2012. számú OEP Szabályzata

ORSZÁGOS EGÉSZSÉGBIZTOSÍTÁSI PÉNZTÁR    Az Országos Egészségbiztosítási Pénztár  Főigazgatójának  5/2012. számú OEP Szabályzata  Az Adatvédelmi Szabályzatról  1. Preambulum  Az  Országos  Egészségbiztosítási  Pénztár  Főigazgatója  az  információs  önrendelkezési  jogról  és  az  információszabadságról  szóló  2011.  évi  CXII.  törvény  24.  §  (3)  bekezdésében  megfogalmazott  kötelezettségnek  eleget  téve  az  alábbiak  szerint  állapítja meg az adatkezelés és adatbiztonság alapvető szabályait.  2. Általános rész  2.1. A szabályzat célja  E  szabályzat  célja,  hogy  biztosítsa  az  adatvédelem  alkotmányos  elvének,  az  információs  önrendelkezési  jognak,  valamint  az  adatbiztonság  alapvető  követelményeinek  érvényesülését,  továbbá,  hogy  meghatározza  az  OEP,  valamint  a  Kormányhivatal egészségbiztosítási pénztári szakigazgatási szerveinél (a továbbiakban  együttesen: egészségbiztosítási szerv) történő adatkezelés rendjét.  2.2. A szabályzat hatálya  A szabályzat szervi, személyi és tárgyi hatálya kiterjed:  a) az  egészségbiztosítási  szerv  minden  szervezeti  egységére,  természetes  személyre amely, vagy aki az OEP kezelésében lévő adatot kezel  b) minden,  az  egészségbiztosítási  szervvel  kapcsolatba  került  vagy kerülő,  illetve  annak  megbízásából  adatot  kezelő,  illetve  azt  feldolgozó  személyre,  szervezetre  c) minden az egészségbiztosítási szervnél kezelt adatra  3. Alapfogalmak  E szabályzat alkalmazásában:  a) Adatvédelem: a személyes (és különleges) adatok gyűjtésének, feldolgozásának  és  felhasználásának  korlátozását,  az  érintett  személyek  védelmét  biztosító  alapelvek,  szabályok,  eljárások,  adatkezelési  eszközök  és  módszerek  összessége  b) Adatbiztonság:  az  adatok  jogosulatlan  megismerése,  megszerzése,  továbbítása,  módosulása  és  megsemmisülése  elleni,  illetve  hitelességük, 

c) d)

e) f) g)

h)

i) j)

k)

integritásuk, bizalmasságuk és rendelkezésre állásuk biztosítása érdekében tett  intézkedések  Egészségügyi  adat:  meghatározott  személyhez  köthető,  annak  egészségi  állapotára vonatkozó különleges adat  Adatvédelmi  felelős:  az  OEP  központi  adatvédelmi  felelősei,  az  OEP  területi  kihelyezett  szervezeti  egységeinek  megyei  adatvédelmi  felelősei,  a  Kormányhivatalok  egészségbiztosítási  pénztári  szakigazgatási  szerveinek  szakigazgatási adatvédelmi felelősei  Egészségbiztosítási  pénztári  szakigazgatási  szerv:  A  Kormányhivatal  megyei  szervezetének önálló, az egészségbiztosítási szakterületet képviselő része  OEP  területi  kihelyezett  szervezeti  egysége:  az  OEP  Alapító  Okiratának  I.  6.  pontjában meghatározottak szerint  Adatkezeléssel megbízott személy: az egészségbiztosítási szerv azon dolgozója,  akinek  a  munkaköri  leírása  szerint  feladatainak  ellátásához  elengedhetetlenül  szükséges egészségügyi és személyes adat megismerése  Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett  neve,  azonosító  jele,  valamint  egy  vagy  több  fizikai,  fiziológiai,  mentális,  gazdasági,  kulturális  vagy  szociális  azonosságára  jellemző  ismeret  –,  valamint  az adatból levonható, az érintettre vonatkozó következtetés  Érintett:  bármely  meghatározott,  személyes  adat  alapján  azonosított  vagy  –  közvetlenül vagy közvetve – azonosítható természetes személy  Különleges adat:  a. a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy  pártállásra,  a  vallásos  vagy  más  világnézeti  meggyőződésre,  az  érdek‐ képviseleti  szervezeti  tagságra,  a  szexuális  életre  vonatkozó  személyes  adat,  b. az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat,  valamint a bűnügyi személyes adat  Közérdekű  adat:  az  állami  vagy  helyi  önkormányzati  feladatot,  valamint  jogszabályban  meghatározott  egyéb  közfeladatot  ellátó  szerv  vagy  személy  kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával  összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen  módon  vagy  formában  rögzített  információ  vagy  ismeret,  függetlenül  kezelésének  módjától,  önálló  vagy  gyűjteményes  jellegétől,  így  különösen  a  hatáskörre,  illetékességre,  szervezeti  felépítésre,  szakmai  tevékenységre,  annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a  működést  szabályozó  jogszabályokra,  valamint  a  gazdálkodásra,  a  megkötött  szerződésekre vonatkozó adat. 

