AZ EGÉSZSÉGBIZTOSÍTÁSI PÉNZTÁR ADATVÉDELME MISKOLCI EGYETEM ÁLLAM- ÉS JOGTUDOMÁNYI KAR INFORMÁCIÓS ÉS MÉDIAJOGI TANSZÉK SZAKDOLGOZAT

MISKOLCI EGYETEM ÁLLAM- ÉS JOGTUDOMÁNYI KAR INFORMÁCIÓS ÉS MÉDIAJOGI TANSZÉK

SZAKDOLGOZAT

AZ EGÉSZSÉGBIZTOSÍTÁSI PÉNZTÁR ADATVÉDELME SZERZŐ: ZÁZRIVECZ MÓNIKA IGAZGATÁSSZERVEZŐ SZAK LEVELEZŐ TAGOZAT KONZULENS: DR. MAJTÉNYI LÁSZLÓ EGYETEMI TANÁR

MISKOLC 2013

UNIVERSITY OF MISKOLC FACULTY OF LAW AND STATE DEPARTMENT OF INFORMATION AND MEDIA LAW

THESIS

PRIVACY OF HEALTH INSURANCE FUND ADMINISTRATION AUTHOR: ZÁZRIVECZ MÓNIKA BA IN PUBLIC ADMINISTRATION MANAGEMENT PART-TIME COURSE CONSULTANT: DR. MAJTÉNYI LÁSZLÓ INSTRUCTOR

MISKOLC 2013

Tartalomjegyzék Tartalomjegyzék .......................................................................................... 1 Bevezetés ..................................................................................................... 3 1. Az adatvédelem hazai története ............................................................ 5 2. Az adatvédelmi jog megjelenése ........................................................... 6 3. A társadalombiztosítási azonosító jel létrejötte..................................... 6 4. A társadalombiztosítás szerveinek adatkezelése ................................... 8 4. 1. Adatkezelők a társadalombiztosításban ............................................ 9 5. Az egészségbiztosítás igazgatási szerveinek adatkezelése.................... 10 5. 1. Az adatkezelés jogalapja ................................................................... 10 5. 2. Az adatkezelés célja .......................................................................... 11 5. 3. Az egészségbiztosítási szervek által nyilvántartott személyes adatok .................................................................................................... 12 5. 4. TAJ adatbázis .................................................................................... 13 5. 4. 1. Titkos örökbefogadás .................................................................... 14 5. 4. 2. Tanúvédelmi ellenőrzés ................................................................ 16 5. 5. Bejelentett személyek jogviszony adatai: BSZJ ............................... 17 5. 6. Pénzbeli ellátások nyilvántartása ...................................................... 18 6. A TAJ-BSZJ rendszerhez való alkalmazásszintű hozzáférés szabályai 20 6. 1. Jogosultság igénylésének szabályai .................................................. 20 7. Adatkezelők az egészségbiztosításban .................................................. 20 8. Az adatvédelmi felelős .......................................................................... 21 9. Az Egészségbiztosítási Pénztár adatszolgáltatása ................................. 23 9. 1. Az adatszolgáltatás általános szabályai ............................................. 23 9. 2. Adattovábbítás külső szervezetek felé .............................................. 25 9. 3. Az Országos Egészségbiztosítási Pénztár és a Nemzeti Adó- és Vámhivatal kölcsönös adatszolgáltatása ............................................... 27 9. 4. Adattovábbítás természetes személy részére .................................... 28 10. Az adatok helyesbítése és törlése .......................................................... 29 11. Az érintettek jogai ................................................................................. 30 12. Belső adatvédelmi nyilvántartás ........................................................... 31 1

13. Az Egészségbiztosítási szervek adatszolgáltatási kötelezettségének a terjedelme .............................................................................................. 32 13. 1. Adatszolgáltatás nem egészségbiztosítási szerv részére .................. 32 13. 2. Az adatszolgáltatásra jogosultak köre és az adatszolgáltatás alapja 33 14. Tájékoztatási kötelezettség.................................................................... 35 14. 1. Telefonon történő tájékoztatás ......................................................... 36 14. 2. E-mailben érkezett beadványok ....................................................... 36 15. A közérdekű adatok nyilvánossága ....................................................... 37 16. Adatfeldolgozási tevékenység ............................................................... 38 17. A Nemzeti Adatvédelmi és Információszabadság Hatóságnak tett jelentések ............................................................................................... 39 18. Az adatbiztonság ................................................................................... 40 18. 1. Az adatbiztonság követelménye ....................................................... 40 18. 2. Adatbiztonsági célok ........................................................................ 41 18. 3. Biztonsági események ...................................................................... 41 19. Informatikai biztonság .......................................................................... 42 19. 1. Informatikai biztonsági események jelentése ................................... 43 19. 2. Biztonsági zónák .............................................................................. 43 19. 3. Tűzfal és hálózati rendszer üzemeltetése ......................................... 44 19. 4. Az informatikai eszközökkel kapcsolatos védelmi előírások .......... 44 19. 5. Jelszavak kialakítása, védelme, tárolása .......................................... 45 19. 6. Mobil adathordozó használatára vonatkozó utasítások .................... 46 19. 7. Az e-mail szolgáltatások használatára vonatkozó utasítások ........... 47 19. 8. WEB szolgáltatás használatára vonatkozó utasítások ...................... 48 19. 9. Adatvédelmi biztos az Országos Egészségbiztosítási Pénztár számítógépes rendszerének hibájáról .................................................... 48 20. Az informatikai rendszerek módosítása az adatvédelem érdekében ..... 50 Összegzés .................................................................................................... 51 Irodalomjegyzék .......................................................................................... 53 Jogszabályjegyzék ....................................................................................... 54 Hivatkozások jegyzéke ................................................................................ 55

2

Bevezetés Az adatvédelem, mint önálló jog Magyarországon 1992-ben jelent meg, azóta a nemzetközi szabályozásnak teljes mértékben megfelelő, illetve talán némely területen erősebb szabályozás figyelhető meg. Mint a Nógrád Megyei Kormányhivatal Egészségbiztosítási Pénztári Szakigazgatási Szervének ügyintézője a szakdolgozatom témájaként az Egészségbiztosítási Pénztár adatvédelmét választottam. Dolgozatomban azáltal tudok hiteles képet adni erről a bonyolult struktúrájú rendszerről melyet a szakdolgozatom témájának választottam, ha együtt vizsgálom a megyei és az országos szervezet működési rendjét, különös tekintettel az általam leglényegesebbnek ítélt témakörökben. Az Egészségbiztosítási Pénztárak tevékenysége szükségképpen együtt jár személyes adatok kezelésével, ezért az adatkezelés során tekintettel kell lenni az általános és az ágazati jogszabályokra is. Az adatkezelés során elsősorban az ágazati törvényekben található adatkezelési szabályok alapján kell eljárni. Amennyiben ezek nem elegendőek a kérdés megoldásához, akkor kell az általános jogszabályhoz fordulni. Ha ellentétes az általános és az ágazati jogszabály, akkor az ágazati jogszabályt kell figyelembe venni, kivéve ha ez alkotmányos jogokat sért. 1993-ban kimondták az Országos Társadalombiztosítási Főigazgatóság és igazgatási szervei szétválását, a magyar társadalombiztosítási két biztosítási ágra szakadt: az egészségbiztosításra és a nyugdíjbiztosításra. Ezt követően még az Egészségbiztosítási Pénztárak nagyon sok szervezeti átalakuláson mentek keresztül. Volt amikor megyei szinten, volt amikor regionális szinten hajtották végre működésüket és feladataikat, de minden esetben az Országos Egészségbiztosítási Pénztár szakmai felügyelete alatt. A szervezeti felépítés 2011. január 1-jével nagyobb átalakításon esett át. Az Egészségbiztosítási Pénztárak egyes osztályai (nyilvántartási, pénzbeli és ellátási) beintegrálódtak a Megyei Kormányhivatalok alá, 3

melynek következtében a munkáltatói jogok gyakorlója, illetve a felettes szerv a Kormányhivatalok lettek. A szakmai irányítást és felügyeletet az Országos

Egészségbiztosítási

életbelépését

követően

is.

Pénztár Ezekből

látja

el

a

következik,

jogszabályok hogy

az

Egészségbiztosítási Pénztáraknak működése során figyelembe kell vennie a Kormányhivatalok adatvédelmi szabályzatát, illetve az Országos Egészségbiztosítási Pénztár rendelkezéseit.

4

1. Az adatvédelem hazai története Az 1989. októberében az Országgyűlés által módosított köztársasági alkotmány már elismeri a személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jogot, melyet az 1990. évi teljes alkotmányrevízió a kétharmados szabályozású törvények körébe emel. Az adatvédelem, más néven az információs önrendelkezési jog az egyén „azon joga, hogy alapvetően maga döntsön személyes adatainak kiszolgáltatásáról és felhasználásáról.” - mondta ki a 15/1991. (IV.13.) AB határozat. Az állam és a gazdaság működtetéséhez, a társadalmi tevékenységek minél

hatékonyabb

tervezéséhez

és

szervezéséhez

egyre

több

információra van szükség. A hatalmas mennyiségű és széleskörű információkezelésben jelentősen növekedett az informatikai rendszerek szerepe. Hiányzott egy átfogó szabályozás az adatok feldolgozásával és nyilvántartásával kapcsolatban, mely jogbizonytalanságot szült. Az Országgyűlés alkotmányos kötelezettségének eleget téve megalkotta és 1992. november 17-én kihirdette a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvényt, közismertebb nevén az adatvédelmi törvényt. 1A törvény 2004. január 1-jétől hatályos módosítása átültette a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK európai parlamenti és tanácsi irányelvet. Az irányelv jelenleg is fontos szerepet tölt be a magyar törvény mellett. 2012. január 1-jével hatályba lépett az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény.

1

Szőke Gergely László: Infokommunikáció és jog. hvgorac Lap és Könyvkiadó Kft. 35. szám

5

2. Az adatvédelmi jog megjelenése Az adatvédelmi jog, mint önálló jogintézmény fennállása óta a törvényhozók több jelentős módosítást hajtottak végre. Ahogy Dr. Majtényi László, a Magyar Köztársaság első adatvédelmi biztosa jellemezte, „az információszabadsággal karöltve a rendszerváltás sarokkövének számít, a demokratikus jogállami berendezkedés egyik alappillére.” Az adatvédelmi jog, mint önálló szabályozási rendszer középpontjában – egyfajta pókháló vezérfonalaként – az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény áll, mely általános szinten határozza meg az alapvető fogalmakat, és a legfontosabb garanciális elemeket. Ezek a rendelkezések valamennyi adatvédelmi jogviszonyra irányadóak, azonban azok részletszabályait az egyes szektorális törvényekben találjuk meg. Egy konkrét adatkezelés megítélését tehát gyakran az általános és speciális szabályok együttes alkalmazásával tudjuk csak megtenni.

