dr. Mayer Szabolcs ügyvezető

                                                                    Evidental 2004 Egészségügyi és Szolgáltató Kft.

1.      A fogorvosi járóbeteg-ellátással foglalkozó Evidental 2004 Egészségügyi és Szolgáltató Kft., mint adatkezelő ezúton tájékoztatja a jelen Belső Adatvédelmi Szabályzat olvasóját, hogy tiszteletben tartja minden természetes személy jogszabályokban biztosított jogait, továbbá az adatvédelem alapelveit és szabályait, ezért a végzett adatkezelései során a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 2016/679. sz. általános adatvédelmi rendelete (GDPR), továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv), a működésre vonatkozó más jogszabályok, és az ezekkel összhangban levő adatvédelmi szabályozási portfólió, így különösen, de nem kizárólagosan a jelen Belső Adatvédelmi Szabályzat (a továbbiakban: Szabályzat), valamint a belső adatbiztonsági portfólió rendelkezései alapján jár el.

2.      Az adatvédelmi szabályozási portfólióba tartozó dokumentumok felsorolása önálló oldalon kapott helyet.

3.      Az Evidental 2004 Egészségügyi és Szolgáltató Kft. az adatvédelmi szabályozási portfólió bármelyik tagjának az időközben módosulandó jogszabályi háttérrel és egyéb belső szabályzattal való összehangolása miatti megváltoztatására a jogot fenntartja.

4.      Az adatvédelmi szabályozási portfólió minden tagjának mindenkor hatályos változata elektronikus formában az Evidental 2004 Egészségügyi és Szolgáltató Kft. belső informatikai rendszerében, papír alapon a székhelyen érhető el. A fentiek alapján a szabályozási portfólió, így többek között a Szabályzat rendelkezéseit az Evidental 2004 Egészségügyi és Szolgáltató Kft. magára nézve kötelezőnek tekinti, és működése során ezek értelmében jár el.

5.      Hivatkozva az 1. pontra, a jelen Szabályzat az érintettek számára az Evidental 2004 Egészségügyi és Szolgáltató Kft. által végzett adatkezelési tevékenységeket általánosan és egyedien, részletesen is szabályozza a következő, az átláthatóság elvét (GDPR 5. cikk (1) a) pont) kielégítő módon:

a.   Szabályzat fejezetei általános rendelkezéseket tartalmaznak minden végzett adatkezelésre vonatkozóan,

b.   a Szabályzat hivatkozik belső utasításokra és más, a szabályozási portfólió részét képező szabályozó, valamint tájékoztató dokumentumokra (Word formátumú verzióban a kereszthivatkozások működnek)

c.    az egyes végzett adatkezelési tevékenységek leírásai a 3/2020/GDPR sz. belső adatvédelmi utasítás mellékletében, csoportosítva kerültek meghatározásra, amely leírásokat egyrészt a Munkatársaknak ismerniük és betartaniuk szükséges, másrészt a leírások tájékoztatóként is szolgálnak, így ezeket a Munkatársaknak elérhetővé kell tenniük, valamint ilyen célból át kell adniuk más érintettek számára;

d.   a 3/2020/GDPR sz. belső adatvédelmi utasítás mellékletben meghatározott leírások/tájékoztatók az Evidental 2004 Egészségügyi és Szolgáltató Kft. adatvagyonleltárát is alkotják;

e.    a 3/2020/GDPR sz. belső adatvédelmi utasítás mellékletben meghatározott egyes adatkezelési tevékenységek leírásai/tájékoztatói tartalmaznak táblázato(ka)t, valamint kérdés-felelet formátumban jöttek létre, a gyors és könnyű áttekinthetőség miatt, továbbá a jobb olvashatóság érdekében a kérdések vastag betűvel szedettek, a dőlt betűvel jelölt részek pedig értelmező magyarázatokat tartalmaznak

6.      Az Evidental 2004 Egészségügyi és Szolgáltató Kft. törekszik arra, hogy minél pontosabban betartsa a Nemzeti Adatvédelmi és Információszabadság Hatóság ajánlásait, így különösen az előzetes tájékoztatás adatvédelmi követelményeiről szóló 2015. szeptember hó 29. napján kiadott ajánlását, és ezért a lehető legérthetőbben fejezi ki az adatvédelmi szabályokat, szükség esetén példákkal magyarázva azokat, valamint részletesen bemutatja az egyes adatkezelési tevékenységeket, hogy az érintett megismerhesse azokat.

7.      Tekintettel az előzetes tájékoztatás kötelezettségére, valamint az átláthatóság elvére, továbbá a működés üzleti titkaira, az Evidental 2004 Egészségügyi és Szolgáltató Kft. az egyes tájékoztatók összefoglaló táblázatát, mint az adatvédelmi szabályozási portfólió részét képező Külső Adatvédelmi Tájékoztatót a https://evidental.hu oldalon tette közzé, valamint papír alapon elérhetővé tette a 1114 Budapest, Szabolcska Mihály utca 1. 1. em. 1. címen.

1.      Az Evidental 2004 Egészségügyi és Szolgáltató Kft. a következő fogalmakat használja a jelen Szabályzatban és annak mellékleteiben, ezért javasolja a fogalmak és az Adatkezelőre vonatkozó jellemző példák részletes áttekintését.

2.1           Az Adatkezelő személye 

1.      Jelen Belső Adatvédelmi Szabályzat szempontjából Adatkezelő:

Evidental 2004 Egészségügyi és Szolgáltató Kft.

a.   székhely és tényleges adatkezelés címe: 1114 Budapest, Szabolcska Mihály utca 1. 1. em. 1.

b.   cégjegyzékszám: 01-09-861426

c.   adószám: 13556336-1-43

d.   internetes elérhetőségei (és a vonatkozó tényleges adatkezelések webhelyei):

                                                   i.    https://evidental.hu

                                                  ii.    https://www.facebook.com/Evidental-Fog%C3%A1szati-K%C3%B6zpont-116900011815759/

e.   telefonszám: +36 30 954 5616, +36 1 310 1148

f.     e-mail: hello@evidental.hu

g.   képviseli: dr. Mayer Szabolcs ügyvezető

h.   adatvédelmi tisztviselő / kapcsolattartó neve és elérhetősége:

 

2.2           Közös adatkezelés

1.      Adatkezelő felhívja az érintettek figyelmét, hogy együttes, közös adatkezelést nem végez.

 

2.3           Az Adatkezelő adatvédelmi szervezete

 

1.      Az Adatkezelő adatvédelemmel, adatkezeléssel, adatbiztonsággal és információbiztonsággal kapcsolatos vezetését az ügyvezető (továbbiakban: Adatkezelő adatvédelmi vezetése) látja el.

