Adatvédelmi és adatbiztonsági szabályzat
A belső adatvédelmi és adatbiztonsági szabályzat tartalma
Az Infotv. 24. §-a egyes szervezetek esetében előírja, hogy belső adatvédelmi és adatbiztonsági szabályzatot kell készíteniük. Azt azonban nem határozza meg, hogy milyen tartalommal. Kinek kell szabályzatot készítenie, és mi legyen a szabályzat felépítése?
Az adatvédelmi szabályzat készítésére kötelezett szervezetek
- az országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetve feldolgozó adatkezelők és adatfeldolgozók
- a pénzügyi szervezetek
- az elektronikus hírközlési szolgáltatók
- a közüzemi szolgáltatók
- állami adatkezelők
- önkormányzati adatkezelők
A felsorolt szervezeteken felül természetesen más adatkezelők is készíthetnek belső adatvédelmi szabályzatot.
FONTOS! Nem az adatkezelési tájékoztatóról szól jelen írás, ugyanis azt minden adatkezelőnek kötelessége közzétennie.
A szabályzat felépítése, tartalma
A törvény nem ad útmutatást arra vonatkozóan, milyen rendelkezéseket tartalmazzon az adatvédelmi szabályzat. Mintául szolgáljon a következő tartalomjegyzék egy a PPOS által készített adatvédelmi szabályzatból:
- A szabályzat célja és hatálya
- Kapcsolat az adatkezelő egyéb szabályzataival
- Értelmező rendelkezések
- Az adatkezelő adatai
- Az adatkezelőre vonatkozó alapvető általános szabályok, alapelvek
- Szervezeten belüli felelősségek meghatározása
- A belső adatvédelmi felelős
- A munkavállalók személyes kötelezettségei
- Adatok tárolására vonatkozó szabályok
- Adatbiztonsággal kapcsolatos adminisztratív teendők
- Adatok felhasználására vonatkozó főbb szabályok
- Adatfeldolgozás, kiszervezés
- Az érintett jogai gyakorlásának biztosítása
- Adattovábbítás, hatósági adatszolgáltatás
- Adattovábbítási nyilvántartás
- A jogellenes adatkezelés következményei
- Eljárási szabályok, záró rendelkezések
Amennyiben valamely kérdésről más szabályzat (pl. Informatikai Biztonsági Szabályzat, Szervezeti és Működési Szabályzat, Hozzáférési Szabályzat, belső eljárásrendeket, felelősségeket szabályzók) rendelkezik, ott a cél a két szabályzat közötti összhang megteremtése.
A szabályzat kiadása, közzététele
A szabályzatot a szerv vezetője utasításban adja ki. A szabályzat alapvetően belső dokumentum, de az állami, önkormányzati, vagy jogszabályban meghatározott egyéb közfeladatot ellátó adatkezelők kötelesek honlapjuk „közérdekű adatok” menüjében közzétenni.
A cikk megírásához a CompLex Ügyvéd Jogtár Prémium verziója nyújtott segítséget.
Adatvédelmi tanácsadás szolgáltatásomról és az adatvédelmi auditálásról e szövegre kattintva olvashat.
Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.
Valamennyi hozzászólást az RSS 2.0 hírcsatornán lehet követni. Szóljon hozzá, vagy adjon a saját honlapjáról egy visszakövetést.
Tisztelt Adatvédelmi Szakértő,
Az 1997. évi XLVII. (Eüak.) törvény szerint minden egészségügyi INTÉZMÉNYnek is kötelessége belső adatvédelmi szabályzatot készítenie. Az Infotv. II. melléklete szerint ez a szabályzat nyilvános kell legyen. Ha az intézmány dolgozóinak száma meghaladja a 20 főt, akkor belső adatvédelmi felelőst is ki kell neveznie az intézményvezetőnek. Az adatvédelmi biztos (2010-2011 években) korábban több állásfoglalást adott ki arról, hogy kik a kötelezettek. A háziorvosok és a magánorvosok általában nem, mert ők nem egészségügyi intézmények. Ugyanakkor a gyógyszertár már egészségügyi intézmény, azért az is köteles adatvédelmi szabályzatot készíteni és nyilvánosságra hozni.
A belső adatvédelmi szabályzat adattartalmát a 62/1997. számú NM. rendelet szabályozza, annak megfelelően kell(ene) elkészíteni. Jellemző, hogy a GYEMSZI nem rendelkezik adatvédelmi szabályzattal a hatályba lépés után 15 évvel.
Tisztelt Alexin Zoltán!
Sajnálatos, ha 15 éves lemaradásban van egy adatkezelő, az Infotv. kapcsán a pénzügyi szektorban most dömpingszerűen készülnek az adatvédelmi szabályzatok, reméljük, az egészségügyben is orvosolják a problémákat.