Nyitólap / Semmelweis Study bemutatása / Fontos dokumentumok /

Adatkezelési Tájékoztató

A SEMMELWEIS STUDY

ADATKEZELÉSI TÁJÉKOZTATÓ

 

Készült: Budapest, 2023 tavasza

 

TARTALOMJEGYZÉK

 

  1. Bevezetés
  2. A kutatás jogosultsága.
  3. Az adatkezelés célja és jogalapja.
  4. Az érintettek köre.
  5. A kezelt személyes adatok köre és forrása.
  6. Az adatkezelésre jogosultak: adatkezelők, adatfeldolgozók.
  7. Az adatkezelés folyamata, időtartama.
  8. Az érintett jogainak gyakorlati érvényesíthetősége és biztosítékai
  9. Az érintett jogai és jogérvényesítési lehetőségei
  10. Az adatvédelmet és információbiztonságot biztosító technikai és szervezési intézkedések.

Bevezetés

A Semmelweis Egyetem (SE vagy Egyetem) 2024 tavaszátót (NNGYK engedély dátumától függően) Semmelweis Study (Study vagy kutatás) néven munkavállalói prospektív kohorsz vizsgálatot valósít meg az Egyetem munkavállalóinak bevonásával. A kutatás résztvevői a Semmelweis Study adatkezeléséről jelen dokumentum alapján tájékozódhatnak.

Az adatvédelmi és információbiztonsági szempontok széleskörű figyelembevétele és biztosítása érdekében a Semmelweis Study-ra vonatkozó adatvédelmi hatásvizsgálatot végeztünk a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által ajánlott szempontok alapján. A hatásvizsgálat az Egyetem Adatvédelmi tisztviselőjének, valamint az Adatvédelmi és Betegjogi Központjának bevonásával történt. Ezen tevékenységek biztosítják, hogy a kutatás megfelel a hatályos nemzeti és EU-s szintű jogi követelményeknek, valamint a GDPR vonatkozó rendelkezéseinek.

Jelen adatkezelésről szóló tájékoztató kifejti az adatgyűjtés célját és jogalapját, valamint tartalmazza a toborzáshoz, a vizsgálatba belépés lehetséges módjaihoz, az önkéntes, opcionális online regisztrációhoz, a vizsgálat részeként megvalósuló adatfelvételekhez és az adatok feldolgozáshoz és tárolásához, jövőbeli megkereséshez kapcsolódó adatkezelés szabályait. Ezen felül az adatfelvételek során keletkező biológiai minták (különös tekintettel a genetikai adatok) gyűjtéséhez, tárolásához és feldolgozásához kapcsolódó adatkezelést is részletezi.

1.    A kutatás jogosultsága

A Semmelweis Egyetem (SE) a 2021-es Tématerületi Kiválósági Program keretén belül támogatást nyert el “Interdiszciplináris öregedéstudományi kutatások a Semmelweis Egyetemen” címen (TKP2021-NKTA-47). Az SE Megelőző Orvostani és Népegészségtani Intézete (NEI) vezette konzorcium a támogatás központi elemeként valósítja meg a Semmelweis Egyetem munkavállalóinak prospektív követéses vizsgálatát, a Semmelweis Study-t.

A potenciális résztvevőknek lehetősége van a kutatás teljes egészében, vagy annak egy-egy elemében való részvételre. Ehhez önkéntes hozzájárulásukat adják az adott elemre vonatkozó hozzájáruló/beleegyező nyilatkozaton (pl.: NEAK hozzájárulás, kérdőívben való részvétel, fizikális, fiziológiai és laboratóriumi vizsgálatok, jövőbeli megkeresés, biológiai minták tárolása és felhasználása, genetikai minták és adatok biobankban történő tárolása és feldolgozása, kóros lelet, valamint az adatkezelési tájékoztatóban foglaltaknak megfelelő további adatkezelési folyamatokhoz való hozzájárulás).

2.    Az adatkezelés célja és jogalapja

Az adatkezelés célja a Semmelweis Study tudományos célkitűzéseinek elérése. A kutatás hosszútávú tudományos céljainak eléréséhez az adatkezelés 2024 tavaszától (pontos dátum a TUKEB engedély fényében) és 2045. december 31. között valósul meg. A kutatás az egyetem 25 éves vagy annál idősebb azon munkavállalói körében zajlik 2023 tavaszától, akik a részvételhez hozzájárulnak. A kutatás kiindulási adatfelvételének lebonyolításában az SE Megelőző Orvostani és Népegészségtani Intézetének munkatársai, valamint a beszerzési eljárás során kiválasztott kutatástámogató cég (Szinapszis Kft. 4026 Debrecen, Csemete u. 20.) munkatársai vesznek részt.

A jelen adatkezelési tájékoztatóban leírt adatkezelés a kutatás kiindulási adatfelvételeire vonatkozik, mely több részből áll. A kiindulási adatfelvétel része a kérdőív kitöltése, a fiziológiai, fizikális, kognitív, vizsgálatokban való részvétel.  a biológiai (nem genetikai) és a genetikai minták gyűjtése, tárolása, valamint az érintettek egészségügyi adatainak követése. Az adatkezelés kiterjed továbbá az időpont egyeztetés célú kapcsolattartásra, a kutatási tervben, valamint a részletes tájékoztatóban jelzett eredmények visszajelzésére, az adatok tudományos célú elemzésére és archiválására, valamint a résztvevők későbbi ismételt vizsgálat vagy tájékoztatás céljából történő megkeresésre.

