SZÁMÍTÁSTECHNIKAI ÉS ADATVÉDELMI SZABÁLYZAT (Üzleti titok és pénztártitok betartásának szabályaival)

SZÁMÍTÁSTECHNIKAI ÉS ADATVÉDELMI SZABÁLYZAT (Üzleti titok és pénztártitok betartásának szabályaival)

TEST-VÉR MAGÁNBIZTOSÍTÓ EGÉSZSÉGPÉNZTÁR

Érvényes: 2013. július 8-tól

2013

TARTALOMJEGYZÉK

1. ÁLTALÁNOS RENDELKEZÉSEK ........................................................................... 3 2. ÉRTELMEZŐ RENDELKEZÉSEK ......................................................................... 4 3. AZ ADATVÉDELMI RENDSZER SZERVEZETI FELÉPÍTÉSE ......................... 8 4. ADATVÉDELEM.......................................................................................................10 4.1. FIZIKAI VÉDELEM ..................................................................................................................... 10 4.2. ÜZEMELTETÉSI BIZTONSÁG .................................................................................................... 10 4.3. ADATFELDOLGOZÁSI BIZTONSÁG ......................................................................................... 10 4.4. TECHNIKAI BIZTONSÁG ........................................................................................................... 11 4.5. AZ ALAPNYILVÁNTARTÁS VÉDELME ...................................................................................... 13 4.6. RENDKÍVÜLI HELYZETEK KEZELÉSE ..................................................................................... 13 5. ELLENŐRZÉS ÉS KOCKÁZATOK .........................................................................14 ZÁRÓ RENDELKEZÉSEK ..........................................................................................16 MELLÉKLETEK ...........................................................................................................17

Adatvédelmi szabályzat 2

1. ÁLTALÁNOS RENDELKEZÉSEK A Számítástechnikai és adatvédelmi Szabályzat kibocsátásának célja, hogy biztosítsa az információs önrendelkezési jogról és az információszabadságról szóló 2011. év CXII. törvényben foglalt és az Önkéntes kölcsönös biztosító pénztárakról szóló 1993. évi XCVI. törvényben foglalt előírások és az egyéb adat és titokvédelmi szabályok érvényesülését az alkalmazott eszközök, adatok szükség szerinti védelmi útján. A Pénztár IT elnöke felelős a kezelt személyes adatok megőrzését biztosító személyi és tárgyi feltételek megteremtéséért és fenntartásáért. Minden - személyes adatokat érintő – iratmozgást az átvevő azonosítható aláírásával és dátummal kell igazoltatni, elektronikus iratok esetén olyan módszert kell biztosítani, amely egyértelműen és minden résztvevő tevékenységének azonosítására alkalmas módon rögzíti a dokumentum útját. A személyes adatokat tartalmazó iratok kezelésének és tárolásának rendszerét úgy kell kialakítani, hogy az adatok keletkezése, nyilvántartása, továbbítása, fellelhetőségének helye, az adattal való rendelkezés egyértelműen megállapítható legyen, és megakadályozza illetéktelen hozzáférés lehetőségét. Aki személyes adatot tartalmazó iratok kezelésére, megismerésére jogosult, köteles a személyes adatok védelmére vonatkozó jogszabályt és e szabályzatot megismerni, előírásait megtartani, munkáját e rendelkezések szerint végezni. A szabályzat tárgya a személyes adatokat tartalmazó iratok adatfeldolgozási folyamatának és a feldolgozás eredményeinek védelme, maga az adatvédelem, továbbá a keletkezett papírhulladék biztonságos tárolása. A szabályzat tárgyi hatálya a Pénztár szervezetén belül kiterjed a jogszabály alapján végzett, a tagnyilvántartás felállításával és működtetésével kapcsolatban benyújtott minden olyan iratra, levélre, dokumentációra, jegyzékre, mágneses és más adathordozóra, valamint – a megjelenési formájától függetlenül – minden eszközre, mely a Pénztár által nyilvántartott, pénztártag személyi adatait vagy azok feldolgozását tartalmazza, továbbá a Pénztár területén e munkafolyamat során keletkező papírhulladékra.

