TÁJÉKOZTATÓ
AZ ADATVÉDELMI SZABÁLYOZÁS VÁLTOZÁSAIRÓL, A SZERVEZETI EGYSÉGEK ADATVÉDELMI MEGFELELŐSÉGÉNEK TÁMOGATÁSÁRÓL
Az Adatvédelmi Szabályzat és adatvédelmi megfelelőség
A Szenátus 107/2022. (XII.19.) számú határozattal elfogadta az új Adatvédelmi és közzétételi szabályzatot (a továbbiakban: Szabályzat), amely a közzététellel 2022. 12. 22. napjától hatályos. A hatályát vesztett szabályzat a szabályzat archívumban továbbra is megtalálható. A Szabályzat két könyvből áll, az I. Könyv az adatvédelmi kérdéseket szabályozza (adatvédelmi elvek, vezetendő nyilvántartások, érintettek jogai és azok biztosítása, az adatvédelem szervezete, a szervezetek adatkezelési megfelelőségének támogatása). A II. Könyv a közérdekű adatok közzétételének, megismerésének, igénylésének rendjével foglalkozik szabályozza. A szabályzat 4. pontja tartalmazza a szervezeti egységek adatvédelmi megfelelőségének támogatását.
A hatályos Szabályzat (azonos módon a 3/2020. (VIII.30.) számú Adatvédelmi Szabályzattal) több nyilvántartás vezetését írta elő az Egyetem szervezeti egységeinek. Ezen nyilvántartások vezetése részben a GDPR-ban tételesen rögzített törvényi kötelezettség, részben pedig a törvény által előírt elszámoltathatósági elvnek való megfelelés érdekében vezetendő. A GDPR alapelve, hogy az adatkezelőnek folyamatosan képesnek kell lennie arra, hogy igazolja milyen adatokat és milyen célból, milyen jogalappal kezel, valamint, hogy az adatkezelési során milyen műveletek hogyan hajt végre. Ezek a nyilvántartások ezen tevékenységet segítik.
Az egyetemi modellváltással az Egyetem, mint adatkezelő kikerült az a költségvetési szervekre vonatkozó, legfeljebb 20 millió forintos bírságolási határ alól – azaz jogsértés esetén a bírság a GDPR 83. cikkében foglaltak szerint 10, illetve 20 millió euróig is terjedhet -, ezért is szükséges fokozott figyelemmel eljárni a személyes adatok kezelésének során.
Az adatvédelmi megfelelőség helyzete, intézkedések a megfelelőség javítására
A szervezeti egységek adatvédelmi tevékenységének megfelelő teljesítését, JIF oktatási anyagokkal, konzultációkkal segítette az Egyetem belső hálózatán 20 témakörben 53 videó előadást és ppt anyagot készített el és tett a helyi adatvédelmi felelősök számára elérhetővé. A feladatok végrehajtásához szükséges dokumentum (23 db) mintája is közzétételre került a Formanyomtatványtárban.
Az ABK a megfelelő támogatás céljából minden – azt igénylő – szervezeti egység részére adatvédelmi workshopot tartott. Mivel ezen intézkedések mellett tovább kell erősíteni az adatvédelmi megfelelőség szintjét, ezért a JIF már 2022. 02. 15-től megkezdte a szervezeti egységek támogatását a megfelelőség biztosításra az Adatvédelmi Megfelelőségi Projektjével (a továbbiakban: Projekt). Eddig a projektben 18 szervezeti egység vett részt, és az általuk elkészített dokumentumok az Egyetem adatvédelmi megfelelőségét 2022. év végére 21 %-ra javították. Jelenleg 12 szervezeti egység vesz részt a Projektben és a terv szerint 2024. év végére valamennyi szervezeti egység megfelelőségi szintje 85 %-ra emelkedik.
A szervezeti egységek támogatása
Hogyan működik a támogatási rendszer, milyen módon nyújt támogatást a JIF a szervezeti egységeknek? Mit jelent ez feladatként a szervezeti egységeknek és milyen eredményt várunk ettől?
A támogatás két fő részből áll, egyrészt az adatvédelmi megfelelőség támogatásából (a dokumentációs alkalmasság biztosításából és az adatvédelmi működési megfelelőség biztosításból), másrészt adatvédelmi tudatosság biztosításának támogatásából (adatvédelmi oktatással és adatvédelmi workshopokkal).
