRÁSA 5.1 Az Intézetben történő adatkezelés védelmi lépései Az Intézet kizárólag akkor kezelhet személyes és egészségügyi adatot, ha arra a törvény felhatalmazza. A személyes, illetve egészségügyi adatot csak meghatározott célból kezelhet, mely célnak az adatkezelés során mindvégig meg kell felelni. Az adatok minőségi követelményének mindig teljesülni kell. Eszerint az adatok felvétele és kezelésük törvényes és tisztességes. Az adatkezelés az Érintett (kiskorú Érintett esetén annak törvényesen megállapított gondviselője) írásbeli hozzájárulásával folyhat. Az Érintettel közölni kell, hogy az adatszolgáltatás önkéntes, vagy kötelező (ha kötelező, akkor meg kell nevezni az adatkezelést elrendelő jogszabályt). Az adatkezelésnél törekedni kell a pontosságra, teljességre és időszerűségre. Az adattárolásnál be kell tartani, hogy az Érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani, nem használható általános és egységes személyazonosító jel. A személyes adatok kezelését meg kell szüntetni, ha az adatkezelés célja megvalósult, vagy megszűnt, kivéve, ha az új cél érdekében történő adatkezeléshez az Érintett hozzájárult. Az Intézet tudományos adatot csak a Szerző hozzájárulásával kezelhet. Az Intézet szolgálati adatot a munkaköri leírásoknak megfelelően, illetve főigazgatói felhatalmazás értelmében kezelhet. Az Intézet pénzügyi/gazdasági adatot a munkaköri leírásoknak megfelelően, illetve főigazgatói vagy gazdasági igazgatói felhatalmazás értelmében kezelhet. Az Intézet valamely Ügyfél adatát csak az Ügyfél felhatalmazásával kezelheti. 5.2 Általános irányelvek az adatkezelésekre A szokásos esetekben vélelmezhető az Ügyfél hozzájárulása az adatkezeléshez, de erről az Ügyfelet tájékoztatni kell, melynek módjáról az intézeti adatvédelmi felelős tesz javaslatot. Az Ügyfél az adatkezeléshez való hozzájárulását általában írásban kötött szerződés alapján teheti meg, ettől eltérni csak az adatvédelmi felelős beleegyezésével lehet. A szerződésnek, mindent tartalmaznia kell, azt is ami az adatkezelés szempontjából nem érinti az ügyfelet (kezelendő adatok fajtája, adatkezelés célja és időtartama, adattovábbítás stb.). A szerződésnek tartalmaznia kell az Ügyfél bármely adatának (például, de nem kizárólag: az Ügyfél megrendelésére történt mérési eredmény) tudományos adatként történő felhasználásához történő külön hozzájárulást. Az Intézet bármely szervezeti egysége által kezdeményezett adatkezelési szándékát az adott szervezeti egységnek minden esetben jóvá kell hagyatnia az adatvédelmi felelőssel. 5.3 Az Intézetben megtett adatbiztonsági lépések Az Intézet adatkezelőként és adatfeldolgozóként köteles gondoskodni az általa kezelt, feldolgozott adatok biztonságáról, köteles továbbá megtenni azokat a műszaki és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, melyek az adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Védeni kell azokat

9 a jogosulatlan hozzáféréstől, a jogosulatlan módosítástól, az indokolatlan továbbítástól, nyilvánosságra hozástól, az indokolatlan törléstől és sérüléstől vagy megsemmisüléstől. A gyakorlatban megvalósuló adatkezelési, adatvédelmi és adatbiztonsági eljárásokat a Belső Adatvédelmi Nyilvántartás és az Informatikai Biztonsági Politika és Szabályzat tartalmazza. 