SZABÁLYZAT. Belső adatkezelési és adatvédelmi szabályzat TARTALOMJEGYZÉK

Átírás

1

2 TARTALOMJEGYZÉK I. BEVEZETÉS... 3 A szabályzat célja... 3 Törvényi háttér... 3 Értelmező rendelkezések... 4 II. SZABÁLYZAT ÉRVÉNYESSÉGI TERÜLETE... 8 III. SZABÁLYZAT LEÍRÁSA Az adatkezelés célja Az adatvédelemért felelős személyek és feladataik Az igazgató feladatai Az intézeti adatvédelmi felelős Az egységszintű adatvédelmi felelős feladatai Az adatkezelők feladatai A kórház adatkezelési és adatmentési előírásai IV. HIVATKOZÁSOK V. MELLÉKLETEK Oldal: 2/14

3 I. BEVEZETÉS A szabályzat célja Az adatvédelmi szabályzat célja, hogy meghatározza a Gottsegen György Országos Kardiológiai Intézet által üzemeltetett egészségügyi informatikai rendszerekben tárolt, az egészségi állapotra vonatkozó személyes adatok és az azokhoz kapcsolódó klinikai vizsgálati és finanszírozási adatok adatkezelését és adatvédelmét minden egyéb informatikai rendszerben tárolt adat védelmével kapcsolatos adatvédelmi és adatkezelési tennivalókat. A szabályzat kiterjed a kórházban történő adatkezeléssel kapcsolatos kérdésekre is, úgymint: Az adatkezelés célja Az orvosi titok védelme Adattovábbítás intézményen belül és kívül A betegek és hozzátartozók tájékoztatása Egészségügyi dokumentáció kezelésével kapcsolatos kérdések Adatkezelés a gyógykezelési tevékenység elősegítése céljából Adatkezelés a közegészségügyi és járványügyi, kutatási és statisztikai célból Az adatok biztonsága (az adatfelvételtől a megsemmisítésig) Hozzáférések a tárolt adatokhoz Jelen szabályzatnak az alábbi szabályzatok elválaszthatatlan részei: Vírusvédelmi szabályzat Iratkezelési szabályzat Törvényi háttér 1. Polgári törvénykönyv 2. az információs önrendelkezési jogról és az információszabadságról 3. Az 1996 évi XX. Törvény a személyazonosító jel helyébe lépő azonosítási módokról és az azonosító kódok használatáról 4. Az 1997 évi XLVII törvény Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről évi CLIV. tv. az egészségügyről 6. A 62/1997. (XII.21.) NM rendelet az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésének egyes kérdéseiről 7. 63/1997. (XII. 21.) NM rendelet a fertőző betegségek jelentésének rendjéről 8. MSZ ISO/IEC 17799: 2002 az informatikai biztonság menedzselésének eljárásrendje 9. 13/2005. (X. 27.) IHM rendelet a papíralapú dokumentumokról elektronikus úton történő másolat készítésének szabályairól Oldal: 3/14

4 /2007. (XII. 29.) GKM rendelet a digitális archiválás szabályairól évi XXXV. Törvény az elektronikus aláírásról évi LXXXIII. Törvény a kötelező egészségbiztosítás ellátásairól Értelmező rendelkezések Adatállomány: az egy nyilvántartásban kezelt adatok összessége; Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj-vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges Néhány esetben (pl. bíróság döntés) lehet adatokat fizikailag is törölni egy rendszerből. Ilyen esetekben szükséges egy üres place-holder elemet tárolni a hierarchiának ezen pontján, hogy jelezze a törlést és azt, hogy az mikor és miért történt. Fizikai törlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk nem lehetséges. Logikai törlés: téves adatbevitel esetén lehetséges az adatokat logikailag törölni. A törlés ebben az esetben nem jelenti az adatok megsemmisülését. A törölt adatok, a törlés ténye, oka és az ehhez kapcsolódó adatok tárolásra kerülnek (ki, hol és miért). A törölt adatok, mint egy előző verzió az arra jogosultak számára elérhetőek. Adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából; Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából; Adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése; Oldal: 4/14

