Adatkezelési Szabályzat

A Szabályzat célja és hatálya

  • Jelen Adatkezelési Szabályzat (a továbbiakban: ,,Szabályzat”) meghatározza a FEHÉR DENTAL TEAM Kft. (a továbbiakban: „egészségügyi szolgáltató”), valamely adatkezelési célból, meghatározott feladattal alkalmazott adatkezelői által – az egészségügyi és a hozzájuk kapcsolódó személyazonosító adatokkal – végzett adatkezelések (adatkezelési rendszerek) részletes szabályait. Jelen Szabályzattal az egészségügyi szolgáltató adatszolgáltatását kívánja szabályozni, valamint biztosítani kívánja az adatvédelmi rendszerének működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, továbbá meg kívánja akadályozni az egészségügyi és a hozzájuk kapcsolódó személyes adatokhoz való jogosulatlan hozzáférést, azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát. A Szabályzat célja, hogy biztosítsa az Infotv. 15. §-ában meghatározott érintetti tájékoztatáshoz való jog megvalósulását, az érintettek információs önrendelkezési jogát, az egészségügyi adatok védelmét biztosító hozzáférés lehetőségét, az egészségügyi adatok integritásának és bizalmas jellegének megóvását, valamint az egészségügyi adatok elérhetőségét.
  • A Szabályzat hatálya kiterjed az egészségügyi ellátás nyújtó egészségügyi szolgáltatóra, az egészségügyi szolgáltató alkalmazott adatkezelőire, munkavállalóira, az adatvédelmi felelősökre, valamint minden az egészségügyi szolgáltatóval, adatkezelőivel kapcsolatba került vagy kerülő, illetve annak szolgáltatásait igénybe vevő természetes személyre, függetlenül attól, hogy beteg-e vagy egészséges (a továbbiakban: érintett), továbbá az egészségügyi szolgáltató által kezelt az érintettre vonatkozó egészségügyi és személyazonosító adatra. A Szabályzat hatálya kiterjed az egészségügyi szolgáltató valamennyi szervezeti egységénél folytatott egészségügyi és hozzájuk kapcsolódó személyes adatok kezelésére.

Irányadó jogszabályok

  • Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet; a továbbiakban: „GDPR.”)
  • Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: „Infotv.”)
  • Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (a továbbiakban: „Eüak.”)
  • Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésének egyes kérdéseiről szóló 62/1997. (XII. 21.) NM rendelet
  • A Polgári Törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: „Ptk.”)
  • A munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: „Mt.”)

Az egészségügyi szolgáltató adatai

Név: FEHÉR DENTAL TEAM Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság

Székhely: 9400 Sopron, Várkerület 59. I. em. 2.

Cégjegyzékszám: 08-09-010446

Adószám: 12853788-1-08

Telefonszám: (+36 99) 339 349

E-mail cím: fdt@fdt.hu

Képviseletre jogosult: Dr. Fehér Ákos

Az adatkezelési rendszer általános biztonsági előírásai

Az egészségügyi szolgáltató az egészségügyi és személyazonosító adatok kezelését kizárólag törvényben meghatározott adatkezelési jogalap alapján végzi. Az egészségügyi és személyazonosító adatok kezelése, feldolgozása során biztosítja az adatok biztonságát véletlen vagy szándékos megsemmisítéssel, megsemmisüléssel, megváltoztatással, károsodással, nyilvánosságra kerüléssel szemben, továbbá, hogy azokhoz illetéktelen személy ne férjen hozzá. Ha az adatbiztonság vagy a tárolt adatok fizikai védelme, illetve az Eüak. által előírt adatkezelési kötelezettség szükségessé teszi az adatkezelő a nyilvántartott adatokról, az egészségügyi dokumentációról hiteles másolatot készít.

Az adatkezelési rendszer biztonságának és kezelésének részletes szabályai

Az Adatvédelmi felelős jogai és kötelezettségei:

(1) A szervezeti egységenként 20 főnél több adatkezelőt foglalkoztató munkáltató esetén az intézményvezető – szervezeti egységenként – adatvédelmi felelőst jelöl ki.

(2) Az adatvédelmi felelősnek

a) szakorvos szakképesítéssel rendelkező orvos

b) legalább 2 év joggyakorlattal rendelkező jogi egyetemi végzettségű személy, vagy

c) felsőfokú végzettségű, az egészségügyi adatkezelésben legalább 2 év gyakorlatot szerzett személy jelölhető ki.

(3) Az adatvédelmi felelős jogosult a csatlakozott adatkezelőktől és az Elektronikus Egészségügyi Szolgáltatási Tér (a továbbiakban: EESZT) felhasználóktól adatot, dokumentumot vagy tájékoztatást kérni. A kért adatot, dokumentumot vagy tájékoztatást soron kívül, de legkésőbb 5 munkanapon belül az adatvédelmi felelős rendelkezésére kell bocsátani.