3. A társadalombiztosítási azonosító jel létrejötte Ma Magyarországon három nagy adminisztratív nyilvántartási és azonosító rendszer létezik, a személyiadat- és lakcímnyilvántartásban a személyazonosító jel, az adózók azonosításában az adóazonosító jel és a társadalombiztosítási rendszerben pedig a társadalombiztosítási azonosító jel. Ez nem mindig volt így, az 1975-ben bevezetett 11-jegyű személyi szám vagy személyi azonosító a Magyarországon használatos nemzeti személyazonosító jelek egyike volt. Bevezetésének célja az volt, hogy megkönnyítsék az adatkezelést az államigazgatás számára, számítógépes adatbázisból visszakereshető legyen a személyi számmal jelölt emberről összegyűjtött összes információ. Az univerzális személyi azonosítónak szánt személyi szám általános használatát az Alkotmánybíróság 1991-es 6

döntése a személyes adatok védelme érdekében megtiltotta, és 1995-ben visszaszorította a használatát. Elkülönítésüket az indokolta, hogy az eltérő állami feladatokkal kapcsolatos személyes adatokat csak indokolt esetben, törvényi felhatalmazással, és ellenőrizhető módon lehessen összekapcsolni.2 Ettől kezdve használjuk a három azonosító jelet. Bár ilyen módon nem azonosítható minden adatbázisban egy személy ugyanazzal az azonosítóval, ha mégis rá kell keresni egy személyre több adatbázisban, az ideiglenesen, alkalomhoz kötötten létrehozandó kapcsolati kóddal tehető csak meg. Az Országgyűlés, kiindulva a személyes adatok védelméhez fűződő alkotmányos alapjogból, és szem előtt tartva azt a követelményt, hogy a személyes adatok felhasználásának átláthatóságát biztosítani kell, az információs önrendelkezési jog arányos korlátozásával megalkotta a személyazonosító jel helyébe lépő azonosítási módokról és az azonosító kódok használatáról szóló 1996. évi XX. törvényt. A társadalombiztosítási azonosító jel a társadalombiztosítási (egészségés nyugdíjbiztosítási), a szociális, valamint a magánnyugdíj-rendszerrel kapcsolatos nyilvántartásokban használt kilencjegyű személyi azonosító kód. Amelyben az első nyolc számjegy egy folyamatosan kiadott sorszám, a kilencedik úgynevezett CDV kód. A kilencedik számjegyet a következőképpen képzik a páratlan helyen álló számjegyeket hárommal, a páros helyen állókat pedig héttel szorozzák. Az így kapott számokat összeadják, elosztják 10-zel, és az osztás maradékát hozzáírják a sorban kiadott 8 számjegyhez kilencedik számként. (1. ábra)3

2

dr. Jóri András - dr. Hegedűs Bulcsú - dr.Kerekes Zsuzsanna: Adatvédelem és információszabadság a gyakorlatban. Complex Kiadó, Budapest 2010 3

A személyazonosító jel helyébe lépő azonosítási módokról és az azonosító kódok használatáról szóló 1996. évi XX. törvény 2. számú melléklet

7

1. ábra

4. Társadalombiztosítás szerveinek adatkezelése Jelen fejezetben szeretném bemutatni, hogy azon szervek akik, a társadalombiztosítási azonosító jel alapján tartják nyilván az adatokat, milyen adatokat kezelhetnek és ezt mely jogszabály alapján tehetik meg. A

társadalombiztosítási

nyilvántartások

a

foglalkoztatók

és

a

biztosítottak által szolgáltatott adatokat tartalmazzák. A nyilvántartási rendszerben az alábbi személyes adatokat kezelhetik a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. törvény alapján: -

személyazonosító adatok (név, leánykori név, anyja neve, születési hely, születési idő)

-

családi állapot

-

állampolgárság

-

lakóhely, tartózkodási hely

-

foglalkozás, munkahely, munkakör tevékenység

-

a rokkantság fokára, az egészségi állapotra, továbbá az élettársra, az eltartott hozzátartozói minőségre vonatkozó olyan adatok, amelyek

a

társadalombiztosítási

szükségesek -

jövedelemre vonatkozó adatok

-

társadalombiztosítási azonosító jel

8

ellátás

megállapításához

4. 1. Adatkezelők a társadalombiztosításban A társadalombiztosítási rendszerek és a magánnyugdíjrendszer hatékony működésének

biztosítása

céljából

a

befizetések

nyilvántartását,

beszedését és az ellátások megállapításához szükséges adatokat az alábbi szervek kezelik: -

a

nyugdíjbiztosítási

nyilvántartás

adatkezelője

a

Nyugdíjbiztosítási Alap kezeléséért felelős nyugdíjbiztosítási szerv: Országos Nyugdíjbiztosítási Főigazgatóság -

Az

egészségbiztosítási

nyilvántartás

adatkezelője

az

egészségbiztosítási szerv (Országos Egészségbiztosítási Pénztár és igazgatási szervei) -

a

járulék

bevallását,

befizetését,

végrehajtását

tartalmazó

nyilvántartás adatkezelője a Nemzeti Adó- és Vámhivatal -

a magánnyugdíjpénztárakra és tagjaikra vonatkozó adatok kezelője a Pénzügyi Szervezetek Állami Felügyelete.4

A társadalombiztosítási adatokat kezelő igazgatási szerv személyes adatot csak hatályos jogszabályok alapján, illetve az érintett írásos hozzájárulásával

továbbíthat,

kapcsolhat

össze

más,

külső

nyilvántartással. 5 A bíróságok, az ügyészségek, a bűnüldözés és a büntetés-végrehajtás szervei, valamint a nemzetbiztonsági szolgálatok feladataik ellátása érdekében – a rájuk vonatkozó törvényekben meghatározott célok és feltételek teljesülése esetén jogosultak a nyilvántartásba felvett adatok teljes körének igénylésére.

4 5

dr. Jóri András - dr. Hegedűs Bulcsú - dr.Kerekes Zsuzsanna: Adatvédelem és információszabadság a gyakorlatban. Complex Kiadó, Budapest 2010

9

5. Az egészségbiztosítás igazgatási szerveinek adatkezelése 5. 1. Az adatkezelés jogalapja Az Egészségbiztosítási Pénztárak tevékenysége szükségképpen együtt jár személyes adatok kezelésével. Az adatnyilvántartásra, adattovábbításra vonatkozó szabályozás az elmúlt években jelentős változásokon esett át, így téve biztonságosabbá a rendszert. Az adatkezelés során érvényesül az általános és ágazati jogszabályok viszonya. Ágazati jogszabályoknak a társadalombiztosítási jogszabályokban megjelenő normákat tekintjük. Az adatkezelés során elsősorban a hatályos törvényekben és rendeletekben található adatkezelési szabályok alapján kell eljárni. Amennyiben ezek nem adnak kielégítendő és mindenre kiterjedő választ a felmerült problémák megoldásához, akkor kell az általános jogszabályhoz – az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény – fordulni.6 Az Egészségbiztosítási Pénztár adatkezelésére az alábbi ágazati jogszabályokat kell alkalmazni: -

az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLCVII. törvény,

-

a

társadalombiztosítás

ellátásaira

és

a

magánnyugdíjra

jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. törvény, -

az egészségügyről szóló 1997. évi CLIV. Törvény,

-

a kötelező egészségbiztosítás ellátásairól szóló 1997. évi LXXXIII. törvény,

-

az egészségügyi szolgáltatások Egészségbiztosítási Alapból történő finanszírozásának részletes szabályairól szóló 43/1999. (III.3) Korm. rendelet vonatkoznak.

6


10

A

betegellátás

teljes

körű

adatai

kizárólag

az

Országos

Egészségbiztosítási Pénztár zártkörű informatikai adatbázisából kérhetők le a betekintési joggal rendelkezőknek. A többi szakhatósági szervek nem rendelkeznek a társadalombiztosítási azonosító jellel. Ezek ugyan betegségi statisztikák lekérdezésére alkalmasak, de betegkövetésre, betegéletút meghatározásának felhasználására nem elégséges. Az Országos Egészségbiztosítási Pénztár Főigazgatója az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 24. § (3) bekezdésében megfogalmazott kötelezettségének eleget téve megalkotta az adatkezelés és adatbiztonság alapvető szabályait, az Adatvédelmi Szabályzatot. Az Adatvédelmi Szabályzat hatálya kiterjed az egészségbiztosítási szerv minden szervezeti egységére, természetes személyre amely, vagy aki az Országos Egészségbiztosítási Pénztár kezelésében lévő adatot kezel. Kiterjed továbbra minden, az egészségbiztosítási szervvel kapcsolatba került vagy kerülő, illetve annak megbízásából adatot kezelő, illetve azt feldolgozó személyre, szervezetre, illetve minden az egészségbiztosítási szervnél kezelt adatnyilvántartásra.7 Munkám során a fentiekben említett jogszabályokat és az Adatvédelmi Szabályzat rendelkezéseit betartva kell adatokat kezelnem. Nagyban segíti és csökkenti a téves adatszolgáltatás kiadását a folyamatos ellenőrzés.

5. 2. Az adatkezelés célja Az Egészségbiztosítási Pénztár egészségügyi és személyazonosító adatot törvényben meghatározott esetekben, meghatározott célból kezel. Ezek a célok

statisztikai

társadalombiztosítási,

vizsgálat, illetve

közigazgatási szociális

hatósági

ellátások

amennyiben az az egészségi állapot alapján történik. 78

Az Országos Egészségbiztosítási Pénztár Adatvédelmi Szabályzata

11

eljárás,

a

megállapítása,

Egészségügyi adatot kezelő szerv vagy személy hatósági vagy törvényességi ellenőrzését, szakmai vagy törvényességi felügyeletét végző szervezetek munkájának elősegítése, ha az ellenőrzés célja más módon nem érhető el, valamint az egészségügyi ellátásokat finanszírozó szervezetek feladatainak ellátása céljából kezelhetik az adatokat. Alapvető szabály, hogy adatkezelési célokra csak annyi és olyan egészségügyi, illetve személyazonosító adat kezelhető, amely az adatkezelési cél megvalósításához elengedhetetlenül szükséges.8

5. 3. Az egészségbiztosítási szervek által nyilvántartott személyes adatok Az Egészségbiztosítási Pénztár személyes adatot kizárólag meghatározott célra, törvény alapján, vagy az érintett személy hozzájárulásával kezel. Az adatkezelésnek – annak minden szakaszában – meg kell felelnie ennek a célnak, és az adatkezelés csak a cél megvalósulásához szükséges mértékig és ideig történhet. Az Egészségbiztosítási Pénztár által kezelt személyes adatot csak jogszabályban meghatározott esetekben és módon, azaz vagy az érintett hozzájárulásával, vagy jogszabály felhatalmazásával (amennyiben az adatkezelés

feltételei

minden

egyes

adatra

nézve

teljesülnek)

továbbíthatók, vagy kapcsolhatók össze más, külső nyilvántartással Ezek a feltételek szükségesek a személyes adatok helyesbítése és törlése esetén is, amennyiben azt nem maga az érintett kéri.9 Az érintett kérelmére, kezdeményezésére indult bírósági vagy hatósági eljárásban az eljárás lefolytatásához szükséges személyes adatok tekintetében, az érintett kérelmére indult más ügyben az általa megadott személyes adatok tekintetében az adatainak kezeléséhez, továbbításához való hozzájárulást – az adatkezelés céljához szükséges mértékig –

9


12

vélelmezni kell, ebben az esetben külön hozzájáruló nyilatkozatra nincs szükség.10 Az Egészségbiztosítási Pénztár a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. törvény alapján az alábbi személyes adatokat tarthatják nyilván: -

természetes személyazonosító adatok,

-

családi állapot,

-

állampolgárság,

-

lakóhely és tartózkodási hely,

-

foglalkozás, munkahely, munkakör, tevékenység,

-

az egészségbiztosítási ellátások megállapításához szükséges egészségügyi adatok,

A

fentieken

kívül

az

Országos


Pénztár

nyilvántartásában az alábbi adatokat kezelik: -

a társadalombiztosítási azonosító jel adatbázis: TAJ adatbázis

-

bejelentett személyek jogviszonyadatai: BSZJ

-

pénzbeli ellátások nyilvántartása, és

-

az egészségügyi finanszírozással kapcsolatban kezelt adatok.