Adatvédelmi szabályzat 3

A szabályzat személyi hatálya kiterjed a Pénztár tisztségviselőire, alkalmazottaira vagy megbízási szerződés alapján munkát végző minden olyan személyre, aki e minőségében a pénztártag személyes adatait tartalmazó iratot készít, felhasznál, leír, sokszorosít, kezel, továbbít, ellenőriz, betekintés útján megismer feladatának ellátása során vagy egyéb módon ilyen adatok birtokába kerül.

2. ÉRTELMEZŐ RENDELKEZÉSEK Adat: az információ formalizált módon való, számszerű vagy szöveges megjelenítése, feldolgozása, amely alkalmas közlésre, értelmezésre, továbbításra, feldolgozásra. Egyedi adat: az adatszolgáltatóval közvetlenül kapcsolatba hozható adat. Az egyedi adatok mindaddig megőrzik ezt a minősítésüket, amíg lehetőség van az adatszolgáltató közvetlen azonosítására. Feldolgozott adat: egyedi adat bármilyen módszerrel történő feldolgozásával, átalakításával létrejövő nem egyedi (összesített, származtatott) adat. Elemi adat: a közvetlen azonosítóktól megfosztott, közvetett azonosításra sem alkalmas adat. Informatikai irányítás: Az irányítási és ellenőrzési kapcsolatok eljárások olyan struktúrája, amely új érték hozzáadásával, ugyanakkor a kockázatok és informatika által kínált előnyök együttes mérlegelésével kívánja megvalósítani a pénztár célkitűzéseit. Közvetlen azonosítás: az adatszolgáltató azonosítása nevéből és címéből vagy egy hivatalosan az egységhez hozzárendelt és közzétett azonosítási számból. Közvetett azonosítás: az adatszolgáltató azonosítása valamilyen más információ alapján. Adathordozó: az az eszköz, amelyen az adatok megjelennek (papíralapú, számítástechnikai adathordozó stb.). Adatgazda: az adatgyűjtő szervezeti egység. Adatkezelés: személyes adatokat tartalmazó iratok átvétele, feldolgozása, továbbítása, valamint további – jogosulatlan – felhasználásuk megakadályozása. Adatkezelő: adatkezelési tevékenységet végző vagy azt mással végeztető személy. Adattovábbítás: ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik.

Adatvédelmi szabályzat 4

Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk nem lehetséges. Adatsértetlenség: olyan tulajdonság, amely lehetővé teszi, hogy az adatot jogosulatlan módon ne változtassák meg, vagy ne tegyék tönkre. Adatszármazás hitelesítése: annak megerősítése, hogy a kapott adatok forrása a kívánt forrás. Adatvédelem: Az adatok kezelésével kapcsolatos törvényi szintű jogi szabályozás formája, amely az adatok valamilyen szintű, előre meghatározott csoportjára vonatkozó adatkezelés során érintett személyek jogi védelmére és a kezelés során felmerülő eljárások jogszerűségeire vonatkozik. Aktív

fenyegetés:

olyan

szabad,

jogosulatlan

hozzáférésnek

a

veszélye,

amely

megváltoztathatja a rendszer állapotát. Alapfenyegetettség: a fenyegető tényezők olyan csoportosítása, amely a biztonsági alapfunkciók valamelyikének kiesését okozza. Nevezetesen: a funkcionalitás elvesztése, a hitelesség elvesztése, a bizalmasság elvesztése, a sértetlenség elvesztése és a rendelkezésre állás elvesztése. Alkalmazói program: olyan program, amelyet az alkalmazó saját speciális céljai érdekében vezet be, és amely a hardver és az üzemi rendszer funkcióit használja. Applikáció: speciális feladatok elvégzésére alkalmas program. Átviteltechnika: az informatika azon része, amely az információk szöveg, kép vagy hang formájában történő továbbítására szolgál. Az átviteltechnikát ebben a kézikönyvben csak abban az esetben tekintjük az informatika részének, amennyiben a digitális adatfeldolgozáshoz kapcsolódik. Bejelentkezés: az informatikai rendszer és egy felhasználó között ez utóbbi által olyan kapcsolat kezdeményezése, amelynek során számára az informatikai rendszer funkcióinak használata lehetővé válik. Bizalmasság: az információk vagy adatok esetében a bizalmasság azt jelenti, hogy azokhoz csak az arra jogosítottak és csak az előírt módokon férhetnek hozzá és nem fordulhat elő úgynevezett jogosulatlan információszerzés. Ez vonatkozhat programokra, mint szélesebb értelemben vett információkra is (például, ha valamely eljárás előírásait egy programmal írjuk le és azt titokban kívánjuk tartani). Az adat létezését vagy tartalmát csak meghatározott személyek meghatározott biztonsági szinten ismerhetik meg. Adatvédelmi szabályzat 5