2 

l) Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem  rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok  kezelésének  célját  meghatározza,  az  adatkezelésre  (beleértve  a  felhasznált  eszközt)  vonatkozó  döntéseket  meghozza  és  végrehajtja,  vagy  az  általa  megbízott adatfeldolgozóval végrehajtatja  m) Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely  művelet  vagy  a  műveletek  összessége,  így  különösen  gyűjtése,  felvétele,  rögzítése,  rendszerezése,  tárolása,  megváltoztatása,  felhasználása,  lekérdezése,  továbbítása,  nyilvánosságra  hozatala,  összehangolása  vagy  összekapcsolása,  zárolása,  törlése  és  megsemmisítése,  valamint  az  adatok  további  felhasználásának  megakadályozása,  fénykép‐,  hang‐  vagy  képfelvétel  készítése,  valamint  a  személy  azonosítására  alkalmas  fizikai  jellemzők  (pl.  ujj‐  vagy tenyérnyomat, DNS‐minta, íriszkép) rögzítése  n) Adattovábbítás:  az  adat  meghatározott  harmadik  személy  számára  történő  hozzáférhetővé tétele  o) Nyilvánosságra hozatal: az adat bárki számára hozzáférhetővé tétele  p) Adattörlés:  az  adatok  felismerhetetlenné  tétele  oly  módon,  hogy  a  helyreállításuk többé nem lehetséges  q) Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges  vagy meghatározott időre történő korlátozása céljából  r) Adatmegsemmisítés:  az  adatokat  tartalmazó  adathordozó  teljes  fizikai  megsemmisítése  s) Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok  elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és  eszköztől,  valamint  az  alkalmazás  helyétől,  feltéve  hogy  a  technikai  feladatot  az adatokon végzik  t) Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel  nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése  alapján ‐ beleértve a jogszabály rendelkezése alapján történő szerződéskötést  is ‐ adatok feldolgozását végzi 

3 

4. Az adatkezelés célja és jogalapja  4.1. Az egészségügyi és személyazonosító adatok kezelésének célja  4.1.1.  Az  egészségbiztosítási  szerv  egészségügyi  és  személyazonosító  adatot  ‐  törvényben meghatározott esetekben ‐ az alábbi célból kezel:  a) orvos‐szakmai  és  epidemiológiai  vizsgálat,  elemzés,  az  egészségügyi  ellátás  tervezése, szervezése, költségek tervezése,  b) statisztikai vizsgálat,  c) hatásvizsgálati célú anonimizálás és tudományos kutatás,  d) az egészségügyi adatot kezelő szerv vagy személy hatósági vagy törvényességi  ellenőrzését,  szakmai  vagy  törvényességi  felügyeletét  végző  szervezetek  munkájának  elősegítése,  ha  az  ellenőrzés  célja  más  módon  nem  érhető  el,  valamint  az  egészségügyi  ellátásokat  finanszírozó  szervezetek  feladatainak  ellátása,  e) a társadalombiztosítási, illetve szociális ellátások megállapítása, amennyiben az  az egészségi állapot alapján történik,  f) az  egészségügyi  ellátásokra  jogosultak  részére  a  kötelező  egészségbiztosítás  terhére igénybe vehető szolgáltatások rendelésének és nyújtásának, valamint a  gazdaságos  gyógyszer‐,  gyógyászati  segédeszköz‐  és  gyógyászati  ellátás  rendelési  szabályai  betartásának  a  vizsgálata,  továbbá  a  külön  jogszabály  szerinti szerződés alapján a jogosultak részére nyújtott ellátások finanszírozása,  illetve az ártámogatás elszámolása,  g) közigazgatási hatósági eljárás,  h) az  egészségügyi  ellátásokra  jogosultak  részére  vényen  rendelt  gyógyszer,  gyógyászati  segédeszköz  és  gyógyászati  ellátás  folyamatos  és  biztonságos  kiszolgáltatása, illetve nyújtása érdekében,  i) a  munkabalesetek,  foglalkozási  megbetegedések  ‐  ideértve  a  fokozott  expozíciós  eseteket  is  ‐  kivizsgálása,  nyilvántartása  és  a  szükséges  munkavédelmi intézkedések megtétele.   4.1.2. A 4.1.1. pontban meghatározott céloktól eltérő célra is lehet az érintett, illetve  törvényes  vagy  meghatalmazott  képviselője  (a  továbbiakban  együtt:  törvényes  képviselő) megfelelő tájékoztatáson alapuló írásbeli hozzájárulásával egészségügyi és  személyazonosító adatot kezelni.  4.1.3.  A  4.1.1.  és  4.1.2.  pontok  szerinti  adatkezelési  célokra  csak  annyi  és  olyan  egészségügyi,  illetve  személyazonosító  adat  kezelhető,  amely  az  adatkezelési  cél  megvalósításához elengedhetetlenül szükséges.  4.2. A személyes adatok kezelésének jogalapja, célhoz kötöttség  4.2.1.  Az  egészségbiztosítási  szerv  személyes  adatot  kizárólag  meghatározott  célra,  jogszabály alapján, vagy az érintett személy hozzájárulásával kezel.  

