A vizsgálat célja: A vizsgálat célja annak megállapítása, hogy az Egészségügyi szolgáltatónál jelenleg működő adatkezelési, adatvédelmi folyamatok megfelelnek- e az új uniós adatvédelmi rendeletnek (GDPRnek), azért, hogy meghatározzuk, milyen konkrét intézkedéseket tesz a jövőben, ha szükséges.
A vizsgálat helye: 1067.Budapest, Eötvös u. 15.
Egészségügyi szolgáltató: Dr. Canga-Dent Kft ,adószám: 22995306-1-42, képviseli Dr. Canga Uránia Fogszakorvos,fogszabályozó szakorvos (-továbbiakban mint Adatkezelő, elérhetősége: Telefonszám: +36309313338; E-mail cím: dr.cangadent@ gmail.com)
Az Egészségügyi szolgáltató, mint Adatkezelő a természetes személyek személyes és különleges (úgynevezett érzékeny adatait) kezeli.
Ide tartozó fogalmak:
Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve- azonosítható természetes személy.
Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ, amellyel közvetett vagy közvetlen módon azonosítható a természetes személy. Például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható; (GDPR rendelet 4. cikk 1. pontja)
Egészségügyi adat: természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat. Ide értve a személy számára nyújtott egészségügyi szolgáltatásokat, amelyek információt hordoznak az egészségi állapotról.
Adatkezelő: az a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit és az adatkezeléssel kapcsolatos érdemi döntéseket önállóan vagy másokkal együtt meghatározza. Ha két vagy több adatkezelő határozza meg a célt, eszközt, ők közös adatkezelőknek minősülnek. (GDPR rend. 26.cikk) Adatfeldolgozó: aki az adatkezelő nevében személyes adatot kezel.
Felelőssége: az adatkezelő felelős a jogszabályi követelményeknek (többek között GDPR) való megfelelésért és képesnek kell lennie ennek igazolására. Különleges adat: Faji etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, szakszervezeti tagságra utaló adatok, valamint a természetes személyek genetikai, biometrikus adatai, az egészségügyi adatok és a szexualitásra vonatkozó adatok.
Milyen kérdések merülnek fel az adatvédelmi folyamatok felülvizsgálatakor?
- Megfelel-e az Egészségügyi szolgáltató adatvédelmi protokollja a természetes személyek személyes adatainak kezelésére vonatkozó adatvédelmi biztonsági elveknek, az átláthatóság és elszámoltathatóság elvének, a célhoz kötöttség, a szükségesség elvének, rendelkezik-e megfelelő jogalappal az adatkezelésre? • Felül lett-e vizsgálva az érintettek számára nyújtott tájékoztatók, amelyekben személyes adatot kezelnek? • Milyen adatokat kezel és miért? (szükségesség elve) • Biztosítva van-e az adathordozhatósághoz való jog? Az érintettek kapnak-e előzetes tájékoztatást • az adatkezelésről, • az adatkezelés céljáról, módjáról, időtartamáról, a helyesbítésének ill. törlésének lehetőségéről, • az adatok továbbításának módjáról, • az adattárolás eszközéről, idejéről, továbbá arról, • hogy az érintett a róla kezelt adatokról információ kérése céljából kihez fordulhat illetve • az adatvédelmi rendelkezések milyen rendszerességgel kerülnek felülvizsgálatra?
Milyen adatot kezel jelenleg az Egészségügyi szolgáltató, mint Adatkezelő? 1. Betegadatok (személyes- és különleges adatok) 2. Munkavállalók 3. Alvállalkozók
Jelenleg az Info törvény által meghatározott jogalapokon nyugszik: 1. jogszabályon 2. az érintett hozzájárulásán, 3. közérdeken vagy 4. ha a hozzájárulás beszerzése aránytalanul nagy költséggel járna és jogos érdek érvényesítése szempontjából szükséges.
A GDPR rendelet hatályba lépését követően a jogalapok kibővülnek. Az Adatkezelő adatkezelésének jogalapja a következőkön alapul a GDPR rendelet hatályba lépésétől:
- Jogszabályon ( ide tartozik az 1997. évi CLIV. törvény az egészségügyről és a munka törvénykönyvéről szóló 2012. évi I. törvény)
- Szerződésen ( ide tartozik az érintettel kérésére kötött polgári jogi szerződésnek minősülő szerződés (amikor valamely fogászati gyógyító ellátást, pl. rágóképesség helyreállítását célzó egészségügyi ellátást vesz igénybe)
- Az érintett hozzájárulásán (beleegyező nyilatkozat)
- Jogi kötelezettség teljesítésén (Gdpr rendelet preambulum 45. Cikk)
- Jogos érdekből pl.amikor az érintett az adatkezelő alkalmazásában áll (hivatkozva rendelet preambulumának 47 cikkére) illetve adminisztrációs célból amikor a személyes adatok -jogszabályon alapuló kötelezettség ellátására- továbbítására kerül sor illetékes hivatalnak, hatóságnak ill. az adatfeldolgozóknak (hivatkozva a Gdpr preambulum 48 cikkére).