Felhasználó: az a személy vagy szervezet, aki (amely) egy vagy több informatikai rendszert használ feladatai megoldásához. Hozzáférés: az adat megismerésének lehetősége. Hozzáférés-ellenőrzés: az erőforráshoz való jogosulatlan hozzáférés elhárítása, beleértve az erőforrás jogosulatlan használatának megakadályozását. Általában egy szoftveres kontroll, amelyet azért hoznak létre, hogy megakadályozzák az adatokhoz történő illetéktelen hozzáférést, vagy egyes rendszerfunkciók, programok illetéktelen használatát. Hozzáférés-ellenőrzési lista: az erőforráshoz való hozzáférésre jogosult entitások és hozzáférési jogaik jegyzéke. Illetéktelen személy: aki személyes adat megismerésére nem jogosult. Informatika: a számítógépes információrendszerek tudománya, amely elméletet, szemléletet és módszertant ad a számítógépes információrendszerek tervezéséhez, fejlesztéséhez, szervezéséhez és működtetéséhez. Logikai hozzáférés: az az eljárás illetve folyamat, melyen keresztül az adott felhasználó, eljárás, vagy folyamat eléri egy informatikai rendszer adatait. Logikai védelem: azon védelmi eljárások és intézkedések összessége, amely egy adott informatikai rendszer irányításának, bizalmasságának, hitelességének, sértetlenségének és rendelkezésre állásának védelmét biztosítja az illetéktelen hozzáférés ellen. Mechanikai-fizikai védelem: a védendő objektum illetéktelen behatolás elleni fokozott védelmére szolgáló építészeti-műszaki követelmények és eszközök, valamint a pénzügyi szervezet működéséhez szükséges berendezések, az információk tárolására, továbbítására szolgáló eszközök és az értékek biztonságos tárolását szolgáló berendezések alkalmazása. Irat: a pénztár által végrehajtott munkamozzanatok során használt papír alapú és elektronikus úton megjelentett szöveget, számadatsort tartalmazó eszköz, amelyen személyes adatok találhatók. Személyes adat: meghatározott természetes személlyel kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés, az adatkezelés során mindaddig megőrzi az adat e minőségét, amíg kapcsolata az érintettel helyreállítható. Rendelkezésre állás: az erőforrás folyamatos és rendeltetésszerű biztosítása. Rendkívüli esemény: a pénzügyi szervezet működését, tevékenységének ellátását akadályozó magatartások vagy más események összessége, amelyek magukban hordozzák a személyek Adatvédelmi szabályzat 6

életének, testi épségének veszélyeztetését, súlyos vagyoni kár lehetőségét vagy ezek be is következnek. Rendszer tulajdonos: az az adott szervezeti egység vagy személy, amely/aki az adott rendszer megfelelő működtetéséért felelős. Rendszerprogram: Olyan alapszoftver, amelyre szükség van, hogy valamely informatikai rendszer hardvereit használhassuk és az alkalmazói programokat működtessük. A rendszerprogramok legnagyobb részét az operációs rendszerek alkotják. Sértetlenség: értékek és adatok eredeti állapotának és forrásuk hitelességének biztosítása. Ügyintéző: az a munkát végző személy, akinek munkaköri feladata a pénztár feladat- és hatáskörébe tartozó érdemi ügyintézés, s ennek keretében döntés-előkészítés vagy döntéshozatal. Ügykezelő: az a munkát végző személy, akinek munkaköri feladata az iratok nyilvántartása, irattározása, valamint e tevékenységgel összefüggő adminisztratív feladatok ellátása. Üzleti titok: minden olyan, a pénztár tevékenységéhez kapcsolódó tény, információ, megoldás vagy adat, amelynek titokban maradásához a pénztárnak méltányolható érdeke fűződik, és amelyet a pénztár üzleti titokká minősített, illetve amelynek titokban tartása érdekében a pénztár a szükséges intézkedéseket megtette. Pénztártitok: minden olyan, a pénztártagról és a munkáltatói tagról a pénztár vagy a pénztári szolgáltató rendelkezésére álló, általa nem gyűjthető, nem kezelhető, de tevékenysége folytán tudomására jutó tény, információ vagy adat, amely a pénztártag, a pénztártag kedvezményezettjének, örökösének, közeli hozzátartozójának személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, tulajdonosi, üzleti kapcsolataira, valamint egyéni számláján nyilvántartott összegre, illetve, amely a munkáltatói tag, illetve a támogató adataira, vagyoni helyzetére, üzleti tevékenységére, tulajdonosi, üzleti kapcsolataira vonatkozik.

