Mens Mentis EgészségCentrum Korlátolt Felelősségű Társaság Budapest, Fehérvári út 85. -

Átírás

1 MU B E L S Ő A D A T V É D E L M I E L J Á R Á S R E N D az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény, valamint az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló évi XLVII. törvény alapján Mens Mentis EgészségCentrum Korlátolt Felelősségű Társaság - - I. Előszó; alanyi és tárgyi hatály II. Adatvédelmi alapfogalmak III. Adatvédelmi alapelvek IV. A Társaság adatkezelői tevékenysége, az adatkezelés belső eljárási szabályai V. Az adatalanyok (érintettek) jogosultságai és tájékoztatásuk VI. Adatvédelmi nyilvántartás; bejelentési kötelezettség VII. Ellenőrzés; felelősség; adatmegőrzési kötelezettség; adatvédelmi felelős VIII. Egyéb

2 2013. I. Előszó Magyarország Alaptörvénye VI. cikkének (2) és (3) bekezdése szerint: Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez. A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi. Az Országgyűlés az Alaptörvény fent idézett előírásaihoz igazodva megalkotta az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvényt (a továbbiakban: Avtv.), amely részletes szabályozást tartalmaz a személyes adatokra, a különleges adatokra, a közérdekű adatokra, valamint a közérdekből nyilvános adatokra vonatkozóan, ide értve elsősorban a személyes és különleges adatokkal összefüggő automatizált eszközzel vagy manuális módon végzett adatkezelésre és adatfeldolgozásra vonatkozó előírásokat. Az Alaptörvény ugyanezen előírásaihoz igazodik az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló évi XLVII. törvény (a továbbiakban: Eatv.), amely az Avtv. szabályaival összhangban szabályozza az egészségügyi ellátással összefüggő adatkezelést. Tevékenysége során a (a továbbiakban: Társaság) is végez az Avtv. 3. -ának 10. pontja és az Eatv. szerinti adatkezelést, így a Társaság az Avtv. 3. -ának 9. pontja szerinti adatkezelőnek minősül. Adatkezelőként a Társaság köteles maradéktalanul betartani és munkavállalóival, valamint a vele egyéb szerződéses vagy egyéb jogviszonyban álló harmadik személyekkel is betartatni az Avtv. és az Eatv. adatkezelésre (és az esetleges adatfeldolgozásra vagy adattovábbításra) vonatkozó előírásait. E körben az Avtv. 7. -a az alábbiakat írja elő: Az adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az e törvény és az adatkezelésre vonatkozó más szabályok alkalmazása során biztosítsa az érintettek magánszférájának védelmét. 2

3 Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok kivéve ha azt törvény lehetővé teszi közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők. A személyes adatok automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel biztosítja a) a jogosulatlan adatbevitel megakadályozását; b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását; c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják; d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe; e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön. Az adatkezelőnek és az adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek. Fentiekhez igazodva az Eatv. 1. és 6. -ai az alábbiakat rögzítik: E törvény célja, hogy meghatározza az egészségi állapotra vonatkozó különleges személyes adatok és az azokhoz kapcsolódó személyes adatok kezelésének feltételeit és céljait. Személyes adatot csak törvényes cél eléréséhez szükséges esetekben és mértékben lehet kezelni. Az egészségügyi és személyazonosító adatok kezelése és feldolgozása során biztosítani kell az adatok biztonságát véletlen vagy szándékos megsemmisítéssel, megsemmisüléssel, 3

4 megváltoztatással, károsodással, nyilvánosságra kerüléssel szemben, továbbá, hogy azokhoz illetéktelen személy ne férjen hozzá. A Társaság ügyvezetése a fentiekre tekintettel úgy határozott, hogy bár a Társaság nem tartozik az Avtv ában felsorolt adatkezelők körébe, s ily módon nem köteles adatvédelmi szabályzatot készíteni, a fenti célok elérése érdekében a Társaság adatkezelői tevékenységére vonatkozóan ún. belső adatvédelmi eljárásrendet alakít ki, amelynek részletes szabályait a jelen okiratba foglaltan kívánja rögzíteni. A jelen szabályzat/eljárásrend célja a fentiekkel összhangban mindazon belső eljárási szabályok kialakítása, amelyek révén biztosítható a Társaság adatkezelői tevékenységének maradéktalan jogszabályi megfelelősége, az adatvédelem Alaptörvényben is rögzített elvének és az adatbiztonság követelményeinek érvényesülése, továbbá megakadályozható a személyes adatokhoz (egészségügyi és személyazonosító adatokhoz) való jogosulatlan hozzáférés, illetőleg az adatok megváltoztatása és jogosulatlan nyilvánosságra hozatala. A jelen szabályzat/eljárásrend alanyi hatálya kiterjed elsősorban a Társaság valamennyi munkavállalójára és a Társaság által egyéb jogviszonyban foglalkoztatott személyekre, akik a Társaság tevékenysége körében adatkezelést végeznek vagy tevékenységük az adatkezeléssel összefüggésbe hozható. Kiterjed továbbá a Társasággal bármely szerződéses vagy egyéb jogviszonyban álló harmadik személyekre és azok munkavállalóira, alkalmazottaira és egyéb közreműködőire, akiknek tevékenysége az adatkezelést és/vagy adatfeldolgozást vagy adattovábbítást bármilyen formában érinti vagy azzal összefüggésbe hozható. A szabályzat/eljárásrend tárgyi hatálya kiterjed a Társaság valamennyi szervezeti egységében, valamint a Társasággal bármely szerződéses vagy egyéb jogviszonyba kerülő harmadik személyeknél folytatott, az Avtv. és az Eatv. szerinti személyes vagy különleges adatokkal (egészségügyi és személyazonosító adatokkal) kapcsolatos adatkezelésre és/vagy adatfeldolgozásra, adattovábbításra. A Társaság a jelen szabályzatban/eljárásrendben rögzített előírások betartását szerződéses partnerei tekintetében akként biztosítja, hogy az általa megkötendő szerződések létrejöttét megelőzően a szerződő partnereket (a szabályzat/eljárásrend előírásainak ismertetésével vagy a szabályzat/eljárásrend egy példányának átadásával) tájékoztatja az itt leírtakról, s a jelen okiratban rögzítetteket lehetőségeihez mérten a megkötésre kerülő szerződések részévé teszi. II. Adatvédelmi alapfogalmak 1. Személyes adat Bármely meghatározott (azonosított vagy közvetlenül vagy közvetve azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat különösen az 4