4 

4.2.2.  Az  adatkezelésnek  ‐  annak  minden  szakaszában  ‐  meg  kell  felelnie  ennek  a  célnak,  és  az  adatkezelés  csak  a  cél  megvalósulásához  szükséges  mértékig  és  ideig  történhet.  4.2.3.  Az  egészségbiztosítási  szerv  által  kezelt  személyes  adatok  csak  jogszabályban  meghatározott  esetekben  és  módon,  azaz  vagy  az  érintett  hozzájárulásával,  vagy  jogszabály  felhatalmazásával  (amennyiben  az  adatkezelés  feltételei  minden  egyes  adatra  nézve  teljesülnek)  továbbíthatók,  vagy  kapcsolhatók  össze  más,  külső  nyilvántartással.  Ezek  a  feltételek  szükségesek  a  személyes  adatok  helyesbítése  és  törlése esetén is, amennyiben azt nem maga az érintett kéri.  4.2.4.  Az  érintett  kérelmére,  kezdeményezésére  indult  bírósági  vagy  hatósági  eljárásban  az  eljárás  lefolytatásához  szükséges  személyes  adatok  tekintetében,  az  érintett  kérelmére  indult  más  ügyben  az  általa  megadott  személyes  adatok  tekintetében  az  adatainak  kezeléséhez,  továbbításához  való  hozzájárulást  ‐  az  ügyintézéshez  szükséges  mértékig  ‐  vélelmezni  kell,  ebben  az  esetben  külön  hozzájáruló nyilatkozatra nincs szükség.  5. Adatkezelés és adattovábbítás  5.1. Az adatkezeléssel megbízott személy:  a) kezeli és megőrzi a munkaköréhez tartozó adatokat,  b) gondoskodik  arról,  hogy  az  általa  vezetett  nyilvántartások  adataihoz  illetéktelen  személy  ne  férhessen  hozzá,  ügyel  a  nyilvántartások  biztonságos  kezelésére és tárolására,  c) betartja a személyes adatok kezelésére vonatkozó jogszabályi rendelkezéseket,  belső utasításokat és előírásokat,  5.2.  A  személyes  adatot  kezelő  személy  a  köztisztviselők  jogállásáról  szóló  1992.  évi  XXIII. törvény 38. § (3)‐(4) bekezdésben foglaltak szerint köteles megtagadni minden  olyan  utasítás  végrehajtását,  amely  ellentétes  az  adatkezelésre,  adatvédelemre  vonatkozó jogszabályokkal vagy az OEP belső utasításaival, szabályzataival.   5.3. Az egészségbiztosítási szerv a társadalombiztosítás igazgatási szervei, illetve nem  társadalombiztosítási  szerv,  valamint  természetes  személy  részére  adatot  csak  törvény,  illetve  törvény  felhatalmazása  alapján  ‐  a  felhasználás  céljának  és  jogalapjának  egyidejű  megjelölésével  ‐  jogszabályban  meghatározott  módon  szolgáltathat.  5.4. A jogszabályi előíráson alapuló adatszolgáltatási kötelezettségen kívüli esetekben  az  adattovábbítás  írásbeli  megkeresés  alapján  történik.  A  szóban  előterjesztett  adatkérésekre a közigazgatási és hatósági eljárás és szolgáltatás általános szabályairól  szóló 2004. évi CXL. törvényt kell alkalmazni.  5.5.  Amennyiben  az  adatkérés  az  I.  számú  mellékletben  foglalt  kritériumoknak  nem  felel  meg,  illetve  nem  egyértelmű  az  adatok  kiadására  vonatkozó  döntés,  akkor  a  kérelmet meg kell küldeni az adatvédelmi felelősnek, aki:  a) megfelelő indokolással elutasítja a kérelmet, vagy  5 

b) ha a kérelem formailag nem megfelelő, kiegészítésre hívja fel az adatkérőt  c) vagy engedélyt ad az adatok kiadására.  5.6.  Az  adattovábbítás  írásban  vagy  elektronikus  úton  történhet.  Abban  az  esetben,  amikor az adattovábbítás elektronikus adatfeldolgozással hatékonyabban teljesíthető,  akkor is biztosítani kell, hogy az adatkérésben érintett személyre vonatkozóan mind a  kérelem, mind pedig a megtett intézkedések visszakereshetők legyenek.   5.7. Adattovábbítás külföldre  5.7.1.  Személyes  adat  külföldi  adatkezelő  részére  csak  akkor  továbbítható,  ha  az  érintett ahhoz hozzájárult, vagy azt törvény teszi lehetővé és az adatkezelés feltételei  a külföldi adatkezelőnél minden egyes adatra nézve teljesülnek.  5.7.2.  Személyes  adatok  a  nemzetközi  jogsegélyről,  valamint  a  kettős  adóztatás  elkerüléséről  szóló  nemzetközi  szerződés  végrehajtása  érdekében,  a  nemzetközi  szerződésben  meghatározott  célból,  feltételekkel  és  adatkörben  továbbíthatók  harmadik országba.   5.7.3.. Az EGT‐államokba irányuló adattovábbítást úgy kell tekinteni, mintha a Magyar  Köztársaság területén belüli adattovábbításra kerülne sor.  6. Adatok helyesbítése és törlése  6.1.  Ha  a  személyes  adat  a  valóságnak  nem  felel  meg  és  a  valóságnak  megfelelő  személyes  adat  az  adatkezelő  rendelkezésére  áll  köteles  hivatalból,  illetve  bárki  megalapozott írásbeli kérésére helyesbíteni.   6.2. Az adatok helyesbítésére irányuló kérelemben meg kell jelölni a helyesbíteni kért  adatot,  a  helyesbítés  okát  vagy  az  azt  megalapozó  tényeket,  csatolva  a  dokumentumokat.   6.3. A személyes adatot törölni kell   a) a jogszabályban elrendelt adatkezelések kivételével az érintett kérésére, vagy  abban az esetben, amikor  b) jogellenes az adatkezelés, vagy  c) az adatkezelés célja megszűnt.  6.4.  Az  igénybevett  és  az  OEP  által  finanszírozott  egészségügyi  ellátásra  vonatkozó  adatokat az érintett kérésére sem lehet törölni. 