A személyes adatok kezelésének jogalapja az érintettek megfelelő (szóban és írásban egyaránt történő) tájékoztatásán alapuló önkéntes beleegyezése. A potenciális résztvevőknek lehetősége van a kutatás teljes egészébe, vagy annak egy-egy elemében való részvételbe beleegyezni, melyre külön nyilatkozatok vonatkoznak. (pl.: NEAK hozzájárulás, kérdőív kitöltésére vonatkozó hozzájárulás, fizikális, fiziológiai és laborvizsgálatokelvégzéshez adott hozzájárulás, jövőbeli megkereséshez való hozzájárulás, biológiai minták (nem genetikai célú meghatározásra) hosszútávú tárolásához és felhasználásához adott hozzájárulás, genetikai célra adott minták feldolgozásához és tárolásához adott hozzájárulás. A vizsgálatban való részvétel bármikor megszakítható a vizsgálati személy által, a későbbi fejezetben leírt módokon.

A Semmelweis Study során történő adatkezelés jogalapja az európai adatvédelmi rendelet 6. cikk (1) bekezdés a) pontja, vagyis az érintett megfelelő tájékoztatáson alapuló önkéntes hozzájárulása. A Semmelweis Study során keletkező adatok kezelője a Semmelweis Egyetem Népegészségtani Intézete. Az adatok kizárólag tudományos kutatási célra, személyes azonosításra nem alkalmas módon adhatók ki, amelyet külön szerződésbe foglalunk.

 

A kutatás során gyűjtött adatokat az Európai Parlament és a Tanács Általános Adatvédelmi Rendeletének (2016. április 27-i (EU) 2016/679 rendelet a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről) 9 cikkely, 2. bekezdésének (j) pontja alapján tudományos kutatási célú közérdekű archiválással kezeljük.

 

3.    Az érintettek köre

A Semmelweis Study kutatás kiindulási adatfelvétele és a kapcsolódó adatkezelés érintettjei a Semmelweis Egyetem 2023 tavasza és 2028 nyara közötti időszakban 25. életévüket betöltött munkavállalói, akiket a kutatás elrendezéséből fakadóan a longitudinális vizsgálat során beleegyezés esetén legalább 20 éven át követünk és lehetőség szerint 5 évente ismételt vizsgálatokat végzünk.

 

4.      A kezelt személyes adatok köre és forrása

A személyes adatok tételes köre és forrása:

1) Munkahelyi email cím, HR igazgatóság által rendelkezésre bocsájtva, a vizsgálatba való meghívás céljából;

2) Belegyezési nyilatkozat(ok) adatai (név, születési idő, TAJ szám, aláírás, lakcím) az érintett által önkéntesen megadva;

3) Kapcsolattartási adatok (telefonszám, e-mail cím [privát], postai cím) az érintett által a beleegyező nyilatkozatban megadva;

4) a kutatás különböző módszereivel nyert adatok az érintettől:

  • önkitöltős kérdőívre adott válaszok,
  • humán vizsgálatok során nyert adatok: részletesen a tájékoztatóban és a honlapon felsorolt vizsgálatok során végzett mérések során sztenderd és hitelesített mérőműszerek használatával nyert adatok,
  • vérvételi minták és laboratóriumi vizsgálatok eredményei: részletesen a tájékoztató levelekben és a honlapon felsorolt- mérések standard és hitelesített mérőműszerek használatával nyert adatok.
  • Vérvételi minták genetikai meghatározásokra: részletesen a tájékoztató levelekben és a honlapon felsorolt- mérések standard és hitelesített mérőműszerek használatával nyert adatok.
  • A NEAK-nál a beleegyezést követő egészségügyi ellátások során keletkezett adatok.

 

Az Egyetemet elhagyó munkavállalók esetében a kapcsolattartáshoz szükséges, az érintettek által kapcsolattartás céljából megadott személyes e-mail címet és telefonszámot tovább kezeli az adatkezelő. Az Egyetemet elhagyók esetében a munkahelyi email címet az Egyetem által alkalmazott szabályok szerint kezeli tovább az Egyetem. 

A kérdőívből származó adatokat, a vizsgálatok során gyűjtött adatokat, a biológiai mintákból származó adatokat egyedi numerikus kutatási azonosító mentén (álnevesítve) gyűjtjük és tároljuk. A genetikai minták esetében a genetikai személyes adatokat a vizsgálattól független tárhelyen tároljuk, így biztosítható a Humángenetikai törvénynek megfelelő pszeudonimizálás.

A laboreredmények kizárólag a kutatási azonosító mentén, ahol szükséges az életkor (év/hó) megjelölésével kerülnek be az Egyetem orvosinformatikai (MedSol) rendszerébe. A NEAK adatok bekéréséhez TAJ-szám listát adunk át ezen intézményeknek, majd az így megkapott adatbázist álnevesítjük, és csak ezt követően történik meg az adatok további feldolgozása. A kutatásban való részvételhez adott hozzájárulást igazoló személyes adatok, valamint a vizsgálatok során (kérdőív, fiziológiai vizsgálatok) gyűjtött adatok a lent részletezett esetek kivételével nem kerülnek összekapcsolásra.