(4) Az adatvédelmi felelős

a) jogszabályi rendelkezések, illetve biztonsági előírások megsértésének észlelése esetén annak megszüntetésére, valamint

b) a (3) bekezdés szerinti együttműködés hiányában együttműködésre hívja fel az érintett csatlakozott adatkezelőt. Amennyiben a felhívás eredménytelen, az adatvédelmi felelős a csatlakozott adatkezelő felügyeleti szervéhez, fenntartójához fordul, és jogszabály szerinti fegyelmi felelősségre vonás felmerülése esetén értesíti a fegyelmi jogkör gyakorlóját is.

Az egészségügyi szolgáltató az alábbi intézkedésekkel biztosítja az adatkezelési rendszer környezetének védelmét:

  • A kezelt adatok -mind papír, mind elektronikus formában – az egészségügyi szolgáltató székhelyén megőrzésre kerülnek.
  • Olyan informatikai rendszer működtetése, amely biztosítja, hogy az adatok változatlansága igazolható legyen (adatintegritás), hitelessége biztosított legyen (adatkezelés hitelessége), az arra jogosultak számára hozzáférhetőek legyenek (rendelkezésre állás), illetve, hogy a jogosulatlan hozzáférés ellen védett legyen (adat bizalmassága)
  • Az elektronikusan kezelt adatok védelme érdekében a technika mindenkori állása szerint megfelelő szintű biztonságot nyújtó megoldást alkalmaz.
  • Szerverszintű és alkalmazásszintű védelmi eljárások alkalmazása az informatikai rendszerek ellen irányuló csalás, adatok eltulajdonítása, kémkedés, vírusok, betörések, rongálás, természeti csapás ellen.

Az egészségügyi szolgáltató adatok sérülésének megelőzésére, illetve a sérült adatok következményeinek felszámolására tervezett intézkedései:

A megsérült, elveszett adatok visszaállítását és annak mértékét - a lehetőségek felmérésével, indoklásával és mérlegelésével - az ügyvezetővel egyeztetve az adatvédelmi felelős rendeli el, írásban. Amennyiben a visszaállítás - reális módon - nem valósítható meg, arról az adatvédelmi felelős írásos feljegyzést készít, melyet az ügyviteli rendszerben „Adatvédelem” iktatási jelzéssel archiválnak.

A visszaállításról - amennyiben az méltányos és megoldható -, a mulasztásért felelős köteles gondoskodni. A méltányosság és a személyes felelősség eldöntése az adatvédelmi felelős hatáskörébe tartozik.

Az adatok eltulajdonítása elleni védekezés szabályai:

Az egészségügyi szolgáltató az érintett egészségügyi és hozzájuk kapcsolódó személyes adatainak eltulajdonítása ellen az alábbi intézkedéseket hozza meg:

Az egészségügyi dokumentációnak az adott adatkezelési rendszerben történő ellenőrizhetősége

Az adatkezelési rendszer adminisztrálása: Betegdokumentációról kért másolatok nyilvántartását az ügyvezető vezeti.

Az adatok eredetének azonosíthatósága

Az egészségügyi dokumentációban szereplő hibás egészségügyi adatot – az adatfelvételt követően – úgy kell kijavítani vagy törölni, hogy az eredetileg felvett adat megállapítható legyen.

Az adatok pontosságának, valódiságának mérése

A GDPR 5. cikk (1) bek. d) pontjának való megfelelés érdekében a kezelt egészségügyi és hozzájuk kapcsolódó személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük, minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék. Ezen alapelvnek való megfelelés érdekében a kezelt adatok pontosságát, valódiságát az adatkezelő folyamatosan méri.

Az adatkezelési rendszer működési műszaki megbízhatósága

Az adatkezelés során arra alkalmas műszaki vagy szervezési – így különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisülésével vagy károsodásával szembeni védelmet kialakító – intézkedések alkalmazásával biztosítani kell az egészségügyi és a hozzájuk kapcsolódó személyes adatok megfelelő biztonságát. Különleges adatok kezelése okán az adatkezelő, illetve megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó megfelelő műszaki és szervezési intézkedésekkel biztosítja, hogy az adatkezelési műveletek végzése során a különleges adatokhoz kizárólag az rendelkezzen hozzáféréssel, akinek az adatkezelési művelettel összefüggő feladatának ellátásához feltétlenül szükséges. Az adatkezelő és az adatfeldolgozó a kezelt személyes adatok megfelelő szintű biztonságának biztosítása érdekében az érintettek alapvető jogainak érvényesülését az adatkezelés által fenyegető - így különösen az érintettek különleges adatainak kezelésével járó - kockázatok mértékéhez igazodó műszaki és szervezési intézkedéseket tesz.