Adatvédelmi szabályzat 7

3. AZ ADATVÉDELMI RENDSZER SZERVEZETI FELÉPÍTÉSE A pénztár keretein belül az adatvédelemmel összefüggő tevékenységet az IT elnök irányítja. Az adatvédelmi feladatok különösen: -

az

adatvédelmi

követelmények

érvényesülésének

megteremtése,

felügyelete,

ellenőrzése, -

javaslattétel az adatvédelmi szabályzat módosítására, kiegészítésére, a szabályzat és annak mellékletei folyamatos karbantartására,

-

az adatvédelem biztonságának veszélyeztetése észlelése esetén azonnali intézkedés megtétele,

ennek

eredménytelensége

esetén

az

igazgatótanács

haladéktalan

tájékoztatása, -

az informatikai és adatvédelmi rendszert érintő intézkedések véleményezése,

-

számítástechnikai

eszközök,

adathordozók,

számítógépegységek,

valamint

a

felhasználói és operációs rendszerek védelme. A jogszabályi kötelezettségek teljesítését, így a pénztár nyilvántartási rendszerének felállítását, a beérkezett adatok ellenőrzését, feldolgozását, tárolását, a pénztár nyilvántartója végzi. Ennek alapján a pénztár az adatkezelést és adatfeldolgozást kiszervezte. (Adatkezelésen és adatfelhasználáson a személyes adaton, illetve pénztártitkot képező adaton elvégzett, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló törvényben meghatározott tevékenységeket kell érteni.) A nyilvántartónak - a kockázattal arányos mértékben - rendelkeznie kell mindazon személyi, tárgyi és biztonsági feltételekkel, melyeket jogszabály az adatkezelés, adatfeldolgozást illetően a pénztárra vonatkozóan előír. A pénztár vezető tisztségviselője vagy annak közeli hozzátartozója a kiszervezett tevékenységet folytató társaságban tulajdoni részesedéssel vagy szavazati joggal nem rendelkezhet, illetve a kiszervezett tevékenység végzésével nem bízható meg. A pénztár ellenőrző bizottságának tagja nem állhat alkalmazotti vagy megbízási jogviszonyban a kiszervezett tevékenységet végzővel. A nyilvántartás kiszervezésére vonatkozó szerződésnek többek között tartalmaznia kell: 

az adatvédelemre vonatkozó előírások érvényesítését,

Adatvédelmi szabályzat 8



a kiszervezett tevékenységet végző hozzájárulását a kiszervezett tevékenységnek a pénztár ellenőrző bizottsága, külső könyvvizsgálója, és a Felügyelet helyszíni, illetve helyszínen kívüli ellenőrzéséhez,



a kiszervezett tevékenységet végző felelősségét az adatvédelmi és adatbiztonsági előírások érvényesítéséért, a tevékenység megfelelő színvonalon történő végzéséért, illetve a szerződés pénztár részéről történő azonnali felmondási lehetőségét a szerződés ismételt vagy súlyos megsértése esetére,



a kiszervezett tevékenységet végzőtől elvárt, a tevékenység végzésének minőségére vonatkozó részletes követelményeket,



a pénztár és a kiszervezett tevékenységet végző szervezet közötti adatátadás-átvétel rendjét.

A pénztár ellenőrző bizottsága köteles a kiszervezett tevékenység szerződésben foglaltaknak megfelelő végzését legalább évente megvizsgálni. A pénztár felelős azért, hogy a kiszervezett tevékenységet végző a tevékenységet a jogszabályi előírások betartásával és az ilyen tevékenységet végző személyektől általában elvárható gondossággal végezze. Amennyiben a kiszervezett tevékenység végzése jogszabályba vagy a szerződésbe ütközik, a pénztár az általa szükségesnek tartott intézkedést megteszi, és erről a Felügyeletet haladéktalanul értesíti. A nyilvántartónál a hardver és a nyilvántartó szoftverek karbantartást külső szervezetek végzik. A külső fejlesztések és szolgáltatási szerződések tartalmi kérdéseit a szolgáltatókkal kötött egyedi szerződések szabályozzák.