 

2.      Az Adatkezelő adatvédelmi vezetése a Munkatársak felé tett szabályzatokkal és utasításokkal az Adatkezelő teljes szervezetét irányítja adatvédelem, adatkezelés szempontjából.

 

3.      Az Adatkezelő adatvédelmi vezetése

 

 

a)  biztosítja az adatvédelmi tevékenység irányításához és ellátásához, valamint az érintett jogai gyakorlásához szükséges személyi és tárgyi feltételeket;

b)  felelős az adat- és titokvédelmi, valamint biztonsági és információbiztonsági szabályzatok kiadásáért és betartatásáért;

c)   dönt az Adatkezelőn kívüli Partnerek személyéről, és a vonatkozó, adatfeldolgozást is felölelő szerződés tartalmáról;

d)  gondoskodik arról, hogy az adatvédelmi tevékenység során esetleg előforduló, feltárt hiányosságok megszűntetéséről, szükség szerint a felelősségre vonásról;

e)   meghatározza az adatkezelési tevékenységeket;

f)     meghatározza a szervezeti egységek vezetőinek javaslata alapján a szervezeten kívüli személy vagy szerv által elvégzendő adatfeldolgozási feladatok időpontját;

g)  rendszeresen ellenőrzi az adatkezelést és adatvédelmet, valamint az informatikát érintő nyilvántartásokat;

h)   engedélyezi a Munkatárs munkakör ellátásához szükséges informatikai alkalmazásokhoz való hozzáférési jogosultságot;

i)      jóváhagyja és kiadja a belső adatvédelmi szabályozási portfólió elemeit;

j)     ellát egyéb olyan feladatot, amelyet a jelen Szabályzattól formailag eltérő más szabályzat, utasítás vagy jogszabály meghatároz.

 

4.      Az Adatkezelő több szervezeti egységből áll. Adott egység különböző részegységekből, vagy alegységekből állhat, amelyek önálló szolgáltatásokat, adatkezeléseket nyújthatnak az érintettek számára.

 

5.      A szervezeti egységek adatvédelmi, adatkezelési vezetését az egységvezetők vagy egységvezető Munkatársak végzik.

 

6.      A szervezeti egységvezetők

a)  meghatározzák, engedélyezik és ellenőrzik az irányításuk alatt álló szervezeti egység Munkatársainak hozzáférési jogosultságait, különös tekintettel a helyettesítésekre;

b)  koordinálják a Munkatársak adatvédelemmel és adatkezeléssel kapcsolatos tevékenységét;

c)   c/ gondoskodnak arról, hogy az irányításuk alá tartozó szervezeti egységek felelősségi körébe tartozó nyilvántartási rendszerek naprakészek, megbízhatóak legyenek;

d)  javaslatot tesznek a Partnerek – ideértve az adatfeldolgozókat is – személyére;

e)   biztosítják az irányításuk alá tartozó szervezeti egységnél az adatkezelés és az adatvédelem rendjét.

 

7.      Mindegyik egységvezető köteles

a)  az adatkezeléssel, adatvédelemmel kapcsolatos jogszabályokat és belső szabályokat megismerni és betartani, betartatni,

b)  oktatáson részt venni, a beosztottak részvételét támogatni és ellenőrizni, oktatási anyagok ismeretét ellenőrizni,

c)   tájékoztatást nyújtani a beosztott Munkatársak és egyéb érintettek számára,

d)  az Adatkezelőn kívülről jövő megkeresések, és/vagy jogok érvényesítésének észlelést követően annak azonnal írásban (ideértve az e-mail-t is) továbbítani az adatvédelmi tisztviselő/kapcsolattartó, vagy ha ilyen pozíció betöltetlen, úgy az Adatkezelő adatvédelmi vezetése számára,

e)   adatvédelmi vagy adatbiztonsági incidens estén az incidens jelzését/észlelését követően azonnal jelezni azt és annak körülményeit az Adatkezelő adatvédelmi vezetése számára, továbbá az adatvédelmi tisztviselő/kapcsolattartó felé, ha e pozíció betöltésre került, és közreműködni az incidens részletes felderítésében, elhárításában, kárenyhítésben, jövőbeni megelőzésben,

f)     adatkezelés bevezetése, végrehajtása, megszüntetése vonatkozásában, ha külön adott adatkezelésért felelős nincsen kinevezve, ellátja a feladatait (lásd külön fejezetben).

 

8.      A szervezeti egységvezető köteles

a)  a nem szabályozott működésbeli változások esetén, amelyek adatvédelemre, adatkezelésre is kihathatnak, a jelzést/észlelést követően azonnali jelezni a változás mibenlétét az Adatkezelő adatvédelmi vezetése számára, és ha a pozíció betöltött, az adatvédelmi tisztviselő/kapcsolattartó számára is,

b)  együttműködni az adatvédelmi tisztviselővel/kapcsolattartóval, utasításainak megfelelően eljárni,

c)   védeni a tudomására jutott személyes és/vagy különleges adatokat és az érintettek személyiségi jogait.

 

9.      A szervezeti egységvezető felelős

a)  a jogszabályok, a jelen Szabályzat, és az adatvédelmi szabályozási portfólió más részeinek betartásáért és betartatásáért 

b)  a beosztott Munkatársakkal történő betartatásáért,

c)   a beosztott Munkatársak adatvédelmi, adatkezelési tevékenységének koordinálásáért,

d)  a beosztott Munkatársak által kezelt személyes adatok integritásának, sérthetetlenségének, rendelkezésre állásának ellenőrzéséért,

e)   a beosztott Munkatársak adatvédelmi tudatosságának fenntartásáért, adatvédelmi ismereteik naprakészen tartásáért.

 

10.  Az adatkezelésért felelős a külön fejezetben meghatározott feladatai vonatkozásában a beszámolási kötelezettségét a szervezeti egységvezető felé kell, hogy teljesítse. A szervezeti egységvezető az információkat az Adatkezelő adatvédelmi vezetése felé kell, hogy továbbítsa, szükség esetén kérnie kell az adatvédelmi tisztviselő / kapcsolattartó tanácsát, javaslatait. Amennyiben szervezeti egységvezető látja el az adatkezelésért felelős feladatait, úgy abban az esetben az Adatkezelő adatvédelmi vezetése felé kell, hogy teljesítse.

 

11.  Amennyiben az Adatkezelő adatvédelmi tisztviselőt nevezett ki, úgy az adatvédelmi tisztviselő feladatait a GDPR és az Infotv rendelkezései, valamint az adatvédelmi tisztviselővel kötött szerződés határozza meg.