Összekapcsolásra kizárólag abban az esetben kerül sor, ha az érintett a Semmelweis Study adatfeldolgozás során keletkezett eredményeiről személyre szóló postai úton vagy e-mailben eljuttatott tájékoztatás megküldését kéri, illetve laboreredményeinek, lehetséges kóros leleteinek megküldése során, amennyiben ehhez hozzájárult. A résztvevőknek adott visszajelzést automatikus program generálja, annak elkészítése, kiküldése semmilyen humán beavatkozást nem igényel.

5.    Az adatkezelésre jogosultak: adatkezelők, adatfeldolgozók

Adatkezelő: egyedül az SE Megelőző Orvostani és Népegészségtani Intézete (SE NEI) tölt be Adatkezelő szerepet. Bevonásra kerül Szinapszis Kft. mint kutatástámogató cég, amely adatfeldolgozást végez, egyéb tanácsadói feladatokat lát el, szerződésben rögzített paraméterek szerint.

Az adatkezelő és adatfeldolgozó között az adatkezelésre létrejövő szerződésben az adatfeldolgozó garanciát vállal, hogy nem fér hozzá a személyes adatokhoz, valamint a kutatás során keletkező adatok összekapcsolását lehetővé tevő kódkulcsokhoz.  

Adatkezelő megnevezése és elérhetősége

Név: Semmelweis Egyetem

Adatkezelésre kijelölt szervezeti egysége: Megelőző Orvostani és Népegészségtani Intézet

Székhely: 1085 Budapest, Üllői út 26.

Postacím: 1428 Budapest, Pf.2.

Adatvédelmi tisztviselő: dr. Trócsányi Sára

E-mail: adatvedelem@semmelweis-univ.hu

 

Adatfeldolgozó: Szinapszis Piackutató és Tanácsadó Kft.

Székhely: 4026 Debrecen, Csemete u. 20.

Adószám: 11620798-2-09

Cégjegyzékszám: 09-09-005986

Adatvédelmi tisztviselő neve: Dr. Bartha-Barcsai Tímea

Adatvédelmi tisztviselő elérhetősége:  adatkezelés@szinapszis.hu

 

  • A Semmelweis Egyetem Megelőző Orvostani és Népegészségtani Intézete önálló adatkezelőként kezeli a munkatársak munkahelyi email címét és munkahelyi telefonszámát, amelyet az Emberierőforrás-Gazdálkodási Főigazgatóság (HR) bocsátott rendelkezésére a kutatás során elsődleges kapcsolatfelvétel / kapcsolattartás és időpontegyeztetés céljából.
  • A vizsgálatokon való megjelenés során a Semmelweis Study munkatársai személyes tájékoztatást adnak a vizsgálatokról, a vizsgálatokba beleegyező résztvevő személyesen aláírja 2 példányban a vizsgálati tájékoztató levelet és a beleegyező nyilatkozatot és ennek egy példányát átadja a Semmelweis Study munkatársainak.
  • A vizsgálat során a részvevő 2 példányban kitölti a NEAK adatkapcsolásra vonatkozó, valamint a nem genetikai biológiai minták feldolgozására és tárolására, valamint a genetikai minták külön jogszabályban meghatározott, a Semmelweis Egyetem Biobank hálózatában történő tárolására vonatkozó beleegyező nyilatkozatokat, amely 1 példányát a Semmelweis Egyetem Megelőző Orvostani és Népegészségtani Intézete archiválja és adatait kezeli.
  • A kutatás összegyűjtött és újonnan keletkezett személyes és különleges személyes adatokat a Semmelweis Egyetem Megelőző Orvostani és Népegészségtani Intézete, mint adatkezelő tárolja a vizsgálat céljára üzembehelyezett, csak az engedélyezett, a kutatás lebonyolításában résztvevő munkatársak által hozzáférhető belső, zárt szerveren.

Az adatbiztonság az Egyetem saját adatvédelmi, adatbiztonsági szabályzatai alapján, valamint a GDPR megfelelőséget az adatvédelemért felelős szervezeti egységgel közösen kidolgozott adatvédelmi hatásvizsgálat elbírálása alapján biztosított.

Az adatkezelő felelősséget vállal az adatfeldolgozóért. A GDPR követelményeinek megfelelő adatfeldolgozásra garanciákat az adatfeldolgozó és az adatkezelő között létrejövő, az adatfeldolgozásra vonatkozó szerződés tartalmazza, amelyért az adatfeldolgozó és az adatkezelő szavatol.

6.    Az adatkezelés folyamata, időtartama

A Semmelweis Egyetem Megelőző Orvostani és Népegészségtani Intézet, mint az Egyetem a kutatás vonatkozásában adatkezelésre kijelölt szervezeti egysége biztosítja az adatok védelmét és az adatbiztonságot. Kizárólag ez az Intézet gyűjti, tárolja és védi a humán vizsgálatok által keletkezett adatokat és mintákat kutatási azonosító mentén. Az egyes minták feldolgozásában az egyetem más egységei, Laboratóriumi Medicina Intézet, illetve Semmelweis Egyetem Biobank Hálózat is részt vesznek. A Laboratóriumi Medicina Intézetben a vér- és vizeletminták azonosítása kizárólag a kutatási azonosító mentén történik. Mivel a referencia értékek megállapításához szükséges a résztvevő kora és neme, ezen adatok is átadásra kerülnek az egyetemi informatikai rendszerbe.  A biológiai minták tárolása a Megelőző Orvostani és Népegészségtani Intézetben egy másik azonosító mentén történik, illetve a genetikai eredmények ezen azonosító mentén kerülnek a Semmelweis Egyetem Biobank Hálózatában tárolásra, ahol a személyes adatok már nem állnak rendelkezésre, így az azonosításra nincsen mód.