5.4 Az adatkezelés kiemelt lépései Az adatfeldolgozás Az Intézet adatfeldolgozói tevékenységet saját maga részére vagy megbízás alapján végezhet. Az adatkezelés jogszerűségéért az adatkezelő a felelős. Az adatkezelésre vonatkozó tervet előzetesen véleményeztetni kell az adatvédelmi felelőssel. Az Intézet felelős a személyes adatok megváltoztatásáért, törléséért, továbbításáért, stb. az adatfeldolgozási tevékenység keretein belül. E tevékenység folytatása esetén az adatvédelmi felelősnek kell kijelölni az adatfeldolgozás gazdáját, aki az adatfeldolgozás alatt biztosítja a jogszabályok és kapcsolódó szerződésben foglaltak betartását. Az Intézet, mint megbízott adatfeldolgozó, előzetes hozzájárulás nélkül más adatfeldolgozót nem vehet igénybe, nem hozhat adatkezelési döntést, nem végezhet adatfeldolgozást saját céljára, valamint köteles a személyes adatokat az adatkezelő rendelkezései szerint tárolni és megőrizni. A megbízás alapján történő adatfeldolgozás esetén a megbízó a felelős adatkezelő Adattovábbítás, adatátadás/átvétel, különböző adatkezelések összekapcsolása Az Intézet személyes adatokat az Érintettek és Ügyfelek szóbeli hozzájárulásával, vagy törvényi felhatalmazással továbbíthat, adhat/vehet át ill. kapcsolhat össze különböző adatkezelésből származó adatokat, az adatvédelmi felelős koordinációja mellett Adattovábbítás külföldre Személyes adat (beleértve a különleges adatot is) az országból az adathordozótól vagy az adatátvitel módjától függetlenül harmadik országban lévő adatkezelő vagy adatfeldolgozó részére akkor továbbítható, ha ahhoz az érintett kifejezetten hozzájárult, vagy azt törvény lehetővé teszi, és a harmadik országban az átadott adatok kezelése, illetőleg feldolgozása során biztosított a személyes adatok megfelelő szintű védelme. A személyes adatok megfelelő szintű védelme akkor biztosított, ha az Európai Közösség Bizottsága külön törvényben meghatározott jogi aktus alapján megállapítja, hogy a harmadik ország megfelelő szintű védelmet nyújt,

10 a harmadik ország és a Magyar Köztársaság között az érintetteknek a jogai érvényesítésére, a jogorvoslati jog biztosítására, valamint az adatkezelés, illetve az adatfeldolgozás független ellenőrzésére vonatkozó garanciális szabályokat tartalmazó nemzetközi szerződés van hatályban, vagy a harmadik országbeli adatkezelő vagy adatfeldolgozó az adatkezelés vagy adatfeldolgozás szabályainak ismertetésével igazolja, hogy az adatkezelés vagy adatfeldolgozás során megfelelő szinten biztosítja a személyes adatok védelmét, az érintettek jogait és azok érvényesítését. Személyes adatok nemzetközi jogsegélyegyezmény végrehajtása érdekében, az egyezményben meghatározott célból és tartalommal továbbíthatók harmadik országba. Az Európai Gazdasági Térség államaiba irányuló adattovábbítást úgy kell tekinteni, mintha a Magyar Köztársaság területén belüli adattovábbításra kerülne sor Az adatok módosítása és törlése Az Intézetnek helyesbítési kötelezettsége van a nem valós adatokkal szemben, ha erről tudomást szerez. Törölni kell a személyes adatokat, ha az alábbiak egyike (v. több) fennáll: kezelése jogsértő, az Érintett/Ügyfél kéri, hiányos és nem korrigálható, az adatkezelés célja megszűnt, az adattárolás meghatározott határideje lejárt, az adatvédelmi biztos, vagy bíróság elrendelte, kivéve, ha törvény, vagy más jogszabály kizárja a törlést, illetve ha új adatkezelési cél érdekében felhatalmazás született. Az Érintett/Ügyfél adatainak módosítási, törlési kérelmét írásos formában (vagy az adatvédelmi felelőssel egyeztetett módon) fogadhatja el az Intézet. A módosítást az érintett szervezeti egységnek kell végrehajtania Az adatok megsemmisítése Az Intézet köteles megsemmisíteni az adatokat, ha az adatok megőrzési ideje lejárt és nem kapott újabb megbízást az adatkezelés folytatására. Ha a műszaki berendezéseket korszerűbbre cserélték és az adatokat biztonságba helyezték az új berendezéseknek megfelelően, akkor a régi berendezésen meg kell semmisíteni az adatokat, selejtezés előtt. 