 

12.  Az adatvédelmi tisztviselő feladataiból adódóan adatkezelési tevékenységek céljait, eszközeit nem határozhatja meg, kizárólag javaslatot tehet, tanácsot adhat, és kizárólag az Adatkezelő jogosult az adatkezelések céljait, eszközeit meghatározni.

 

13.  Tekintettel arra, hogy a jelen Szabályzat megalkotásakor adatvédelmi tisztviselő kinevezésre nem került, így a feladatait az Adatkezelő Adatvédelmi vezetése kell, hogy ellássa, és adatvédelmi tisztviselő kifejezésen az Adatkezelő Adatvédelmi vezetését kell érteni.

 

14.  Az Adatkezelő Adatvédelmi vezetése a tisztviselői feladatokat vagy azok egy részét delegálhatja és kijelölhet adatvédelmi kapcsolattartói feladatokat ellátó Munkatársra.

 

15.  Abban az esetben, ha az Adatkezelő Adatvédelmi vezetése egy vagy több adatkezeléssel, adatvédelemmel, adatbiztonsággal kapcsolatos feladatot delegál az adatvédelmi kapcsolattartóra, úgy e személy konkrét feladatait a munkautasítás(ok), és/vagy munkaköri leírás tartalmazza, vagy a szerződő felek külön szerződésben határozzák meg, ezért azokat a jelen Szabályzatban meghatározni nem lehet.

 

16.  Adatkezelő egyidőben, párhuzamosan kijelölhet adatvédelmi tisztviselőt és adatvédelmi kapcsolattartót is, ebben az esetben egy vagy több önálló dokumentumban a tisztviselő és a kapcsolattartó feladatait pontosan el kell határolni és meg kell határozni az egymáshoz való alá-fölé vagy mellérendeltségi (pl. helyettesítési) viszonyukat is.

 

17.  A Jelen Szabályzat hatályba lépése pillanatában kinevezett adatvédelmi tisztviselő / adatvédelmi kapcsolattartó nevét és elérhetőségi adatait (ha ilyen pozíció(k) betöltésre került(ek)) a 2. fejezet tartalmazza.

 

18.  Minden Munkatárs a rá vonatkozó jogszabályokból, belső szabályzatokból és szabályokból, utasításokból, munkaköri leírásból, oktatási anyagból fakadó kötelezettségeket betartva végzi feladatait.

 

19.  Adat törlését, helyesbítését (módosítását), zárolását, továbbítását vagy megsemmisítését csak az Adatkezelő adatvédelmi vezetése, vagy az általa e feladattal megbízott Munkatárs végezheti el, és kizárólag abban az esetben, ha meggyőződött arról, hogy a műveletnek jogszabályokban, a Szabályzatban, vagy egyéb szabályzatban, utasításban meghatározott feltételei fennállnak.

 

20.  Amennyiben jogszabály, vagy az adatvédelmi szabályozási portfólió valamely része előírja, az adatok törlésének, helyesbítésének (módosításának), zárolásának, továbbításának vagy megsemmisítésének tényét az azt végrehajtó Munkatársnak megfelelően dokumentálnia kell.

 

21.  Minden Munkatárs köteles

a)  a munkafolyamatok megfelelő szabályozása, szervezése útján gondoskodni arról, hogy

                                         i.    maradéktalanul érvényesüljenek az adat- és titokvédelmi előírások;

                                        ii.    az egyes Munkatársak, valamint Partnerek kizárólag a feladatellátásukhoz szükséges mértékben juthassanak az adatok birtokába; ugyanakkor

                                       iii.    adatkezelése során a rendelkezésre állás elve érvényesüljön, vagyis az adatok a hozzáférésre jogosult más Munkatárs, vagy harmadik személy számára elérhetőek és felhasználhatóak legyenek, ha azok a feladataik elvégzéséhez szükségesek;

                                     iv.    az adatok illetéktelen harmadik személyek birtokába kerülésének kockázata a lehető legkisebbre csökkenjen; ennek körében például a feladatvégzésével összefüggésben az általa létrehozott, vagy birtokába került adatokat (pl. manuálisan kitöltött formanyomtatvány, kinyomtatott Word vagy Excel dokumentum, stb.) köteles megvédeni a jogosulatlan hozzáféréstől, az elveszéstől, a fizikai károsodástól és a megsemmisüléstől. Ennek érdekében az adathordozó dokumentumokat a közvetlen felügyelete alatt, vagy a munkavégzés helyén, illetéktelenek számára nem hozzáférhető, zárt helyen (lezárt fiókban, szekrényben) kell tartania;

                                       v.    az adott terület adatkezelési és adatmentési tevékenysége, annak folyamata a vonatkozó adatvédelmi jogszabályokkal, továbbá az Adatkezelő szabályzataival összhangban történjen;

b)  az elvárható legnagyobb gondossággal eljárni. Ezzel összefüggésben köteles megtenni mindazokat a technikai és szervezési intézkedéseket, amelyeket a mindenkor hatályos vonatkozó jogszabály, a jelen Szabályzat, egyéb belső szabályzat, utasítás, munkaköri leírás, stb. előír, valamint ezen túlmenően is, mindazt, amit az adott helyzetben az ésszerűség megkövetel;

c)   a felhasználói azonosító és a jelszó titkos kezelésére, e feladat teljesítése körében a Munkatárs az azonosító és jelszó adatait bármilyen adathordozón csak és kizárólag saját felhasználás céljából rögzítheti, és ez esetben gondoskodnia kell arról, hogy ahhoz rajta kívül senki más ne férhessen hozzá. A Munkatárs az elektronikus adattárolási helyeken (nyilvántartási rendszerben) rögzített adatokhoz csak a saját hozzáférési jogosultságának keretei között, a saját felhasználói azonosítójával és jelszavával jogosult hozzáférni;

d)  az elektronikusan tárolt adatok elvesztésének megakadályozása érdekében a kizárólag általa használt adattárolási helyeken lévő adatokról rendszeres időközönként biztonsági mentést végezni, vagy végeztetni a megfelelő pozícióban levő más Munkatárssal;

e)   titoktartás követelményét betartani, amely a személyes és a különleges adatok tekintetében időkorlátozás nélkül fennáll.