Az SE Megelőző Orvostani és Népegészségtani Intézet adatkezelőként kezeli a munkatársak munkahelyi email címét és telefonszámát, amelyeket a HR igazgatóság bocsátott rendelkezésére a kutatás céljából az érintettek toborzásához és időpontegyeztetés céljából.

Az SE Megelőző Orvostani és Népegészségtani Intézeta munkahelyi email címen és telefonszámon közvetlenül keresi meg a célcsoportot, emailben elküldi a toborzási levelet, valamint felhívja az érintettek figyelmét a kutatás honlapján elérhető fontos dokumentumokra: az adatkezelési tájékoztatóra, a tájékoztató levelekre, a hozzájáruló nyilatkozatokra.

 

Ebben az emailben megküldésre kerül egy link is, amely a Szinapszis Kft. rendszeréhez vezet, itt generálódik az egyedi kutatási azonosító, megvalósítható a hozzájáruló nyilatkozatok elektronikus, valamint a kérdőív kitöltése. Az adatkezelő és adatfeldolgozó között az adatkezelésre létrejövő szerződésben az adatfeldolgozó garanciát vállal, hogy nem férhetnek hozzá a kódkulcsokhoz a szerverén. Az időpontfoglalási rendszert a NEI működteti, abba a résztvevők maguk, vagy a Megelőző Orvostani és Népegészségtani Intézet munkatársai is rögzíthetik a klinikai vizsgálatok pontos időpontját a résztvevő nevével a személyes, telefonos, vagy e-mailes egyeztetés alapján. 

A kérdőív elektronikus formában tölthető ki. A kérdőívek a Szinapszis Kft. által készített és üzemeltetett felületen érhetők el, az ott megadott adatok az SE Megelőző Orvostani és Népegészségtani Intézet szerverén kerülnek hosszútávú tárolásra és gyűjtésre. Az adatok és az elektronikus beleegyező nyilatkozatok átadása heti időközönként történik védett adattovábbító rendszeren (emailben, jelszóval védett Excel fájlban; a jelszó külön email címre kerül elküldésre).

A vizsgálatok az SE Megelőző Orvostani és Népegészségtani Intézet külön, a kutatásra kialakított helyszínein történnek. Érkezéskor, a név, és a munkahelyi email alapján azonosítjuk a vizsgálati személyt. A vizsgálatok előtt megtörténik a személyes tájékoztatás, további kérdések tehetők fel a vizsgálatokkal kapcsolatban. Átadásra kerül a teljes kutatási dokumentáció (tájékoztatók, hozzájáruló nyilatkozatok), aláírásra kerülnek a hozzájáruló nyilatkozatok, az érintett megkapja a kutatási azonosítóját és viszi magával az egyes vizsgálatokra. A recepció után a vizsgálati személyzet kizárólag a kutatási azonosító mentén rögzíti a vizsgálat eredményeit, a résztvevők a vizsgálatokban már csak kutatási azonosítóval vesznek részt. A Semmelweis Study vizsgálati adatai a vizsgálóeszközök tárhelyére mentődnek az SE Megelőző Orvostani és Népegészségtani Intézet vizsgálati helyiségeiben, onnan napi mentéssel kerülnek át az SE Megelőző Orvostani és Népegészségtani Intézet szerverére, amely a Semmelweis Study saját szervere, nem átjárható az egyetem szervereivel. A vizsgálati adatokat, a kérdőíves adatokat a Megelőző Orvostani és Népegészségtani Intézet , mint adatkezelő kezeli a kutatási azonosító mentén.

A papír alapú hozzájáruló nyilatkozatokat és az aláírt vizsgálati tájékoztatókat az SE Megelőző Orvostani és Népegészségtani Intézet tárolja elkülönítve zárható páncélszekrényben.  Ezekhez az adatokhoz csak a vizsgálatvezetőnek van hozzáférése, a páncélszekrényhez való hozzáférés naplózott, és ezt a vizsgálatvezető őrzi.