A dokumentációs alkalmasság biztosítása (tervezett megvalósítás: 2022. 02.15 – 2025. 04. 30.). A JIF főigazgatója a Projekt tervben elfogadott ütemterv szerint kijelöli – a fennálló kockázat szint alapján – azon szervezeti egységeket (egy időszakban 12 szervezeti egység), amelyek az adott projekt programrész időszakában részt vehetnek a dokumentációs megfelelőség támogatásában. A JIF munkatársa a megvalósítás időszaka alatt (3 hónap) minden részt vevő szervezeti egységet felkeres és folyamatos, személyes egyeztetéssel, a helyi adatvédelmi felelőssel és a szervezeti egység kijelölt munkatársaival együtt elkészítik a dokumentációkat, amelyhez a JIF az adatvédelmi és jogi támogatást, a szervezeti egységek pedig szakmai és belső szervezeti tudásukat adják. A dokumentációkat (nyilvántartás és tájékoztató) a szervezeti egységek saját honlapjukon teszi közzé, de azok elérhetőek a JIF honlapjáról is. A folyamatot adatvédelmi alkalmassági, szervezeten belüli belső audit zárja.
A működési megfelelőség biztosítása (tervezett megvalósítás: 2025. 05. 01 – 2026. 06. 30.). A JIF főigazgatója a Projekt tervben rögzített ütemezés szerint kijelöli – a fennálló kockázat szinte alapján – azon szervezeti egységeket (egy időszakban 10 szervezeti egység), amelyek az adott projekt programrész időszakban részt vehetnek a működési megfelelőség támogatásában. A JIF munkatársa a megvalósítás időszaka alatt (1 hónap) minden részt vevő szervezeti egységet felkeres és folyamatos, személyes egyeztetéssel, a helyi adatvédelmi felelőssel és a szervezeti egység kijelölt munkatársainak bevonásával megvizsgálja a szervezeti egység működését. Ennek része az adatvédelmi felelős kijelölése és tevékenységének, a nyilvántartások vezetésének meghatározása, az érintettek jogainak biztosítása, az adatfeldolgozókkal kötött szerződések, az adatbiztonsági intézkedések (fizikai biztonsági intézkedések, logikai védelmi intézkedések), a munkatársak adatvédelmi ismereteinek szintjének meghatározása. A folyamatot adatvédelmi működési, a szervezeten belüli belső audit zárja.
Minden ilyen tevékenység célja kettős: egyrészt biztosítani, hogy a szervezeti egységek megfelelő dokumentáció alapján és megfelelő gyakorlat szerint végezzék az adatok kezelését, valamint feltárja az esetleges hiányosságokat, amelynek kapcsán intézkedések születhessenek azok megszüntetésére. A fő cél azonban ennél is több, az auditok alkalmasak arra, hogy az adatvédelmen túlmenően általánosságban javítsák a szervezeti egységek működését, mivel olyan területekre világítanak rá, amelyek e nélkül nem kerültek volna fókuszba, mindemellett helyes gyakorlatokra tesznek javaslatot.
Az adatvédelmi tudatosság biztosítása (tervezett megvalósítás: 2023. 06. 01 – 2027. 12. 31.). A JIF a foglalkoztatottak adatvédelmi tudatosságának erősítésére oktatási tematika szerint adatvédelmi oktatást tart és szintfelmérést végez a szervezeti egység vezetője által kijelölt munkatársak részére. A képzés neve: Online adatvédelem ismeretek a Semmelweis Egyetemen. Ennek keretében a Moodle e-learning rendszerben kerül létrehozásra egy pilot kurzus, amely alapján az alkalmassági megfelelőséget már teljesített szervezeti egységek saját maguk részére a pilot alapján létre hozhatják saját képzésüket. A sikeres résztvevők számára kerül megszervezésre a jelenléti képzés, amely már a megismert anyagok alapján egy ismeret-elmélyítő és gyakorlati példákat tartalmazó beszélgetés formájú workshop, amelyet a helyi adatvédelmi felelős szervez és a JIF munkatársa tart. A képzés alap témakörei és az oktatási anyag úgy kerül kialakítása, hogy az „Semmelweis specifikus” legyen, azaz az Egyetemi feladatokhoz kapcsolódjon. A képzés rövid 3 perces oktatófilmekből és azok alapján megválaszolandó kérdésekből áll, egy teljes képzés időszükséglete 30 perc. Az alaptémakörök: adatvédelem alapfogalmai, szervezete és feladatai, adatkezelés területei, az adatbiztonság eszközei, adatkezelés feladatai a foglalkoztatás, az oktatás, betegellátás, tudományos kutatás területén. Ezekhez kapcsolódik még a szervezeti egységre specifikált oktató anyag.
Jogi és Igazgatási Főigazgatóság: jog@semmelweis.hu
Amennyiben a legfontosabb jogi eljárásokat érintő közvetlen e-mail értesítést szeretne kapni, iratkozzon fel a JIF NEWS Hírlevélre!