2017. május 3-án lépett életbe a Semmelweis Egyetem adatvédelmi, valamint a közérdekű adatok megismerésére irányuló igények teljesítésének, továbbá a kötelezően közzéteendő adatok nyilvánosságra hozatalának rendjéről szóló szabályzata. Az új adatvédelmi szabályzat a 2006-os dokumentumot váltja fel.
Az alábbiakban összefoglaló olvasható az új szabályzatról.
Lényegi változások:
- A szabályzat az adatvédelmi szabályrendszer mellett tartalmazza a közérdekű adatok kezelési rendjét és az egészségügyi ellátás körében alkalmazott betegazonosító rendszer (csuklószalag) szabályait is, amelyek korábban önálló szabályzatban szerepeltek.
- A szabályzatban új adatvédelmi szervezeti struktúra és felelősségi rendszer került meghatározásra:
A JIF szervezetén belül létrejön az Adatvédelmi és Betegjogi Központ.
Az Adatvédelmi és Betegjogi Központ – ahogyan a nevében is szerepel – központi funkcióként látja el az adatvédelmi megkeresések és a betegjogi panaszok megválaszolását, és központi nyilvántartást is vezet ezekről az ügyekről, illetve segítséget nyújt a hozzá forduló szervezeti egységeknek adatvédelmi kérdésekben. Kapcsolatot tart a betegjogi képviselőkkel. Közreműködik a közérdekű adatigények teljesítésében.
Az Adatvédelmi és Betegjogi Központot az egyetemi adatvédelmi felelős szakmailag irányítja, aki mellett kijelölésre kerül három szakterületi felelős:
- a központi szervezeti egységek szakterületi adatvédelmi felelőse
- az egészségügyi szakterületi adatvédelmi felelős
- az oktatási szakterületi adatvédelmi felelős.
Az egyetemi adatvédelmi felelőst a kancellár nevezi ki a rektor egyetértésével, megfelelve az Nftv. előírásának. Az egészségügyi és az oktatási szakterületi adatvédelmi felelős kinevezése a Klinikai Központ elnöke, illetve a rektor egyetértésével történik.
A fenti felelősök munkájukhoz éves munkatervet készítenek, amely az ellenőrzési feladataikat is rögzíti.
A központi feladatvégzés mellett a 20 főnél több egészségügyi adatkezelőt foglalkoztató szervezeti egységekben (pl. klinikák) – jogszabályi előírás alapján – az intézményvezető helyi adatvédelmi felelőst köteles kijelölni.
A szabályzat a személyes adatok kezelésének részletes szabályrendszerét rögzíti.
Az új szabályzat megteremti a feltételét, hogy az egyetemi adatvédelmi felelős folyamatosan rendelkezzen azzal az információval, hogy mely szervezeti egységek végeznek az egyetemen személyes adatkezelést. Az információ alapján az egyetem, mint adatkezelő eleget tud tenni az Info. törvényben előírt, az adatkezelés nyilvántartásba vételére vonatkozó bejelentési kötelezettségének. Ehhez az adatkezelést végző szervezeti egységekben (pótlólagosan) bevezetésre kerülnek azok az adatkezelési nyilvántartások, amelyek alapot teremtenek a személyes adatot kezelő szervezeti egységek jogszerű adatkezeléséhez. A szervezeti egységeknél kitöltésre kerülő ún. Adatkezelési Dokumentációs Lapok tartalmazzák az adott szervezeti egységben kezelt személyes adatok típusait, a hozzáférésre jogosultak körét, az adatbiztonsági és az ellenőrzési szabályokat (ki, mit, és hogyan végez kérdésekre ad választ). Az Adatkezelési Dokumentációs Lapokat az érintett szervezeti egységek a szabályzat megjelenését követő 180 napon belül kell, hogy előállítsák.
A kitöltött Adatkezelési Dokumentációs Lapok alapján teljesíti az egyetemi adatvédelmi felelős a Nemzeti Adatvédelmi és Információvédelmi Hatóság felé a bejelentési kötelezettségeket.
A szabályzat részletesen rögzíti az egészségügyi adatkezelési szabályait is (betegfelvételtől a betegdokumentáció utólagos kikéréséig bezárólag, valamint az egészségügyi dokumentáció tárolásának, archiválásának szabályait is). Meghatározza a betegdokumentáció-másolat kiadásának költségtérítési rendjét is, utalva a Térítési Díj Szabályzat alkalmazására.
A szabályzat az elektronikus egészségügyi adatkezelés (MedSol és az eMedSol) hozzáférési szabályait is rögzíti, hivatkozva az IT Biztonsági Szabályzat előírásaira.
A szabályzat tartalmazza az állami, VIP betegekre vonatkozó adatkezelési előírásokat, és utal az egyéb VIP kártya használati szabályaira is.
A közérdekű adatigénylés rész szabályozása tartalmazza az egyéni megkeresések alapján történő adatigénylés és teljesítés rendjét, felelősi rendszerét, és a közérdekű adatigények teljesítése után felszámítható költségeket. A költségtérítés mértékét a szervezeti egységeknek a 301/2016. (IX.30.) Korm. rendelet és az Önköltség-számítási Szabályzat alapján kell meghatározni.
A szabályzat tartalmazza a kötelező közzétételi listák alapján a közérdekű adatok közzétételi rendjét is, ehhez a szabályzatban kijelölt adatfelelősök rendszeres adatot szolgáltatnak a JIF-nek.
A szabályzat alkalmazásának elősegítése:
- A JIF a szabályzat bevezetését követően az érintettek körében több, az új szabályzat megismertetését és egyben az adatvédelmi tudatosságot is elősegítő fórumot szervez, ahol a JIF főigazgató, illetve az egyetemi adatvédelmi felelős lesz az előadó.
- A JIF segédletet készít a közérdekű adatigénylésnél felmerülő költségek összegének meghatározásához, ami alapján az érintett szervezeti egység egyszerűen kiszámíthatja az adatteljesítés költségét.
- A JIF a szabályzatot a gyakorlati tapasztalatok alapján – az előírt 2 év helyett – már 1 év múlva ismételten felülvizsgálja és az indokolt korrekciókat végrehajtja.
Összefoglalva a bevezetésre javasolt szabályzat az egyetemi szervezeti struktúrához igazodó felelősségi rendszerben rögzíti azokat az eljárásokat, amelyekkel az egyetemen a személyes adatok és a közérdekű adatok jogszerű adatkezelési feltételei biztosíthatók.
A szabályzat több egyetemi szabályzathoz (IT biztonsági Szabályzat, Iratkezelési Szabályzat, Neptun Szabályzat, Térítési Díj Szabályzat, Önköltség-számítási Szabályzat) is szorosan kapcsolódik, azokkal együttesen biztosít olyan kontrollkörnyezetet, ami az adatvédelmi működési kockázatot csökkenti.
A szabályzat megtekinthető a Jogi és Igazgatási Főigazgatóság honlapján a Szabályzattárban.
A cikket a Semmelweis Egyetem Kommunikációs Igazgatósága tette közzé.