5 érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret, valamint az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel a kapcsolat akkor állítható helyre, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek. A személy különösen akkor tekinthető azonosíthatónak, ha őt - közvetlenül vagy közvetve - név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet. Az érintett egyediesítésére az ún. természetes vagy mesterséges személyazonosító adatok szolgálnak. a) Természetes személyazonosító adatok Természetes azonosító adat különösen az érintett: családi és utóneve, születési családi és utóneve, leánykori neve neme anyja születési családi és utóneve, születési helye és ideje, lakóhelyének, illetve tartózkodási helyének címe. b) Mesterséges személyazonosító adatok Mesterséges személyazonosító adatok a matematikai vagy más algoritmus szerint generált adatok, így különösen: a személyi azonosító kód, a társadalombiztosítási azonosító jel (TAJ szám), az adóazonosító jel, a személyi igazolvány száma, az útlevél száma. 2. Különleges adat Különleges adatok az alábbiak: a) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat. 5

6 3. Egészségügyi adat Az érintett testi, értelmi és lelki állapotára, kóros szenvedélyére, valamint a megbetegedés, illetve az elhalálozás körülményeire, a halál okára vonatkozó, általa vagy róla más személy által közölt, illetve az egészségügyi ellátóhálózat által észlelt, vizsgált, mért, leképzett vagy származtatott adat; továbbá az előzőekkel kapcsolatba hozható, az azokat befolyásoló mindennemű adat (pl. magatartás, környezet, foglalkozás). 4. Adatkezelés Az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése. 5. Adatkezelő Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja. Az Eatv. alkalmazásában az Eatv. 3. -ának i) pontjában rögzítettek (így többek között a betegellátó, az intézményvezető és az adatvédelmi felelős, az egészségügyi dokumentációt kezelő szerv) minősülnek adatkezelőnek. 6. Adatfeldolgozás Az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik. 7. Adatfeldolgozó Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján beleértve a jogszabály rendelkezése alapján történő szerződéskötést is adatok feldolgozását végzi. 8. Adattovábbítás Az a művelet, amelynek során az adatot meghatározott harmadik személy (az ügyfél eredeti céljától eltérő adatkezelő szakterület, cég vagy hatóság) számára hozzáférhetővé teszik. Az adatfeldolgozónak történő adatátadás a szó klasszikus értelmében nem adattovábbítás. 6

7 9. Adatalany Minden olyan természetes személy, akinek személyes adatával kapcsolatban az adatkezelő adatkezelést végez. 10. Egészségügyi dokumentáció A gyógykezelés során a betegellátó tudomására jutott egészségügyi és személyazonosító adatokat tartalmazó feljegyzés, nyilvántartás vagy bármilyen más módon rögzített adat, függetlenül annak hordozójától vagy formájától. III. Adatvédelmi alapelvek Az Avtv. és az Eatv. az alábbi főbb adatvédelmi alapelvek betartását írja elő az adatkezelő számára: Adatgyűjtés korlátozásának elve: Személyes adatok gyűjtése csak törvényes és tisztességes eszközökkel, az adatalany tudtával és beleegyezésével történhet. Az adatminőség elve: Az adatoknak az adatkezelés céljával összhangban: - pontosnak, - teljesnek és - naprakésznek kell lenniük. A célhoz kötöttség elve: Személyes adatok csak előre meghatározott célból, csak a cél megvalósulásához szükséges mértékben és ideig kezelhetőek. Az ún. készletező adatgyűjtés tilos. Az egészségügyi és személyazonosító adatok kezelésének céljait az Eatv. 4. -ának (1) és (2) bekezdései tételesen rögzítik. Ettől eltérő célra az érintett adatalany, illetőleg törvényes vagy meghatalmazott képviselője megfelelő tájékoztatáson alapuló hozzájárulásával lehet egészségügyi és személyazonosító adatot kezelni. Az egészségügyi adatok statisztikai célú kezelésére az Eatv ában, a tudományos kutatás céljából történő adatkezelésre (betekintésre) pedig az Eatv ában előírtak az irányadóak. A korlátozott felhasználás elve: 7