Az adatkezelési rendszer fenntartásának műszaki szabályozása

Az egészségügyi szolgáltató az adatkezelési rendszer karbantartása érdekében az alábbi intézkedéseket teszi meg: Az informatikai rendszer technikai naprakészségét minden naptári év végén informatikai szakember bevonásával felülvizsgálásra kerül, és amennyiben elavultnak számít, úgy újabb kerül beszerzésre.

Az adatkezelési rendszer dokumentálására vonatkozó előírások: A jelen Adatkezelési Szabályzat egyben az alkalmazott rendszer alapdokumentuma is.

Az adatkezelési rendszer megváltoztatása: Amennyiben szükségessé válik az adatkezelési rendszer leváltása, úgy az új rendszer bevezetése előtt mindenre kiterjedő vizsgálattal megállapítást kell, hogy nyerjen, hogy az új rendszer megfelelő védelmet biztosít az adatoknak, és megfelel a kor technológiai színvonalának.

Átmeneti rendelkezések a műszaki változtatás és fejlesztés időszakára: Az adatvédelmi felelős bevonásával biztosítani kell az adatok megfelelő átmeneti tárolásának feltételeit.

Adatvédelmi képzés

Az egészségügyi szolgáltató kötelező erejű vállalati szabályként a személyes adatokba állandó jelleggel vagy rendszeresen betekintő személyzetnek adatvédelmi képzést biztosít.

Adatvédelmi jelentési kötelezettség

A jogszabályban meghatározott jelentéstételre vagy adatszolgáltatásra kötelezett adatkezelő vagy az EESZT felhasználó a jelentéstételt vagy adatszolgáltatást az EESZT útján miniszteri rendeletben meghatározottak szerint teljesíti.

Az egészségügyi dokumentáció, illetve a zárójelentés tárolásának, megsemmisítésének, archiválásának rendje

(1) Az egészségügyi dokumentációt – a képalkotó diagnosztikai eljárással készült felvételek, az arról készített leletek, valamint a papíralapú vény, illetve elektronikus vény kiváltásakor az emberi felhasználásra kerülő gyógyszerek rendeléséről és kiadásáról szóló rendelet szerinti nyomtatott kiadási igazolás kivételével – az adatfelvételtől számított legalább 30 évig, a zárójelentést legalább 50 évig kell megőrizni.

(2) A képalkotó diagnosztikai eljárással készült felvételt annak készítésétől számított 10 évig, a felvételről készített leletet a felvétel készítésétől számított 30 évig kell megőrizni.

(3) A gyógyszer, gyógyászati segédeszköz és gyógyászati ellátás kiszolgáltatója vagy nyújtója a papíralapú vényeket, illetve elektronikus vény kiváltásakor az emberi felhasználásra kerülő gyógyszerek rendeléséről és kiadásáról szóló rendelet szerint nyomtatott kiadási igazolást 5 évig őrzi meg. Ha a működési nyilvántartásban nem szereplő, de valamely államban gyógyszer rendelésére jogosult személy által rendelt vényköteles gyógyszer kiadásának alapjául szolgáló külföldi vény visszaadásra kerül, a vény másolatát meg kell őrizni és az expediálás tényét a vény eredeti példányán fel kell tüntetni. Gyógyászati segédeszköz szaküzletben kiszolgáltatott olyan gyógyászati segédeszköz esetén, amelynek kihordási ideje 5 évnél hosszabb, a papíralapú vény, valamint a kiadási igazolás megőrzési ideje a kihordási idővel azonos. A kötelező őrzési időt követően a papíralapú vényeket és a kiadási igazolásokat meg kell semmisíteni.

(4) A gyógyszer, a gyógyszertárban forgalmazható gyógyászati segédeszköz kiszolgálója, az EESZT-ben rögzíti a papíralapon kiállított és felhasznált vény adatait. Az EESZT működtetője az egyes vényekre vonatkozó adatokat a vény visszavonásától, felhasználásától vagy felhasználási idejének lejártától számított 30 év elteltével törli.

(5) A kötelező nyilvántartási időt követően gyógykezelés vagy tudományos kutatás érdekében – amennyiben indokolt – az adatok továbbra is nyilvántarthatók.

(6) Ha a további nyilvántartás nem indokolt – a tudományos jelentőségű egészségügyi dokumentáció kivételével – a nyilvántartást meg kell semmisíteni.

(7) Amennyiben az egészségügyi dokumentációnak tudományos jelentősége van, a kötelező nyilvántartási időt követően – archiválás céljából – át kell adni az illetékes levéltár részére.

(8) Amennyiben a dokumentációt kezelő jogutód nélkül megszűnik a tudományos jelentőségű egészségügyi dokumentációt a (6) bekezdés szerinti levéltárnak, az egyéb egészségügyi dokumentációt a Kormány által kijelölt szerv részére kell átadni.

Felülvizsgálat

(1) Az adatvédelmi szabályzatot szükség szerint, de legalább három évenként felül kell vizsgálni.

Kelt: Sopron, 2018. október 4.