5.5 Személyes adatok feldolgozása és felhasználása az Intézetben Tudományos kutatás céljára felvett vagy tárolt személyes adat csak tudományos kutatás céljára használható fel. A személyes adatot mihelyst a kutatási cél megengedi anonimizálni kell. Addig is külön kell tárolni azokat az adatokat, amelyek meghatározott vagy meghatározható természetes

11 személy azonosítására alkalmasak. Ezek az adatok egyéb adatokkal csak akkor kapcsolhatók össze, ha a kutatás céljára szükséges. Az Intézet vagy az Intézet kutatója személyes adatot csak akkor hozhat nyilvánosságra, ha az érintett abba beleegyezett. 5.6 Személyes adatok felhasználása statisztikai célra A statisztikai célra felvett, átvett vagy feldolgozott személyes adatok csak statisztikai célra használhatók fel. A külön törvény szerinti egyedi statisztikai adatok beleértve a személyes adatokat is a statisztikai céltól eltérő célra semmilyen módon vagy jogcímen nem adhatók és vehetők át, nem dolgozhatók fel, továbbá nem hozhatók nyilvánosságra. A személyes adatok statisztikai célra történő kezelésének részletes szabályait külön törvény határozza meg. 5.7 Az adatkezelő bejelentési kötelezettségei Elutasított kérelmek jelentése Az Érintett tájékozódási kérésével kapcsolatos, valamint a közérdekű adatok szolgáltatásához kapcsolódó elutasított kérelmekről az Intézet a mindenkori adatvédelmi biztost évente értesíteni köteles. 5.8 Az Intézet kötelezettségei, az Érintettek jogai Az Érintett jogai, az Intézet ezzel kapcsolatos kötelezettségei: az Érintett saját adatairól feljegyzést, összefoglalást kérhet, melyet haladéktalanul (előre egyeztetett módon) meg kell kapnia tájékozódást kérhet a személyi és egészségügyi adataival kapcsolatos adatkezelés paramétereiről (célja, jogalapja, időtartama, az adatfeldolgozó adatai, tevékenysége, az adatainak a további sorsa stb.), melyet az adatkezelő szervezeti egységtől az adatvédelmi felelős engedélyével meg kell kapnia legfeljebb 30 napon belül. A törvényben meghatározott esetekben a tájékoztatás megtagadható, ez esetben az Érintettel a megtagadás okát kell közölni. A tájékoztatásokról illetve ennek megtagadásairól az adatvédelmi felelős nyilvántartást vezet, melyről évente jelentést tesz az adatvédelmi biztosnak. az Érintett tiltakozást nyújthat be személyes adatainak kezelése ellen, ezt az adatvédelmi felelősnek - az adatkezelés felfüggesztése mellett - 15 napon belül meg kell vizsgálnia, és a kérelmezőt írásban tájékoztatnia kell. Indokolt esetben az Intézet köteles az adatkezelést megszüntetni, az adatokat zárolni, valamint a tiltakozásról értesíteni mindazokat, akik részér az érintett személyes adatait korábban továbbította. 5.9 Közérdekű adatok nyilvánossága Az Intézet a közérdekű adatok kivételével nem hozhat nyilvánosságra adatot. A közérdekű információként nyilvánosságra hozandó információ nem tartalmazhat minősített adatot. Nem minősül nyilvánosságra hozatalnak az, ha az Intézet hivatalos nyomozati, illetve bíróság eljárás során adatot ad át a nyomozati/bírósági szervek számára.