5 Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik; Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján - beleértve a jogszabály rendelkezése alapján történő szerződéskötést is - adatok feldolgozását végzi; Adatfelelős: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett; Adatközlő: az a közfeladatot ellátó szerv, amely- ha az adatfelelős nem maga teszi közzé az adatot-az adatfelelős által hozzá eljuttatott adatait honlapon közzéteszi Adatvédelem: az adatok valamilyen szintű, előre meghatározott csoportjára vonatkozó olyan előírások, amelyek adatkezelések, adathozzáférések és adatfelhasználások jogszerűségeit szabályozzák. Beavatkozás: azon megelőző, diagnosztikus, terápiás, rehabilitációs vagy más célú fizikai, kémiai, biológiai vagy pszichikai eljárás, amely a beteg szervezetében változást idéz vagy idézhet elő, továbbá a holttesten végzett vizsgálatokkal, valamint szövetek, szervek eltávolításával összefüggő eljárás Beteg: az egészségügyi szolgáltatásokat igénybe vevő vagy abban részesülő személy Betegellátó: a kezelést végző orvos, az egészségügyi szakdolgozó, az érintett gyógykezelésével kapcsolatos tevékenységet végző egyéb személy (pl.: gyógyszerész, adminisztrátor, beteghordó, stb.) Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat; Egészségügyi adat: az érintett testi, értelmi és lelki állapotára, kóros szenvedélyére, valamint a megbetegedés, illetve az elhalálozás körülményeire, a halál okára vonatkozó, általa vagy róla más személy által közölt, illetve az egészségügyi ellátó-hálózat által észlelt, vizsgált, mért, leképzett, vagy származtatott adat; továbbá az előzőekkel kapcsolatba hozható, az azokat befolyásoló mindennemű adat (pl. magatartás, környezet, foglalkozás). Amennyiben a beteg gyógykezelése, vagy közegészségügyi okok azt indokolttá teszik, a szexuális szokásokra vonatkozó adat is egészségügyi adatnak minősül. Egészségügyi dokumentáció: a gyógykezelés során a betegellátó tudomására jutott egészségügyi és személyazonosító adatokat tartalmazó feljegyzés(ek), nyilvántartás(ok), vagy bármilyen más Oldal: 5/14

6 módon rögzített adat vagy multimédiás információ, függetlenül annak hordozójától vagy formájától. Egészségügyi ellátás: a beteg adott egészségi állapotához kapcsolódó egészségügyi szolgáltatások összessége Egészségügyi hatóság: az Állami Népegészségügyi és Tisztiorvosi Szolgálat (a továbbiakban: ÁNTSZ) illetékes szerve; Egészségügyi intézmény: a jogi személyiséggel rendelkező, valamint a fekvőbeteg-szakellátást nyújtó, jogi személyiséggel nem rendelkező egészségügyi szolgáltató Egészségügyi szolgáltató: a tulajdoni formától és a fenntartótól függetlenül minden, egészségügyi szolgáltatás nyújtására az egészségügyi hatóság által kiadott működési engedély alapján jogosult jogi személy, jogi személyiség nélküli szervezet és minden olyan természetes személy, aki a szolgáltatást saját nevében nyújtja; Életmentő beavatkozás: sürgős szükség esetén a beteg életének megmentésére irányuló egészségügyi szolgáltatás; Életfenntartó beavatkozás: a beteg életének mesterséges módon történő fenntartására, illetve egyes életműködéseinek pótlására irányuló egészségügyi szolgáltatás; Gyógykezelés: minden olyan tevékenység, amely az egészség megőrzésére, továbbá a megbetegedések megelőzése, korai felismerése, megállapítása, gyógyítása, a megbetegedés következtében kialakult állapotromlás szinten tartása vagy javítása céljából az érintett közvetlen vizsgálatára, kezelésére, ápolására, orvosi rehabilitációjára, illetve mindezek érdekében az érintett vizsgálati anyagainak feldolgozására irányul, ideértve a gyógyszerek, gyógyászati segédeszközök, gyógyfürdőellátások kiszolgálását, a mentést és betegszállítást, valamint a szülészeti ellátást is. Harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval; Hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok- teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez; Invazív beavatkozás: a beteg testébe bőrön, nyálkahártyán vagy testnyíláson keresztül behatoló fizikai beavatkozás, ide nem értve a beteg számára szakmai szempontból elhanyagolható kockázatot jelentő beavatkozásokat Oldal: 6/14