5. 4. TAJ adatbázis

Az

Országos


Pénztár

nyilvántartja

az

egészségbiztosítási ellátások igénybevételéhez szükséges, Magyarország területén élő magyar állampolgárok és törvényi feltételeknek megfelelő külföldi állampolgárok személyes adatait és a társadalombiztosítási azonosító jelét. A nyilvántartás célja a személyek egészségbiztosítási ellátásának igénybe vételéhez szükséges társadalombiztosítási azonosító

10


13

jellel történő azonosítása. Az adatbázisban az 1995-ben élő személyeket, valamint az azóta nyilvántartásba került személyek adatait tartalmazza.11 Az adatbázis tartalmazza a társadalombiztosítási azonosító jelet, az ahhoz tartozó személyek személyes és lakcím adatait, a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatalával való kapcsolatát, a társadalombiztosítási azonosító jel állapotához fűződő ismérveket, kódokat, dátumokat. Mindezeket időrendben tartják nyilván. A Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala a társadalombiztosítási azonosító jelekhez kapcsolati kódokat rendel. Ennek kapcsán ha az ügyfél a személyiadat- és lakcímnyilvántartás rendszerében adatmódosítást kezdeményez, akkor a kapcsolati kód révén a módosítás átkerül az Egészségbiztosítási Pénztár adatbázisába. találkozni

Többször

olyan

esettel,

hogy

egy

Magyarországra

visszatelepült magyar állampolgár személyes adatai nem módosultak a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala által képzett kapcsolati kód alapján a rendszerben. Ebben az esetben az ügyfél részére

új

kapcsolati

kód

leképzését

kell

kezdeményezni

a

társadalombiztosítási azonosító jelhez. Az új kapcsolati kód leképzésével egyetértek. Ha maradna a régi kód, akkor az ügyfél adatai mindig a rossz adatokra változna vissza és a rendszer nem a személy valós adatait mutatná. Az adatszolgáltatás ebben az esetben nem a helyes információkat tartalmazná.

5. 4. 1. Titkos örökbefogadás A titkos örökbefogadás lényege az, hogy sem a vérszerinti szülő nem tudja, hogy ki fogadta örökbe a gyermeket, sem az örökbefogadó szülők nem rendelkeznek információval, hogy ki volt a gyermek vérszerinti apja és anyja. Esetleg egy-két fontos információ eljut hozzájuk, de a 11


14

személyét illetően nem kaphatnak információkat. Szintén titkosan történnek azok az örökbefogadások is, ahol az anya lemond a gyermekéről a születésekor, valamint azok, ahol az anya inkubátorban, esetleg más helyen hagyja a gyermeket. Előbbiekre

az

tekintettel


Pénztár

titkos

örökbefogadás esetén, hogy az örökbefogadott gyermek személyét illetően

a

vérszerinti

szülők

ne

tudják

meg

a

gyermek

új

személyazonosító adatait új társadalombiztosítási azonosító jellel kell ellátni. Ezt az új társadalombiztosítási azonosító jelet az új személyazonosságáról szóló anyakönyvi kivonat és lakcímkártya alapján kell elkészíteni. Titkos az örökbefogadás, ha a határozaton ennek ténye szerepel. Az eljáró ügyintéző nem minősíthet titkosítás vonatkozásában. Az örökbefogadó szülő figyelmét fel kell hívni a két eljárás közötti különbségre. Amennyiben a titkos örökbefogadás ténye a határozatból nem állapítható meg, és az örökbefogadó szóbeli tájékoztatása szerint az örökbefogadás titkosnak minősül, úgy az örökbefogadót hiánypótlásra kell felszólítani Az

eljáró

ügyintézőnek

meg

kell

állapítania,

hogy

a

titkos

örökbefogadásról szóló határozaton szereplő új személyes adatok egyeznek-e az újonnan kiállított anyakönyvi kivonaton szereplő személyes adatokkal. A határozatot fénymásolni, arról jegyzetet beleértve a titkos örökbefogadás tényére vonatkozó jegyzetet is készíteni tilos. A titkos örökbefogadásra vonatkozó adatot nem tartalmazhat a társadalombiztosítási azonosító jel kiadásához kapcsolódó dokumentáció. Ha a kérelem postai úton érkezik, és ahhoz csatolták a határozat másolatát, akkor ezt a tényt az érintett beleegyezésének kell tekinteni. Ez esetben a megküldött határozat másolat a továbbiakban az ügy dokumentációjának részévé válik, az ügyiratot a Titkos Ügyiratkezelés előírásainak megfelelően kell irattározni.

15

5. 4. 2. Tanúvédelmi ellenőrzés Az Egészségbiztosítási Pénztár nyilvántartja a tanúvédelmi programban részt vevő személyek személyes adatait, ezek az adatok fokozottan védettek és csak a különleges felhatalmazással rendelkező ügyintézők kezelhetik. A tanúvédelmi programban részt vevő személy személyes adatait tartalmazó iratokról másolatot, illetve az ilyen személyre vonatkozó bármely felvilágosítás – ideértve a hivatalos szerveket is – csak annak adható, akinek a részére a védelmet ellátó szerv ezt engedélyezte és ezt hitelt érdemlően bizonyítani tudja. Az

Országos


Pénztár

Nyilvántartási

és

Szakigazgatási Főosztálya arra külön feljogosított munkatársának, tanúvédelmi kapcsolattartónak feladata az adatzárlat12 tényének és terjedelmének a bejelentett személyek jogviszonyadatainak e rendszerbe történő bejegyzése, valamint a Tanúvédelmi Szolgálat értesítése, ha a védett személlyel kapcsolatban a rendszerben megkeresés miatt lekérdezés történt. A természetes személyekre vonatkozó adatkéréseket az egyébként szokásos

érdemi

ügyintézési

folyamat

kezdetén,

tanúvédelmi

szempontból feltétlenül meg kell vizsgálni. A tanúvédelmi ellenőrzés elvégzésére jogosult és köteles az adatvédelmi felelős, valamint munkaköri leírásban foglalt feladatként az ügyintéző. Ha az ellenőrzés során megállapítást nyer, hogy védett személy adatait érinti a lekérdezés, akkor az egyébként szokásos ügyintézési rend nem folytatható le. Pozitív eredményű tanúvédelmi ellenőrzés esetében haladéktalanul fel kell venni a kapcsolatot a tanúvédelmi kapcsolattartóval és a lekérdezés tényéről valamint lekérdező személyéről tájékoztatni kell.

12

adatzárlat: A Tanúvédelmi Szolgálatnak az adatkezelő szervek részére előírt, az érintettre vonatkozó adatoknak harmadik személy részére történő szolgáltatását megtiltó vagy korlátozó rendelkezése.

16

Az adatzárlat időtartama alatt biztosítani kell a zárolt adatok biztonságát. A zárolt adatokat érintő változásokat az adatzárlat megszűnését követően – indokolt esetben annak tartama alatt – a Tanúvédelmi Szolgálat közlése alapján kell átvezetni. A zárt adatokon bekövetkezett változásokról a tanúvédelmi kapcsolattartó haladéktalanul, legfeljebb azonban három napon belül értesíti a Tanúvédelmi Szolgálatot. Adatzárlat kizárólag a Tanúvédelmi Szolgálat engedélyével oldható fel.

5. 5. Bejelentett személyek jogviszonyadatai: BSZJ Az adatbázis az 1998. január 31-én jogviszonyban álló, vagy az az után keletkezett

jogviszonyokban

álló

természetes

személyek

adatait

tartalmazza. Az adatkezelés célja az egészségbiztosítási ellátás igénybe vételéhez

szükséges

biztosítás

és

jogosultság

megállapítása,

ellenőrzése.13 A nyilvántartásban a következő adatok szerepelnek: -

foglalkoztatott

személyazonosító

adatai:

név,

társadalombiztosítási azonosító jel -

foglalkoztatott

személy

jogviszonyára

vonatkozó

adatok:

jogviszony jogcíme, FEOR (foglalkozások egységes osztályozási rendszere), jogviszony időtartama, heti munkaidő illetve a magánnyugdíjpénztári tagság. -

foglalkoztató azonosítására szolgáló adatok: foglalkoztató neve, székhelye, nyilvántartási száma

A rendszerben fennálló jogviszony adatoknak a valós adatokat kell tükrözniük. Sok esetben sajnos ezen adatbázisban szereplő adatok hiányosak. Ebben az esetben az ügyfél által becsatolt, vagy az általa tett nyilatkozata alapján kell az adatokat pótolni, módosítani.

13


17

Véleményem szerint nem kellene csak az ügyfél nyilatkozatát elfogadni, hiszen ez némely kérdésben vitatható is lehet. Annak érdekében, hogy kellőképpen meggyőződjünk az adatok valódiságáról, én úgy gondolom, hogy az ügyfél nyilatkozata mellé törekedni kell más dokumentum csatolására, vagy más szervtől kellene az adatokat bekérni.

5. 6. Pénzbeli ellátások nyilvántartása Az


szakigazgatási

szerv

hatáskörébe

tartozó

biztosítottak pénzbeli ellátásának, utazási költségtérítési igényük elbírálásához szükséges személyes adatokat, foglalkoztatói adatokat, társadalombiztosítási azonosító jelet, jövedelmi adatokat, valamint a megállapított ellátás mindenkori naptári napi alapját, mértékét és időtartamát tartalmazó nyilvántartás. Az adatkezelés célja az egészségbiztosítási szerv hatáskörébe tartozó, biztosítottak által igényelt, pénzbeli egészségbiztosítási ellátások (táppénz,

baleseti

táppénz,

terhességi-gyermekágyi

segély,

gyermekgondozási díj), valamint az utazási költségtérítés megállapítása, folyósítása, utalványozása. A nyilvántartás a foglalkoztatóra vonatkozó adatokat és jövedelmi adatokon túl tartalmazza a személyi adatokat (név, születési név, anyja neve, születési hely és idő), a gyermek személyi adatait (terhességi-gyermekágyi segély, valamint a gyermekgondozási díj igénylése esetén), állampolgárságot, lakóhelyet, társadalombiztosítási azonosító jelet.14 Az adatkezelés jogalapja a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. tv. (Tbj.) 42. §, a kötelező egészségbiztosítás ellátásairól szóló 1997. évi LXXXIII. törvény (Ebtv.). 79. §, az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és 14


18

védelméről szóló 1997. évi XLVII. törvény 4. § (2) bekezdés f) és g) pontja. Utazási költségtérítés címen nyújtható támogatás megállapításánál és folyósításánál, ha nem állapítható meg egyértelműen az ügyfél utazási költségtérítésre való jogosultsága, hiánypótlás keretében be kell kérni az orvosi dokumentációkat, amely igazolja az ügyfél megjelenését. Adatkezelésre szóló jogszabályi felhatalmazás hiányában az utazási költségtérítés megállapítása céljából, teljes körű előzetes tájékoztatás megadásával, csak az ügyfél önkéntes, előzetes és írásbeli hozzájárulása alapján az ambuláns lapoknak, kórházi zárójelentéseknek kizárólag a személyi adatok és az egészségügyi szolgáltatónál megjelenést tartalmazó sáv része kérhető be az ügyféltől. Ennek abban van jelentősége, hogy ezen dokumentumokban az utazási költségtérítés elbíráláshoz szükséges adatokon kívül még, különleges egészségügyi adatok is szerepelnek, amelyek kezelésére – az utazási költségtérítés elbírálása céljából – nincs jogszabályi felhatalmazása az egészségbiztosítási szervnek. A táppénz és a baleseti táppénz megállapításánál és folyósításánál, ha az ügy elbírálásához szükség van egészségügyi dokumentációra a kötelező egészségbiztosítás ellátásairól szóló 1997. évi LXXXIII. törvény 79. § alapján be lehet kérni az érintettől. Az adatkezelés időtartama az ellátás kifizetését követő 5 év elévülési időn belül. (Ebtv. 74. §.) Az adatok megismerésére jogosultak köre az Ebtv. 79.§, a Tbj. 43. § alapján, továbbá az Info tv. 5. § rendelkezéseinek megfelelően.