8 Az adatokat csak az adatalany hozzájárulásával vagy törvényi felhatalmazással lehet felhasználni A biztonság elve: Az adatokat a technika mindenkori állásának megfelelő ésszerű intézkedésekkel védeni kell a A nyíltság elve: - jogosulatlan hozzáférés, - megváltoztatás, - nyilvánosságra hozás, - sérülés és - megsemmisülés ellen. Az adatkezelés tényének, helyének és céljának, az adatkezelő személyének, valamint az adatkezelési politikának nyilvánosnak kell lennie. A személyes részvétel elve: Az adatalany megismerheti a reá vonatkozó adatokat, azokat (ha ez irányú igénye alapos) helyesbítheti, kiegészítheti, vagy töröltetheti. Az önkéntesség és a kötelező adatszolgáltatás elve: Az Eatv ának (1) bekezdése értelmében az egészségügyi és a személyazonosító adatoknak az érintett részéről történő szolgáltatása az egészségügyi ellátás igénybevételéhez kötelezően előírt személyazonosító adatok és az Eatv ában foglaltak kivételével önkéntes. Amennyiben az érintett önként fordul az egészségügyi ellátóhálózathoz (a Társasághoz), az esetben a gyógykezeléssel összefüggő egészségügyi és személyazonosító adatainak kezelésére szolgáló hozzájárulását ellenkező nyilatkozat hiányában megadottnak kell tekinteni, és erről az érintettet (vagy törvényes képviselőjét) tájékoztatni kell. Az érintett (vagy törvényes képviselője) köteles a betegellátó felhívására egészségügyi és személyazonosító adatait átadni, a) ha valószínűsíthető vagy beigazolódott, hogy az 1. számú mellékletben felsorolt valamely betegség kórokozója által fertőződött, vagy fertőzéses eredetű mérgezésben, illetve fertőző betegségben szenved, kivéve az Eatv. 15. (6) bekezdése szerinti esetet, b) ha arra az Eatv. 2. számú mellékletében felsorolt szűrő- és alkalmassági vizsgálatok elvégzéséhez van szükség, c) heveny mérgezés esetén, d) ha valószínűsíthető, hogy az érintett az Eatv. 3. számú melléklete szerinti foglalkozási eredetű megbetegedésben szenved, e) ha az adatszolgáltatásra a magzat, illetve a kiskorú gyermek gyógykezelése, egészségi állapotának megőrzése vagy védelme érdekében van szükség, 8

9 f) ha bűnüldözés, bűnmegelőzés céljából, továbbá ügyészségi, bírósági eljárás, illetve szabálysértési vagy közigazgatási hatósági eljárás során az illetékes szerv a vizsgálatot elrendelte, g) ha az adatszolgáltatásra a nemzetbiztonsági szolgálatokról szóló törvény szerinti ellenőrzés céljából van szükség. A felelősség elve: Az adatkezelő felelős a fenti elvek betartásáért, szükség esetén pedig alkalmasnak kell lennie arra, hogy bizonyítsa az adatkezelés jogszerűségét. A fentebb részletezett alapelvek figyelembevételével az adatkezelő az adatkezeléssel összefüggésben elsősorban az alábbi jogszabályi előírásokat köteles betartani: 1. Az adatkezelés feltételei Az Avtv. szabályai szerint személyes adat akkor kezelhető, ha: a) ahhoz az érintett hozzájárul, vagy b) azt törvény vagy törvény felhatalmazása alapján, az abban meghatározott körben helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (kötelező adatkezelés). Különleges adat az Avtv. 5. -ának (2) bekezdésében, valamint az Avtv. 6. -ában rögzített esetekben kezelhető, tehát akkor, ha: a) ahhoz az érintett írásban hozzájárul, vagy b) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adatok esetében az törvényben kihirdetett nemzetközi szerződés végrehajtásához szükséges, vagy azt az Alaptörvényben biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése érdekében vagy honvédelmi érdekből törvény elrendeli, vagy c) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adatok esetében törvény közérdeken alapuló célból elrendeli, d) az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése: da) az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy db) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll, 9

10 e) az érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az érintett személyes adatai kezelhetőek, f) a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában: fa) a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy fb) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll. 2. Az adatkezelés célhoz kötöttsége; az érintett előzetes tájékoztatásának követelménye Az Avtv. az adatkezelés célhoz kötöttsége tekintetében előírja, hogy: a) Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak. b) Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, mégpedig kizárólag a cél megvalósulásához szükséges mértékben és ideig. Az Avtv. az előzetes tájékoztatás körében előírja, hogy: a) Az érintettel az adat felvétele előtt közölni kell, hogy az adatszolgáltatás önkéntes vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is. b) Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, az Avtv. 6. (5) bekezdése szerinti adatkezelésről, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. A gyógykezelés során a kezelést végző orvoson és az egyéb betegellátó személyeken kívül csak az lehet jelen, akinek jelenlétéhez az érintett hozzájárul. Az érintett hozzájárulása nélkül is jelen lehetnek a gyógykezelés során az Eatv. 14. (1) bekezdés a)-d) pontjaiban, valamint az Eatv. 14. (2) bekezdésében felsorolt személyek. 10