Szinapszis Kft-t érintő adatfeldolgozási folyamatok.:

  • a kérdőívben való részvételre vonatkozó elektronikus hozzájáruló nyilatkozat személyes adatokat is tartalmaz, illetve az automatikusan generálódó kutatási azonosítót. A vizsgálat során gyűjtött adatok a hozzájáruló nyilatkozatoktól elkülönítve, külön szerveren kerülnek tárolásra. Kódkulcsot az adatfeldolgozó nem kezelhet (nem kapcsolhat össze azonosító adatot vizsgálati adattal).
  • kérdőívre adott válaszok tárolása kutatási azonosító mentén történik (pszeudonimizált formában)
  • következő kutatási hullámokban való részvételhez történő megkeresésre történő hozzájárulás
  • kutatás fiziológiai, fizikális vizsgálatokhoz való időpont egyeztetéshez kontakt adatok rögzítése azoknál, akik a kérdőívet a vizsgálatok előtt töltik ki
  • beleegyező és kérdőívre adott adatokat meghatározott (pl: heti) rendszerességgel adja át a NEI-nek
  • törlési igény esetén Semmelweis NEI jelzi a Szinapszisnak és az adatfeldolgozó adatvédelmi tisztviselője intézkedik az adott adat törléséről jogszabályban meghatározott határidőn belül/adatkezelő kérésének megfelelően
  • Szinapszis Kf.t abban az esetben végez adattörlést, ha azt a Semmelweis írásban kéri.

A Szinapszis Kft. az adatkezelést a GDPR kompatibilis informatikai biztonsági szabályzatában foglaltaknak megfelelően végzi el, mely megfelelő technikai, fizikai és személyi hozzáférési garanciákat biztosít, amely garanciákat az adatkezelővel aláírt szerződés rögzít.

A 2023 tavaszán tervezett keresztmetszeti adatfelvétel adja a kiindulási adatokat. A tervezett adatfelvétel a részvételtől függően 3-4 évig tart. A kérdőíves adatokat, valamint egyes vizsgálati adatokat, úgymint a vizsgálatokhoz szükséges szűrőkérdéseket, a testsúlyt, testmagasságot a Szinapszis Kft. erre a célra létrehozott felületén rögzíti a vizsgálati személyzet, amely adatokat a Szinapszis Kft. átad az SE Megelőző Orvostani és Népegészségtani Intézetnek kutatási azonosító mentén. 

A vizsgálatokból származó adatokat az SE NEI maga tárolja a vizsgálati eszközök saját hardverén, amelyet naponta lement a NEI által kizárólag a kutatás céljaira fenntartott és védett biztonságos szerveren.

A passzív adatkövetésből származó adatokat az SE NEI saját, az egyetem szerverétől elkülönített szerveren adatbázisokban tárolja kutatási azonosító mentén. Az adatbázisokat a kutatási azonosító mentén összekapcsoljuk, az adatmenedzser változókat és származtatott változókat képez, amelyek adatszótárban tárolódnak. Az adatelemzés kizárólag kutatási azonosító mentén, azonosításra alkalmatlan módon történik. Harmadik személyek által történő összessített kutatási adatbázis igénylése és átadása előre meghatározott, külön szabályok alapján történik.

A genetikai adatok az egyéb vizsgálati adatoktól elkülönítve, egy másik kutatási azonosító mentén kerülnek tárolásra a Semmelweis Egyetem Biobank hálózatában. Ezt a kutatási azonosítót a NEI generálja és a Semmelweis Study kutatás vezetője kezeli. A Biobank részére átadott adatok személyes azonosító adatokat nem tartalmaznak, a NEI szerverén a genetikai adatok nem kerülnek a kutatási azonosítóval együtt tárolásra, így azok azonosítása alapesetben nem lehetséges.

Az 5 évente ismételt új adatfelvételi hullámokban való részvételre új kutatásetikai kérelem kerül beadásra. Az intézkedések folyamatosan a hatályos jogszabályokkal összhangban lesznek tartva.

7.    Az érintett jogainak gyakorlati érvényesíthetősége és biztosítékai

A kutatás tervezésének egyik kulcseleme a felmérésben résztvevők személyhez fűződő és egyéb jogainak védelme, a kutatásban való részvétel kockázatának csökkentése és a hatályos jogszabályoknak megfelelő adatvédelem, amelyet a kutatás tervezésekor az Adatvédelmi és Betegjogi Központ bevonásával elvégzett adatvédelmi hatástanulmányról kiadott jogi megfelelőségi vélemény garantál.

Az érintettek adatvédelmi kérdéssel, panasszal fordulhatnak a Semmelweis Egyetem adatvédelmi tisztviselőjéhez:

  1. Trócsányi Sára
    E-mail: adatvedelem@semmelweis-univ.hu
    Semmelweis Egyetem
    Székhely: 1085 Budapest, Üllői út 26.
    Postacím: 1428 Budapest, Pf.2)

További lépések az érintettek védelmére:

  • A kutatás tervezése mindvégig a kutatásetikai és jogi elvárások figyelembevételével történt.
  • A Kutatási terv az Egészségügyi Tudományos Tanács Tudományos és Kutatásetikai Bizottságának szakhatósági állásfoglalása alapján kerül véglegesítésre (Engedélyező határozat szám:…………………..).
  • A résztvevők a Semmelweis Study munkatársaitól alapos és részletes tájékoztatást kapnak a vizsgálat során róluk gyűjtött adatok felhasználásáról, illetve az azokkal kapcsolatos rendelkezési jogaikról.
  • A résztvevők a tájékoztatást követően beleegyezésüket nyilatkozatok aláírásával erősítik meg, ezek híján a kutatás nem történhet meg.
  • A kutatási koordinátorok/asszisztensek és a vizsgálószemélyzet képzésével és ellenőrzésével biztosított, hogy a kutatás során a résztvevőket elítélő magatartás a kutatási koordinátorok/asszisztensek vagy a vizsgálószemélyzet részéről ne érhesse.
  • A kutatás során gyűjtött adatok kizárólag kutatási célra kerülnek felhasználásra. A kutatásban résztvevő személyzet titoktartási nyilatkozatot tesz.
  • A személyiségi jogok és az adatvédelmi előírásoknak megfelelően az adatlapok, kérdőívek, illetve az adatállományok kezelése során biztosítjuk, hogy illetéktelenek a válaszokat ne kapcsolhassák össze a válaszolók személyével. A megfelelő adatkezelési eljárások alkalmazása védelmet biztosít az illetéktelen hozzáférés, az adatok jogosulatlan használata, megváltoztatása, valamint az adatvesztés ellen is.