12 Az Intézet, mint közfeladatot ellátó szerv a feladatkörébe tartozó ügyekben köteles elősegíteni és biztosítani a közvélemény tájékoztatását. Ehhez lehetővé kell tennie, hogy a kezelésében lévő közérdekű adatokat bárki megismerhesse, kivéve, ha törvény a közérdekű adatok nyilvánosságát korlátozza. A közérdekű adat megismerése iránt bárki szóban, írásban vagy elektronikus útonigényt nyújthat be. A közérdekű adat megismerésére irányuló igénynek legfeljebb 15 napon belül eleget kell tenni. Az adatokat tartalmazó dokumentumról vagy dokumentumrészről, annak tárolási módjától függetlenül az igénylő másolatot kaphat. Az adatot kezelő szerv kizárólag a másolat készítéséért állapíthat meg költségtérítést. Az adatigénylésnek közérthető formában és az igénylő által kívánt technikai eszközzel, illetve módon kell eleget tenni. Az igény teljesítésének megtagadásáról, annak indokaival együtt, 8 napon belül írásban vagy - amennyiben az igényben elektronikus levelezési címét közölte - elektronikus úton értesíteni kell az igénylőt. A közérdekű adatok nyilvánosságára vonatkozó részletes szabályokat a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló évi LXIII. törvény szabályozza Az Intézetben történő adatkezelés ellenőrzési lépései Az Intézet adatvédelmi felelőse Az intézeti adatvédelmi felelős alapfeladata, hogy az egyes szervezeti egységek vezetőit és a szervezeti egységek adatgazdáit támogassa a jelen Szabályzatnak megfelelő általános adatvédelmi és adatbiztonsági követelmények teljesülése érdekében. Ennek érdekében: támogatást ad az adatkezeléssel összefüggő döntésekhez, ellenőrzi az adatkezelésre vonatkozó jogszabályok és belső szabályzatok rendelkezéseinek a megtartását, hatályát kivizsgálja a bejelentéseket, és jogosulatlan adatkezelés esetén annak megszüntetésére szólítja fel az adatkezelőt vagy az adatfeldolgozót, kezeli az Intézeti Adatvédelmi és Adatbiztonsági Szabályzatot, összeállítja és naprakészen tartja az intézeti Belső Adatvédelmi Nyilvántartást, rendszeres oktatást szervez az adatvédelmi ismeretekről, új adatállományok létesítése vagy új feldolgozási módszerek bevezetése előtt véleményezi azokat. Ha az Intézet valamely szervezeti egysége jogsértő módon végez adatkezelést, az intézet adatvédelmi felelőse az adott szervezeti egység vezetőjét írásban felszólíthatja ennek beszüntetésére - e felszólításnak az adott szervezeti egység köteles haladéktalanul eleget tenni. Az iratkezelésre vonatkozó adatvédelmi előírások teljesülését az Intézet iratkezelésért felelős vezetője és az adatvédelmi felelős ellenőrzi. Az Intézet mindenkori adatvédelmi felelősét (felelőseit) az intézet vezetője (főigazgató főorvos) nevezi ki.

13 Az adatgazdák szerepe Adott szervezeti egységben valamely adat kezelésével kapcsolatos műveletek során az adatgazda felelős az adatok feldolgozhatósági védelmének (érvényes, felhasználható, teljes) és biztonságának (jogosulatlan hozzáférés, módosítás, törlés, továbbítás) helyi biztosításáért a jelen Szabályzatban foglalt előírások folyamatos érvényre juttatásával. Az adott szervezeti egységen belül, adott adatfajta tekintetében a helyi vezető feladata: az adott adat védelmi biztonság besorolása (milyen minősített adattartalma van -pl. személyi, egészségügyi, szolgálati stb. -, vagy nincs), az adatgazdai feladatok ellátásához szükséges mértékű jogosítványok (pl. de nem kizárólag: betekintési jog, módosítási jog, törlési jog, adattovábbítási jog, biztonsági másolat készítési joga stb.) meghatározása, az adatgazda kijelölése és a szükséges jogosítványokkal történő felruházása az adatkezelői feladatok meghatározása, és e feladatok ellátásához szükséges mértékű