7 Kezelést végző orvos: a beteg adott betegségével, illetve egészségi állapotával kapcsolatos vizsgálati és terápiás tervet meghatározó, valamint ezek keretében beavatkozásokat végző orvos, aki a beteg gyógykezeléséért felelősséggel tartozik vagy abban közreműködő orvos (pl.: konzílium, telemedicina, stb.). Közeli hozzátartozó: a házastárs, az egyeneságbeli rokon, az örökbe fogadott, a mostoha- és nevelt gyermek, az örökbe fogadó, a mostoha- és nevelőszülő, valamint a testvér és az élettárs. Közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat. Közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét szabályzat közérdekből elrendeli; Különleges adat: a) a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat; Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele Orvosi titok: a gyógykezelés során az adatkezelő tudomására jutott egészségügyi és személyazonosító adat(ok), továbbá a szükséges, vagy folyamatban lévő, illetve befejezett gyógykezelésre vonatkozó, valamint a gyógykezeléssel kapcsolatban megismert egyéb adat. Orvosi titok nem csak orvosnak juthat tudomására, illetve nem csak orvos kezelhet. Az orvosi titok megőrzése a jogszabály által előírt kivételektől eltekintve minden esetben kötelező. Sürgős szükség: az egészségi állapotban hirtelen bekövetkezett olyan változás, amelynek bekövetkeztében azonnali egészségügyi ellátás hiányában az érintett közvetlen életveszélybe kerülne, illetve súlyos vagy maradandó egészségkárosodást szenvedne Személyes adat: az érintettel kapcsolatba hozható adat különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret, valamint az adatból levonható, az érintettre vonatkozó következtetés. Oldal: 7/14

8 Személyazonosító adat: a családi és utónév, leánykori név, a nem, a születési hely és idő, az anya leánykori családi és utóneve, a lakóhely, a tartózkodási hely, a társadalombiztosítási azonosító jel (a továbbiakban: TAJ szám) együttesen, vagy ezek közül bármelyik, amennyiben alkalmas, vagy alkalmas lehet az érintett azonosítására. Tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri; Veszélyeztető állapot: az az állapot, amelyben az azonnali intézkedés hiánya a beteg vagy más személy életét, testi épségét vagy egészségét közvetlenül fenyegető helyzetet eredményezne, illetőleg a környezetére közvetlen veszélyt jelentene Vizsgálat: az a tevékenység, amelynek célja a beteg egészségi állapotának felmérése, egészségének megőrzése, a betegségek, illetve kockázatuk felderítése, a konkrét betegség(ek) meghatározása, prognózisuk, változásuk megállapítása, a gyógykezelés eredményességének, valamint a halál bekövetkeztének és a halál okának megállapítása II. SZABÁLYZAT ÉRVÉNYESSÉGI TERÜLETE A szabályzat hatálya kiterjed az intézet egész területére, valamennyi dolgozójára és az intézettel kapcsolatba került; annak szolgáltatásait igénybe vevő, vagy szolgáltatást nyújtó, minden természetes vagy jogi személyre (továbbiakban: érintett), függetlenül attól, hogy beteg vagy egészséges-e, valamint a törvény és e szabályzat előírásai szerint kezelt, az érintettre vonatkozó egészségügyi és személyazonosító adatokra. Üzemegészségügyi ellátás vonatkozásában érintettnek minősül az intézettel közalkalmazotti vagy egyéb munkaviszonyban álló valamennyi munkavállaló. Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig. Az érintettel az adat felvétele előtt közölni kell, hogy az adatszolgáltatás önkéntes vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is. Az adatbiztonság érdekében az adatkezelő köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket, melyek a titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat védeni kell, különösen a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás, törlés, illetőleg sérülés, vagy megsemmisülés ellen. Tájékoztatást kell adni az érintett kérésére a kezelt adatokról, az adatkezelés céljáról, jogalapjáról, időtartamáról és arról, hogy kik és milyen célból kapják vagy kapták meg az adatokat. A közérdekű adatok megismerésére irányuló kérelmek intézésének, továbbá a kötelezően közzéteendő adatok nyilvánosságra hozatalának rendjéről az Intézeti közzétételi szabályzat rendelkezik. Oldal: 8/14