11 3. Az adatok minősége Az adatkezelés során kezelt személyes adatoknak az alábbi jogszabályi (minőségi) követelményeknek kell megfelelniük: a) felvételük és kezelésük tisztességes és törvényes, b) pontosak, teljesek és ha ez az adatkezelés céljára tekintettel szükséges naprakészek, c) tárolásuk módja alkalmas arra, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani. 4. Adatbiztonság Az Avtv. és az Eatv. az adatok biztonsága tekintetében az I. fejezetben már említettek szerint többek között az alábbi kötelezettségeket írja elő: a) Az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. b) Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik. IV. A Társaság adatkezelői tevékenysége, az adatkezelés belső eljárási szabályai Tevékenysége során a Társaság is végez az Avtv. 3. -ának 10. pontja és az Eatv. 9. -a szerinti (gyógykezeléssel összefüggő) adatkezelést, így a Társaság az Avtv. 3. -ának 9. pontja és az Eatv. 3. i) pontja szerinti adatkezelőnek minősül. A Társaság a fenti adatkezelési tevékenysége keretében figyelemmel főtevékenységének jellegére az Avtv pontja és az Eatv. 3. b) pontja szerinti személyes adatokat, valamint az Avtv pontja és az Eatv. 3. a) pontja szerinti különleges adatokat (az egészségi állapotra vonatkozó ún. egészségügyi adatokat) is kezel. A jelen szabályzat/eljárásrend alanyi hatálya alá tartozó személyek (ld.: I. pont) kötelesek az alábbiakban részletezett egyedi előírásokat is figyelembe véve betartani és másokkal is betartatni a III. pontban részletezett előírásokat. 1. Az adatkezelés terjedelme: 11

12 A Társaság adatkezelési tevékenysége az alábbi adatokat érinti: a) a Társasággal kapcsolatba kerülő betegek (páciensek) alább felsorolt személyes adatait, az azonosításukhoz, a gyógyászati kezelésükhöz, valamint a velük való kapcsolattartáshoz szükséges mértékben: - (születési) családi és utónév, leánykori név - esetleges törvényes képviselő családi és utóneve, - neme, - anyja születési családi és utóneve, - születési hely és idő, - TAJ szám, - lakcím, - telefonszám, - cím, - egészségpénztári tagság és tagi azonosítószám. b) a Társasággal kapcsolatba kerülő betegek (páciensek) gyógykezelésével összefüggésben keletkezett/keletkező, alább felsorolt különleges/egészségügyi adatokat: - anamnézis, - előző betegségekre vonatkozó adatok, - családi anamnézis, - az adott gyógykezelés alapját képező panaszok, - korábbi orvosi leletek, - aktuális státusz és annak leírása, - kezelőorvos által javasolt vizsgálatok, - kivizsgálási terv, - kezelőorvos által javasolt kontroll időpontok, - gyógyszerszedéssel és kezeléssel kapcsolatos javaslatok. 2. Az adatkezelés formái; az érintett hozzájárulásának beszerzése: A Társaság adatkezelési tevékenységet elsősorban akként végez, hogy a vele kapcsolatba kerülő betegek (páciensek) fentebb felsorolt személyes adatait az első kapcsolatfelvétel során, egy ún. beleegyező nyilatkozat felvételével rögzíti és saját adatbázisában eltárolja. Az adatok eltárolására egy papíralapú karton felvételével/megnyitásával kerül sor, amely karton a Társaság által a pácienssel összefüggésben készített/felvett teljes dokumentációt, valamint a páciens által rendelkezésre bocsátott (korábbi vagy más helyen készült) leleteket és a pácienssel folytatott elektronikus levelezést tartalmazza (kinyomtatott formában). A Társaság a páciens adatait elektronikus úton a DokiRex SQL páciens-nyilvántartó rendszerben tárolja el. A Társaság az érintettek különleges adatait/egészségügyi adatait ugyancsak a fentebb hivatkozott kartonon rögzíti és ezzel egyidejűleg a DokiRex SQL páciens-nyilvántartó rendszerben is 12

13 eltárolja. A Társaság az érintettnek a személyes adatok, valamint a különleges adatok/egészségügyi adatok kezelésére vonatkozó hozzájárulását (Avtv. 5. (1) bekezdésének a) pontja, valamint Avtv. 5. (2) bekezdésének a) pontja) az első kapcsolatfelvételkor, a fentiekkel egyidejűleg külön okiratba foglaltan (ún. adatkezelési hozzájáruló nyilatkozatban) szerzi be. Az Eatv. 9. -ának (1) bekezdése szerint az egészségügyi adatok felvétele a gyógykezelés része. A gyógykezelés során a kezelést végző orvos dönti el, hogy a szakmai szabályoknak megfelelően a kötelezően felveendő adatokon kívül mely egészségügyi adatok felvétele szükséges az Eatv. 4. -ának (1) bekezdésében meghatározott célokból. Az érintett gyógykezelésével kapcsolatos tevékenységet végző egyéb személy a kezelést végző orvos utasításának megfelelően, illetve a feladatai ellátásához szükséges mértékben vehet fel egészségügyi adatot. A kezelést végző orvos az általa vagy az egyéb betegellátó által felvett egészségügyi adatokról, valamint az azzal összefüggő saját tevékenységéről és intézkedéseiről feljegyzést készít. A feljegyzés a nyilvántartás részét képezi. Az Eatv. 4. (1)-(3) bekezdései szerinti célból történő adatkezelés és adatfeldolgozás esetén az egészségügyi ellátóhálózaton belül az egészségügyi és személyazonosító adatok továbbíthatók, illetve összekapcsolhatóak. Az adattovábbításra és az adatok összekapcsolására egyebekben az Eatv ának előírásai irányadóak. 3. Az adatkezelés célja(i); a célhoz kötöttség megszűnése: A Társaság által kezelt adatok kezelésének céljai az Eatv. 4. -ának (1) és (2) bekezdése alapján a következőek: I. a) az egészség megőrzésének, javításának, fenntartásának előmozdítása, b) a betegellátó eredményes gyógykezelési tevékenységének elősegítése, ideértve a szakfelügyeleti tevékenységet is, c) az érintett egészségi állapotának nyomon követése, d) a népegészségügyi [Eatv. 16. ], közegészségügyi és járványügyi érdekből szükségessé váló intézkedések megtétele, e) a betegjogok érvényesítése. A fenti célok között a Társaság a receptek felírása, a leleteknek a páciens részére történő megküldése és a távkonzultációk érdekében is kezeli a páciens előzőekben meghatározott adatait. II. A fentebb I. pont alatt rögzítetteken túl, törvényben meghatározott esetekben, az Eatv. 4. -ának (2) bekezdésében felsorolt esetekben. 13