f)     a jogszabályok és az adatvédelmi szabályozási portfólió rendelkezéseit megismerni és betartani,

g)  az adatkezeléssel, adatvédelemmel kapcsolatos oktatásokon részt venni,

h)   tájékoztatást nyújtani az érintettek számára kérés esetén,

i)      az Adatkezelőn kívülről jövő megkeresések, és/vagy jogok érvényesítésének észlelést követően azt azonnal továbbítani az Adatkezelő adatvédelmi vezetője számára, és az adatvédelmi tisztviselő vagy adatvédelmi kapcsolattartó felé, ha a pozíció betöltésre került,

j)     adatvédelmi vagy adatbiztonsági incidens estén az incidens észlelését követően azonnal jelezni azt és annak körülményeit az Adatkezelő adatvédelmi vezetője számára, és az adatvédelmi tisztviselő vagy adatvédelmi kapcsolattartó felé, ha a pozíció betöltésre került, és közreműködni az incidens elhárításában, kárenyhítésben, részletes felderítésben,

k)   a nem szabályozott működésbeli változások esetén, amelyek adatvédelemre, adatkezelésre is kihathatnak, az észlelést követően azonnali jelezni a változás mibenlétét az Adatkezelő adatvédelmi vezetése és az adatvédelmi kapcsolattartó vagy tisztviselő felé (ha a pozíció betöltésre került) jelezni,

l)      együttműködni az adatvédelmi kapcsolattartóval, vagy tisztviselővel (ha betöltésre került a pozíció).

 

22.  A Munkatársak egyes konkrét feladatait a belső adatvédelmi és adatbiztonsági portfólióba tartozó dokumentumok, más szabályzatok, a vonatkozó szerződés, munkaköri leírás, és más dokumentumok szabályozzák

 

23.  A Munkatárs felelős

a)  a jogszabályok, a jelen Szabályzat, és az adatvédelmi szabályozási portfólió más részeinek betartásáért és betartatásáért 

b)  az általa kezelt személyes adatok integritásáért, sérthetetlenségéért, rendelkezésre állásáért,

c)   a szándékos vagy gondatlan magatartásából fakadó adatvédelmi incidensekért, jogsértésekért.

 

24.  Amennyiben adatkezeléssel összefüggő ügyben a vonatkozó jogszabályok és/vagy az Adatkezelő szabályzatainak rendelkezéseinek értelmezésével és/vagy alkalmazásával kapcsolatos kérdés merül fel, a Munkatárs iránymutatást kérhet az Adatkezelő vezetésétől vagy az adatvédelmi tisztviselőtől vagy adatvédelmi kapcsolattartótól (amennyiben a pozíció betöltésre került).

 

25.  A Munkatárs, függetlenül pozíciójától, az adatkezelésre, adat- és titokvédelemre vonatkozó jogszabályi rendelkezések, továbbá mindenkor hatályos adatvédelmi szabályozási portfólió, így például a Belső adatvédelmi Szabályzat, egyéb adatvédelmi vagy más belső szabályzat, munkaköri leírás, munkáltatói utasítás, adatvédelmi oktatási anyag rendelkezéseinek megszegése esetén a magatartás, vagy mulasztás jellegétől függően

a)  büntetőjogi és/vagy

b)  polgári jogi és/vagy

c)   munkajogi felelősséggel tartozik.

 

2.4           Az érintett jogérvényesítésével kapcsolatos általános feladatok

 

1.   Az Adatkezelő az érintettek joggyakorlásával, jogérvényesítésével kapcsolatos általános eljárása a következő:

a)  Az Adatkezelő indokolatlan késedelem nélkül, maximum az adott kérelem beérkezésétől számított 25 napon, törlés/elfeledtetés/tiltakozás esetében haladéktalanul, de legfeljebb 15 napon belül tájékoztatja az érintettet a kérelmében meghatározottakkal kapcsolatban megtett lépésekről, vagy arról, hogy milyen ténybeli vagy jogi ok alapján nem tesz eleget a kérelemnek, valamint az érintett jogairól és az érintett számára nyitva álló jogorvoslati lehetőségekről: a bírósághoz és a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulás lehetőségéről.

b)  Az Adatkezelő az érintett tájékoztatását minden esetben írásban teszi meg az elszámoltathatóság elvének megvalósulása miatt, ezért szükség van az érintett postai vagy elektronikus címére.

c)   Az Adatkezelő írásban értesíti mindazokat a címzetteket, akikkel korábban az adatot közölte a kérelemben foglalt joggyakorlásról, amennyiben az szükséges, így ha a helyesbítés, törlés/elfeledtetés vagy adatkezelés-korlátozás jogával él az érintett.

d)  Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti, vagy ha a tájékoztatás lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel, vagy ha azt jogszabály kizárja.

e)   A fenti tájékoztatási és egyéb jogok érvényesítésével kapcsolatban felmerülő feladatokat

a.   az Adatkezelő kizárólag abban az esetben tudja időben ellátni, ha az a Munkatárs, aki az érintett kérelmét átvette (ideértve az e-mail-en történő átvételt is), az átvételt követően haladéktalanul értesíti arról a szervezeti egységvezetőt. Ha a szervezeti egységvezető az értesítést megkapta, vagy ha ő az átvevő, akkor haladéktalanul értesíteni köteles az Adatkezelő adatvédelmi vezetését, és az adatvédelmi tisztviselőt vagy adatvédelmi kapcsolattartót (amennyiben a pozíció betöltésre került;

b.   az Adatkezelő adatvédelmi vezetése – az adatvédelmi tisztviselő egyetértésével, ha ilyen pozíció betöltésre került – a választ és a szükséges lépéseket kidolgozza, jóváhagyja és a feladattal megbízott Munkatárs végrehajtja.

f)     A jogérvényesítéssel kapcsolatos konkrét feladatokat az adatvédelmi szabályozási portfólió más tagjai, elsősorban belső utasítások, részletesen meghatározzák.

 

2.5           Az adatvédelmi incidensekkel kapcsolatos általános feladatok

 

1.      A Munkatársak kötelesek az Adatkezelő adatbiztonsággal kapcsolatos szabályait (utasításait) betartani és általánosságban minden ésszerű lépést megtenni azért, hogy az Adatkezelőt megóvják az adatvédelmi incidensektől.

 

2.      Munkatárs, amennyiben észleli az adatvédelmi incidenst köteles a vonatkozó szabályzat (Lásd: Adatvédelmi Incidens Kezelési Szabályzat), és más, az adatvédelmi szabályozási portfólióba tartozó szabályozó szerint eljárni.

 

3.      Amennyiben attól kell tartani, hogy az incidensbe további számítástechnikai eszközök kerülnek be (pl. zsarolóvírus miatt), úgy az incidenssel érintett számítástechnikai eszközt előbb az elektromos és informatikai hálózatról leválasztani köteles és csak utána köteles megtenni a 2. pontban meghatározott feladatokat.