9 Tudományos kutatás céljára felvett, vagy tárolt személyes adat csak tudományos kutatás céljára használható fel (részletesen lásd az Intézeti és adatvédelmi szabályzat 11.pontjában) Amennyiben az adatkezelés célja az egészség megőrzésének, fenntartásának elősegítése, az érintett egészségi állapotának nyomon követése, vagy közegészségügyi és járványügyi érdekből szükséges, abban az esetben az adat kezelés a kóros szenvedélyre és szexuális szokásokra is kiterjed (ebben az esetben az intézet vezetője saját hatáskörében különleges adathozzáférési jogosultságok kialakítását engedélyezheti). III. SZABÁLYZAT LEÍRÁSA 1. Az adatkezelés célja 1, Az egészségügyi és személyazonosító adat kezelésének célja (1997 évi XLVII törvény 4 (1)): a) az egészség megőrzésének, fenntartásának előmozdítása, b) a betegellátó eredményes gyógykezelési tevékenységének elősegítése, ideértve a szakfelügyeleti tevékenységet is, c) az érintett egészségi állapotának nyomon követése, d) a népegészségügyi, a közegészségügyi és járványügyi érdekből szükségessé váló intézkedések megtétele, e) a betegjogok érvényesítése. Az egészségügyi adatok kezelésével kapcsolatos szabályozás az 5. számú mellékletben található 2, Egészségügyi és személyazonosító adatot az (1) bekezdésben meghatározottakon túl törvényben meghatározott esetekben (1997 évi XLVII törvény 4 (2))az alábbi célból lehet kezelni az orvosi titoktartást nem szem elől tévesztve: a) egészségügyi szakember-képzés, b) orvos-szakmai és epidemiológiai vizsgálat, elemzés, az egészségügyi ellátás tervezése, szervezése, költségek tervezése, c) statisztikai vizsgálat, d) hatásvizsgálati célú anonimizálás és tudományos kutatás, e) az egészségügyi adatot kezelő szerv vagy személy hatósági vagy törvényességi ellenőrzését, szakmai vagy törvényességi felügyeletét végző szervezetek munkájának elősegítése, ha az ellenőrzés célja más módon nem érhető el, valamint az egészségügyi ellátásokat finanszírozó szervezetek feladatainak ellátása, f) a társadalombiztosítási, illetve szociális ellátások megállapítása, amennyiben az az egészségi állapot alapján történik, g) az egészségügyi ellátásokra jogosultak részére a kötelező egészségbiztosítás terhére igénybe vehető szolgáltatások rendelésének és nyújtásának, valamint a gazdaságos gyógyszer-, gyógyászati segédeszköz- és gyógyászati ellátás rendelési szabályai Oldal: 9/14

10 betartásának a vizsgálata, továbbá a külön jogszabály szerinti szerződés alapján a jogosultak részére nyújtott ellátások finanszírozása, illetve az ártámogatás elszámolása, h) bűnüldözés, továbbá a rendőrségről szóló évi XXXIV. törvényben meghatározott feladatok ellátására kapott felhatalmazás körében bűnmegelőzés, i) a nemzetbiztonsági szolgálatokról szóló évi CXXV. törvényben meghatározott feladatok ellátása, az abban kapott felhatalmazás körében, j) közigazgatási eljárás, k) szabálysértési eljárás, l) ügyészségi eljárás, m) bírósági eljárás, n) az érintettnek nem egészségügyi intézményben történő elhelyezése, gondozása, o) a munkavégzésre való alkalmasság megállapítása függetlenül attól, hogy ezen tevékenység munkaviszony, közalkalmazotti és közszolgálati jogviszony, hivatásos szolgálati viszony vagy egyéb jogviszony keretében történik, p) közoktatás, felsőoktatás és szakképzés céljából az oktatásra, illetve képzésre való alkalmasság megállapítása, q) a katonai szolgálatra, illetve a személyes honvédelmi kötelezettség teljesítésére való alkalmasság megállapítása, r) munkanélküli ellátás, foglalkoztatás elősegítése, valamint az ezzel összefüggő ellenőrzés, s) az egészségügyi ellátásokra jogosultak részére vényen rendelt gyógyszer, gyógyászati segédeszköz és gyógyászati ellátás folyamatos és biztonságos kiszolgáltatása, illetve nyújtása érdekében, t) a munkabalesetek, foglalkozási megbetegedések ideértve a fokozott expozíciós eseteket is kivizsgálása, nyilvántartása és a szükséges munkavédelmi intézkedések megtétele, u) az egészségügyi dolgozókkal szemben lefolytatott etikai eljárás. 3, Az (1) (2) bekezdésekben meghatározott céloktól eltérő célra is lehet az érintett, illetve törvényes vagy meghatalmazott képviselője (a továbbiakban együtt: törvényes képviselő) megfelelő tájékoztatáson alapuló írásbeli hozzájárulásával egészségügyi és személyazonosító adatot kezelni. 4, Az (1) (2) bekezdések szerinti adatkezelési célokra csak annyi és olyan egészségügyi, illetve személyazonosító adat kezelhető, amely az adatkezelési cél megvalósításához elengedhetetlenül szükséges. 5, Személyazonosító adat csak írásban történő megkeresésre adható ki. 6, Az egészségügyi és személyazonosító adatok kezelése és feldolgozása során biztosítani kell az adatok biztonságát véletlen vagy szándékos megsemmisítéssel, megsemmisüléssel, megváltoztatással, károsodással, nyilvánosságra kerüléssel szemben, továbbá, hogy azokhoz illetéktelen személy ne férjen hozzá. Oldal: 10/14