14 Ha a kezelt adat célhoz kötöttsége megszűnik, és annak további tárolását a vonatkozó hatályos törvények nem írják elő, az adatalany adatait törölni kell. A törlésről jegyzőkönyvet kell készíteni. 4. Az adatbiztonság érdekében tett intézkedések: A Társaság az általa kezelt adatok biztonsága érdekében (a papíralapon és elektronikus úton tárolt adatokra nézve egyaránt) az adatkezelés teljes időtartama alatt az alábbi intézkedéseket foganatosítja: Tűz- és vagyonvédelem: Hozzáférésvédelem: Archiválás: Számítógépen tárolt adatok A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében az IT területnek különösen az alábbi intézkedéseket kell foganatosítania: Az adatokat és adatbázisokat tűz- és vagyonvédelmi berendezésekkel ellátott helyiségben kell elhelyezni. Az adathozzáféréshez csak érvényes, személyre szóló, azonosítható jogosultsággal legalább felhasználói névvel és jelszóval lehet hozzáférni. A jelszavak cseréjéről rendszeresen gondoskodni kell. A személyes adatokat tartalmazó adatbázisok passzív hányadát - a további kezelést már nem igénylő, változatlanul maradó adatokat - el kell választani az aktív résztől, majd a passzív adatokat időtálló adathordozón kell rögzíteni. Az adatkezelések archiválását évente egyszer kell elvégezni. Az archivált adatokat tartalmazó adathordozót tűzbiztos fémkazettában/szekrényben kell őrizni. Manuális kezelésű adatok A manuális kezelésű személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani, minden, adatbiztonsági szempontból érintett területnek: Az irattári kezelésbe vett iratokat jól zárható, száraz, tűz- és vagyonvédelmi berendezéssel ellátott helyiségben kell elhelyezni. A folyamatos aktív kezelésben lévő, illetve archivált iratokhoz csak az illetékes ügyintézők férhetnek hozzá Az adatkezelések iratainak archiválását évente egyszer el kell végezni. Az archivált iratokat a Társaság iratkezelési és selejtezési szabályzatának, valamint a irattári terveknek megfelelően kell szétválogatni és irattári kezelésbe venni. Vírusvédelem: A Társaság minden munkaállomásán, de - kiemelten a személyes adatokat kezelő ügyintézők számítógépein gondoskodni kell a valósidejű vírusmentesítésről. Hálózati védelem: A mindenkor rendelkezésre álló - számítástechnikai eszközök felhasználásával meg kell akadályozni, hogy adatokat tároló, hálózaton keresztül elérhető szerverekhez illetéktelen személy hozzáférjen. Tükrözés: A szervereken a személyes adatok - 14

15 elvesztésének elkerülésére folyamatos tükrözéssel biztosítandó egy tőle fizikailag különálló (másik épületben lévő) adathordozón. Biztonsági mentés: A személyes adatokat tartalmazó adatbázisok aktív adataiból rendszeresen (napi rendszerességgel) külön adathordozóra biztonsági mentést kell készíteni. A biztonsági mentést tartalmazó adathordozót tűzbiztos fémkazettában/szekrényben kell őrizni. 5. Titoktartás: - A Társaság szervezeti egységeinél adatkezelést végző munkatársak, valamint a jelen szabályzat/eljárásrend alanyi hatálya alá tartozó egyéb személyek kötelesek az általuk megismert személyes adatokat személyes, illetve egyben a Ptk. 81. (2) bekezdése szerinti üzleti tikokként időbeli korlátozás nélkül, azaz a jogviszony megszűnését követően is megőrizni. Az adatkezelők az Eatv. 7. (2) bekezdésében meghatározott kivételekkel kötelesek az orvosi titkot megtartani. A betegellátót az érintett választott háziorvosa, valamint az igazságügyi szakértő kivételével a titoktartási kötelezettség azzal a betegellátóval szemben is köti, aki az orvosi vizsgálatban, a kórisme megállapításában, illetve a gyógykezelésben vagy műtétnél nem működött közre, kivéve, ha az adatok közlése a kórisme megállapítása vagy az érintett további gyógykezelése érdekében szükséges. A Társaság ilyen munkakörben foglalkoztatott munkavállalói, valamint a Társaság által munkavégzésre irányuló egyéb jogviszonyban foglalkoztatott személyek a munkaviszonyuk vagy munkavégzésre irányuló egyéb jogviszonyuk létesítésével egyidejűleg (a már fennálló jogviszonyok esetében a jelen szabályzat/eljárásrend hatályba lépésével egyidejűleg) külön okiratba foglalt titoktartási nyilatkozatot kötelesek aláírni. A Társaság a vele a fentieken kívül eső szerződéses jogviszonyba kerülő harmadik személyekkel a fenti titoktartási előírások betartását akként biztosítja, hogy a harmadik személyekkel megkötendő szerződésekben ezen előírásokat kifejezetten (írásban) rögzíti, s azok esetleges megsértéséhez a szerződésben olyan jogkövetkezményeket (pl.: kötbérszankciót) társít, amelyek megfelelően kompenzálják a másik fél jogsértéséből (szerződésszegő magatartásából) eredően a Társaság oldalán felmerülő károkat és egyéb hátrányokat. 6. Az adatkezelési szabályok megsértésének jogkövetkezményei: A Társaság tájékoztatja a jelen szabályzat/eljárásrend alanyi hatálya alá tartozó személyeket, hogy az adatkezeléssel érintett adatokkal összefüggésben végzett bármely olyan művelet, amely a jelen szabályzatban/eljárásrendben rögzített céloknak és előírásoknak nem felel meg (így 15