Adatvédelmi szabályzat 9

4. ADATVÉDELEM 4.1. FIZIKAI VÉDELEM Az adathordozó eszközök elhelyezésére zárható, illetéktelen behatolás ellen biztosított helyiséget szabad kijelölni. A fokozott védelemre kijelölt adatok tárolására zárható páncél(lemez)szekrényt, vagy iratszekrényt kell biztosítani az adathordozó eszközök elhelyezésére szolgáló helyiségen belül. A személyes adatokat tartalmazó iratok továbbítása a pénztáron belül ezen szabályzatban foglaltaknak megfelelően történik. A személyes adatokat tartalmazó iratok továbbítása a pénztáron kívülre zárt borítékban postai úton vagy saját kézbesítő útján történik. A személyes adatokat tartalmazó iratok tárolására és feldolgozására szolgáló helyiséget úgy kell kialakítani, hogy az iratok őrzése – mind a feldolgozás folyamata alatt, mind az követően – az illetéktelen megismerést kizárja. Mágneses adathordozó formájában tárolt iratokat az erre a célra rendszeresített tároló dobozokban kell elhelyezni, védve ezzel a portól, ütéstől és egyéb fizikai károsodást előidéző hatástól. A tároló dobozokat általában zárva kell tartani. A papír alapú adathordozókat az irattározás általános szabályainak megfelelően kell őrizni.

4.2. ÜZEMELTETÉSI BIZTONSÁG A pénztárnál és a nyilvántartónál a számítástechnikai eszközökkel kezelt adatállományokhoz az ügyintézők személyre szóló jelszóval tudnak hozzáférni. A számítógépek operációs rendszerébe is csak jelszóval lehet belépni. A pénztárnál és a nyilvántartónál is csak folyamatosan ellenőrzött jogtiszta szoftver használható.

4.3. ADATFELDOLGOZÁSI BIZTONSÁG Az adatállományt, az adatokat védeni kell a megváltoztatástól, a megrongálódástól, a megsemmisítéstől, megsemmisüléstől, illetőleg az illetéktelen hozzáféréstől oly módon is, hogy Adatvédelmi szabályzat 10

a biztonságos tároláson kívül gondoskodni kell megfelelő másolatok elkészíttetéséről. (Lásd 4.5. fejezet.) A pénztárnál és a nyilvántartónál a hozzáférés jelszavait időközönként, de az adatkezelő személyének megváltozásakor azzal egyidejűleg meg kell változtatni. Jelszót ismételten nem lehet kiadni. A számítástechnikai eszközök üzemeltetéséről automatikus módon nyilvántartást (üzemnaplót) kell vezetni. A számítástechnikai egységbe kerülő adatokat tartalmazó hagyományos vagy számítástechnikai eszközzel olvasható dokumentumokat úgy kell kezelni, hogy elvesztésük, elcserélésük vagy meghibásodásuk elkerülhető, kiküszöbölhető legyen. Személyes adatokat

tartalmazó

iratok átvételében, feldolgozásában, továbbításában,

irattározásában csak a jelen szabályzat mellékletében erre feljogosított személy vehet részt. Állami szervek részére a pénztár csak statisztikai célú felhasználásra, személyazonosításra alkalmatlan módon szolgáltathat adatot nyilvántartásából. Egyéb adat szolgáltatásának csak érintett írásbeli hozzájárulásának alapján lehet helye. Ez alól kivétel az adóhatóság felé történő adókedvezmény és adóköteles kifizetésekről szolgáltatott személyes adatok. A pénztár nyilvántartásaiba az érintett pénztártag betekinthet, a róla nyilvántartott adatokról felvilágosítást kérhet.