 

8.    Az érintett jogai és jogérvényesítési lehetőségei

A Semmelweis Egyetem az érintettek jogait és jogorvoslati lehetőségeit ezen adatkezelési tájékoztatóban rögzítettek szerint biztosítja. Az SE Népegészségtani Intézet kijelölt munkatársától, valamint a kutatás vezetőjétől az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, törlését, adatkezelési hozzájárulását visszavonhatja, élhet adathordozási, az adatkezelési korlátozására vonatkozó vagy az adatkezelés elleni tiltakozási jogával a következők szerint:

  • a) Az érintett hozzáféréshez való joga: az érintettet kérelmére a Semmelweis Egyetem tájékoztatja arról, hogy személyes adatait maga az Egyetem, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó kezeli-e. Ha az érintett személyes adatait a Semmelweis Egyetem megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó kezeli, az adatkezelő az érintett rendelkezésére bocsátja az érintett által és a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatait, és közli vele a) a kezelt személyes adatok forrását, b) az adatkezelés célját és jogalapját, c) a kezelt személyes adatok körét, d) a kezelt személyes adatok továbbítása esetén az adattovábbítás címzettjeinek – ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket – körét, e) a kezelt személyes adatok megőrzésének időtartamát, ezen időtartam meghatározásának szempontjait, f) az érintettet az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény alapján megillető jogok, valamint azok érvényesítése módjának ismertetését, g) profilalkotás alkalmazásának esetén annak tényét és h) az érintett személyes adatainak kezelésével összefüggésben felmerült adatvédelmi incidensek bekövetkezésének körülményeit, azok hatásait és az azok kezelésére tett intézkedéseket. A Semmelweis Egyetem a kérelem benyújtásától számított legfeljebb 30 napon belül adja meg a tájékoztatást.
  • b) Helyesbítés joga: az érintett kérheti a rá vonatkozóan kezelt, pontatlan személyes adatok helyesbítését és a hiányos adatok kiegészítését.
  • c) Törléshez való jog: az érintett kérelmére a Semmelweis Egyetem haladéktalanul törli az érintett személyes adatait, ha a) az adatkezelés jogellenes, így különösen, ha az adatkezelés aa) az Infotv. 4. §-ban rögzített alapelvekkel ellentétes, ab) célja megszűnt, vagy az adatok további kezelése már nem szükséges az adatkezelés céljának megvalósulásához, ac) törvényben, nemzetközi szerződésben vagy az Európai Unió kötelező jogi aktusában meghatározott időtartama eltelt, vagy ad) jogalapja megszűnt és az adatok kezelésének nincs másik jogalapja, b) az érintett az adatkezeléshez adott hozzájárulását visszavonja vagy személyes adatainak törlését kérelmezi, kivéve, ha az adatok kezelése az Infotv. 5. § (1) bekezdés a) vagy c) pontján vagy (2) bekezdés b) pontján alapul, c) az adatok törlését jogszabály, az Európai Unió jogi aktusa, a Nemzeti Adatvédelmi és Információszabadság Hatóság vagy a bíróság elrendelte, vagy d) az adatkezelés korlátozása esetén az Infotv. 19. § (1) bekezdés b)-d) pontjában meghatározott időtartam eltelt. A fenti feltételek fennállását az adatkezelő vizsgálja.
  • d) Az adatkezelés korlátozásához való jog: az alábbi esetkörök valamelyikének fennállása esetén a Semmelweis Egyetem, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a tároláson túl egyéb adatkezelési műveletet kizárólag az érintett jogos érdekének érvényesítése céljából vagy törvényben, nemzetközi szerződésben, illetve az Európai Unió kötelező jogi aktusában meghatározottak szerint végezhet: a) ha az érintett vitatja a Semmelweis Egyetem, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok pontosságát, helytállóságát vagy hiánytalanságát, és a kezelt személyes adatok pontossága, helytállósága vagy hiánytalansága kétséget kizáróan nem állapítható meg, a fennálló kétség tisztázásának időtartamára, b) ha az adatkezelés jogellenességére figyelemmel az adatok törlésének lenne helye, de az érintett írásbeli nyilatkozata vagy az adatkezelő rendelkezésére álló információk alapján megalapozottan feltételezhető, hogy az adatok törlése sértené az érintett jogos érdekeit, a törlés mellőzését megalapozó jogos érdek fennállásának időtartamára, c) ha az adatkezelés jogellenességére figyelemmel az adatok törlésének lenne helye, de az adatkezelő vagy más közfeladatot ellátó szerv által vagy részvételével végzett, jogszabályban meghatározott vizsgálatok vagy eljárások – így különösen büntetőeljárás – során az adatok bizonyítékként való megőrzése szükséges, ezen vizsgálat vagy eljárás végleges, illetve jogerős lezárásáig,
  • e) ha az adatkezelés jogellenességére figyelemmel az adatok törlésének lenne helye, de az Infotv. 12. § (2) bekezdésében foglalt dokumentációs kötelezettség teljesítése céljából az adatok megőrzése szükséges, az Infotv. 25/F. § (4) bekezdésben meghatározott időpontig.
  • e) Tiltakozás joga: az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes az adatainak közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelés, vagy az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges kezelése ellen, ideértve az e célokhoz kapcsolódó profilalkotást is. Tiltakozás esetén az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha azt olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
  • f) Visszavonás joga: amennyiben az adatkezelés az érintett hozzájárulása alapján történik, az érintett jogosult arra, hogy az adatkezeléshez adott hozzájárulását bármikor visszavonja.
  • g) Bírósághoz fordulás joga: Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat. A perre a Fővárosi Törvényszék, vagy az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék rendelkezik illetékességgel. Az érintett a)-g) pontban felsorolt jogait a személyes adatainak törléséig gyakorolhatja.
  • Adatvédelmi hatósági eljárás: Az érintett személyes adatai kezelésével kapcsolatos jogsérelem, vagy annak veszélye esetén bejelentést tehet a Nemzeti Adatvédelmi és Információszabadság Hatóságnál a következő elérhetőségeken
    • Név: Nemzeti Adatvédelmi és Információszabadság Hatóság Székhely: 1055 Budapest, Falk Miksa utca 9-11. Levelezési cím: 1363 Budapest, Pf.: 9. Telefon: +36-1-391-1400 Fax: +36-1-391-1410 E-mail: ugyfelszolgalat@naih.hu Honlap: http://www.naih.hu