16 különösen, de nem kizárólagosan az adatok jogellenes másolása, terjesztése, illetéktelen személyek részére történő átadása vagy az azokról történő jogosulatlan információszolgáltatás stb.), súlyosan jogsértő és visszaélésszerű magatartásnak minősül. A fenti adatokkal összefüggő feladatok nem megfelelő körültekintéssel történő ellátása (pl.: az adatok illetéktelen személyek részére történő gondatlan továbbítása) ugyancsak súlyosan jogsértő és felróható magatartásnak minősül. Az adatok megőrzése és jogszabályszerű kezelésének/feldolgozásának maradéktalan betartása és betartatása, továbbá a IV.5. pontban részletezett titoktartási kötelezettség betartása/betartatása a Társaság kiemelt érdeke, amelyhez az Avtv. szerinti jogszabályi felelősség társul. A Társaság ennek érdekében a jelen szabályzatban/eljárásrendben részletezettek szerint megtett minden olyan biztonsági és egyéb intézkedést, amelyek révén az adatkezelés/adatfeldolgozás szabályszerűsége teljes körűen biztosítható. A jelen szabályzat/eljárásrend alanyi hatálya alá tartozó személyek a Társasággal fennálló/fennállt jogviszonyuk keretében tudomásukra jutott adatokkal összefüggésben kizárólag a jogviszonyt létrehozó szerződésben rögzített célok érdekében és kizárólag ezen céloknak megfelelő módon és mértékben, a Társaság mindenkori ügyvezetésének utasításainak megfelelően végezhetnek bármilyen műveletet. Az ezen adatokkal összefüggő feladataik ellátása (pl.: az adatok nyilvántartása, valamint a jogosultak felé történő továbbítása) során kötelesek továbbá kiemelt gondossággal és körültekintéssel eljárni. A fentebb részletezett szigorú jogszabályi előírásokra is figyelemmel a jelen szabályzatban/eljárásrendben rögzített adatkezelési szabályok és titoktartási kötelezettség bármely formában történő megszegése a jogsértés jellegétől és súlyától függetlenül a jelen szabályzat/eljárásrend alanyi hatálya alá tartozó fél részéről súlyos szerződésszegésnek és jogszabálysértésnek minősül, amely alapot ad a Társaság oldalán a jogviszony (munkaviszony, munkavégzésre irányuló egyéb jogviszony, egyéb szerződés stb.) azonnali hatállyal történő (egyoldalú) megszüntetésére, valamint az ezzel kapcsolatos jogkövetkezmények (pl.: kötbérszankció) alkalmazására. Amennyiben az adott jogsértés/szerződésszegés kapcsán fennáll a bűncselekmény elkövetésének megalapozott gyanúja, a Társaság fenntartja a jogát arra nézve is, hogy megindítsa az illetékes hatóságok előtt az érintett személy büntetőjogi felelősségre vonására irányuló eljárást is. V. Az adatalanyok (érintettek) jogosultságai és tájékoztatásuk Tájékoztatás kérése Az adatalany tájékoztatást kérhet az adatai kezelésével kapcsolatos minden tényről, így különösen az adatok forrásáról, az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. 16

17 Az adatalany a Társaság illetékes ügykezelőjétől tájékoztatást kérhet a róla szóló adatkezelésről és abba bele is tekinthet. A betekintést úgy kell biztosítani, hogy ez alatt az adatalany más személy adatait ne ismerhesse meg. Az érintett adatalany az Eatv. 7. (3) bekezdése szerint: a) jogosult tájékoztatást kapni a gyógykezeléssel összefüggésben történő adatkezelésről, b) a rá vonatkozó egészségügyi és személyazonosító adatokat megismerheti, c) az egészségügyi dokumentációba betekinthet, valamint azokról saját költségére másolatot kaphat. A fenti jogosultságok az Eatv. 7. (4)-(7) bekezdéseiben felsorolt esetekben az ott meghatározott személyeket is megilletik. A betekintési igények teljesítését megelőzően az erre irányuló kérelmeket a Társaság mindenkori ügyvezetőjével kötelező (előzetesen) jóváhagyatni. A Társaság és a kezelést végző orvos tájékoztatási kötelezettsége A kezelést végző orvos az általa megállapított, az érintettre vonatkozó egészségügyi adatokról köteles az érintettet közvetlenül tájékoztatni (Eatv. 11. (1) bekezdése). Az Avtv. értelmében az adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, de legfeljebb 30 napon belül írásban, közérthető formában megadni a tájékoztatást az érintettnek. A tájékoztatást valamennyi esetben kötelező a Társaság mindenkori ügyvezetőjével (előzetesen) jóváhagyatni. A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozó tájékoztatási kérelmet a Társaság felé még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett. Az adatalany tájékoztatása, illetve a betekintés biztosítása csak az Avtv. 9. -ában előírt esetekben, továbbá akkor tagadható meg (az Eatv. előírásainak betartásával), ha azt a törvény az állam külső és belső biztonsága, a honvédelem, a nemzetbiztonság, a bűnmegelőzés vagy bűnüldözés érdekében, továbbá állami vagy helyi önkormányzati gazdasági vagy pénzügyi érdekből, illetve az EU jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából, továbbá az adatalany (érintett) vagy mások jogainak védelme érdekében lehetővé teszi. A Társaság köteles az adatalannyal (érintettel) a felvilágosítás megtagadásának indokát közölni. Adatváltozás/téves rögzítés 17