6 

7. Az érintettek jogai  7.1.  Az  érintett  tájékoztatást  kérhet  személyes  adatainak  kezeléséről,  illetve  kérheti  személyes  adatainak  helyesbítését,  és  –  a  kötelező  adatkezelés  kivételével  –  azok  törlését vagy zárolását.   7.2. Az érintett adataira vonatkozó megkeresést, amennyiben a kérelem az I. számú  mellékletben  foglaltaknak  nem  felel  meg,  vagy  az  ügyintéző  nem  tudja  eldönteni  a  leírtak alapján,  hogy teljesülnek‐e  a  feltételek,  akkor  a  kérelmet meg  kell küldeni  az  adatvédelmi felelősnek, aki:  a) megfelelő indokolással elutasítja a kérelmet, vagy  b) ha a kérelem formailag nem megfelelő, kiegészítésre hívja fel az adatkérőt   c) vagy engedélyt ad az adatok kiadására.  7.3. Az adatok helyesbítésére, illetve törlésére irányuló kérelmet, továbbá az adatok  hivatalból történő helyesbítésére, törlésére irányuló javaslatot az adatvédelmi felelős  megvizsgálja.  7.3.1.  Amennyiben  a  kérelem  vagy  javaslat  megalapozott,  úgy  az  adatkezelő  elvégzi  az  adat  helyesbítését,  törlését  vagy  zárolását,  majd  értesíti  az  érintettet  és  mindazokat,  akiknek  korábban  az  adatot  adatkezelés  céljából  továbbították  (másodlagos adatkezelő).  7.3.2. Az adatok helyesbítésével, törlésével, zárolásával kapcsolatban az a szervezeti  egység, illetve igazgatási szerv jár el, amely az adatot nyilvántartja.  7.4.  Az  adatkezelő  köteles  az  érintett  jogait  érintő  kérelmét  az  információs  önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 15. §  (4) bekezdésében rögzített módon a benyújtástól számított legrövidebb idő alatt, de  legfeljebb 30 napon belül elintézni és erről írásban megadni a tájékoztatást.  8. A közérdekű adatok nyilvánossága  8.1.  A  közérdekű  adatokra  vonatkozó  kérelmek  esetében  az  adatkezelés  célja  nem  vizsgálandó.  8.2.  A  közérdekű  adatok  átadásával,  továbbításával  összefüggő,  illetve  az  egészségbiztosítási nyilvántartást érintő megkeresést szükség esetén az adatvédelmi  felelős  előzetesen  megvizsgálja,  és  ha  az  adatok  kiadhatók  további  intézkedésre  megküldi a kért adatokat kezelő és azok átadására jogosult szervezeti egységhez.  8.3.  Ha  az  adatkérés  nem  minősül  közérdekű  adatkérésnek  ‐  és  egyébként  teljesítésének feltételei nem állnak fenn ‐ akkor azt el kell utasítani.   8.3.1.  Az  elutasításról,  annak  indokolásával  együtt  ‐  8  napon  belül  ‐  írásban  vagy  ‐  amennyiben  az  igényben  elektronikus  levelezési  címét  közölte  ‐  elektronikus  úton  értesíteni kell az igénylőt.   8.3.2.  Az  elutasított  közérdekű  adatkérésekről  ‐  a  kérelmező  személyes  azonosítása  nélkül ‐ nyilvántartást kell vezetni.  7 