- Illetve olyan helyzetekben amikor hozzájárulás nem kell (a Gdpr rendelet preambulum 46 . illetve 38.cikkére vonatkozóan)
A 38 cikk tartalmazza: a gyermekek személyes adatainak kezelésekor a megelőzési és tanácsadási szolgáltatások célzattal való tájékoztatáshoz nem kell hozzájárulás .A 46. Cikk tartalmazza az érintett életének vagy más természetes személy érdekeinek védelmében történő ellátásokra vonatkozó rendelkezéseket.
Az Egészségügyi Szolgáltató adatkezelése tekintetében ki az adatfeldolgozó? Kinek kerül továbbításra beteg adat? 1. A fogászati asszisztens 2. fogtechnikus 3. könyvelő 4. szakellátók 5. ügyvéd 6. biztosító
Az adatkezelő megbízásából adatfeldolgozónak minősül a – munkaszerződés alapján foglalkoztatott – mindenkori fogászati asszisztens, amikor munkakörének ellátása során az egészségügyi adminisztrációt rögzíti manuálisan és számítógépen. Ekkor ő az érintettek személyes adatával és különleges érzékeny adatával megismerkedik, s az adatfeldolgozó utasításai szerint jár el.
Továbbá adatfeldolgozónak minősül a természetes személyes és különleges adatok szempontjából a fogtechnikus: 1: Bendes László Lajosné/Marydental/ 1237. Budapest, Dinnyehegyi köz 13, 2: Kozmor Gábor 9700.Szombathely, Kálvária u. 34.
Továbbá adatfeldolgozónak minősül a munkavállalói személyes adatok szempontjából a könyvelő: SAS Audit Bt, 6000. Kecskemét, Babér u. 8. ,képviseli: Jánosy László ü.v.
Továbbá adatfeldolgozónak minősül a kezelt minden olyan szakellátást biztosító orvos (parodontológus, fogszabályozó szakorvos,szájsebész és GyermekHáziorvos) melyek kompetenciája nem tartozik az egészségügyi szolgáltató körébe és amely személyek köre előre nem pontosan meghatározható, ezért az Általános tájékoztatóban ezek nem szerepelnek, de az az érintett ,akinek ellátása céljából, kérésére az adatai ezen adatfeldolgozók számára továbbításra kerül, az érintett saját egyedi betegtájékoztatójában pontos tájékoztatást kap és hozzáférhet.
Továbbá adatfeldolgozónak minősül szerződések teljesítése céljából az ügyvéd ill. biztosítási káresemény esetén a biztosító. Az Egészségügyi Szolgáltató Felelősségbiztosítója a Allianz Hungária Zrt.
Az adatkezelés jelenlegi módja: 1. A nem közfinanszírozott ellátáshoz is szükséges a beteg adatainak kezelése, hivatkozva a beteg együttműködési kötelezettségére, jól felfogott egészségügyi érdekére. 2. A paciens anamnézis lapot tölt ki, aláírja, ezek alapján tájékozódik a fogorvos az általános állapotáról. 3. Az érintett a személyes és különleges adatainak felvétele céljából tájékoztatást kap az úgynevezett Betegfelvételi-anamnézis című dokumentumon, írásban, hogy a rendelő milyen adatokat szeretne kezelni róla és ehhez ő hozzájárulását adja. (A következő személyes adatokat kérjük : Teljes név, születési hely ,idő ,lakcím ,tartózkodási hely, TAJ szám, telefonos elérhetőség illetve egészségügyi állapotára vonatkozó adatait ( kórelőzményét), szedett gyógyszereit, egészségügyi ellátással kapcsolatos elővigyázatosságot megkövetelő információkat, például allergia, gyógyszerérzékenység, kontraindikált gyógyszer vagy állapot, fennálló betegség vagy korábbi betegségből eredő egészségromlás, stb.)
