Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (a továbbiakban: Eüak.) 38. §-a (2) bekezdésének a) pontjában kapott felhatalmazás alapján a következőket rendelem el:
1. § (1) Az egészségügyi szolgáltatóknál az Eüak. 4. §-a szerinti valamely célból, meghatározott feladattal az egyes adatkezelők által – az egészségügyi és a hozzájuk kapcsolódó személyazonosító adatokkal – végzett adatkezelések önálló adatkezelési rendszereket alkotnak.
(2) Az egészségügyi szolgáltatónál alkalmazott adatkezelési rendszereket az intézményvezető határozza meg.
2. § (1) Az 1. § szerinti adatkezelések részletes szabályait az egészségügyi szolgáltató által készített adatkezelési szabályzat tartalmazza. Az adatkezelési szabályzat elkészítéséért és karbantartásáért az intézményvezető felelős.
(2) Az adatkezelési szabályzat külön-külön adatkezelési rendszerként határozza meg a 3. § (2) bekezdés b)–g) pontjaiban foglalt rendelkezéseket.
3. § (1) Az adatkezelési szabályzat elkészítése során kiemelt figyelmet kell fordítani
a) az egészségügyi adatok védelmét biztosító hozzáférés szabályozására;
b) az egészségügyi adatok integritásának megóvásához szükséges szabályozásra;
c) az egészségügyi adatok elérhetőségének biztosítására és az adatszolgáltatás szabályozására az Eüak.-ban meghatározottak szerint.
(2) Az adatkezelési szabályzat az alábbiakat tartalmazza:
a) az adatkezelési rendszer általános biztonsági előírásai az adott egészségügyi szolgáltatónál;
b) az adatkezelési rendszer biztonságának és kezelésének részletes szabályozása, így
ba) az adatvédelmi felelős jogai és kötelezettségei,
bb) az adatkezelési rendszer környezetének védelme,
bc) az adatok sérülésének, illetve elvesztésének megelőzésére, a következmények felszámolására tervezett intézkedések,
bd) az adatkezelési rendszer sérülése, illetve károsodása esetére tervezett intézkedések,
be) az adatok eltulajdonítása elleni védekezés szabályai;
ca) az adatkezelő azonosítása, az adatkezelési rendszerbe történő belépés, illetve kilépés,
cb) az adatkörök csoportosítása adatkezelők szerint,
cc) az adatkezelők jogosultságának nyilvántartása;
d) az egészségügyi dokumentációnak az adott adatkezelési rendszerben történő ellenőrizhetősége
da) az adatkezelési rendszer adminisztrálásának szabályozása,
db) az adatok eredetének azonosíthatósága,
dc) az adatok pontosságának, valódiságának mérése,
dd) az adatkezelési rendszerből, illetve az abba irányuló adatforgalom szabályozása;
e) az adatkezelési rendszer működési műszaki megbízhatósága;
f) az adatkezelési rendszer fenntartásának műszaki szabályozása,
fa) az adatkezelési rendszer karbantartásának szabályozása,
fb) az adatkezelési rendszer dokumentálására vonatkozó előírások szabályozása,
fc) az adatkezelési rendszer megváltoztatásának szabályai, átmeneti rendelkezések a műszaki változtatás és fejlesztés időszakára;
g) az adatkezelőkre vonatkozó szabályok:
ga) az adatkezelők munkavégzésre irányuló jogviszonyával összefüggő adatvédelmi vonatkozású kérdések szabályozása,
gb) az adatot kezelő és az adatkezelési rendszert fenntartó, illetve fejlesztő feladatkörök elválasztása,
gc) az adatvédelmi képzés szabályozása,
gd) az adatvédelmi jelentési kötelezettség szabályozása;
h) az egészségügyi dokumentáció, illetve a zárójelentés tárolásának, megsemmisítésének, archiválásának rendje.
(3) Az adatvédelmi szabályzatot szükség szerint, de legalább három évenként felül kell vizsgálni.
4. § (1) Az Eüak. 24. §-a szerinti adattovábbítás esetén az érintett első orvosi ellátójának az az orvos minősül, aki az érintettet szervezett formában először ellátásban részesíti. Az adattovábbítás nem veszélyeztetheti a sérült vagy más beteg egészségi állapotát.
(2) Az (1) bekezdés szerinti jelentés telefonon történik a rendőrhatóság egységes vagy az ellátás helye szerint illetékes kapitányság hívószámán. A jelentés tényét a sérült egészségügyi dokumentációjában rögzíteni kell.
(3) A sérült személyazonosító adatainak hiányában is jelenteni kell a sérülés tényét, illetve a kezelést végző orvos által ismert körülményeket.
5. § (1) Az egészségügyi dokumentációnak az Eüak.-ban előírt határidőt követően történő megőrzésére abban az esetben van lehetőség, ha
a) az az érintett egyéb, 30 évnél nem régebbi egészségügyi adatkezelésével kapcsolatba hozható, valamint
b) a betegség természete,
c) a kezelés jellege,
d) az érintett személy, vagy
e) általános tudomány- és kultúrtörténeti okok
miatt annak tudományos jelentősége van.
(2) Az (1) bekezdés b)–e) pontjai szerinti minősítést a betegellátó részleg vezetőjének a kezdeményezésére az intézményvezető állapítja meg.
6. § (1) Ez a rendelet 1998. január 1. napján lép hatályba.
(2)–(3) *