18 Adatváltozás vagy téves adatrögzítés észlelése esetén az adatalany (érintett) kérheti kezelt adatainak helyesbítését, illetve azok kijavítását. A téves adatot a Társaság legkésőbb 72 órán belül köteles helyesbíteni. Nem kötelező adatszolgáltatáson alapuló adatkezelés esetén az adatalany (érintett) indokolás nélkül kérheti kezelt adatainak törlését. A törlést a Társaság legkésőbb 72 órán belül köteles elvégezni. Az adatkezelés törlésével, megszüntetésével kapcsolatos tényeket jegyzőkönyvbe kell venni. A helyesbítésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti. Az egészségügyi dokumentációban szereplő hibás egészségügyi adatot az adatfelvételt követően úgy kell kijavítani vagy törölni, hogy az eredetileg felvett adat megállapítható legyen. A nyilvántartott adatokról, valamint az egészségügyi dokumentációról az adatkezelő hiteles másolatot készít, ha ezt az adatbiztonság vagy a tárolt adatok fizikai védelme, illetve az Eatv-ben előírt adatközlési kötelezettség szükségessé teszi. A hiteles másolat adattartalmára vonatkozóan az Eatv. 6. -ában, valamint a jelen szabályzat/eljárásrend IV.4. pontjában rögzítettek az irányadóak. Panaszkezelés, jogorvoslat Adatkezeléssel kapcsolatos jogainak megsértése esetén az adatalany (érintett) a Társasághoz, valamint bírósághoz fordulhat. A Társaság az egyes panaszok kezelését saját külön panaszkezelési szabályzata alapján, a jelen szabályzatban/eljárásrendben rögzítettek figyelembevételével végzi. Tiltakozás Az adatalany tiltakozhat személyes adatának kezelése ellen, s kérheti az adatkezelés megszüntetését, illetve a kezelt adatok törlését. A Társaság az erre irányuló kérelmet az adatkezelés egyidejű felfüggesztésével köteles a kérelem benyújtásától számított legfeljebb 15 napon belül megvizsgálni, annak megalapozottsága kérdésében döntést hozni, és döntése eredményéről a kérelmezőt írásban tájékoztatni. Amennyiben a tiltakozás indokolt, a Társaság köteles az adatkezelést beleértve a további adatfelvételt és adattovábbítást is megszüntetni és az adatokat zárolni, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. A Társaság az adatalany (érintett) adatát nem törölheti, ha az adatkezelést törvény rendelte el. Az adat azonban nem továbbítható az adatátvevő részére, ha a Társaság egyetértett a tiltakozással, illetőleg bíróság a tiltakozás jogosságát megállapította. 18

19 VI. Adatvédelmi nyilvántartás; bejelentési kötelezettség Az Avtv. 65. (3) bekezdésének c) pontja az alábbiak szerint rendelkezik: Nem vezet adatvédelmi nyilvántartást a Hatóság arról az adatkezelésről, amely az egészségügyi ellátásban kezelt személy betegségével, egészségi állapotával kapcsolatos személyes adatokra vonatkozik gyógykezelés vagy az egészség megőrzése, társadalombiztosítási igény érvényesítése céljából. A Társaság tevékenységével összefüggésben kizárólag olyan adatokat kezel, amelyek az Avtv. 65. (3) bekezdésének c) pontjában megjelölt körbe tartoznak, így a fent idézett jogszabályi előírásokra tekintettel nem köteles bejelentkezni az adatvédelmi nyilvántartásba. VII. Ellenőrzés; felelősség; adatmegőrzési kötelezettség; adatvédelmi felelős 1. A Társaság ügyvezetése által foganatosított ellenőrzés Az adatvédelemmel kapcsolatos előírások, így különösen jelen szabályzat/eljárásrend rendelkezéseinek betartását a Társaság ügyvezetése által erre kijelölt személy folyamatosan, megfelelő rendszerességgel ellenőrzi. Az ellenőrzéssel megbízott személy a kapcsolódó szabályzatok, szabályok, jegyzőkönyvek és a nyilvántartás áttekintésével gondoskodik az adatkezelés törvényes rendjének megtartásáról. Az egyes adatkezelések ellenőrzését az ellenőrzéssel megbízott személy szükség szerint köteles elvégezni. Az ellenőrzés tapasztalatairól 6 hónap rendszerességgel köteles a Társaság mindenkori ügyvezetését írásban tájékoztatni. Az ellenőrzéssel megbízott személy fenti kötelezettségeinek elmulasztása súlyos mulasztásnak/szerződésszegésnek minősül. A Társaság mindenkori ügyvezetése bármikor jogosult saját maga is ellenőrzést folytatni. A jelen szabályzatban/eljárásrendben rögzített előírások maradéktalan be nem tartása a szabályzat/eljárásrend alanyi hatálya alá tartozó személyek részéről súlyos és vétkes kötelezettségszegésnek minősül, amelynek alapján a Társaság jogosult a mulasztó személlyel szemben alkalmazni a IV.6. pontban rögzített jogkövetkezményeket. 2. Felelősség az adatok védelméért és a nyilvántartások vezetéséért Az Eatv ának (1) bekezdése alapján a Társaságnál mint egészségügyi intézménynél az egészségügyi és személyazonosító adatok védelméért, valamint a nyilvántartások megőrzéséért a Társaság mindenkori ügyvezetője/ügyvezetői felelős(ek). 19