8.4.  Az  OEP  sajtó  kapcsolattartással  foglalkozó  szervezeti  egységéhez,  kizárólag  az  újságíróktól  érkező  adatkérések  esetén  az  adatvédelmi  vizsgálatot  az  adatvédelmi  felelős  helyett  a  szervezeti  egység  vezetője  végzi  el,  és  tartja  nyilván  az  elutasított  kérelmeket.  8.5.  Amennyiben  az  adatkérés  jellege  ezt  indokolja,  a  szervezeti  egység  vezetője  döntése előtt megkeresi a vezető adatvédelmi felelőst.  8.6.  A  közérdekű  adat  megismerésére  irányuló  kérelemnek  a  legrövidebb  idő  alatt,  legfeljebb 15 napon belül kell eleget tenni.  9. Jelentés a Hatóság részére  9.1.  A  Nemzeti  Adatvédelmi  és  Információszabadság  Hatóságot  évente  tájékoztatni  kell:  a) a személyes adatok kezelésével kapcsolatos teljesített kérelmek számáról  b) a  személyes  adatok  kezelésével  kapcsolatos  elutasított  kérelmek  számáról,  indokáról  c) közérdekű  adatok  megismerésére  irányuló  elutasított  kérelmek  számáról  és  indokáról  9.2.  Személyes  adat  iránti  kérelem  alatt  az  érintett  által  benyújtott,  saját  adataira  vonatkozó betekintési, törlési, helyesbítési kérelmet kell érteni.  9.3.  Közérdekű  adat  iránti  kérelem  az  egészségbiztosítási  szerv  kezelésében  lévő,  valamennyi tevékenységére vonatkozó adat megismerésére irányuló kérelem.  9.4.  A  jelentés  elkészítése  érdekében  a  területi  kihelyezett  szervezeti  egységek  megyei  adatvédelmi  felelősei  minden  év  január  21‐ig  elküldik  a  hozzájuk  tartozó  terület előző évi adatait az OEP Jogi Főosztály Adatvédelmi Osztályára. Az adatokat a  központi adatvédelmi felelősök összesítik és küldik meg a Hatóság részére, minden év  január 31‐ig. 

8 

10. Adatbiztonság  10.1. Adatbiztonság követelménye  10.1.1.  Az  adatkezelő,  illetve  tevékenységi  körében  az  adatfeldolgozó  köteles  gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és  szervezési  intézkedéseket  és  kialakítani  azokat  az  eljárási  szabályokat,  amelyek  az  információs  önrendelkezési  jogról  és  az  információszabadságról  szóló  törvény  valamint az egyéb adat‐ és titokvédelmi szabályok érvényre juttatásához szükségesek.  10.1.2. Az adatokat védeni kell különösen a jogosulatlan:  - hozzáférés  - megváltoztatás  - továbbítás  - nyilvánosságra hozatal  - törlés vagy megsemmisítés  - valamint a véletlen megsemmisülés és sérülés   - továbbá  az  alkalmazott  technika  megváltozásából  fakadó  hozzáférhetetlenné  válás ellen.  10.1.3.  Az  adatok  kezelésére  jogosult  személy  részére  biztosítani  kell  a  munkavégzéshez szükséges mértékben és időben történő adathozzáférést.  10.1.3.1.  A  minősített,  a  személyes,  illetve  a  különleges  adatokat,  csak  azok  és  csak  olyan  mértékben  ismerhetik  meg,  –  a  szükséges  ismeret  elve  alapján  –  akiknek  a  munkaköri  leírásukban  meghatározott  feladatok  elvégzéséhez  elengedhetetlenül  szükséges.  10.1.3.2.  A  minősített  adatokra  vonatkozó  rendelkezéseket  a  minősített  iratok  kezeléséről szóló külön Szabályzat tartalmazza.  10.1.4.  Az  egészségbiztosítási  szerv  számára  még  elfogadható  minimális  kockázati  szintű,  a  rendszer  minden  elemére  kiterjedő,  a  potenciális  kárértékkel  arányos  biztonságot kell megteremteni és fenntartani.  10.2. Adatbiztonsági célok  10.2.1.  Az  adatok  kezelése  során  biztosítani  kell  a  bizalmasság,  sértetlenség,  letagadhatatlanság,  hitelesség  és  rendelkezésre  állás  adatbiztonsági  célok  megvalósítását.  10.2.2.  Az  adatbiztonsági  célok  elérését  a  kezelt  adatok  körének  pontos  meghatározásával,  azok  biztonsági  osztályba  sorolásával,  a  biztonsági  osztályokhoz  tartozó védelmi követelmények meghatározásával, az adatkezelés, az adatfeldolgozás  részletes szabályainak érvényre juttatásán keresztül kell megvalósítani.  10.2.3.  Az  adatok  nyilvántartását,  kezelését,  és  az  adatok  biztonsági  osztályba  sorolását az OEP Iratkezelési Szabályzata szabályozza.  10.3. Biztonsági események 