4.4. TECHNIKAI BIZTONSÁG A nyilvántartónál az adatok és programok véletlen vagy szándékos megrongálását elsősorban a számítástechnikai egységbe telepített programokkal kell megakadályozni. Az adatállományok kezelését telepített programokkal úgy kell megszervezni, hogy az adatállományok részleges vagy teljes megsemmisülése esetén tartalmuk rekonstruálható, illetve az adatállományok tartalmát képező adattételek száma folyamatosan ellenőrizhető legyen. Az adatok és az adatállományok változását számítástechnikai eszközökkel naplózni kell. A biztonsági naplóban az eseményekhez kapcsolódóan a következő paramétereket kell rögzíteni: A felhasználó azonosítása és hitelesítése esetén: 

dátum,



időpont,



a kezdeményező azonosítója,

Adatvédelmi szabályzat 11



az eszköz (pl. terminál) azonosítója, amelyről az azonosítás és hitelesítés művelet kezdeményezése történt,



a művelet eredményessége vagy eredménytelensége.

Olyan erőforráson kezdeményezett hozzáférési művelet esetén, amelynél a hozzáférési jogok ellenőrzése kötelező: 

dátum,



időpont,



az erőforrás azonosítója,



a hozzáférési kezdeményezés típusa,



a művelet eredményessége vagy eredménytelensége.

Olyan erőforrás létrehozása vagy törlése esetén, amelynél az ehhez fűződő jogok ellenőrzése kötelező: 

dátum,



időpont,



a kezdeményező azonosítója,



az erőforrás azonosítója,



a kezdeményezés típusa.

Felhatalmazott felhasználók (pl. rendszeradminisztrátorok) olyan műveletei esetén, amelyek a rendszer biztonságát érintik: 

dátum,



időpont,



a műveletet végző azonosítója,



az erőforrás azonosítója, amelyre a művelet vonatkozik, pl. hozzáférési jog megadás, felfüggesztés,

elvétel,

tároló

erőforrás

logikai

kijelölése

vagy

megszüntetése,

rendszerindítás vagy leállítás. A biztonsági napló adatait havonta egy alkalommal ellenőrizni és archiválni kell. A biztonsági (esemény)napló adatait védeni kell az illetéktelen hozzáféréstől, ezekhez az adatokhoz csak erre felhatalmazott személy férhet hozzá. A rendszerben a biztonsági eseménynapló fájlok ellenőrzéséhez szükséges eszközöknek lehetővé kell tenniük egy vagy több felhasználó tevékenységének szelektív vizsgálatát. Az informatikai rendszer üzemeltetéséről a biztonsági napló mellett üzemeltetési naplót kell vezetni, amelyet a nyilvántartó szervezet ezzel megbízott vezetőjének rendszeresen Adatvédelmi szabályzat 12

ellenőriznie kell. A rendszer egészére minden alany (felhasználók és programok) számára külön-külön logikailag egyetlen azonosító használatát kell biztosítani. Egy központi erőforrásnál (pl. szerver) megvalósított hozzáférés-vezérlési rendszert ki kell terjeszteni az osztott rendszer összes többi alanyára is. Az adatbevitel során a bevitt adatok helyességét ellenőrizni kell. Programfejlesztés vagy próba céljára valódi adatok nem használhatók. A pénztárnál és a nyilvántartónál a külső adathordozókat (pl.: floppy, CD) minden esetben olvasás és feldolgozás előtt a vírusvédelmi rendszerrel ellenőrizni kell. A vírus ellenőrzést az adott feldolgozást végző ügyintézők hajtják végre.

4.5. AZ ALAPNYILVÁNTARTÁS VÉDELME A nyilvántartásba vett adatokról készült napi mentést külső elektronikus adathordozóra legalább negyedévente ki kell menteni és a lemezeket elkülönítetten kell tárolni. Év végén a nyilvántartást összesítő lemezre is ki kell menteni és azt elkülönítetten kell őrizni. Az adatmentésről 1 példányt a Pénztárt, 1 példányt a nyilvántartó őriz. A negyedéves zárás után készített mentéseket a készítés után 5 évig kell megőrizni. Az éves zárásról készítetett mentést - ellenkező rendelkezésig - korlátlan ideig meg kell őrizni.