 

Egyéb rendelkezések: Tájékoztatjuk az érintetteket, hogy a bíróság, az ügyészség, a nyomozóhatóság, a szabálysértési hatóság, a közigazgatási hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság, a Magyar Nemzeti Bank, illetve jogszabály felhatalmazása alapján más szervek tájékoztatás adása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása végett megkereshetik az adatkezelőt. Az adatkezelő a hatóságok részére – amennyiben a hatóság a pontos célt és az adatok körét megjelölte – kizárólag a megkeresés céljának megvalósításához elengedhetetlenül szükséges adatokat adja át.

Fenti jogait az érintett, írásban a kutatás email címére küldve gyakorolhatja semmelweis.study@med.semmelweis-univ.hu.

9.    Az adatvédelmet és információbiztonságot biztosító technikai és szervezési intézkedések

A kutatás lebonyolítása során a Semmelweis Egyetem adatkezelési, információbiztonsági szabályzatában foglalt előírások, valamint a nemzeti és EU-s hatályos törvények és rendelkezések érvényesülnek az adatok védelme kapcsán is.

A vizsgálat során gyűjtött, kezelt és tárolt adatok biztonságát különböző technikai, informatikai és szervezeti intézkedésekkel garantáljuk. A vizsgálat kiinduló adatfelvételének (kérdőíves + biológiai, laboratóriumi és genetikai adatok) lebonyolításához szükséges személyazonosításra alkalmas személyes adatokhoz, valamint az 5 évente megismételni tervezett adatfelvételek során gyűjtött, álnevesített formában tárolt kérdőíves, biológiai, laboratóriumi és genetikai adatokhoz való hozzáféréshez egyértelműen szabályozott, jogosultsági rendszert dolgozunk ki.

A védelem első vonalát az adatok különválasztása jelenti, valamint a logikai és fizikai hozzáférés korlátozása.

A személyazonosításra alkalmas személyes adatokat minden esetben (fizikailag és digitálisan is) külön kezeljük a vizsgálat során gyűjtött, pszeudonim kérdőíves / fiziológiai / biológiai / genetikai adatoktól. A vizsgálat során gyűjtött adatokat tároló adatbázis struktúrája, valamint a hozzáférési jogosultságok szabályzása által is biztosítjuk az adatok teljeskörű védelmét.

Fizikai különválasztást biztosítják, hogy a kiinduló adatfelvétel során aláírt beleegyező nyilatkozatok és tájékoztatók eredeti (papír alapú) példányait, a személyazonosításra alkalmas személyes adatok, a személyazonosításra alkalmatlan kérdőíves / biológiai / fiziológiai / genetikai adatok és a kutatási azonosító külön helyiségben kerülnek tárolására.

További garancia, hogy a személyazonosításra alkalmatlan biológiai és genetikai adatok, valamint személyazonosításra alkalmas személyes adatok összekapcsolására alkalmas elsődleges (logikai) kulcsot többszörösen védett digitális formában tároljuk. A kód kombinációját csak a kutatás vezetője és adatkezelő informatikusa ismerheti.

A logikai hozzáférés biztosításához több szintű védelmet alkalmazunk, hogy kizárjuk / minimalizáljuk az illetéktelen személyek személyes adatokhoz való hozzáférését. Az adatokhoz hozzáférő vizsgálati dolgozókat / kutatókat (mint felhasználók) csoportokra osztjuk, jogosultság szerint, így a szerepek meghatározzák a hozzáférhető adatok körét. 