 

4.      Az Adatkezelő adatvédelmi vezetése a jelzést haladéktalanul kivizsgálni köteles, bevonva az adatvédelmi tisztviselő vagy adatvédelmi kapcsolattartó segítségét, szükség esetén pedig külső (informatikai) szakember támogatását. Adatkezelő adatvédelmi vezetése a vonatkozó jogszabályokban, az adatvédelmi szabályozási portfólió egyes, releváns részeiben szabályzatban/utasításban meghatározott lépéseket végrehajtani, így – többek között – kárenyhítő, és további incidens bekövetkeztét megelőző lépéseket megtenni.

 

2.6           Adategyeztetéssel kapcsolatos általános feladatok

 

1.      Adatkezelő a pontosság, naprakészség elvének érvényre juttatása miatt rendszeres időközönként adategyeztetést hajt végre a nyilvántartásában levő érintettek vonatkozásában.

 

2.      Az Adatkezelő az adategyeztetések rendszerességét a jelen Szabályzattól formailag elkülönülő, az adatvédelmi szabályozási portfólió részét képező szabályozóban határozza meg. Amennyiben ez nem történik meg, úgy az Adatkezelő évente hajt végre adategyeztetést olyan (aktív) adatállományok (pl. ügyfelek, Munkatársak, Partnerek, Partnerek kapcsolattartói) vonatkozásában, amely adatállományok érintettek adatát, vagy adatait tartalmazzák. A már lezárt, passzív adatállományok (pl. bizonylatra felvitt adatok) vonatkozásában adategyeztetést az Adatkezelő nem hajt végre.

 

3.      Adatkezelő egyes szervezeti egységei vonatkozásában különböző adategyeztetési határidőket határozhat meg.

 

4.      Az adategyeztetést az Adatkezelő e-mail-ben, vagy ha e-mail cím nem áll rendelkezésre, úgy postai levélben hajtja végre.

 

5.      Amennyiben az adategyeztetés sikeres, úgy Adatkezelő az új adatot (ha az értelmezhető) minden olyan adatállományba betáplálja, amelyben az eredeti adat is szerepelt, figyelemmel a pontosság, naprakészség, integritás, bizalmasság és elszámoltathatóság alapelveire.

 

6.      Amennyiben az adategyeztetés sikertelen, úgy az adatot az Adatkezelő törli, megsemmisíti a nyilvántartásaiból, vagy ha a törlés az érintett jogait, érdekeit csorbítaná, zárolja a nem naprakész adatokat.

 

7.      Az adategyeztetés feladatát a kijelölt Munkatárs köteles végrehajtani.

 

2.7           Az Adatkezelő adatvédelmi szervezetének oktatása

 

1.      A Munkatársaknak éves jelleggel tartott adatvédelmi, adatbiztonsági képzésének biztosítása az Adatkezelő adatvédelmi vezetésének kötelezettsége. A képzést dokumentáltan kell megtartani a későbbi bizonyíthatóság miatt.

 

2.      Adatkezelő vezetése az oktatással kapcsolatos feladatok (így pl. oktatási anyag összeállítása, jelenléti ívek és más dokumentumok létrehozása, oktatási napok meghatározása, meghívók kiküldése, az oktatás megtartása, stb.) elvégzésével Munkatársat, vagy az adatvédelmi tisztviselőt vagy adatvédelmi kapcsolattartót megbízhatja (ha ilyen pozíció betöltésre került).

1.      A jelen Szabályzat elsődleges célja, hogy az Adatkezelővel kapcsolatba kerülő természetes személyek adatainak kezelésére vonatkozó alapvető elveket és rendelkezéseket meghatározza és betartsa annak érdekében, hogy a természetes személyek magánszférája és jogai védelemben részesüljenek a vonatkozó jogszabályi előírásoknak és hatósági állásfoglalásoknak megfelelően.

 

2.      Hivatkozva a 3.1 pontban meghatározottakra, a jelen szabályzat célja annak biztosítása, hogy az Adatkezelő mindenben megfeleljen a hatályos jogszabályok adatvédelemmel kapcsolatos rendelkezéseinek, így különösen, de nem kizárólagosan

–       az Európai Parlament és a Tanács (EU) 2016/679 Rendelete,

–       az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény

–       az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (Eüat),

–       az egészségügyről szóló 1997. évi CLIV. törvény rendelkezéseinek.

 

3.      Az Adatkezelő a működésre vonatkozó ágazati jogszabályok előírásait is betartja, így tehát Adatkezelő kiemelten fontosnak tartja, egyben elkötelezett az iránt, hogy az érintett adatait, és az érintetek jogait, az adatvédelem elveit és szabályait tiszteletben tartsa és betartsa.

1.      Időbeli hatály: Jelen Szabályzat 2020. március hó 22. napjától, visszavonásig, módosításig hatályos.

 

2.      Személyi hatály: kiterjed

–       az Adatkezelőre, így a Munkatársakra, valamint

–       azokra a Partnerekre, akik a rendelkezések hatályát szerződésben vagy nyilatkozatban magukra nézve kötelezően elfogadták. Ha a Szabályzat szövegezéséből más nem következik, a Partnerek a Munkatársakra vonatkozó rendelkezések szerint kötelesek eljárni. A Szabályzat megismerése és betartása az Adatkezelő valamennyi Munkatársának munkaköri kötelessége.

 

3.      Területi hatály: Jelen Szabályzat hatálya kiterjed az Adatkezelő tulajdonában, vagyonkezelésében, használatában, bérletében lévő ingatlanokra, ahol az Adatkezelő adatkezelést végez.

 

4.      Tárgyi hatály: Jelen Szabályzat hatálya kiterjed az Adatkezelő minden szervezeti egységében folytatott valamennyi személyes adatokat tartalmazó adatkezelésre és adatra függetlenül attól, hogy az elektronikusan és/vagy papíralapon történik. Papír alapú adatkezelés esetében Adatkezelő a jelen szabályzattól formailag különálló iratkezelési szabályzatot léptet hatályba.

1.    Jelen fejezet az érintettek személyes és különleges adataival kapcsolatos jogairól és jogorvoslati lehetőségeiről rendelkezik.

 

2.    Az érintett jogai és jogorvoslati lehetőségei a GDPR, és Infotv alapján az alábbiakban kerültek meghatározásra.

 

3.    Az Adatkezelő felhívja a személyi hatálya alá tartozók figyelmét, hogy az érintett jogaival a hello@evidental.hu e-mail címre küldött kérelmével, vagy Adatkezelő más elérhetőségén (lásd 2. fejezet) keresztül élhet.