11 2. Az adatvédelemért felelős személyek és feladataik Az egészségügyi intézményen belül az egészségügyi és személyazonosító adatok védelméért, a nyilvántartás megőrzéséért a főigazgató felelős Az igazgató feladatai Az igazgató tevékenysége során (1997. évi XLVII. törvény 32 (2)) a. gondoskodik az adatvédelmi szabályok betartásáról, b. ellenőrzi az adatkezelők és adatfeldolgozók adatkezeléssel, illetve adatfeldolgozással összefüggő tevékenységét, c. kezdeményezi az adatvédelem, illetve az adatbiztonság területén kifejlesztett új technológiák és eszközök alkalmazását, d. biztosítja az adatkezeléssel és adatfeldolgozással foglalkozó személyek adatkezelési oktatását, e. tudományos kutatás esetén [21. (1) bekezdés] engedélyezi az egészségügyi dokumentációba való betekintést, f. kijelöli az adatvédelmi felelőst (felelősöket), g. ellenőrzi az adatvédelmi felelős (felelősök) tevékenységét, h. gondoskodik az intézmény adatvédelmi szabályzatának elkészítéséről, i. dönt a kötelező nyilvántartási időt követően a nyilvántartott adatok további tárolásáról vagy megsemmisítéséről. A szervezeti egységenként 20 főnél több adatkezelőt foglalkoztató munkáltató esetén az intézményvezető - szervezeti egységenként - adatvédelmi felelőst jelöl ki (1997. évi XLVII. törvény 32 (4)) Az intézeti adatvédelmi felelős Az adatfeldolgozó szervezetén belül, közvetlenül a szerv vezetőjének felügyelete alá tartozó - Jogi, közigazgatási, informatikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező - belső adatvédelmi felelőst kell kinevezni vagy megbízni évi XLVII. törvény 32 (4) a) Szakorvos szakképesítéssel rendelkező orvos, vagy b) Legalább 2 év joggyakorlattal rendelkező jogi egyetemi végzettségű személy, vagy c) Felsőfokú végzettségű, az egészségügyi adatkezelésben legalább 2 év gyakorlatot szerzett személy jelölhető ki. Intézeti adatvédelmi felelőst az intézet vezetője nevezi ki, illetve az intézet vezetője vonja vissza a jogosítványait. A jogosítványok között biztosítani kell az adatvédelmi felelős függetlenségét. Az intézeti adatvédelmi felelős feladatai (2011. évi CXII. törvény 24 (2)): Oldal: 11/14