4.6. RENDKÍVÜLI HELYZETEK KEZELÉSE Az adatkezelés, adatfeldolgozás tekintetében rendkívüli helyzetnek minősül, ha a nyilvántartó szervezet nem tudja ellátni a szerződésben vállalt feladatait, a nyilvántartás megsemmisült, a nyilvántartó szervezet nem tudja, vagy nem hajlandó az eredeti helyzetet visszaállítani. A helyzet jogkövetkezményeit a nyilvántartási szerződés tartalmazza. A negyedévente átadott nyilvántartási mentés felhasználásával meg kell kísérelni a nyilvántartás mentett állapot szerinti helyreállítását. Ehhez szükséges, hogy a nyilvántartó előzetesen írásban a pénztár tudomására hozza, hogy hogyan lehet hozzáférni a nyilvántartó programhoz vagy annak forráskódjához. Amennyiben a nyilvántartó szervezet a nyilvántartó programhoz kapcsolódóan csak felhasználó jogosítványokkal rendelkezik, azt az információt kell a pénztárral közölnie, hogy a vele szerződött programozó, milyen módon biztosítja az előzőeket, pl. ügyvédi letét, banki letét, a forráskód megvásárlásának lehetősége stb.

Adatvédelmi szabályzat 13

5. ELLENŐRZÉS ÉS KOCKÁZATOK A rendszer legfontosabb eleme az ember. Itt nem csak a pénztár dolgozóira kell gondolni, hanem mindazokra, akik valamilyen, akár részmunkaidős foglalkoztatás keretében, akár külső szolgáltatás keretében a rendszer részeivé válnak. Az emberi hibák lehetnek a hozzá nem értésből származó, jó szándékú és szándékosan elkövetett károkozás, cselekmények. Számos esetben bizonyos fokú védelmet jelent az oktatás, az adott munkakörhöz szükséges képesítés megszerzése. Az egyik legnagyobb veszély a személyzet, a dolgozók által ismert bizalmas információk nyilvánosságra hozatala. Szándékos károkozást válthat ki például valamilyen konfliktushelyzet a pénztári szereplők között (például fegyelmi eljárás, elbocsátás). Kockázati tényezőt jelenthetnek a káros szenvedélyekkel bíró dolgozók (például kábítószer, szerencsejátékok, túlzott költekezés), akiknél igen nagy esély van a pénzszerzési kényszerből elkövetett károkozásnak. A számítógépes bűnözés gyakran irányul a vagyonszerzésre. Kiemelkedő helyet foglal el a pénz és a titkok megszerzésére irányuló tevékenység. Ebbe a csoportba tartozik a rablás, csalás, zsarolás, lopás, megvesztegetés, valamint a túszszedés és a terrorizmus is. A személyek által okozott adat- és információvesztés okai a következők lehetnek: 

munkafolyamatok speciális jellegéből adódó veszélyforrások;



gondatlanul okozott események (például e-mail téves helyre küldése);



személyes vagy munkahelyi túlterhelés (például stressz vagy családi problémák);



előírások, szabályok ismeretének hiánya;



előírások, szabályok nem megfelelősége, munkamenet hibás szabályozása;



előírások, munkaköri leírások figyelmen kívül hagyása;



hiányos biztonságtudat (nem ismerik fel a valós veszélyeket);



túl komplikált kezelés (a bonyolultsággal arányosan nő a hiba elkövetésének valószínűsége);



hiányzó ellenőrzés;



szándékos cselekmények.

Ellenőrzési szempontból a kockázat mérséklését a következő eljárások, szervezeti politikák:

Adatvédelmi szabályzat 14

Feladatkörök szétválasztása: Vannak olyan feladatkörök, amelyek egymással össze nem egyeztethető tevékenységeket fednek le, pl. a programozó és az üzemeltető. Gondoskodni kell arról, hogy ezek a feladatkörök ne legyenek egy személyhez rendelve.

Munkakörök rotálása: A kontroll egyik eszköze lehet (amennyiben a munkakörök ezt megengedik) az alkalmazottak cseréje az egyes munkakörökben. Ennek előnye, hogy az alkalmazott adott típusú munkakörhöz kötődő tudásszintje magasabb lesz, valamint könnyebb megállapítani a felmerülő hibákat és hiányosságokat.

Kötelező szabadság elve: Az alkalmazottakat adott időszakonként szabadságra kell küldeni, ami lehetőséget nyújt munkájuk ellenőrzésére, így egy újabb kontroll mechanizmust jelent.

Dokumentálás: Amennyire lehet, rá kell szorítani az alkalmazottakat arra, hogy munkájukat dokumentálják, így azt jobban lehet későbbiekben ellenőrizni.