 

4.    Az adatbiztonsági követelmények teljesülése és az érintett jogainak védelme érdekében az Adatkezelő kérelmet kézhez vevő Munkatársa köteles meggyőződni az érintett és a hozzáférési jogával élni kívánó személy személyazonosságának egyezéséről, joggyakorlás jogi és ténybeli lehetőségeiről, ennek érdekében a tájékoztatás, az adatokba történő betekintés, illetve azokról másolat kiadása is az érintett személyének azonosításához kötött. Ennek megfelelő a Munkatársak feladatait önálló belső utasítások rendezik minden jogérvényesítés kapcsán.

 

Előzetes tájékozódáshoz való jog

 

5.    Az előzetes tájékozódáshoz való jog: az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről az adatkezelés megkezdését megelőzően tájékoztatást kapjon.

 

6.   Az érintett e joga nem kérelméhez kapcsolódik, hanem alapvetően megilleti az érintettet, ezért az Adatkezelő külön kérelem nélkül is tájékoztatja az érintettet a következőkről:

a.   az Adatkezelő – ha valamely adatkezelési műveletet adatfeldolgozó végez, az adatfeldolgozó – megnevezése és elérhetőségei;

b.   az adatvédelmi tisztviselő / kapcsolattartó elérhetőségei, ha van ilyen;

c.   a személyes adatok tervezett kezelésének célja;

d.   az adatkezelés jogalapja;

e.   adatkezelés időtartama;

f.     amennyiben jogos érdeken alapul az adatkezelés, úgy a jogos érdek mibenléte;

g.   a kezelt személyes adatok továbbítása vagy tervezett továbbítása esetén az adattovábbítás címzettjei;

h.   a kezelt személyes adatok gyűjtésének forrása;

i.      automatizált döntéshozatal ténye, ideértve a profilalkotást is (továbbá az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír), amennyiben Adatkezelő ilyet végez;

j.      az érintett személyes adatok kategóriái;

k.    az érintett azon jogáról, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról, GDPR 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való joga, továbbá a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;

l.      arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása.

 

7.   Adatkezelő a tájékoztatást tipikusan, de nem kizárólagosan a következő módokon hajtja végre:

a.   a tájékoztatást az egyes adatkezelések tájékoztatóiban fogalmazza meg, amelyek megtalálhatóak a 3/2020/GDPR sz. belső adatvédelmi utasításban, és amelyeket közzétesz székhelyén, az adatkezelés tényleges helyszínén (ha eltér a székhelytől) papír alapon, továbbá

b.   az egyes adatfelvételi űrlapokhoz csatolja a vonatkozó adatkezelési tájékoztatót, vagy az űrlapban fogalmazza meg az adatkezelési tudnivalókat, vagy a hivatkozást az adatkezelési tájékoztatóra,

c.   minden aktuálisan végzett adatkezelési tájékoztató összefoglaló táblázatát (kivéve a belső működésre vonatkozó adatkezeléseket) és a fenti érdemi tényeket elektronikusan is elérhetővé tesz a weboldalon, sőt, amennyiben az átláthatóság, tisztességes eljárás elve, jogszerűség ezt megköveteli, önálló, részletes adatkezelési leírásokat is közzétesz,

d.   az adatkezelési tájékoztatókat és egyébként a teljes adatvédelmi és adatbiztonsági szabályozási portfóliót elérhetővé teszi a belső hálózatán, ahonnan azok letölthetőek, kinyomtathatóak,

e.   megfelelő tájékoztatás található a hozzájáruló nyilatkozatokban,

f.      közzétesz tájékoztató táblákat, matricákat,

g.   közzétesz közös adatkezelésre vonatkozó megállapodások lényegi részeit,

h.    közzétesz érdekmérlegelési teszteket, vagyok azok kivonatát, hatásvizsgálatot, vagy annak összesítését papír alapon és elektronikusan.

 

8.    Az előzetes tájékozódáshoz való joggal kapcsolatban a Munkatársak feladatait a 7/2020/GDPR sz. belső utasítás tartalmazza.

 

Hozzáférés joga

 

9.    A „hozzáférés joga”: Az Infotv és GDPR alapján az érintett jogosult arra, hogy kérelmére személyes adatait és az azok kezelésével összefüggő információkat az Adatkezelő a rendelkezésére bocsássa. A nevezett jogszabályok előírásai alapján az érintett kérelmére az Adatkezelő tájékoztatást ad

a.   az adatkezelés céljáról/céljairól,

b.   az általa kezelt adatokról és személyes adatok kategóriáiról,

c.   azon címzettek vagy címzettek kategóriáiról, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket (adatfeldolgozókról és adatközlés más címzettjeiről), továbbá tájékoztatást ad a továbbításra vonatkozóan a GDPR 46. cikk szerinti megfelelő garanciákról,

d.   az adatkezelés jogalapjáról, jogszerűségéről,

e.   az adatkezelés időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól,

f.     adott esetben ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információról,

g.   az érintettet az Infotv/GDPR alapján megillető jogokról, valamint azok érvényesítése módjáról,

h.   adott esetben az automatizált döntéshozatalról, ideértve a profilalkotást is, valamint a logikára és arra vonatkozó érthető információkról, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár,

i.      az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, ha az érintett ilyen incidens alanyává vált.

 

10. Az érintett adataival kapcsolatos tájékoztatási joga az Eüat alapján: a páciens (törvényes képviselője) jogosult tájékoztatást kapni a rá vonatkozó személyazonosító és egészségügyi adatokról, betekinthet az egészségügyi dokumentációba.

 

11. Az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel.

 

12. Adatkezelő felhívja az érintettek figyelmét, hogy a tájékoztatást arányosan korlátozza, vagy megtagadja

 

a.   ha a tájékoztatás hátrányosan érinti mások jogait, szabadságait;

b.   ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusának rendelkezése alapján az Adatkezelő személyes adatot akként vesz át, hogy az adattovábbító adatkezelő az adattovábbítással egyidejűleg jelzi a személyes adat érintettje a nevezett törvényben biztosított jogainak korlátozását, vagy kezelésének egyéb korlátozását.

c.   az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése, a büntetés-végrehajtás biztonsága érdekében, továbbá állami vagy önkormányzati gazdasági vagy pénzügyi érdekből, az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából – beleértve minden esetben az ellenőrzést és a felügyeletet is -, továbbá az érintett vagy mások jogainak védelme érdekében.

d.   az általa vagy részvételével végzett vizsgálatok vagy eljárások hatékony és eredményes lefolytatása érdekében.