19

6. A TAJ-BSZJ rendszerhez való alkalmazás szintű hozzáférés szabályai 6. 1. Jogosultság igénylésének szabályai A rendszer alkalmazásaihoz történő hozzáférési jogosultságokat írásban kell az Országos Egészségbiztosítási Pénztár által erre a célra rendszeresített „Felhasználói adatlap” című nyomtatványon igényelni. A TAJ-BSZJ rendszerhez felhasználói jogosultság olyan munkatárs részére kérhető, akinek munkaköri leírásba foglalt feladata ellátásához szüksége van a rendszerben tárolt adatok megismerésére, az azokkal való műveletek elvégzésére, új adatok adatbázisba való rögzítésére. A szükségesség megítélése az egyes alkalmazást illetően az igénylést aláíró vezető joga és felelőssége. Az Országos Egészségbiztosítási Pénztár Nyilvántartási és Szakigazgatási Főosztály munkatársai valamennyi alkalmazáshoz kérhetnek jogosultságot. A kitöltött és a munkahelyi vezető által jóváhagyott adatlapot meg kell küldeni az Országos Egészségbiztosítási Pénztár Nyilvántartási és Szakigazgatási Főosztálynak, ahol az igazgatási rendszerfelügyelő aláírásával engedélyezi az adatlapon a feltüntettet jogosultsági igények, adatmódosítások,

törlések

TAJ-BSZJ

rendszerbeli

létrehozását,

átvezetését. A

jogosultságokat

az

Országos


Pénztár

Nyilvántartási és Szakigazgatási Főosztály rendszeresen felülvizsgálja, ellenőrzi és a jogosulatlan hozzáféréseket a hivatal jelzése nélkül is lezárja.

7. Adatkezelők az egészségbiztosításban Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény az adatkezelő fogalmát így definiálja: az a 20

természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az

általa

megbízott

adatfeldolgozóval

végrehajtatja.

Fontos

kihangsúlyozni, hogy az ügyintéző adatkezelést végez ugyan – az adatkezelő által meghatározott feladatokat végzi el-, de az adatkezelési tevékenység nem egyenlő az adatkezelői pozícióval. A fentiek értelmében adatkezelői tevékenységet az Országos Egészségbiztosítási Pénztár és igazgatási szervei erre feljogosított munkatársai látják el.15 Az adatkezeléssel megbízott személy kezeli és megőrzi s munkaköréből adódóan tudomására jutott adatokat. Gondoskodik arról, hogy az általa vezetett nyilvántartások adataihoz illetéktelen személy ne férhessen hozzá, ügyel a nyilvántartások biztonságos és szakszerű kezelésére és tárolására. Az adatkezelő betartja a személyes adatok kezelésére vonatkozó jogszabályi rendelkezéseket, belső utasításokat és előírásokat. A személyes adatot kezelő személy a közszolgálati tisztviselőkről szóló 2011. évi CXCIX. törvény 78. § (3)-(4) bekezdésében foglaltak szerint köteles megtagadni minden olyan utasítás végrehajtását, amely ellentétes az adatkezelésre, adatvédelemre vonatkozó jogszabályokkal vagy az Országos Egészségbiztosítási Pénztár belső utasításaival, szabályzataival.

8. Az adatvédelmi felelős Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 24. § (1) a) pontja alapján az Országos Egészségbiztosítási Pénztár szervezetén belül adatvédelmi felelőst kell kinevezni vagy megbízni.

15


21

Az adatvédelmi hatáskörök és feladatok megoszlanak az Országos Egészségbiztosítási Pénztár főigazgatója, a központi adatvédelmi felelősök és az Egészségbiztosítási Pénztárak adatvédelmi felelősei között. Az

Országos


Pénztár

főigazgatójának

adatvédelemmel kapcsolatos hatáskörei és feladatai az alábbiak: -

felügyeli és irányítja az adatvédelmi feladatok ellátását,

-

kinevezi az Országos Egészségbiztosítási Pénztár vezető adatvédelmi felelősét

-

adatvédelemmel összefüggő vizsgálatot rendel el,

-

jóváhagyja az Országos Egészségbiztosítási Pénztár adatvédelmiés ellenőrzési tervének tervezetét.16

A központi adatvédelmi felelős az Országos Egészségbiztosítási Pénztár Jogi Főosztály Adatvédelmi Osztályán dolgozó kormánytisztviselő. Feladatai és hatáskörei különösen: -

dönt az adatkezeléssel összefüggő kérdésekben,

-

ellenőrzi az adatkezelésre vonatkozó jogszabályok, valamint a belső adatvédelmi szabályok és követelmények betartását, és véleményezi az adatvédelmi tárgyú jogszabályokat,

-

szakmailag felügyeli és ellenőrzi az egészségbiztosítási szerv adatvédelmi tevékenységét

-

kivizsgálja

az

adatkezeléssel,

adatvédelmi

tevékenységgel

kapcsolatos bejelentkezéseket, -

az

egyértelműen

teljesíthető

megkeresések

kivételével

véleményezi a külső szervektől érkezett személyes adatokat érintő megkereséseket, ennek keretében közvetlen adatszolgáltatást teljesít a megkereső szerv felé, vagy a kérelmeket adatvédelmi engedéllyel továbbítja a kért adatokat kezelő és azok átadására jogosult szervezeti egységeknek, illetve elutasítást készít vagy, kiegészítésre kéri fel az adatkérőt,

16


22

-

javaslatot tesz az adatok hivatalból történő törlésére, zárolására illetve helyesbítésére a feltételek megléte esetén,

-

karbantartja és aktualizálja az Országos Egészségbiztosítási Pénztár adatvédelmi szabályzatát, és kezdeményezi a hozzá kapcsolódó egyéb, adatkezeléssel kapcsolatos szabályzatok módosítását,

-

megválaszolja a Nemzeti Adatvédelmi és Információszabadság Hatóságtól érkező megkereséseket,

-

az egységes jogértelmezési, jogalkalmazási és ügyintézési gyakorlat kialakítása céljából a munkatervben meghatározottak szerinti időpontban képzést tart a többi adatvédelmi felelősnek,

-

ellenőrzi az egészségügyi és személyes adatokat is tartalmazó informatikai rendszerekhez való hozzáférési jogosultságokról vezetett nyilvántartást.17

9. Az egészségbiztosítási pénztár adatszolgáltatása 9. 1. Az adatszolgáltatás általános szabályai Az Egészségbiztosítási Pénztár a társadalombiztosítás igazgatási szervei, illetve nem társadalombiztosítási szerv, valamint természetes személy részére adatot csak törvény, illetve a törvény felhatalmazása alapján – felhasználás céljának és jogalapjának egyidejű megjelölésével – jogszabályban meghatározott módon szolgáltathat. A jogszabályi előíráson alapuló adatszolgáltatási kötelezettségen kívüli esetekben az adattovábbítás írásbeli megkeresés alapján történik. A szóban előterjesztett adatkérésekre a közigazgatási és hatósági eljárás és

17


23

szolgáltatás általános szabályairól szóló 2004. évi CXL. törvényt (Ket.) kell alkalmazni.18 Amennyiben

az

adatkérés

nem

felel

meg

a

meghatározott

kritériumoknak, illetve nem egyértelmű az adatok kiadására vonatkozó döntés, akkor a kérelmet meg kell küldeni az adatvédelmi felelősnek, aki megfelelő indokolással elutasítja a kérelmet, vagy ha a kérelem formailag nem megfelelő, kiegészítésre hívja fel az adatkérőt vagy engedélyt ad az adatok kiadására. Az engedély megadása során vizsgálni kell, hogy az adatkezelés feltételei a kérelmezőnél fennállnak-e. Csak az olyan adat továbbítható, amely a címzett adatkezelésének céljaira feltétlenül szükséges. Hiányos, vagy a jogszabályi feltételeknek nem megfelelő adatkérés esetén – kérelem elutasítása helyett – hiánypótlásra lehet felszólítani az adatkérőt. Nem szükséges hiánypótlást kérni, ha az adatkérő adatkezelésének jogalapja és célja az adatkérés tartalma alapján is egyértelműen megállapítható. Amennyiben az adatkérés megfelel a jogszabályi rendelkezéseknek, úgy a megkeresést az adatvédelmi engedéllyel együtt az adatkezelést végző szervezeti egységhez kell továbbítani. Ha az adattovábbítást nem lehet jogszerűen

teljesíteni,

vagy

az

igény

elbírálásához

szükséges

információkat az igénylő a felkérést követően sem jelölte meg, úgy az adattovábbítást meg kell tagadni. Az adattovábbítás megtagadásáról – annak indokolásával együtt – írásban kell értesíteni az igénylőt.19 Nem kell továbbítani az adatvédelmi felelősnek azokat az adatkéréseket, amelyek az Országos Egészségbiztosítási Pénztár hatósági jellegű vagy alapfeladata

során

ellátott

adatkezeléshez

(pl.

készpénzellátások

folyósítása) kapcsolódnak. Az adattovábbítást írásban vagy elektronikus úton történhet. Abban az esetben, amikor az adattovábbítás elektronikus adatfeldolgozással hatékonyabban

teljesíthető,

akkor

18 19

az

adattovábbításról

a

belső


24

adatvédelmi nyilvántartásban rögzített adattartalom szerinti feljegyzést kell készíteni, amely tartalmazza az adattovábbítást kérő által benyújtott megkeresésben felsorolt adatokat.20

9. 2. Adattovábbítás külső szervezetek felé Az egészségbiztosítási igazgatási szervek írásban előterjesztett igény esetén továbbítanak adatot külső szerv felé. Az igénynek tartalmaznia kell az adatkérő szervezet/személy megnevezését, a kért/továbbítandó adat

pontos

meghatározását,

az

adattovábbítás

címzettjét,

az

adattovábbítást megalapozó/lehetővé tévő jogszabályi rendelkezés megnevezését, az adattovábbítás célját, illetve az adattovábbítás módját. Az adatkérés teljesíthetőségére vonatkozó adatvédelmi véleményt egyértelműen, a véleményező személy azonosítására alkalmas módon írásban kell rögzíteni az ügyiratban, vagy az ügyiraton. A véleménynek tartalmaznia kell a kiadásának pontos időpontját is. A Nógrád Megyei Egészségbiztosítási Pénztár a külső szervek (pl.: Nemzeti Adó- és Vámhivatal, Magyar Államkincstár, Ügyészségek, Bíróságok, Rendőrségek, Önálló Bírósági Végrehajtók, Polgármesteri Hivatalok, stb.) felé történő adatszolgáltatása az elmúlt két évhez képest emelkedést mutat (2. ábra). 2009-es évben 7.886 db megkeresés érkezett, az ehhez kapcsolódó lekérdezett személyek száma: 14.175 fő. 2010-es évben 9.847 db megkeresés érkezett, az ehhez kapcsolódó lekérdezett személyek száma: 17.508 fő. 2011-es évben már 15.087 db megkeresés érkezett, amelyhez kapcsolódó lekérdezett személyek száma: 22.800 fő. 2012-es évben már 11.565 db megkeresés érkezett, amelyhez kapcsolódó lekérdezett személyek száma: 17.672 fő. (3. ábra) 20


25

Az adatszolgáltatást igénylők közül az önálló bírósági végrehajtóktól és az önkormányzatoktól kaptuk a legtöbb megkeresést (4. ábra).