20 Az ügyvezető a fentiekre is tekintettel tevékenysége során: a) gondoskodik az adatvédelmi szabályok betartásáról, b) ellenőrzi az adatkezelők és adatfeldolgozók adatkezeléssel, illetve adatfeldolgozással összefüggő tevékenységét, c) kezdeményezi az adatvédelem, illetve az adatbiztonság területén kifejlesztett új technológiák és eszközök alkalmazását, d) biztosítja az adatkezeléssel és adatfeldolgozással foglalkozó személyek adatkezelési oktatását, e) tudományos kutatás esetén [21. (1) bekezdés] engedélyezi az egészségügyi dokumentációba való betekintést, f) kijelöli az adatvédelmi felelőst (felelősöket), g) ellenőrzi az adatvédelmi felelős (felelősök) tevékenységét, h) gondoskodik az intézmény adatvédelmi szabályzatának elkészítéséről, i) dönt a kötelező nyilvántartási időt követően a nyilvántartott adatok további tárolásáról vagy megsemmisítéséről. 3. Adatmegőrzési kötelezettség Az egészségügyi dokumentációt a képalkotó diagnosztikai eljárással készült felvételek, az arról készített leletek, valamint a gyógyszertári vények kivételével az adatfelvételtől számított legalább 30 évig, a zárójelentést legalább 50 évig kell megőrizni. A kötelező nyilvántartási időt követően gyógykezelés vagy tudományos kutatás érdekében amennyiben indokolt az adatok továbbra is nyilvántarthatók. Ha a további nyilvántartás nem indokolt a tudományos jelentőségű egészségügyi dokumentáció kivételével a nyilvántartást meg kell semmisíteni. Képalkotó diagnosztikai eljárással készült felvételt az annak készítésétől számított 10 évig, a felvételről készített leletet a felvétel készítésétől számított 30 évig kell megőrizni. A tudományos kutatás céljából történő adatkezelés során a tárolt adatokba betekintett személyekről, a betekintés céljáról és időpontjáról vezetett nyilvántartás kötelező megőrzési ideje 10 év. A Társaság jogutód nélküli megszűnése esetén kivéve azt az esetet, ha a Társaság által korábban ellátott feladatokat más szerv látja el a tudományos jelentőségű egészségügyi dokumentációt a Semmelweis Orvostörténeti Múzeum, Könyvtár és Levéltárának, az egyéb egészségügyi dokumentációt a Kormány által kijelölt szervnek kell átadni. Amennyiben a Társaság jogutód nélkül szűnik meg, de az általa korábban ellátott feladatokat más szerv látja el, a Társaság megszűnésének időpontját megelőző tíz évben keletkezett egészségügyi dokumentációt a feladatot ellátó szerv részére, az ennek alapján átadásra nem kerülő egészségügyi dokumentációt pedig az Eatv. 30. (4) bekezdés b) pontja szerinti adatkezelő részére kell átadni. A betegjogi, ellátottjogi és gyermekjogi képviselő eljárása során keletkezett egészségügyi és személyazonosító adatot is tartalmazó dokumentációt az eljárás befejezését követően a Kormány által kijelölt szervnek kell átadni. 20

21 Az adatmegőrzés érdekében folyamatosan biztosítani kell, hogy az adathordozó az adott technikai feltételek mellett olvasható maradjon, vagy olvasható állapotba kerüljön. 4. Adatvédelmi felelős A szervezeti egységenként 20 főnél több adatkezelőt foglalkoztató munkáltató esetén a Társaság ügyvezetése szervezeti egységenként adatvédelmi felelőst jelöl ki. Adatvédelmi felelősnek a) szakorvos szakképesítéssel rendelkező orvos, vagy b) legalább 2 év joggyakorlattal rendelkező jogi egyetemi végzettségű személy, vagy c) felsőfokú végzettségű, az egészségügyi adatkezelésben legalább 2 év gyakorlatot szerzett személy jelölhető ki. A jelen szabályzat/eljárásrend VII.3. pontjának a)-e) alpontjaiban felsorolt tevékenységeket az adatvédelmi felelős is elláthatja. VIII. Egyéb Jelen szabályzat/eljárásrend napján lép hatályba, s az I. pontban meghatározott alanyi és tárgyi körre nézve a jövőben kötelezően alkalmazandó. A Társaság mindenkori ügyvezetése jogosult a jelen szabályzat/eljárásrend bármely rendelkezését a jövőre nézve egyoldalúan módosítani. Amennyiben az adatkezelési tevékenységekre vonatkozóan akár az irányadó jogszabályokban, akár a Társaság jelen szabályzatában/eljárásrendjében változások történnek, azokról a Társaság mindenkori ügyvezetése haladéktalanul tájékoztatja az érintett személyeket. Kelt Budapesten, napján:. a Társaság képviseletében: Tarjánné Sári Nóra ügyvezető 21

22 22