 

13. Adatkezelő az elutasított hozzáférési kérelmekről a Nemzeti Adatvédelmi és Információszabadság Hatóságot évente értesíti, ha jogszabály alapján fennáll ilyen kötelezettsége.

 

14. A hozzáféréshez való joggal kapcsolatban a Munkatársak feladatait az 8/2020/GDPR sz. belső utasítás tartalmazza.

 

A helyesbítés joga

 

15. A helyesbítés joga: Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését. Ez alapján az Adatkezelő, ha az általa kezelt személyes adatok pontatlanok, helytelenek vagy hiányosak, azokat az érintett kérelmére haladéktalanul pontosítja, helyesbíti, vagy kiegészíti. Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az Adatkezelő rendelkezésére áll, a személyes adatot az Adatkezelő kötelezően helyesbíti, az érintett kérése nélkül is.

 

16. Adatkezelő mentesül a helyesbítés, pontosítás, kiegészítés kötelezettsége alól, ha

a.   a pontos, helytálló, illetve hiánytalan személyes adatok nem állnak rendelkezésére és azokat az érintett sem bocsátja a rendelkezésére, vagy

b.   az érintett által rendelkezésére bocsátott személyes adatok valódisága kétséget kizáróan nem állapítható meg.

 

17. Adatkezelő a helyesbítés megtörténtéről írásban tájékoztatja az érintettet, továbbá azt az adatfeldolgozót, aki a helyesbített adatot kezeli, valamint azt az adatkezelőt, aki felé az eredeti adatot továbbította.

 

18. A helyesbítéshez való joggal kapcsolatban a Munkatársak feladatait a 9/2020/GDPR sz. belső utasítás tartalmazza.

 

A törléshez való jog

 

19. A törléshez való jog: az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha

a.   a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b.   az érintett visszavonja a GDPR 6. cikk (1) bekezdésének a) pontja vagy a GDPR 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja. Adatok kezelésének van más jogalapja a hozzájárulás visszavonása, vagy adatok törlési kérelme esetén a következő esetekben és ezekben az esetekben az Adatkezelő az adatokat nem törli:

a)  ha az adatok kezelését törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben, különleges adatnak vagy bűnügyi személyes adatnak nem minősülő adat esetén – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli, vagy 

b)  ha az adatkezelés az érintett vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges és azzal arányos, vagy

c)   ha az adatkezelés törvényben kihirdetett nemzetközi szerződés végrehajtásához feltétlenül szükséges és azzal arányos, vagy azt az Alaptörvényben biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűncselekmények megelőzése, felderítése vagy üldözése érdekében vagy honvédelmi érdekből törvény elrendeli,

c.    az érintett a GDPR 21. cikk (1) bekezdése alapján tiltakozik az adatkezelés (közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelés, vagy jogos érdekből történő adatkezelés) ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy

d.   az érintett a GDPR 21. cikk (2) bekezdése alapján, a közvetlen üzletszerzés érdekében történő adatkezelés ellen tiltakozik;

e.    a személyes adatokat jogellenesen kezelték;

az adatkezelés jogellenes, így különösen, ha az adatkezelés

1.    az adatvédelem alapelveivel (lásd GDPR és Infotv) ellentétes,

2.    célja megszűnt, vagy az adatok további kezelése már nem szükséges az adatkezelés céljának megvalósulásához,

3.    törvényben, nemzetközi szerződésben vagy az Európai Unió kötelező jogi aktusában meghatározott időtartama eltelt, vagy

4.    jogalapja megszűnt és az adatok kezelésének nincs másik jogalapja,

f.      a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell, ideértve azt, ha az adatok törlését jogszabály, az Európai Unió jogi aktusa, a Hatóság vagy a bíróság elrendelte;

g.    a személyes adatok gyűjtésére az EU 2016/679 Rendelet 8. cikk (1) bekezdésében említett, közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

 

20. Adatkezelő felhívja az érintettek figyelmét a törléshez való jog GDPR-ból fakadó korlátaira, amelyek a következők:

a.   a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása;

b.   a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása;

c.   népegészségügy területét érintő közérdek;

d.   az EU 2016/679 Rendelet 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy

e.   jogi igények előterjesztése, érvényesítése, illetve védelme.

 

21. Az érintetti kérelemre induló törlés kapcsán a Munkatársak feladatait a 10/2020/GDPR sz. belső utasítás tartalmazza.

 

22. Az Infotv alapján, a törléshez való jog érvényesítése érdekében az Adatkezelő, érintetti kérelem nélkül is, haladéktalanul törli az érintett személyes adatait, ha

a.   az adatkezelés jogellenes,

az adatkezelés jogellenes különösen, ha az adatkezelés

1.    az adatvédelem alapelveivel (lásd GDPR és Infotv) ellentétes,

2.    célja megszűnt, vagy az adatok további kezelése már nem szükséges az adatkezelés céljának megvalósulásához,

3.    törvényben, nemzetközi szerződésben vagy az Európai Unió kötelező jogi aktusában meghatározott időtartama eltelt, vagy

4.    jogalapja megszűnt és az adatok kezelésének nincs másik jogalapja,

b.   az adatkezelés az Infotv 4. §-ban rögzített alapelvekkel ellentétes,

c.    az adatkezelés célja megszűnt, vagy az adatok további kezelése már nem szükséges az adatkezelés céljának megvalósulásához,

d.    törvényben, nemzetközi szerződésben vagy az Európai Unió kötelező jogi aktusában meghatározott időtartama eltelt, vagy

e.     jogalapja megszűnt és az adatok kezelésének nincs másik jogalapja.

f.      az adatok törlését jogszabály, az Európai Unió jogi aktusa, a Hatóság vagy a bíróság elrendelte, vagy

g.    az Infotv 19. § (1) bekezdés b)-d) pontjában meghatározott időtartam eltelt.

 

23. Nem érintetti kérelemre induló törlés kapcsán a Munkatársak feladatait a 11/2020/GDPR sz. belső utasítás tartalmazza.

 

Az elfeledtetéshez való jog

 

24. Elfeledtetéshez való jog: abban az esetben, ha az Adatkezelő valamely okból nyilvánosságra hozta a személyes adatot, és azt a fentiek értelmében törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő más adatkezelőket, hogy az érintett kérelmezte a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

 

Magyarázat: az interneten megvalósuló adatkezelések kapcsán nem elegendő a törléshez való jogot biztosítani, hiszen az adatok nem csak egy adatkezelőnél rögzülnek, hanem sok más adathordozón is, ezentúl a keresőmotorok a korábban tárolt verziókat is elérhetővé teszik. Az általános adatvédelmi rendelet szabályai értelmében az internet sajátosságaira tekintettel azt is lehetővé kell tenni, hogy az érintett az adatok minden lehetséges elérési pontján töröltethesse azokat, hiszen csak ez vezet el a tényleges joggyakorláshoz.