Adatszolgáltatások száma

20000 15000 10000 5000 0 2009

2010

2011

2. ábra

Lekérdezett személyek

25000 20000 15000 10000 5000 0

év 2012

2011

2010

3. ábra

26

2009

2012

Adatszolgáltatást igénylők 40000 35000 30000 25000 20000 15000 10000 5000 0 darab önálló bírósági végrahajtók

Nemzeti- Adó és Vámhivatal

Rendőrség szervei Munkaügyi Központok

Bíróságok Önkormányzatok

Magyar Államkincstár Foglalkoztatók

Nyugdíjbiztosítási Igazgatóság Magánszemélyek

4. ábra

9. 3. Az Országos Egészségbiztosítási Pénztár és a Nemzeti Adó- és Vámhivatal kölcsönös adatszolgáltatása Az egészségbiztosítási szerv az egészségügyi szolgáltatást igénybe vevő, de az egészségügyi szolgáltatásra jogosultak nyilvántartásában nem szereplő személyekről a bejelentési- és járulékfizetési kötelezettség teljesítésének ellenőrzésének céljából – külön megállapodásban foglaltak szerint – havonta adatot szolgáltat a Nemzeti Adó- és Vámhivatalnak. A Nemzeti

Adó-

és

Vámhivatal

az


szerv

adatszolgáltatása alapján ellenőrzi a bejelentési- és járulékfizetési kötelezettség teljesítését.21

21


27

Amennyiben az állami adóhatóság tudomást szerez arról, hogy a foglalkoztató megszűnt, azonban a biztosítás megszűnéséről bejelentés nem történt, akkor az egészségügyi szolgáltatásra való jogosultság ellenőrzés céljából a cég nevéről, székhelyéről és a foglalkoztatottak az adózás rendjéről szóló 2003. évi XCII. törvény 20. §-ának (1) bekezdése szerinti

természetes


azonosító

szervet.

Ha

adatairól az

tájékoztatja


az szerv

nyilvántartása szerint a természetes személy egészségügyi szolgáltatásra való jogosultsága a foglalkoztató megszűnése miatt már nem áll fenn, akkor az egészségbiztosítási szerv erről tájékoztatja az adóhatóságot.22 A

tájékoztatással

egyidejűleg

az


Pénztár

a

foglalkoztató megszűnésének dátumát bejegyzi az érintett személyek jogosultságának megszűnéséhez. Ezzel nem értek egyet, hiszen a munkáltató mulasztása miatt nem került bejegyzésre a jogviszony végének a dátuma, így a rendszer nem a valós adatot tartalmazza. Adatszolgáltatásnál a valótlan adatok kerülnek továbbításra. Álláspontom szerint a megfelelő jogviszony közlése érdekében – bár az elég nehéz – a megszűnt foglalkoztatótól kellene az adatokat beszerezni.

9. 4. Adattovábbítás természetes személy részére Természetes személy írásbeli

kérelmére

személyes

adatokat

és

különleges adatokat lehet továbbítani. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 3. §-a alapján személyes adat az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés. Különleges adat a faji 22


28

eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, illetve az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat; Természetes személy részére személyes adatot az alábbi szabályok szerint lehet továbbítani:23 -

a rá vonatkozó személyes adatról írásban előterjesztett és eredeti aláírást tartalmazó kérelemre, vagy az ügyfélkapun keresztül elektronikus úton előterjesztett beadványára,

-

a rá vonatkozó különleges adatról teljes bizonyító erejű magánokirat formában vagy ügyfélkapun keresztül elektronikus úton előterjesztett beadványára, előterjesztett kérelmére,

-

harmadik személyre vonatkozó személyes adatról csak teljes bizonyító erejű magánokirati formában előterjesztett kérelmére, és az érintett személy teljes bizonyító erejű magánokirati formában megadott hozzájárulása esetén szabad,

-

harmadik személyre vonatkozó különleges adatról csak teljes bizonyító erejű magánokirati formában előterjesztett kérelmére, és az érintett személynek az adatkéréstől elkülönült teljes bizonyító erejű magánokirati formában megadott hozzájárulása esetén lehetséges.

10. Az adatok helyesbítése és törlése A valóságnak meg nem felelő adatot az adatkezelő köteles hivatalból, illetve bárki megalapozott írásbeli kérésére helyesbíteni. A személyes adatot törölni kell az érintett kérésére, vagy abban az esetben, amikor jogellenes az adatkezelés, vagy az adatkezelés célja megszűnt. Az 23


29

igénybevett

és

az

Országos


Pénztár

által

finanszírozott egészségügyi ellátásra vonatkozó adatokat az érintett kérésére sem lehet törölni.24

11. Az érintettek jogai Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény az érintett fogalmát így definiálja: Az érintett bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy. Az érintett tájékoztatást kérhet személyes adatainak kezeléséről, illetve kérheti

személyes

adatainak

helyesbítését,

és

–

jogszabályban

meghatározott nyilvántartási és adatkezelési kötelezettség körébe tartozó adatok kivételével – azok törlését vagy zárolását. Az érintett adataira vonatkozó megkeresést, amennyiben a kérelem nem felel meg a kritériumoknak, vagy az ügyintéző nem tudja eldönteni a leírtak alapján, hogy teljesülnek-e a feltételek, akkor a kérelmet meg kell küldeni az adatvédelmi felelősnek. Az érintett ilyen irányú megkeresését az adatvédelmi felelős megvizsgálja és teljesítés lehetőségéről, vagy a teljesítés akadályáról tájékoztatja az adatszolgáltatás teljesítésére jogosultakat. Amennyiben a kérelem vagy javaslat megalapozott, úgy az adatkezelő elvégzi az adat helyesbítését, törlését, majd értesíti az érintettet és mindazokat, akiknek korábban az adatot adatkezelés céljából továbbították. Az adatok helyesbítésével, törlésével, zárolásával kapcsolatban az a szervezeti egység, illetve igazgatási szerv jár el, amely az adatot nyilvántartja. Az adatkezelő köteles az érintett jogait érintő kérelmet az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi 24


30

CXII. törvény 15. § (4) bekezdésében rögzített módon a benyújtásától számított legrövidebb idő alatt, de legfeljebb 30 napon belül elintézni és erről írásban megadni a tájékoztatást. A Nógrád Megyei Egészségbiztosítási Pénztár az érintett személyes adatainak helyesbítését minden esetben teljesítette. Az elmúlt négy évben azonos számú megkeresés érkezett a hivatal felé az adatok módosítása kapcsán (5. ábra).

Érintettek által ígényelt adatok helyesbítése

800 780 760 740 720 700 680 660 640 2009

2010

2011

2012

5. ábra

12. Belső adatvédelmi nyilvántartás A belső adatvédelmi nyilvántartás célja az adatátadás, a helyesbítés, a törlés, az érintett jogait érintő intézkedések nyilvántartása, melyet az adatvédelmi felelős, a területi adatvédelmi felelős, az adatvédelmi ügyintéző vezet, megőrzési ideje öt év. A nyilvántartásnak tartalmaznia kell. -

az ügy iktatószámát, az iktatás dátumát és az ügyintéző nevét,

-

a kérelmező megnevezését,

-

az érintetett személy megjelölését,

-

a kérelem célját, 31

-

a kérelem, kezdeményezés elintézésének időpontját és módját,

-

az adattovábbítás, a tájékoztatás, a helyesbítés vagy a törlés megtagadásának tényét.25

13. Az Egészségbiztosítási szervek adatszolgáltatási kötelezettségének a terjedelme Társadalombiztosítási adatokat kezelő igazgatási szerv személyes adatot csak törvény alapján, illetve az érintett írásos hozzájárulásával továbbíthat, kapcsolhat össze más, külső nyilvántartással.26

13. 1. Adatszolgáltatás nem egészségbiztosítási szerv részére A bíróságok, az ügyészségek, a bűnüldözés és a büntetés-végrehajtás szervei, valamint a nemzetbiztonsági szolgálatok feladataik ellátása érdekében a rájuk vonatkozó törvényekben meghatározott célok és feltételek teljesülése esetén jogosultak a nyilvántartásba felvett adatok teljes körének igénylésére.27 A társadalombiztosítási igazgatási szervek által nyilvántartott személyes adatokból az alábbi szervek igényelhetnek adatot: -

állami adóhatóság, valamint a vámhatóság – az ellenőrzési feladatok érdekében – személyi adatokat, a munkahelyre és jövedelemre vonatkozó adatokat,

-

az

állami

adóhatóság,

adókötelezettség lefolytatása

az

önkormányzati

ellenőrzése

érdekében

a

és

személyi

adóhatóság

adó-végrehajtási adatokat,

az

eljárás

valamint

25 25

a

dr. Jóri András - dr. Hegedűs Bulcsú - dr.Kerekes Zsuzsanna: Adatvédelem és információszabadság a gyakorlatban. Complex Kiadó, Budapest 2010 27

a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. tv. (Tbj.) 42. §

32

munkahelyre és a foglalkoztatási jogviszony időtartamára vonatkozó adatok, -

a

munkaügyi

és

szociális

igazgatási

szervei

az

ellátás

megállapítása, folyósítása, munkaügyi ellenőrzés céljából adatot igényelhetnek -

az

egészségügyi

ellátást

nyújtó

szervek

(személyek)

az

egészségügyi szolgáltatói feladataik ellátása érdekében személyes adatot igényelhetnek -

a

menekültügyi

hatóság

az

ellátások

és

támogatások

megállapítása, folyósítása és a jogosultság ellenőrzése céljából személyi adatokat, foglalkozás, munkahely, munkakör és tevékenységre vonatkozó adatokat, -

a köztartozás behajtására törvény által felhatalmazott szervek e tevékenységük ellátása céljából személyi adatok, családi állapot, állampolgárság,

lakóhely

(tartózkodási

hely),

foglalkozás,

munkahely, munkakör, tevékenységre vonatkozó adatokat.

13. 2. Az adatszolgáltatásra jogosultak köre és az adatszolgáltatás alapja Az adatszolgáltatásra való jogosultság jogszabályi felhatalmazás alapján, célhoz kötötten, a jogszabályi felhatalmazásban meghatározott körben áll fenn. A korábbi szabályozás nem volt ilyen egyértelmű, mint a ma hatályos rendelkezésekben. A későbbi években nagyon sok módosítás történt az Országos Egészségbiztosítási Pénztár adatszolgáltatási és adatvédelmi kötelezettségét

alapvetően

meghatározó

-

a


ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. törvényben. A nem egyértelmű szabályozás miatt az Országos Egészségbiztosítási Pénztár Főigazgatója

33

az

adatvédelmi

biztos

állásfoglalását

kérte

több

ízben

is

adatszolgáltatásra vonatkozó kérdésekben. A ma hatályos jogszabályok alapján az adatszolgáltatás az alábbiak szerint alakul: Adatszolgáltatásra jogosult szerv

Jogszabályi alap

Adóhatósok (állami és önkormányzati)

Tbj. 43. § (1) bek. a) b)28

Állami foglakoztatási szolgálat

Tbj. 43. § (1) bek. c)

Bírósági végrehajtói kamara

Tbj. 42. § (4) bek.29 Ebtv. 79. § (4) bek.30

Bíróságok

Tbj. 42. § (4) bek.