jogosítványok (pl. de nem kizárólag: rögzítési jog, módosítási jog, törlési jog, adattovábbítási jog, biztonsági másolatkészítési jog stb.) megadása az adatkezelők számára az adatkezelők kijelölése és a szükséges jogosítványokkal történő felruházásuk. az intézeti adatvédelmi felelős értesítése az adatgazdák és adatkezelők személyének kijelöléséről Amennyiben egy szervezeti egységen belül több, egymást át nem fedő adatféleségek elkülönült kezelése történik, a helyi vezető az egyes adatfajtákhoz több adatgazdát is kijelölhet. Amennyiben adott szervezet egy másik Intézeti szervezeti egységgel/egységekkel közösen hajt végre valamely adaton adatkezelést, mindegyik adatkezelésbe bevont szervezeti egységben a helyi vezetők által kijelölendők az adott adathoz adatgazdák. Az egyes adatgazdák, valamint a helyi vezetők munkáját az általános adatvédelmi és adatbiztonsági kérdések vonatkozásában az Intézeti Adatvédelmi Felelős segíti, illetve ellenőrzi. Amennyiben valamely adatgazda jelen Szabályzat előírásainak megsértését tapasztalja, köteles saját hatáskörben intézkedni az adatvédelmi/biztonsági veszélyeztetés megszüntetéséről, továbbá haladéktalanul köteles értesíteni helyi vezetőt és az az intézeti adatvédelmi felelőst Az adatvédelmi nyilvántartás A Belső Adatvédelmi Nyilvántartás az Intézet adatkezelői tevékenységeit tartalmazza, melyet szervezeti egységenként az egyes adatgazdák tartanak nyilván és jelentenek be minden változást követően 8 napon belül az intézeti adatvédelmi felelősnek. A nyilvántartásnak az alábbi elemeket kell tartalmaznia minden adatkezelésre vonatkozóan: az adatkezelés célja, az adatok fajtája és kezelésük jogalapja,

14 az érintettek/ügyfelek köre, az adatok forrása, a továbbított adatok fajtája, címzettje és a továbbítás jogalapja, az egyes adatfajták törlési határideje, az adatkezelő és az adatfeldolgozó(k) neve és címe, a tényleges adatkezelés és adatfeldolgozás helye, az adatfeldolgozó(k)nak az adatkezeléssel összefüggő tevékenysége az adatvédelmi felelős neve és elérhetősége. Az adatvédelmi nyilvántartásban nem kell szerepelnie az Intézettel és a társintézetekkel (OTH, ÁNTSZ, stb.) munkaviszonyban álló (az intézetek dolgozói közt munkaköri kapcsolat létrejöttekor) személyek adatait tartalmazó adatkezelésnek, sem a hatósági eljárás által érintett személyeknek az eljárás lefolytatásával kapcsolatos személyes adatait tartalmazó adatkezelésnek.

15 6 HIVATKOZÁSOK 6.1 Kapcsolódó jogszabályok évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról évi XLVII. törvény az egészségügyi és hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről évi LXXVI. törvény a szerzői jogról évi XLVI. törvény a statisztikáról 170/1993. (XII. 3.) Korm. rendelet a statisztikáról szóló évi XLVI. törvény végrehajtásáról évi LXVI. törvény a köziratokról, közlevéltárakról és a magánlevéltári anyag védelméről évi CXL. törvény közigazgatási hatósági eljárás és szolgáltatás általános szabályairól 292/2009. (XII. 19.) Korm. rendelet államháztartás működési rendjéről 62/1997.(XII. 21.)NM rendelet az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésének egyes kérdéseiről 6.2 Kapcsolat a belső szabályozó dokumentumokkal Az AASZ szorosan kapcsolódik az OSSKI alábbi belső szabályzataihoz: Iratkezelési Szabályzat Titokvédelmi Szabályzat Közzétételi Szabályzat Informatikai Biztonsági Politika és Szabályzat Számítástechnikai Üzemeltetési Szabályzat 7 MELLÉKLETEK 1.sz. melléklet: Az OSSKI szervezeti egységei által vezetett belső adatvédelmi nyilvántartások 8 ZÁRÓ RENDELKEZÉSEK A Szabályzat melléklete a Szabályzat szerves részét képezi. Jelen szabályzat április 20. napján lép hatályba.