Három jogosultsági szerepet alakítunk ki:

        Adatmenedzser: legszélesebb hozzáférést biztosítja, kizárólag ez a felhasználó lát rá az adminisztratív (személyes adatok) és a személyazonosításra alkalmatlan (biológiai) adatok összekapcsolását lehetővé tevő elsődleges kulcsra. Az ilyen hozzáféréssel történt beavatkozásokat naplózzuk.

   Adminisztrátor: csak a vizsgálat lebonyolításához, vizsgálati személyekkel való kommunikációhoz szükséges (személyes) adatok körére lát rá.

         Kutató: csak a személyes azonosításra alkalmatlan, a kérdőíves és fiziológiai vizsgálatok során „keletkező” kutatási adatokra lát rá kizárólag a kutatási azonosító mentén.

 

A vizsgálatokból származó adatokat az SE NEI maga tárolja a vizsgálati eszközök saját hardverén, amelyet naponta lement a NEI által kizárólag a kutatás céljaira fenntartott és védett biztonságos szerveren.

A passzív adatkövetésből származó adatokat a beérkezést követően azonnal  álnevesítjük, majd az SE NEI saját, az egyetem szerverétől elkülönített szerverén tároljuk kutatási azonosító mentén. Az adatbázisokat a kutatási azonosító mentén összekapcsoljuk, az adatmenedzser változókat és származtatott változókat képez, amelyek adatszótárban tárolódnak. Az adatelemzés kizárólag kutatási azonosító mentén, azonosításra alkalmatlan módon történik.

A kutatás adatfelvételében, adatkezelésében résztvevő minden személynek titoktartási nyilatkozatot kell aláírnia, melyben vállalja, hogy büntetőjogi felelősségének tudatában kezeli az adatokat a kutatás céljából. A felhasználók csak az Adatmenedzsertől kapott jelszóval férhetnek hozzá bármilyen adathoz. A felhasználók az SE Információbiztonsági Szabályzatának vonatkozó rendelkezéseit, valamint a GDPR rendelkezések megismerését és betartását nyilatkozatban vállalják.

Az adatok védelmét szolgálja továbbá, hogy a vizsgálat lebonyolítása során folyamatosan gondoskodunk minden gyűjtött adat biztonsági másolatáról, automatizált, meghatározott rendszerességű (napi vagy heti) biztonsági mentésekkel, egy másodlagos (backup) szerver tárolóegységére. A másodlagos server fizikailag is külön, elzárt helyiségben foglal helyet, kidolgozott jogosultságkiosztással, ezzel is növelve a biztonságot, figyelembe véve az SE Munkahelyi biztonságszervezési Szabályzatban foglaltakat.

A Szinapszis Kft. személyes adatokat csak a hozzájáruló nyilatkozatban ismerhet meg, de csak azután, hogy a vizsgálati személyek aláírták azt, hozzájárulva azok megadásához. Csak az adatok legszűkebb körére terjed ki, többi adat opcionálisan adható meg az érintettek által. 

A fizikai, fizikális és laborvizsgálatokat végző egészségügyi személyzet látja a vizsgálatra érkezett személy kutatási azonosítóját, illetve azt, hogy kitöltötte- e a kérdőívet, avagy nem. A megadott válaszokat nem látja.

A kutatásban való részvétel esetén biztosítjuk, hogy a résztvevők válaszait, egészségügyi adatait a munkáltatói jogokat gyakorló személy, illetve felettese nem ismerheti meg, azokba semmilyen módon nem nyerhet betekintést. A kutatás adatfelvételében, adatkezelésében résztvevő személyzet az alapul fekvő jogviszonyuk fennállásától függetlenül, időbeli korlátozás nélkül titoktartásra kötelezettek. E kötelezettségüket a munka megkezdését megelőzően írásbeli nyilatkozatban ismerik el.

Az Adatkezelő, az Egyetem alábbi vonatkozó szabályzatai szerint jár el az adatkezelés és adatbiztonság tekintetében:

 

Az adatfeldolgozó Szinapszis Kft. adatvédelmet és információbiztonságot biztosító rendelkezései:

  1. a) Felhasználók rendszeres információbiztonság-tudatossági képzése (6 havonta).
  2. b) Naprakész operációs rendszer és alkalmazás-frissítés.
  3. c) Malware/antivírus szűrés szerveren és kliens gépeken.
  4. d) Tűzfal rendszer használata szerveren és kliens gépeken.
  5. e) Felhasználók központi címtár alapú hitelesítése: erős jelszó használata, (rendszeres jelszócsere – havonta, előző 3 jelszó ismételt felhasználása nem megengedett), különböző jogosultsági szintek alkalmazása.
  6. f) Automatizált napi mentés, ill. ezen felül automatizált heti mentés másik telephelyre: titkosított, jelszóval védett mentés.
  7. g) Szerver fizikai védelem: zárható helység, riasztó és tűzjelző alkalmazása.

 

Dátum:

Budapest, 2023 május

 

Prof. Dr. Tabák Gyula Ádám                                                                Prof. Dr. Ungvári Zoltán  

Kutatásvezető                                                               Megelőző Orvostani és Népegészségtani Intézet Igazgató