28

a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. tv. 43. § (1) A 42. § (1) bekezdés alapján nyilvántartásba vett adatokból a) állami adóhatóság, valamint a vámhatóság az ellenőrzési feladatok érdekében az a) pont szerinti adatok, a d) pontból a munkahelyre vonatkozó és az f) pont szerinti jövedelemre vonatkozó adatok, b) az állami adóhatóság, az önkormányzati adóhatóság az adókötelezettség ellenőrzése és az adó-végrehajtási eljárás lefolytatása érdekében az a) pont szerinti adatok, valamint a d) pontból a munkahelyre és a foglalkoztatási jogviszony időtartamára vonatkozó adatok, támogatás megállapítása és ellenőrzése érdekében az e) pontból az egészségkárosodás mértékére vonatkozó, c)a munkaügyi és szociális igazgatás szervei az ellátás megállapítása, folyósítása, munkaügyi ellenőrzés céljából az a)-d) és f)-g) pontjai, d)az egészségügyi ellátást nyújtó szervek (személyek) az egészségügyi szolgáltatói feladataik ellátása érdekében az a)-e) és g) pontjai, e)a fővárosi és megyei kormányhivatal járási (fővárosi kerületi) hivatalai (a továbbiakban: járási hivatal) és a cégbíróságok külön törvényben meghatározottak, f)a menekültügyi hatóság az ellátások és támogatások megállapítása, folyósítása és a jogosultság ellenőrzése céljából az a), d) és f) pontban foglalt adatokról, g) az egészségügyi államigazgatási szerv szervei egészségfejlesztési tevékenységük ellátása céljából az a)-e) és g) pontjai, 29

42. § (4) A bíróságok, az ügyészségek, a bűnüldözés és a büntetés-végrehajtás szervei, valamint a nemzetbiztonsági szolgálatok feladataik ellátása érdekében - a rájuk vonatkozó törvényekben meghatározott célok és feltételek teljesülése esetén - e törvény felhatalmazása alapján a nyilvántartásba felvett adatok teljes körének igénylésére jogosultak. 30

A kötelező egészségbiztosítás ellátásairól szóló 1997. évi LXXXIII. törvény 79. § (4) A bíróság, az ügyészség, a bűnüldözés és a büntetés-végrehajtás szervei, valamint a nemzetbiztonsági szolgálatok feladataik ellátása érdekében a rájuk vonatkozó törvényekben meghatározott célok és feltételek teljesülése esetén, e törvény felhatalmazása alapján a nyilvántartásba felvett adatok teljes körének igénylésére figyelemmel az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény rendelkezéseire is - jogosultak.

34

Ebtv. 79. § (4) bek. Büntetés-végrehajtás

Tbj. 42. § (4) bek. Ebtv. 79. § (4) bek.

Egészségügyi államigazgatási szerv

Tbj. 43. § (1) bek. g)

Egészségügyi szolgáltatók

Tbj. 43. § (1) bek. d)

Körzetközponti települések jegyzői

Tbj. 43. § (1) bek. e)

Magyar Államkincstár

Tbj. 43. § (1) bek. c)

Menekültügyi Hatóság

Tbj. 43. § (1) bek. f)

Országos Nyugdíjbiztosítási Főigazgatóság Tbj. vhr. 22. § (8) bek.31 Pénzügyi Szervezetek Állami Felügyelete

Tbj. 41. § (5) bek.

Rendőrségek, Nyomozati Szervek

Tbj. 42. § (4) bek. Ebtv. 79. § (4) bek.

Ügyészségek

Tbj. 42. § (4) bek. Ebtv. 79. § (4) bek.

Nemzeti Adó- és Vámhivatal

Tbj. 42. § (4) bek. Ebtv. 79. § (4) bek.

Érintett

Tbj. 43. § (4) bek.

14. Tájékoztatási kötelezettség Az ügyfél (foglalkoztató, egyéb szerv, stb) részére, az őt érintő ügyben tájékoztatást kell adni, az ügyfél kérelmére.

31

195/1997. (XI. 5.) Korm. rendelet a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. törvény végrehajtásáról 22. § (8) Az OEP a nyilvántartása szerint taj-számmal rendelkező személyek természetes személyazonosító adatairól, lakcíméről, taj-számáról, valamint azok változásáról adatot szolgáltat az ONYF-nek. Az adatok átadásának módjáról az OEP és az ONYF megállapodást köt.

35

14. 1. Telefonon történő tájékoztatás A telefonon történő tájékoztatás során az adatvédelemre vonatkozó előírásokat maradéktalanul figyelembe kell venni. Az adott ügyre vonatkozó konkrét információ azonban akkor sem adható, ha az adatvédelemre vonatkozó előírásokat betartjuk. Konkrét ügyben telefonon történő érdeklődés esetén az adatvédelmi szabályok

betartása

mellett,

kizárólag

általánosságban

adható

tájékoztatás, akkor is, ha a telefonáló – állítása szerint- személyes adatok közlésével tudja igazolni kilétét. Telefon útján adatot tisztázni nem lehet. Telefonon kizárólag tájékoztatás adható, valamint, ha az ügyfél kérelmét hiányosan terjesztette elő, a hiánypótlásra felhívás telefon útján is lehetséges. Az intézkedésről minden esetben feljegyzést kell készíteni. Telefonon sok ügyfél keresi meg Hivatalunkat, hogy ügyeinek intézése kapcsán érdeklődjön, nemcsak általános tájékoztatást kér. Úgy gondolom kellő azonosítás után - például társadalombiztosításai azonosító jel alapján - lehetne tájékoztatni az ügyfeleket, amennyiben az ügyfél számára nem szükséges írásbeli igazolás. Az elhangzottakról pedig feljegyzés készítése lenne célszerű, hogy egy adott ellenőrzés során tudjuk igazolni a rendszerből lekérdezett adatok okát. Sajnos sok ember számára problémás az ügyfélszolgálati helyeink megközelítése. Ez sokszor a hosszú utazás vagy az elfoglaltságuk miatt - a munkaidejük egybeesik az ügyfélszolgálati idővel - nem oldható meg.

14. 2. E-mailban érkezett beadványok Az elektronikus úton, e-mailben érkező beadványok, és azokra elektronikus úton megküldött válaszok nem minősülnek e-ügyintézésnek. Az e-mail cím alapján az ügyfél személye nem azonosítható egyértelműen, ezért az e-mail útján történő kapcsolattartás során az 36

adatvédelmi előírásokra figyelemmel – kizárólag általánosságban adható felvilágosítás, tájékoztatás.

15. A közérdekű adatok nyilvánossága A közérdekű adatokra vonatkozó kérelmek esetében az adatkezelés célja nem vizsgálandó. A közérdekű adatok átadásával, továbbításával összefüggő, illetve az egészségbiztosítási nyilvántartást érintő megkeresést szükség esetén az adatvédelmi felelős előzetesen megvizsgálja, és ha az adatok kiadhatók további intézkedésre megküldi a kért adatokat kezelő és azok átadására jogosult szervezeti egységhez. Ha az adatkérés nem minősül közérdekű adatkérésnek- és egyébként teljesítésének feltételei nem állnak fenn – akkor azt el kell utasítani. Az elutasításról annak indokolásával együtt – 8 napon belül – írásban vagy – amennyiben az igényben elektronikus levelezési címét közölte – elektronikus úton értesíteni kell az igénylőt. Az elutasított közérdekű adatkérésekről – a kérelmező személyes azonosítása nélkül

–

nyilvántartást kell vezetni.32 Az Országos Egészségbiztosítási Pénztár sajtó kapcsolattartással foglalkozó szervezeti egységéhez, kizárólag az újságíróktól érkező adatkérések esetén az adatvédelmi vizsgálatot az adatvédelmi felelős helyett a szervezeti egység vezetője végzi el, és tartja nyilván az elutasított kérelmeket. Amennyiben az adatkérés jellege ezt indokolja a szervezeti egység vezetője döntésének meghozatala előtt írásban megkeresi a vezető adatvédelmi felelőst. A közérdekű adat megismerésére irányuló kérelemnek a legrövidebb idő alatt, legfeljebb 15 napon belül kell eleget tenni. Az Országos Egészségbiztosítási Pénztár - mint közfeladatot ellátó szerv - a kezelésében lévő, tevékenységére vonatkozó személyes adat fogalma 32


37

alá nem eső, közérdekű adatok tekintetében messzemenően eleget tesz a közérdekű adatok nyilvánossága elvének. A közfeladatot ellátó szerv nem köteles – kizárólag az adatigény teljesítése érdekében – új, minőségileg más adatot előállítani. Ha egy adat, információ nincs az adatkezelő kezelésében, illetve a kért adatot nem állították elő, akkor az adatkezelő az adatkérést teljesítésére nem kötelezhető. Ha az adatigénylésben megjelölt szempontok szerinti adatgyűjtés nagyobb munkaráfordítást, költséget igényel, mely egyszerű matematikai vagy informatikai műveleteken túlmutat, akkor annak elvégzésére a hatóságnak nincs jogszabályi kötelezettsége, de külön díjazás ellenében, nem közérdekű adatigénylés teljesítéseként, hanem szolgáltatásként elvégezheti.

16. Adatfeldolgozási tevékenység Az Egészségbiztosítási Pénztár adatfeldolgozó tevékenységének ellátása során más külsős adatfeldolgozót vagy adatfeldolgozásra specializálódott vállalat szolgáltatásait nem veheti igénybe. Az adatkör védelmére meghatározott követelmények betartásáért bármely adatkezelési műveletben az általa végzett adatfeldolgozási tevékenység során az adatfeldolgozó személyesen felelős. Adatfeldolgozást kizárólag erre a tevékenységre az Egészségbiztosítási Pénztárral kötött szerződésben felhatalmazott adatfeldolgozó végezhet. Az Országos Egészségbiztosítási Pénztár tevékenységéhez kapcsolódó és e

szervek

által

kezelt

adatok

feldolgozását

az

Országos

Egészségbiztosítási Pénztár, mint adatkezelő megbízásából külső szervezet, személy is végezheti. Különösen indokolt esetnek minősül az, ha az Országos Egészségbiztosítási Pénztár az adatfeldolgozási tevékenységet a szükséges különleges szakmai és technikai feltételek

38

hiányában nem tudja ellátni, és a feltételek megteremtésére nincs lehetőség.33 A külső szerv vagy személy által végzett adatfeldolgozás feltétele az adatvédelmet garantáló személyi és tárgyi feltételek megléte. Külső szervezet, személy adatfeldolgozói tevékenységre megállapodás csak írásban köthető. A megállapodás megkötése előtt a szerződés tervezetét az adatvédelmi felelős az adatvédelmi szabályok tekintetében megvizsgálja és véleményezi. Megbízási szerződéssel foglalkoztatott adatfeldolgozók esetében a megbízási szerződésnek tartalmaznia kell az utalást és a kötelezést az adatvédelmi szabályok betartására. A szerződő féllel ismertetni kell az adatvédelmi szabályzatot és ennek tényét a megbízási szerződésben rögzíteni kell.

17. A Nemzeti Adatvédelmi és Információszabadság Hatóságnak tett jelentések A Nemzeti Adatvédelmi és Információszabadság Hatóságot évente tájékoztatni kell a személyes adatok kezelésével kapcsolatos teljesített kérelmek számáról, a személyes adatok kezelésével kapcsolatos elutasított kérelmek számáról, indokáról. Továbbá tájékoztatni kell a Hatóságot a közérdekű adatok megismerésére irányuló elutasított kérelmek számáról és indokáról. A jelentés elkészítése érdekében az Egészségbiztosítási Pénztárak adatvédelmi felelősei minden év január 21-ig elküldik a hozzájuk tartozó terület előző év adatait az Országos Egészségbiztosítási Pénztár Jogi Főosztály Adatvédelmi Osztályára. Az adatokat a központi adatvédelmi felelősök összesítik és küldik meg a Hatóság részére, minden év január 31-ig. 33


39

18. Az adatbiztonság 18. 1. Az adatbiztonság követelménye Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az információs önrendelkezési jogról és az információszabadságról szóló törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.34 Az adatokat védeni kell különösen a jogosulatlan: -

hozzáférés

-

megváltoztatás

-

továbbítás

-

nyilvánosságra hozatal

-

törlés vagy megsemmisítés

-

valamint a véletlen megsemmisülés és sérülés

-

továbbá az

alkalmazott

technika megváltozásából

fakadó

hozzáférhetetlenné válás ellen. Az adatok kezelésére jogosult személy részére biztosítani kell a munkavégzéshez szükséges mértékben és időben történő adathozzáférést. A minősített, a személyes, illetve a különleges adatokat, csak azok és olyan mértékben ismerhetik meg, akiknek a munkaköri leírásukban meghatározott feladatok elvégzéséhez elengedhetetlenül szükséges.35 Az Egészségbiztosítási Pénztár számára még elfogadható minimális kockázati szintű, a rendszer minden elemére kiterjedő, a potenciális kárértékkel arányos biztonságot kell megteremteni és fenntartani.