12 a) közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában; b) ellenőrzi e törvény és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását; c) kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót; d) elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot; e) vezeti a belső adatvédelmi nyilvántartást; f) gondoskodik az adatvédelmi ismeretek oktatásáról. g) évenként felülvizsgálja az adatkezelési szabályzatokat Az intézeti adatvédelmi felelősnek joga van: a) Betekinteni az adatvédelemmel kapcsolatos minden iratba és dokumentációba, b) Vitás kérdésekben, vagy ha a törvényi, illetve Adatkezelési szabályzatban előírt szempontok veszélyeztetését, be nem tartását észleli és közvetlen intézkedése nem járt eredménnyel, előterjesztési jog illeti meg a Főigazgató felé Az egységszintű adatvédelmi felelős feladatai a) Az adatvédelemmel kapcsolatos törvények és előírások ismerete, b) Adatvédelemmel kapcsolatos problémákról folyamatosan tájékoztatja az Egység vezetőjét, szükség esetén az intézeti adatvédelmi felelőst, c) Aktívan közreműködik az Intézet vezetése által jóváhagyott személyes adatvédelemmel kapcsolatos intézkedések végrehajtásában, d) Gondoskodik az adatvédelmi szabályok egységszintű betartásáról, e) Az egység dolgozóit tájékoztatja az érvényben lévő adatvédelmi szabályozásokról és az esetleges módosításokról f) Részt vesz az intézet adatvédelmi, adatkezelési szabályzatának elkészítésében. g) A szervezeti egységenként 20 főnél több adatkezelőt foglalkoztató munkáltató esetén az intézményvezető - szervezeti egységenként - adatvédelmi felelőst jelöl ki Az adatkezelők feladatai Adatkezelő az adatkezeléssel meghatározott tevékenységet végző vagy mással végeztető szerv vagy személy. Az adatkezelő 1) Köteles megtenni minden olyan technikai és szervezési intézkedést, amelyek szükségesek az adatvédelmi és titokvédelmi jogszabályok érvényre jutásához, 2) Védi az adatokat különösen a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás, törlés, sérülés vagy megsemmisülés ellen. Oldal: 12/14

13 Az adatkezelő a személyes és különleges adatokkal kapcsolatosban a évi CXII. törvény és a belső adatvédelmi szabályzat előírásait valamint az orvosi titkot megtartani köteles (a évi XLVII. törvény 7 (2) bekezdésben foglalt kivétellel ). Az adatkezelőknek ismerniük kell az adatkezelés szabályait: a) gondoskodniuk kell arról, hogy az általuk kezelt adatokhoz és adathordozókhoz illetéktelenek ne juthassanak hozzá, b) a munkájuk során tudomásukra jutott egészségügyi információkat a jogosultak kivételével, senkivel nem közölhetik, c) Az adatkezelő mentesül a titoktartási kötelezettség alól (1997. évi XLVII. törvény 7 (2), ha az egészségügyi és személyazonosító adat továbbítására az érintett, illetve törvényes képviselője írásban hozzájárult, az abban foglalt korlátozásokon belül, valamint az egészségügyi és személyazonosító adat továbbítása törvény előírásai szerint kötelező. d) a titoktartási kötelezettség a közalkalmazotti jogviszony, megbízási jogviszony vagy munkaviszony megszűnése után is fennmarad. 3. A kórház adatkezelési és adatmentési előírásai Az intézetben egészségügyi adatkezelés az alábbi munkahelyeken történik: 1. Főigazgatóság 2. Gazdasági igazgatóság és kapcsolódó osztályai 3. Központi betegfelvételi iroda (fekvő járóbeteg ellátás), porta 4. Gyermek kardiológia 5. Felnőtt kardiológia 6. Csecsemő szívsebészet 7. Felnőtt szívsebészet 8. Csecsemő Intenzív 9. Felnőtt Intenzív 10. Központi labor 11. RTG Hemodinamika Elektrofiziológia és PM önálló osztály 12. Diagnosztikus laborok (Echo, Ergo, Angiológia, Holter, Klin.farmokológia ) 13. Intézeti gyógyszertár 14. Informatikai osztály 15. Kontrolling csoport IV. HIVATKOZÁSOK Törvényi háttér Oldal: 13/14

14 V. MELLÉKLETEK SZABÁLYZAT A szabályzat 8 mellékletet tartalmaz: 1. számú melléklet: Be és kijelentésre kötelezett fertőző betegségek 2. számú melléklet: Szűrő és alkalmassági vizsgálatok az érintett részéről történő kötelező adatszolgáltatás esetén 3. számú melléklet: Bejelentendő foglalkozási megbetegedések jegyzéke 4. számú melléklet: Biológiai mintában vizsgált anyagok 5. számú melléklet: Az egészségügyi adatok kezelésével kapcsolatos előírások 6. számú melléklet: Az intézet területén működő számítógépes rendszerek adatvédelmi és adatmentési előírásai 7. számú melléklet: Várólisták 8. számú melléklet: Iratminták Oldal: 14/14