9 

10.3.1.  Biztonsági  esemény  minden  olyan  gondatlan  vagy  szándékos  a  biztonsági  előírások  megsértésén  alapuló  esemény,  amelynek  következménye  vagy  lehetséges  következménye az adatbiztonsági célok sérülése, meghiúsulása.  10.3.2.  Minden  adatkezelő  illetve  adatkezeléssel  megbízott  személy  köteles  a  tudomására  jutott  biztonsági  eseményről  vagy  annak  gyanújáról  a  szervezeti  egység  vezetőjét  –  területi  kihelyezett  szervezeti  egységek  esetében  az  igazgatót  –  haladéktalanul tájékoztatni.  10.3.3.  A  területi  kihelyezett  szervezeti  egység  vezetője  jelentést  tesz  az  egészségbiztosítási  szerv  vezetőjének,  és  egyben  tájékoztatja  a  Beruházási  Üzemeltetési és Vagyongazdálkodási Főosztály biztonsági szakterületét.  10.3.4. Az egészségbiztosítási szerv vezetője intézkedik a fennálló biztonsági esemény  azonnali megszüntetésére, illetve a biztonsági esemény kivizsgálására ‐ a Szervezeti és  Működési Szabályzatnak megfelelően ‐ bizottságot hozhat létre.  10.3.5. A bizottság elvégzi a biztonsági esemény kivizsgálását.  10.3.5.1.  A  bizottság  megvizsgálja  a  biztonsági  esemény  bekövetkezésének  okát  és  körülményeit, a személyi érintettséget illetve felelősséget, az okozott kár mértékét és  egyéb következményeit.  10.3.5.2. A bizottság a vizsgálatról jegyzőkönyvet készít, mely tartalmazza a vizsgálat  tényeit, az intézkedési és felelősségre vonási javaslatokat.  10.4. Informatikai biztonság  10.4.1.  Az  egészségügyi  és  személyes  adatokat  is  tartalmazó  informatikai  rendszerekhez  való  hozzáférési  jogosultságokról  a  hozzáférési  jogosultságok  kiadásáért felelős szervezeti egységnek naprakész nyilvántartást kell vezetni.  10.4.2.  Az  informatikai  rendszerekben  kezelt  adatok  védelme  érdekében  megfogalmazott  követelmények  betartásáért  az  informatikai  rendszer  (alapinfrastruktúra,  alkalmazás,  adatbázis,  adattárház)  működtetésére  vonatkozóan  az  üzemeltetését  ellátó  szervezeti  egység  vezetője,  a  lokális  adatfeldolgozási  rendszerek  vonatkozásában  az  adatfeldolgozást  végző  szervezeti  egység  vezetője  a  felelős.  10.4.3. Az informatikai biztonságra vonatkozó részletszabályokról az OEP Informatikai  Biztonsági Szabályzata rendelkezik. 

10 

11. Adatfeldolgozási tevékenység  11.1. Általános szabályok  11.1.1.  Az  adatfeldolgozó  tevékenységének  ellátása  során  más  adatfeldolgozót  nem  vehet igénybe.  11.1.2.  Az  adatkör  védelmére  meghatározott  követelmények  betartásáért  bármely  adatkezelési  műveletben  az  általa  végzett  adatfeldolgozási  tevékenység  során  az  adatfeldolgozó személyesen felelős.   11.2. Külső szervezetek és személyek adatkezelési tevékenysége  11.2.1.  Adatfeldolgozást  kizárólag  erre  a  tevékenységre  az  egészségbiztosítási  szervvel kötött szerződésben felhatalmazott adatfeldolgozó végezhet.  11.2.2.  Az  OEP  tevékenységéhez  kapcsolódó  és  e  szervek  által  kezelt  adatok  feldolgozását ‐ különösen indokolt esetben ‐ az adatkezelő (OEP) megbízásából külső  szervezet, személy is végezheti. Különösen indokolt esetnek minősül az, ha az OEP az  adatfeldolgozási tevékenységet a szükséges különleges szakmai és technikai feltételek  hiányában nem tudja ellátni, és a feltételek megteremtésére nincs lehetőség.  11.2.3.  A  külső  szerv  vagy  személy  által  végzett  adatfeldolgozás  feltétele  az  adatvédelmet garantáló személyi és tárgyi feltételek megléte.  11.2.4.  Külső  szervezet,  személy  adatfeldolgozói  tevékenységére  megállapodás  csak  írásban  köthető.  A  megállapodás  megkötése  előtt  a  szerződés  tervezetét  az  adatvédelmi  felelős  az  adatvédelmi  szabályok  tekintetében  megvizsgálja  és  véleményezi.  11.2.5. Megbízási szerződéssel foglalkoztatott adatfeldolgozók esetében a megbízási  szerződésnek  tartalmazni  kell  az  utalást  és  a  kötelezést  az  adatvédelmi  szabályok  betartására.   11.2.6. A szerződő féllel ismertetni kell az adatvédelmi szabályzatot és ennek tényét a  megbízási szerződésben rögzíteni kell.  11.2.7. Az e fejezetben foglaltak végrehajtásáért az OEP részéről a szerződést kötő a  felelős. 

11 

12. Az adatvédelem szervezeti kérdései  12.1. Az adatvédelmi hatáskörök és feladatok az alábbi szereplők között oszlanak meg  az egészségbiztosítás országos szervezetrendszerén belül:  a) OEP főigazgatója, központi adatvédelmi felelősei  b) OEP  területi  kihelyezett  szervezeti  egységének  igazgatói,  megyei  adatvédelmi  felelősei  c) Kormányhivatal egészségbiztosítási pénztári szakigazgatási szerveinek vezetői,  szakigazgatási adatvédelmi felelősei   12.2. Adatvédelmi felelősnek jogi, közigazgatási, informatikai vagy ezeknek megfelelő,  felsőfokú végzettséggel rendelkező személyt kell kinevezni.  12.3. A főigazgató hatásköre és feladatai  A főigazgató:  a) b) c) d)

felügyeli és irányítja az adatvédelmi feladatok ellátását,  kinevezi az OEP vezető adatvédelmi felelősét,   adatvédelemmel összefüggő vizsgálatot rendel el  jóváhagyja az OEP adatvédelmi munka‐ és ellenőrzési tervének tervezetét 