Tervezett módosítások: A jövőben az érintettnek szánt, „Betegfelvételi lapon” az érintett világos és egyszerű nyelvezetű tájékoztatást fog kapni az adatok megadásának önkéntességről, de arról is, hogy az adatok megadása a kezelési terv elkészítésének alapja, amelynek megadása a beteg és egészségügyi szolgáltató közötti együttműködési kötelezettségén is alapul, illetve a beteg jól felfogott érdeke. (hiv. 1997. évi CLIV. tv. Az egészségügyről, 26.§ (2) )
Tájékoztatást fog kapni arról, hogy a felvett és tárolt adatok kezelésének mi a célja, mi az időtartama, a róla tárolt adatokat külön írásbeli kérésére írásban díjmentesen kikérheti, a későbbiekben kérheti annak módosítását, illetve milyen esetben kérheti annak törlését vagy elfeledtetés jogát. Illetve arról, hogy az adatainak kezelésével kapcsolatban kihez fordulhat további információért. Hozzájárulás megadásától nem tesszük függővé az orvosi vizsgálat elvégzését, amely azonban nem válik közfinanszírozásban elszámolhatóvá.
A betegforgalom számára nyitva álló helyen az Adatvédelmi tájékoztató kihelyezésre kerül.
Milyen személyes és különleges adatot kezelünk?
Mi a jogalapja a kezelt adatoknak?
Meddig kezelem ezeket az adatokat?
Milyen technológiával tárolom az adatokat?
Hogyan védem a kezelt adatokat?
Betegadatok gyógyítás céljából, jogszabály szerint, számla kiállítás miatt stb.
vény → 5 évig vagy a gyógyászati segédeszköz kihordási idejéig egyéb eü dokumentáció (beutaló is) → 30 évig
számla, formanyomtatvány 5 évig
Manuálisan (kézzel írt Betegforgalmi naplóban, formanyomtatványon, Betegtájékoztatón, Technikusi csekk, vény, beutaló ) : kulcsra zárható szekrényben
Digitálisan (számítógép): többlépcsős azonosítással védelem + tűzfal+ hardwerkulcsos program
Munkavállalók Jogszabály (Munka törvénykönyve), szerződés szerint jogszabályi előírás szerinti ideig, szerződés megszűnését követő 5 évig, utána törlésre kerül
Manuálisan és digitálisan (írásbeli munkaszerződés, ill. számítógépen),többlépcsős jelszóval védett
Alvállalkozók szerződés szerint, jogszabály szerint (Számviteli tv.): szerződés megszűnését követő 5 évig, utána törlésre kerül
Manuálisan formanyomtatványon, ill. Munkalapon, technikusi csekken, számlán :Kulccsal zárható szekrényben, meghatározott adatfeldolgozók „kezei között”
Milyen technológiával tárolom az adatokat, hogyan védem?
- Betegadatok (kezelési adatok) 1. Manuálisan kerülnek rögzítésre betegadatok az alábbiakban: Betegforgalmi napló, Formanyomtatványok (pl. fogszabályozó készülék megrendelő munkalap/, Technikusi csekk, Vény, Beutaló. Ezeket a fogászati asszisztens tölti ki és a fogorvos írja alá, látja el pecséttel. Ezek a dokumentumok a rendelés végén zárható szekrényben kerülnek elhelyezésre. Kulccsal a fogorvos és egy asszisztens rendelkezik.
- A beteg kezeihez kerül átadásra ezek közül: vény, beutaló.
- Számítógépen kerül rögzítésre: Betegadatok (kezelési adatok). A használt program licencszel, hardwer-kulccsal és jelszóval védett. Csak a fogászati asszisztens és fogorvos férhet hozzá. A számítógép fix helyen, a rendelőhelyiségben található. A számítógépen futó Operációs rendszer is jelszóval védett, melyet csak a fogászati asszisztens és a fogorvos ismer.
Mivel a jelenlegi védettség megfelel a GDPR rendeletnek, ezért jelentősebb módosításra nem kerül
sor. Az adatfeldolgozónak minősülő fogtechnikussal és a fogászati asszisztenssel az alvállalkozói – és munkavállalói szerződések kiegészítésre kerülnek, a GDPR rendeletnek való megfeleltetéssel összhangban. A fogtechnikussal és a könyvelővel a szerződés kiegészítésre kerül, hogy adatfeldolgozóként gondoskodik munkavállalók adatainak megfelelő védelméről, illetve, ha az adat tárolása továbbiakban nem szükséges, megsemmisíti azt. Az asszisztens munkaköréből adódóan eddig is köteles volt az adatvédelemre.
Működik-e kamerás megfigyelés a rendelőben, váróhelyiségben? Az Egészségügyi Szolgáltató nem végez vagy végeztet kamerás megfigyelést, nem rögzít képeket a váróhelyiségben vagy a rendelőben.