34 35


40

18. 2. Adatbiztonsági célok Az adatok kezelése során biztosítani kell a bizalmasság, sértetlenség, letagadhatatlanság, hitelesség és rendelkezésre állás adatbiztonsági célok megvalósítását. Az adatbiztonsági célok elérését a kezelt adatok körének pontos meghatározásával, azok a jogszabálynak megfelelő különböző szintű biztonsági osztályba sorolásával, a biztonsági osztályokhoz tartozó védelmi

követelmények

meghatározásával,

az

adatkezelés,

az

adatfeldolgozás részletes szabályainak érvényre juttatásán keresztül kell megvalósítani.36

18. 3. Biztonsági események Biztonsági esemény minden olyan gondatlan vagy szándékos a biztonsági

előírások

megsértésén

alapuló

esemény,

amelynek

következménye vagy lehetséges következménye adatbiztonsági célok sérülése, meghiúsulása. Minden adatkezelő illetve adatkezeléssel megbízott személy köteles a tudomására jutott biztonsági eseményről vagy annak gyanújáról a szervezeti

egység

vezetőjét

haladéktalanul

tájékoztatni.

Az

Egészségbiztosítási Pénztár vezetője intézkedik a fennálló biztonsági esemény azonnali megszüntetéséről, illetve a biztonsági esemény kivizsgálására bizottságot hozhat létre. A bizottság elvégzi a biztonsági esemény teljes körű kivizsgálását. A bizottság megvizsgálja a biztonsági esemény

bekövetkezésének

okát

és

körülményeit,

a

személyi

érintettséget illetve felelősséget, az okozott kár mértékét és egyéb következményeit. A bizottság a vizsgálatról jegyzőkönyvet készít, mely

36


41

tartalmazza a vizsgálat tényét, az intézkedés és a felelősségre vonási javaslatokat.37

19. Informatikai biztonság Az előzőekben tárgyalt fejezetekből kitűnik, hogy az Egészségbiztosítási Pénztárak különböző adatokat jogosultak a törvényi szabályozásnak megfelelő módon kezelni. Az adatokból akár az érintett, akár más külső szervezet, személy adatokat kérhet az adatszolgáltatási szabályok betartásával. Ezek az információk illetéktelen személyek birtokába nem kerülhetnek, óvni kell őket. Mindezek alapján elég szigorú, több szintű informatikai biztonsági rendszer működik. Az egészségügyi és személyes adatokat is tartalmazó informatikai rendszerekhez

való

hozzáférési

jogosultságok

kiadásáért

felelős

szervezeti egységnek naprakész nyilvántartást kell vezetnie a kiadott és visszautasított adatkérési jogosultságról. Az informatikai rendszerekben kezelt adatok védelme érdekében megfogalmazott követelmények betartásáért az informatikai rendszer működtetésére vonatkozóan az üzemeltetését ellátó szervezeti egység vezetője, a lokális adatfeldolgozási rendszerek vonatkozásában az adatfeldolgozást végző szervezeti egység vezetője a felelős.38 A szervezeti egységek vezetőinek felelőssége gondoskodni arról, hogy a vezetésük alatt álló terület tekintetében bizalmasság, sértetlenség és rendelkezésre állás szempontjából az érzékeny adatok biztonsági osztályokba besorolásra kerüljenek. Hivatalos fegyelmi eljárást kell kezdeményezni az olyan esetek kezelésére,

amikor

a

biztonsági

események

kivizsgálása

során

összegyűjtött bizonyítékok alapján egyértelműen meghatározható, hogy a

37 38

Az Országos Egészségbiztosítási Pénztár Informatikai Biztonsági Szabályzata Az Országos Egészségbiztosítási Pénztár Adatvédelmi Szabályzata

42

biztonsági esemény a biztonsági szabályok szándékos vagy gondatlan megsértésének következtében állt elő.39

19. 1. Informatikai biztonsági események jelentése Az ügyintézőknek, illetve a felhasználóknak kötelessége a következőket jelenteni: -

felismert, vagy felismerni vélt biztonsági eseményt

-

felismert, vagy felismerni vélt védelmi gyengeség, biztonsági rés, sérülékenység, hiányos, pontatlan szabályozást,

-

tapasztalt, informatikai biztonsági szempontból nem megfelelő magatartást,

-

bármilyen bizalmas információ kiszivárgását.40

19. 2. Biztonsági zónák A helyiségek kockázatarányosság szempontjából biztonsági zónákba vannak sorolva, az egyes zónákba való belépésre jogosultak körét meg kell határozni. Az egyes zónákba belépési jogosultsággal nem rendelkezők a meghatározott zónába csak az arra jogosultak engedélye és felügyelete mellett léphetnek be és tartózkodhatnak. A szervezeti szintű alkalmazásokat futtató számítóközpontokat, szerver szobákat, teljes körű biztonságtechnikai jelzőrendszerrel (beléptető rendszer, elektronikus behatolás jelző, belső térvédelem és tűzvédelmi rendszer) kell ellátni. Az a véleményem, hogy a biztonsági zónák kialakítása és védelme rendkívül fontos, hiszen minden épületben működik ügyfélszolgálat. Főleg olyan helyeken ahol a bejárati ajtótól az ügyfélszolgálati hely távol 39 40

Az Országos Egészségbiztosítási Pénztár Informatikai Biztonsági Szabályzata

43

esik célszerű minél teljeskörűbben ellátni a számítóközpontok és szerver szobák biztonságát. Ilyen esetekben úgy gondolom, hogy még nagyobb az esélye a jogosulatlan belépéseknek és az esetleges adatlopásoknak. Az Egészségbiztosítási Pénztárak vezetőjének feladata gondoskodni arról, hogy felhatalmazás nélkül ne lehessen informatikai eszközt, berendezést, információt vagy szoftvert az intézmény területére behozni, illetve szervezeten kívülre elvinni. Az informatikai eszközök behozatalát, illetve elvitelét írásban kell engedélyezni.41

19. 3. Tűzfal és hálózati rendszer üzemeltetése A tűzfal célja a számítástechnikai rendszerben annak biztosítása, hogy a hálózaton keresztül egy adott számítógépbe kívülről ne történhessen illetéktelen behatolás. A tűzfalakhoz és egyéb hálózati eszközökhöz történő privilegizált hozzáférést szigorúan korlátozni kell, az engedélyezett hozzáféréseket rejtjelezéssel védett kapcsolaton keresztül engedélyezik.42

19. 4. Az informatikai eszközökkel kapcsolatos védelmi előírások Az Egészségbiztosítási Pénztárak ügyintézőinek a fénymásolók és hálózati nyomtatók esetében tilos az érzékeny adatot, információt tartalmazó iratokat az eszközökben őrizetlenül hagyni. Úgy gondolom, hogy mindezek betartása rendkívül fontos. Célszerű lenne az ügyfélszolgálati helyeken a nyomtatókat és fénymásolókat úgy elhelyezni, hogy ahhoz illetéktelen személy – például ügyfél – ne

41

Az Országos Egészségbiztosítási Pénztár Informatikai Biztonsági Szabályzata Muha Lajos: Az informatikai biztonság kézikönyve - Informatikai biztonsági tanácsadó A-tól Z-ig, Verlag Dashöfer Szakkiadó 2007 42

44

férhessen hozzá. Sajnos ez a hely adottságai miatt nem mindig valósítható meg.

19. 5. Jelszavak kialakítása, védelme, tárolása A jelszó képzésénél alapelv, hogy a választott karaktersorozat sem önmagában, sem pedig részleteiben nem felelhet meg önálló jelentéssel bíró szónak és nem egyezhet meg a felhasználói névvel. A jelszó képzés során könnyen kitalálható azonosítók nem válaszhatók. Ilyenek például: a felhasználó neve, általában nevek, a felhasználó személyével kapcsolatos számok (telefonszámok, azonosító számok, saját és családtagok születési dátumai), gépjármű rendszámok. A jelszavakat vegyesen kis és nagybetűt, számot és/vagy írásjelet tartalmazó karaktersorozatból kell képezni. Bekapcsolási jelszónak a felhasználó által tetszőlegesen kiválasztott, félévente kötelezően megváltoztatandó, legkevesebb 6 karakterből álló jelszót kell alkalmazni.43 Képernyővédő jelszónak a felhasználó által tetszőlegesen kiválasztott, félévente kötelezően megváltoztatandó, legkevesebb 6 karakterből álló jelszó,

amely

a

felhasználói

tevékenység

szüneteltetése

esetén

önműködően bekapcsolódó sematikus képernyő ábrával a képernyőn lévő információkat ideiglenesen lefedi, egyben megakadályozza a jogosulatlan hozzáférést

a

felhasználó

távollétében

a

számítógépen

futó

alkalmazásokhoz. A képernyőt lefedő ábra önműködő bekapcsolásának késleltetési idejét a felhasználónak 1-30 perc közé kell beállítania. 44 Úgy

gondolom,

hogy

a

képernyővédő

jelszónak

főleg

az

ügyfélszolgálaton lévő számítógépek esetében még nagyobb jelentősége van, hiszen előfordulhat, illetve előfordul, hogy a felhasználónak az ügy intézése miatt ott kell hagynia az ügyfelet, ilyenkor be kell kapcsolni a 43 44


45

képernyővédőt, hogy az adatok ne kerülhessenek illetéktelen személy kezébe. Fontos, hogy az ügyfél ne férhessen hozzá sem a jelszóhoz, sem pedig a használt programokhoz és abból ne tudjon meg más személyre vonatkozóan adatokat. A jelszavak képzésért, azok előírás szerinti használatáért, megőrzésért elsődlegesen a személyi számítógép használója, közös géphasználat esetén a használók közösen másodlagosan a felhasználó közvetlen vezetője a felelős. Minden számítógép felhasználó köteles az általa képzett és használt jelszavakat lezárt borítékban, aláírásával és keltezéssel hitelesítve átadni vezetőjének, aki felelős azok biztonságos tárolásáért. A felbontás tényét és okát a munkahelyi vezetőnek jegyzőkönyvbe kell rögzítenie. A jelszavakról – a lezárt borítékokat kivéve – feljegyzést, nyilvántartást vezetni tilos. A felhasználóknak nyilatkozatot kell tenniük, hogy az informatikai rendszerekben az azonosítószámra szolgáló információkat ismeri, titkosságuk megőrzésére kötelezettséget vállal, azokat senki tudomására nem hozza, leírva hozzáférhető helyen nem tartja. A munkaköréből adódóan megismert személyes, különleges adatok, valamint a minősített adatok körébe tartozó adatok, információk titkosságát megőrzi.

19. 6. Mobil adathordozó használatára vonatkozó utasítások Mobil adattárolót az arra kijelölt számítógéphez csak engedéllyel rendelkező

személy

csatlakozhat.

Csak

az

a

mobil

eszköz

csatlakoztatható a számítógéphez, amely munkavégzés érdekében került biztosításra, és azon a munkavégzéshez kapcsolódó adatok találhatók. Az engedélyezett mobil adathordozón személyes célú adat tárolása tiltott.45

45


46

A számítógépeken az USB csatlakozók alapesetben le vannak tiltva, azokat nem tudják az ügyintézők használni, csak abban az esetben kapnak külön engedélyt, ha ez a munkavégzéshez szükséges. Az eljárással egyetértek, mert így megelőzhető a számítógépeket érő vírusfertőzés.