12.4. A központi adatvédelmi felelősök   12.4.1.  A  központi  adatvédelmi  felelős  az  OEP  Jogi  Főosztály  Adatvédelmi  Osztályán  dolgozó kormánytisztviselő.  12.4.2. A központi adatvédelmi felelős hatásköre és feladatai különösen:  a) dönt az adatkezeléssel összefüggő kérdésekben,  b) ellenőrzi  az  adatkezelésre  vonatkozó  jogszabályok,  valamint  a  belső  adatvédelmi  szabályok  és  követelmények  betartását,  és  véleményezi  az  adatvédelmi tárgyú jogszabályokat  c) szakmailag  felügyeli  és  ellenőrzi  az  egészségbiztosítási  szerv  adatvédelmi  tevékenységét   d) kivizsgálja  az  adatkezeléssel,  adatvédelmi  tevékenységgel  kapcsolatos  bejelentéseket,  e) az  I.  számú  mellékletben  meghatározott  egyértelműen  teljesíthető  megkeresések  kivételével  véleményezi  a  külső  szervektől  érkezett  személyes  adatokat érintő megkereséseket, ennek keretében közvetlen adatszolgáltatást  teljesít  a  megkereső  szerv  felé,  vagy  a  kérelmeket  adatvédelmi  engedéllyel  továbbítja  a  kért  adatokat  kezelő  és  azok  átadására  jogosult  szervezeti  egységnek, illetve elutasítást készít vagy, kiegészítésre kéri fel az adatkérőt,  f) javaslatot  tesz  az  adatok  hivatalból  történő  törlésére,  zárolására  illetve  helyesbítésére a feltételek megléte esetén,  g) kapcsolatot tart a megyei és a szakigazgatási adatvédelmi felelősökkel,  h) karbantartja és aktualizálja az OEP adatvédelmi szabályzatát, és kezdeményezi  a  hozzá  kapcsolódó  egyéb,  adatkezeléssel  kapcsolatos  szabályzatok  módosítását,  12 

i) megválaszolja a Hatóságtól érkező megkereséseket,  j) az egységes jogértelmezési, jogalkalmazási és ügyintézési gyakorlat kialakítása  céljából  a  munkatervben  meghatározottak  szerinti  időpontban  képzést  tart  a  többi adatvédelmi felelősnek  k) ellenőrzi  az  egészségügyi  és  személyes  adatokat  is  tartalmazó  informatikai  rendszerekhez való hozzáférési jogosultságokról vezetett nyilvántartást  12.4.3. A vezető adatvédelmi felelős a főigazgató által kinevezett, és az adatvédelmi  feladatok  tekintetében  közvetlen  szakmai  felügyelete  alá  tartozó  központi  adatvédelmi felelős.   12.4.4.  A  vezető  adatvédelmi  felelős  egyben  az  OEP  Jogi  Főosztály  Adatvédelmi  Osztályának vezetője.   12.4.5.  A  vezető  adatvédelmi  felelős  szakmailag  irányítja,  felügyeli,  ellenőrzi  az  egészségbiztosítási  szerv  adatvédelemi  tevékenységét,  az  adatvédelmi  felelősök  munkáját és dönt az adatvédelmi tevékenység körébe tartozó ügyekben.  12.5.  Az  OEP  területi  kihelyezett  szervezeti  egysége  igazgatójának  hatásköre  és  feladatai  12.5.1. Az OEP területi kihelyezett szervezeti egységének igazgatója:  a) gondoskodik  a  kihelyezett  szervezeti  egységnél  az  adatvédelmi  szabályok  betartásáról,  b) kinevezi,  felügyeli,  irányítja,  ellenőrzi  a  megyei  adatvédelmi  felelősöket,  és  gondoskodik az esetleges helyettesítésükről,  c) az  adatvédelemmel  összefüggő  szabályok  megsértése,  vagy  erre  utaló  körülmény  esetén  az  adatvédelmi  felelős  útján  vizsgálat  kezdeményezésére  tesz javaslatot az OEP főigazgatójának,   12.6. A megyei adatvédelmi felelősök:  12.6.1.  A  megyei  adatvédelmi  felelős  az  OEP  területi  kihelyezett  szervezeti  egységének  igazgatója  által  kinevezett,  felügyelt,  irányított  és  ellenőrzött  kormánytisztviselő,  aki  ellátja  illetékességi  területén  (megye)  a  hatáskörébe  utalt  adatvédelmi feladatokat.  12.6.2. A megyei adatvédelmi felelős hatásköre és feladatai különösen:  a) dönt az adatkezeléssel összefüggő kérdésekben,  b) az  I.  számú  mellékletben  meghatározott  egyértelműen  teljesíthető  megkeresések  kivételével  véleményezi  a  külső  szervektől  érkezett  személyes  adatokat érintő megkereséseket, ennek keretében közvetlen adatszolgáltatást  teljesít  a  megkereső  szerv  felé,  vagy  a  kérelmeket  adatvédelmi  engedéllyel  továbbítja  a  kért  adatokat  kezelő  és  azok  átadására  jogosult  szervezeti  egységnek, illetve elutasítást készít vagy, kiegészítésre kéri fel az adatkérőt  