Számla írás : Jelenleg nem kérünk külön beleegyezést az érintettől a számlakiállításhoz. A betegtájékoztató kiegészítésre kerül, hogy amennyiben a kezelés végösszegéről számlakiállításra kerül sor, a beteg hozzájárulását adja a számlán adatai szerepeltetéséhez.
E-mail cím kezelése: Panoráma röntgen készítése céljából a beteg kérésére jelenleg továbbítjuk az elkészült röntgen felvételt. Marketing célú felhasználás eddig sem történt.
A betegtájékoztató módosításra fog kerülni, hogy amennyiben a beteg a leletének, róla készült röntgen kép továbbítását kéri, azt mely email címre kéri és ő gondoskodik annak adatvédelmi vonatkozású kérdéseiről mint pl.hogy az általa megadott címen csak ő fogadhat képeket, jelszóval védett, stb. Többes címzett esetén a címzettek titkosított formában kerülnek a címtárba.
Telefonszám gyűjtése: A kezelt páciens értesíthetősége céljából (pl. időpont egyeztetés, változás) kértük el eddig a telefonszámot, általános beleegyező nyilatkozat formájában. Marketing célból nem használtuk az adatot.
A jövőben ez módosításra kerül, hogy külön beleegyezés lesz szükséges, hogy ezt az adatát is kezelni tudjuk.
Adatvédelmi incidens: Az adatvédelmi incidens lényegében a személyes adatok integritásának és bizalmas jellegének a sérülését jelenti. A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Adatvédelmi incidens bekövetkezése esetén, függetlenül annak szándékos vagy gondatlan voltától, az adat jogellenes kikerülését a Nemzeti Adatvédelmi Hivatalnak be kell jelenteni, legkésőbb 72 órán belül. Ha az adatvédelemi incidens magas kockázatú, az érintettet is értesíteni kell. Az adatkezelő nyilvántartja az adatvédelmi incidenseket.
Adathordozhatósághoz való jog: A beteg kérésére pendrive-n, cd-re kimásolva vagy e-mailben átkérheti a róla tárolt adatokat. A jövőben ez a jog az érintett írásbeli kérelme alapján, szintén írásban, a legrövidebb időn belül meg kell tenni, max. 1 hónap áll rendelkezésére az Egészségügyi Szolgáltatónak. Az érintett tájékoztatást kap arról, hogy kérésére az adatait helyesbítheti, illetve kérheti a törlését. Amennyiben jogalap tiltja az adattörlést, a törlés kérése nem teljesíthető. Az érintett minden esetben írásban kap információt kérdéseire.
Az érintett adatai kezelésével kapcsolatban kérdése esetén kihez fordulhat? A GDPR rendelettel összhangban, a különleges adatok kezelése miatt az Egészségügyi Szolgáltatónál ún. Adatvédelmi tisztviselő kerül kinevezésre. A megadott elérhetőségen írásbeli kérelemre a legrövidebb időn belül az érintett írásban tájékoztatást kap kérdéseire. Az Adatvédelmi tisztségviselő kinevezése előtt ún. elemzést kell írásban rögzíteni, miért jutott az Egészségügyi szolgáltató arra a következtetésre, hogy szükséges adatvédelmi tisztségviselő kinevezése. Ha nem jutott volna arra a következtetésre, hogy kell, ennek is írásbeli nyoma kell, hogy legyen.
A rendelőben tehát a következő módosítások történnek:
A GDPR rendelettel összhangban felülvizsgálatra került a jelenlegi adatkezelési, adatvédelmi protokoll és a szükséges módosítások meghatározásra kerültek.
A betegtájékoztatót és nyilatkozatokat a beleegyezés jogával és további tájékoztatókkal kell ellátni, mint például az adat helyesbítés, adattörlés kérésének joga, vagy, hogy kihez fordulhat kérdései esetén.
A munkaszerződések és alvállalkozói szerződések módosításra, kiegészítésre kerülnek.
Készül egy általános adatvédelmi tájékoztató.
Készül egy incidens nyilvántartás.
Készül egy Adatvédelmi tisztviselői kell/ nem kell elemzés és ennek függvényében egy adatvédelmi tisztviselői megbízási szerződés.
A GDPR-rel összhangban készül egy „oktatási anyag” a fogászati asszisztensnek, amelyet aláír.
Jelen felülvizsgálat célja megvalósult.
A következő felülvizsgálat időpontja: havonta illetve 1 év múlva újra, írásban.