19. 7. Az e-mail szolgáltatások használatára vonatkozó utasítások Az informatikai rendszerekre kiemelkedően magas veszélyt jelent, ha a szervezeti

e-mail

címek

kompromittálódnak

és

az

Országos

Egészségbiztosítási Pénztár hatáskörén kívül létrejön olyan adatbázis, amely a szervezet dolgozóinak ügyintézésre használt e-mail címeit tartalmazza. Az Országos Egészségbiztosítási Pénztár tulajdonában lévő levelező tartományhoz tartozó e-mail címet, amelyben szerepel az „oep.hu” tartalom, engedély nélkül, a munkavégzéstől független kapcsolattartásra megadni tilos. A közösségi (például IWIW, Facebook, stb.) oldalakon, hírcsatornákon, reklám és hirdető oldalon megadott „oep.hu” tartományú levélcímeket meg kell változtatni.46 Tilos

a

nem


Pénztári

dolgozók

számára

Egészségbiztosítási Pénztári ügyintézők levélcímeit kiadni, amennyiben azok nem kötődnek a munkavégzéshez. Tilos az Egészségbiztosítási Pénztári ügyintézők levelező címére automatikusan átirányítani leveleket a felhasználó előfizetésében levő, vagy közösségi levelező rendszerekben részére létrehozott e-mail fiókról.

46


47

19. 8. WEB szolgáltatás használatára vonatkozó utasítások Az Egészségbiztosítási Pénztár informatikai rendszerében üzembe helyezett számítógépről tilos olyan web oldalakat látogatni, amelyek tartalma nem kötődik szorosan a munkavégzéshez.47 A munkavégzéshez szükséges internetes hozzáférést a vezető külön engedélye alapján lehet a számítógépekről elérhetővé tenni.

19. 9. Adatvédelmi biztos az Országos Egészségbiztosítási Pénztár számítógépes rendszerének hibájáról 2007. április 1-től a az egészségügyi szolgáltatás igénybevételét megelőzően az egészségügyi szolgáltató köteles a betegnél előzetes jogviszony-ellenőrzést végezni. A jogszabályi rendelkezések megvalósítása érdekében kialakításra került egy olyan információs rendszer, amelyből az egészségügyi szolgáltatók on-line módon jelzést kaphatnak arról, hogy az ellátásokat igénybe venni kívánó személy az Országos Egészségbiztosítási Pénztár nyilvántartása szerint rendelkezik-e jogviszonnyal. Jogviszony ellenőrzés célja, hogy az érintett rendelkezzen érvényes társadalombiztosítási

azonosító

jellel,

és

az

érvényes

társadalombiztosítási azonosító jel mögött van-e biztosítási jogviszony, illetve egészségügyi szolgáltatásra való jogosultság. A jogviszony-ellenőrzést valamennyi egészségügyi szolgáltató köteles elvégezni 2008. január 1-től. Ez on-line módon történik, a szolgáltató a beteg társadalombiztosítási azonosító jelének megadásával az Országos Egészségbiztosítási Pénztár nyilvántartási rendszerén keresztül végzi el az ellenőrzést, a rendszer pedig 4 féle jelzést adhat arra a kérdésre, hogy az ellátottnak van-e és érvényes-e a jogviszonya.

47


48

A zöld „TAJ érvényes, jogviszonya rendezett”. A piros „TAJ érvényes, jogviszonya rendezetlen” A kék „Külföldön biztosított, a TAJ átmenetileg érvénytelen” A barna „TAJ egyéb okból érvénytelen” pl. végleges külföldre település, elhalálozás miatt, vagy technikai okból (pl. titkos örökbefogadás) érvénytelenítésre került. 2009. január 19-én egy informatikai probléma miatt a betegek egy része téves információt kapott jogviszonyáról. Így azoknak is „piros lámpát” mutathatott a rendszer, akiknek a jogviszonya rendezett. Időközben az üggyel kapcsolatban az adatvédelmi biztos is kiadott egy közleményt. Nem vesztek el adatok az Országos Egészségbiztosítási Pénztár jogviszony-ellenőrző számítógépes rendszerének meghibásodása során állapította meg az adatvédelmi biztos. Jóri András helyszíni vizsgálatot tartott az Országos Egészségbiztosítási Pénztárnál, ahol arról tájékozódott, mi okozta a hibát, és elvesztek-e a biztosítottak adatai. Az ellenőrző rendszer szoftvere, egy frissítés során hibásodott meg, ezért többször is a valójában meglévő biztosítotti jogviszony hiányát jelezte. 48 A jelenséget egy programozási hiba idézte elő, ami azonban nem veszélyeztette a biztosítottak adatállományát. Adatvesztés nem történt, az állampolgárok személyes adatok védelméhez fűződő joga nem sérült. Úgy gondolom, hogy a jogviszony-ellenőrző rendszer sok esetben téves adatot szolgáltat a lekérdező számára. Igaz sokat fejlődött a rendszer, viszont még mindig vannak benne hibák. A hibák kijavítása nem könnyű, hiszen az adatokat a bejelentett személyek jogviszonyadatai programból veszi. Előfordul, hogy a személyek jogviszony adatai késedelmesen kerülnek be- és kijelentésre, ebben az esetben téves információt mutat. Az ügyfél az egészségügyi szolgáltatónál szembesül a jogviszonyának a rendezetlenségéről.

48

http://jogiforum.hu Letöltés: 2013.03.04

49

20. Az

informatikai

rendszerek

módosítása

az

adatvédelem


Pénztárakban

érdekében Az

informatikai

rendszerek

az

véleményem szerint nagyon elavultak. Szükségessé válna a teljes számítástechnikai gépállomány cseréje, hogy nagyobb hatékonysággal és biztonsággal tudnánk munkánkat végezni. Előfordult, hogy sok számítógép esetében a képernyővédő jelszót ki kellett iktatni, mert a gép lefagyott miatta és a munkatársak nem tudták a munkájukat elvégezni. Sajnos ez az eljárás informatikai biztonsági szempontból nem megfelelő, főleg az ügyfélszolgálati gépek esetében. Az ügyfélszolgálati ügyintézőktől még nagyobb odafigyelést igényel, hogy ne

hagyják

őrizetlenül

a

számítógépeket

a

jogosulatlan

hozzáférések megóvása érdekében. Az ügyintézőknek kiosztott e-mail cím a legtöbb esetben – még munkavégzés esetén – sem kerül ki, mert az Egészségbiztosítási Pénztárak rendelkeznek központi e-mail címmel. Az ügyfelek ezen email cím alapján veszik fel a kapcsolatot a Hivatallal, és kérnek általános információt. A választ is ezen az e-mail címen keresztül kapják. Úgy gondolom, hogy így az ügyintézők védve vannak a jogosulatlan megkeresésektől, tehát nem kapnak reklám illetve más promóciós megkereséseket. Az Országos Egészségbiztosítási Pénztár hatáskörén kívül nem tudnak létrehozni olyan adatbázist, amely a szervezet dolgozóinak ügyintézésre használt e-mail címeit tartalmazza.

50

Összegzés A szakdolgozat témája az Egészségbiztosítási Pénztárak adatvédelme. Külön figyelmet szentelve a társadalombiztosítási azonosító jel létrehozásának követelményére, a hivatal által kezelt és kiadható adatok körére és hogy, mely szervek jogosultak adatszolgáltatásra. A mai gyorsan fejlődő világban az állampolgárok egyre nagyobb számban és egyre sűrűbben élnek az internet adta lehetőségekkel és az on-line ügyintézéssel megkülönböztetett figyelmet kell fordítani az informatikai

rendszerek

adatbiztonságára.

Minél

hatékonyabb

eszközökkel és többszintű védelmi rendszerekkel kell megakadályozni egy esetleges külső behatolást és jogosulatlan adathozzáférést. Az adatvédelmi jogszabályok betartása és az adatkezelési tájékoztató készítése kötelező minden szakterületen és ügyintézőnek akik személyes adatokat kezelnek. Az adatvédelem ma már nélkülözhetetlen, minden olyan intézménynél, ahol személyes adatokat kezelnek, mint például az Egészségbiztosítási Pénztár. Nem elegendő csak a hivatal által kezelt és kiadható adatok körét szabályozni, hanem rendkívül nagy jelentőséggel bír ezen adatok védelme is. Jelentős szerepe van az informatikai rendszerek nagyfokú védelmének az illetéktelen hozzáférések ellen. Az Egészségbiztosítási Pénztár által kezelt adatok csak az érintett beleegyezésével, vagy olyan esetben adható ki, ha az adatkérőnek a törvény erre felhatalmazást ad. Dolgozatomból kitűnik, hogy az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény mint általános jogszabályt nem elegendő értelmezni és használni, hiszen az Egészségbiztosítási Pénztárra több ágazati jogszabály irányadó. Először ezekből a rendelkezésekből kell kiindulni és ha ezek nem adnak egyértelmű választ csak abban az esetben lehet az általános jogszabályhoz fordulni. Annak érdekében, hogy a számítástechnikai eszközök és informatikai rendszerek is megfelelő védelemben részesüljenek, illetve illetéktelen személy ne férhessen hozzá az adatgazdák által kezelt személyes adatokhoz. Az Országos 51

Egészségbiztosítási Pénztár főigazgatója különböző szabályzatokban és utasításokban szabályozza ezen terület minél hatékonyabb védelmét.

52

Irodalomjegyzék 1. dr. Jóri András - dr. Hegedűs Bulcsú - dr.Kerekes Zsuzsanna: Adatvédelem és információszabadság a gyakorlatban. Complex Kiadó, Budapest 2010 2. Muha Lajos: Az informatikai biztonság kézikönyve - Informatikai biztonsági tanácsadó A-tól Z-ig, Verlag Dashöfer Szakkiadó 2007 3. Vikman László: A kéretlen elektronikus reklámok szabályozása 4. Péterfi

Attila:

Adatvédelem

és

információszabadság

a

mindennapokban. HVG-ORAC Lap- és Könyvkiadó 5. Szőke Gergely László: Infokommunikáció és jog. HVG-ORAC Lapés Könyvkiadó Kft. 35. szám 6. F. Ható Katalin: Adatbiztonság, adatvédelem, SZÁMALK Kiadó 200 7. Majtényi László: Az információs szabadságok – Az adatvédelem és a közérdekű adatok nyilvánossága. Copmlex Kiadó, Budapest 2013 8. Dr.

Jóri

András:

Adatvédelem

és

információszabadság

gyakorlatban. Complex Kiadó, Budapest 2013

53

a

Jogszabályjegyzék 1. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 2. A


ellátásaira

és

a

magánnyugdíjra

jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. törvény 3. A személyazonosító jel helyébe lépő azonosítási módokról és az azonosító kódok használatáról szóló 1996. évi XX. törvény 4. A kötelező egészségbiztosítás ellátásairól szóló 1997. évi LXXXIII. törvény 5. 195/1997. (XI. 5.) Korm. rendelet a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. törvény végrehajtásáról 6. Az Orságos Egészségbiztosítási Pénztár Adatvédelmi Szabályzata 7. Az Országos Egészségbiztosítási Pénztár Informatikai Biztonsági Szabályzata

54

Hivatkozások jegyzéke 1. http://jogiforum.hu Letöltés: 2013.03.04 2. http://oep.hu Letöltés:2013.02.04 3. http://hu.wikopedia.org Letöltés: 2013.03.02

55

AZ EGÉSZSÉGBIZTOSÍTÁSI PÉNZTÁR ADATVÉDELME MISKOLCI EGYETEM ÁLLAM- ÉS JOGTUDOMÁNYI KAR INFORMÁCIÓS ÉS MÉDIAJOGI TANSZÉK SZAKDOLGOZAT

Recommend Documents