13 

c) adatvédelmi szempontból felügyeli és ellenőrzi az adatkezelést, az adatkezelés  és  adatvédelem  tapasztalataira  alapozva  javaslatot  tesz  az  Adatvédelmi  Szabályzat, vagy az adatkezelést érintő más szabályzat aktualizálására,  d) az  egységes  jogalkalmazás  kialakítása  érdekében  együttműködik  a  központi  adatvédelmi felelősökkel,  e) kivizsgálja  az  adatkezeléssel,  adatvédelmi  tevékenységgel  kapcsolatos  bejelentéseket,  f) statisztikát készít az adatkérésekről az 9. pontban részletezett bontásban  g) eseti  megkeresésre  adatvédelmi  tájékoztatást  nyújt  a  kormányhivatalok  szakigazgatási adatvédelmi felelősei részére  h) szükség esetén képzést tart az adatkezeléssel megbízott személyek részére  12.7. A szakigazgatási adatvédelmi felelősök  12.7.1.  A  szakigazgatási  adatvédelmi  felelős  a  Kormányhivatal  egészségbiztosítási  pénztári  szakigazgatási  szervének  vezetője  által  kinevezett,  felügyelt,  irányított  és  ellenőrzött  kormánytisztviselő,  aki  ellátja  illetékességi  területén  a  hatáskörébe  utalt  adatvédelmi feladatokat.  12.7.2. A szakigazgatási adatvédelmi felelős hatásköre és feladatai különösen  a) dönt az adatkezeléssel összefüggő kérdésekben,  b) az  I.  számú  mellékletben  meghatározott  egyértelműen  teljesíthető  megkeresések  kivételével  véleményezi,  az  egészségbiztosítási  pénztári  szakigazgatási  szervhez  külső  szervektől  érkezett  személyes  adatokat  érintő  megkereséseket,  ennek  keretében  közvetlen  adatszolgáltatást  teljesít  a  megkereső szerv felé, vagy a kérelmeket adatvédelmi engedéllyel továbbítja a  kért  adatokat  kezelő  és  azok  átadására  jogosult  szervezeti  egységnek,  illetve  elutasítást készít vagy, kiegészítésre kéri fel az adatkérőt   c) adatvédelmi szempontból felügyeli és ellenőrzi az adatkezelést, az adatkezelés  és  adatvédelem  tapasztalataira  alapozva  javaslatot  tesz  az  Adatvédelmi  Szabályzat, vagy az adatkezelést érintő más szabályzat aktualizálására,  d) az  egységes  jogalkalmazás  kialakítása  érdekében  együttműködik  a  központi  adatvédelmi felelősökkel,  e) kivizsgálja  az  adatkezeléssel,  adatvédelmi  tevékenységgel  kapcsolatos  bejelentéseket,  f) szükség esetén képzést tart az adatkezeléssel megbízott személyek részére  13. Záró rendelkezések  13.1.  A  Szabályzat  a  közzétételét  követő  napon  lép  hatályba,  ezzel  egy  időben  hatályát  veszíti  az  Országos  Egészségbiztosítási  Pénztár  Főigazgatójának  az  Országos  Egészségbiztosítási  Pénztár  Adatvédelmi  Szabályzatáról  szóló  44/2011  számú  szabályzata.  13.2.  A  Szabályzat  a  helyben  szokásos  módon  kerül  közzétételre.  Szövege  –  az  I.  számú melléklet kivételével az OEP honlapján is közzétételre kerül. 

14 

13.3. A Szabályzatot a szervezeti egység vezetője köteles az adatkezeléssel megbízott  személyekkel megismertetni. 

Budapest, 2012. január 31.      Dr. Sélleiné Márki Mária               főigazgató   

 

15 

TARTALOMJEGYZÉK    1. PREAMBULUM .................................................................................................... 1  2. ÁLTALÁNOS RÉSZ................................................................................................. 1  3. ALAPFOGALMAK ................................................................................................. 1  4. AZ ADATKEZELÉS CÉLJA ÉS JOGALAPJA ................................................................ 4  5. ADATKEZELÉS ÉS ADATTOVÁBBÍTÁS .................................................................... 5  6. ADATOK HELYESBÍTÉSE ÉS TÖRLÉSE ..................................................................... 6  7. AZ ÉRINTETTEK JOGAI.......................................................................................... 7  8. A KÖZÉRDEKŰ ADATOK NYILVÁNOSSÁGA............................................................ 7  9. JELENTÉS A HATÓSÁG RÉSZÉRE............................................................................ 8  10. ADATBIZTONSÁG............................................................................................... 9  11. ADATFELDOLGOZÁSI TEVÉKENYSÉG................................................................. 11  12. AZ ADATVÉDELEM SZERVEZETI KÉRDÉSEI......................................................... 12  13. ZÁRÓ RENDELKEZÉSEK..................................................................................... 14   

16