Hozzáférés és jogosultság szabályozása: Fontos, hogy csak azok férjenek hozzá az egyes rendszerekhez, a számítástechnikai infrastruktúrához, akik arra jogosultak, továbbá tevékenységük valamilyen módon monitorozva legyen.

Üres íróasztal politika: Az íróasztalokon csak az lehet, ami a pillanatnyilag folyó munkához szükséges, de ha eltávozunk, az asztaltól ezeket az iratokat nem hagyhatjuk őrizetlenül. A papíralapú és mágneses adathordozókat zárt helyen kell tárolni.

Hulladék megsemmisítése: A jogosulatlan információ-szerzés egyik módszere a papíralapú vagy mágneses adathordozók szemétből, hulladékból történő megszerzése. A mágneses adathordozók törlése nem megoldás, mivel a törölt lemezen optikai módszerekkel a korábban rögzített információk leolvashatóak.

A

papíralapú

adathordozókat,

a

nyomtatók

festékszalagjait

iratmegsemmisítőkön, illetve zúzógépeken kell a szemétbe dobás előtt feldarabolni.

Adatvédelmi szabályzat 15

ZÁRÓ RENDELKEZÉSEK

Jelen

Számítástechnikai

és

Adatvédelmi

Szabályzat

a

TEST-VÉR

Magánbiztosító

Egészségpénztár Igazgatótanácsának 2013. július 8-i határozatával lép életbe.

Jelen Számítástechnikai és Adatvédelmi Szabályzatban foglaltak betartásáért és betartatásáért, a TEST-VÉR Magánbiztosító Egészségpénztár igazgatótanácsának tagjai felelősek.

A Pénztár Igazgatótanácsának elnöke felelős a Számítástechnikai és Adatvédelmi Szabályzat rendelkezéseinek

aktualizálásáért,

így

a

hatályos

jogszabályoknak,

a

TEST-VÉR

Magánbiztosító Egészségpénztár Alapszabályában foglaltaknak való megfeleléséréért. A szabályzat szövegében történt változtatásokat minden esetben a Pénztár Igazgatótanácsa elé kell terjeszteni.

Budapest, 2013. július 8.

dr. Ruttkay M. Géza az Igazgatótanács elnöke

Adatvédelmi szabályzat 16

MELLÉKLETEK

Adatvédelmi szabályzat 17

NYILATKOZAT

Alulírott ……………………………………………… (anyja neve: ………………………, születési helye, ideje: …………………………………………………………………………, ………………………………………………………………………….. szám alatti lakos) büntetőjogi felelősségem tudatában kijelentem, hogy az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII., az Önkéntes kölcsönös biztosító pénztárakról szóló 1993. évi XCVI. törvény szabályait, valamint az TEST-VÉR Magánbiztosító Egészségpénztár Számítástechnikai és Adatvédelmi Szabályzatát ismerem, a munkám során tudomásomra jutott – természetes személyek azonosítására alkalmas – információkat, pénztár és üzleti titkot korlátlan megőrzőm, illetéktelen személy tudomására vagy nyilvánosságra nem hozom.

Budapest, ……… év ………………………. hó ……nap

aláírás

Adatvédelmi szabályzat 18

A TEST-VÉR MAGÁNBIZTOSÍTÓ EGÉSZSÉGPÉNZTÁR ADATKEZELŐINEK NÉVJEGYZÉKE

Név:

Rigó Ferencné

Beosztás:

irodavezető

Telefon:

361-4901, 385-8586

Név:

Vécsei Gabriella

Beosztás:

ügyintéző

Telefon:

361-4901, 385-8586

Név:

Varga Zsuzsanna

Beosztás:

ügyintéző

Telefon:

361-4901, 385-8586

Név:

Jáborcsik és Társa Könyvvizsgáló és Pénztárszolgáltató Kft.

Cím:

1042 Budapest, József A. u. 32-34. B. lph. I/3.

Beosztás:

a pénztár nyilvántartó szervezete

Telefon:

369-7555, 369-6648, 20-9156-535.

A TEST-VÉR MAGÁNBIZTOSÍTÓ EGÉSZSÉGPÉNZTÁR ADATGAZDÁJA: dr. Ruttkay M. Géza IT elnök

A TEST-VÉR MAGÁNBIZTOSÍTÓ EGÉSZSÉGPÉNZTÁR RENDSZERGAZDÁJA: Turex 2006 Bt.

Adatvédelmi szabályzat 19