 

25. Az elfeledtetés jogával kapcsolatban a Munkatársak feladatait a 12/2020/GDPR sz. belső utasítás tartalmazza.

 

Hozzájárulás visszavonásának joga

 

26. Az érintett jogosult arra, hogy bármely hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét, tehát a visszavonás kizárólag a jövőre vonatkozik, visszaható hatálya nincsen.

 

27. Az Adatkezelő a hozzájárulás visszavonása esetén az érintettet törli az adott adatkezeléshez kapcsolódó adatállományból (ha az egyéb feltételek fennállnak). Ennek megfelelően a Munkatársak feladatait a törlésre vonatkozó, 7/2020/GDPR sz. belső utasítás tartalmazza.

 

28. Magát a hozzájáruló nyilatkozatot az Adatkezelő a visszavonástól számított általános elévülési időben kezeli (tárolja, zárolja) a későbbi bizonyíthatóság, így az elszámoltathatóság elvének teljesítése miatt.

 

Adatkezelés korlátozásához/zárolásához való jog

 

29. Az adatkezelés korlátozásához, vagy más néven zároláshoz való jog: Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, az adatokhoz történő hozzáférést, ha valamelyik feltétel fennáll:

a.   ha az érintett vitatja az Adatkezelő, illetve az adatfeldolgozó által kezelt személyes adatok pontosságát, helytállóságát vagy hiánytalanságát, és a kezelt személyes adatok pontossága, helytállósága vagy hiánytalansága kétséget kizáróan nem állapítható meg, a fennálló kétség tisztázásának időtartamára,

b.   az adatkezelés jogellenes (lásd az Infotv 20. § a) pontjában meghatározottakat), és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

c.   az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

d.   az érintett a GDPR 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

e.   ha az adatok törlésének lenne helye, de az érintett írásbeli nyilatkozata vagy az Adatkezelő rendelkezésére álló információk alapján megalapozottan feltételezhető, hogy az adatok törlése sértené az érintett jogos érdekeit, a törlés mellőzését megalapozó jogos érdek fennállásának időtartamára,

f.     ha az Infotv 20. § a) pontjában meghatározottak szerint (tehát jogellenes adatkezelés miatt) az adatok törlésének lenne helye, de az adatkezelő vagy más közfeladatot ellátó szerv által vagy részvételével végzett, jogszabályban meghatározott vizsgálatok vagy eljárások során az adatok bizonyítékként való megőrzése szükséges, ezen vizsgálat vagy eljárás végleges, illetve jogerős lezárásáig,

g.   ha az Infotv 20. § a) pontjában meghatározottak szerint (tehát jogellenes adatkezelés miatt) az adatok törlésének lenne helye, de az Infotv 12. § (2) bekezdésében foglalt dokumentációs kötelezettség teljesítése céljából (nemzetközi adattovábbítás speciális esetei miatt) az adatok megőrzése szükséges, a 25/F. § (4) bekezdésben meghatározott időpontig (10 évig).

 

30. Adatkezelő indokolatlan késedelem nélkül, maximum a kérelem beérkezésétől számított 15 napon belül tájékoztatja az érintettet a kérelmében meghatározottakról, és/vagy korlátozza (zárolja) az adatokat, vagy tesz meg egyéb lépéseket a kérelemnek megfelelően, ha nincsen azt kizáró ok.

 

31. A zárolás/korlátozás jogával kapcsolatban a Munkatársak feladatait a 13/2020/GDPR sz. belső utasítás tartalmazza.

 

Az adathordozhatóság joga

 

32. Az „adathordozhatósághoz való jog”: Az érintett jogosult arra, hogy

a.    a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy

b.   ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:

a)    az adatkezelés hozzájáruláson alapul; és

b)   az adatkezelés automatizált módon történik.

 

33. Az adatok hordozhatóságához való jog gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.

 

34. A jog gyakorlása nem sértheti a törléshez való jogot. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges. A jog gyakorlása nem érintheti hátrányosan mások jogait és szabadságait.

 

35. Az adathordozhatóság jogával kapcsolatban a Munkatársak feladatait a 14/2020/GDPR sz. belső utasítás tartalmazza.

 

A tiltakozáshoz való jog

 

36. A tiltakozáshoz való jog: Az érintett tiltakozhat személyes adatának kezelése ellen, a következő esetekben:

 

a.   ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges, ideértve a profilalkotást is;

b.   ha az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, ideértve a profilalkotást is;

c.   személyes adatok kezelése közvetlen üzletszerzés érdekében történik, ideértve a profilalkotást is.

d.   ha a személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

 

37. Az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.

 

Például az érintett a személyes adatainak marketing célú értékesítése (eladása) ellen akkor is tiltakozhat, ha korábban ehhez hozzájárult. Ebben az esetben az adatokat értékesítés céljából a továbbiakban kezelni nem lehet.

 

38. A tiltakozás jogával kapcsolatban a Munkatársak feladatait a 15/2020/GDPR sz. belső utasítás tartalmazza.

 

Panasztétel joga

 

39. Panasztétel joga: amennyiben érintett az adatkezelés végrehajtását sérelmezi, azt az Adatkezelő, ha más jogérvényesítéssel a kérelmet nem lehet azonosítani, panaszként kezeli.

 

40. A panasztétel jogával kapcsolatban a Munkatársak feladatait a 16/2020/GDPR sz. belső utasítás tartalmazza.

 

41. Amennyiben az érintett az Adatkezelő bármelyik döntésével nem ért egyet, vagy az Adatkezelő a hivatkozott határidőt elmulasztja, jogosult hatósághoz fordulni a hatóság által meghatározott feltételek betartásával. Az érintettek bejelentéssel, panasszal élhetnek a hatóság előtt:

 

Nemzeti Adatvédelmi és Információszabadság Hatóság

Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c

Telefon: +36 (1) 391-1400

Fax: +36 (1) 391-1410

www: http://www.naih.hu

e-mail: ugyfelszolgalat@naih.hu

 

Bírósági jogérvényesítés joga

 

42. Bírósági jogérvényesítés: Az érintett a jogainak megsértése esetén bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az Adatkezelő köteles bizonyítani.

 

43. Kártérítésre és sérelemdíjra vonatkozó törvényi szabályok: Abban az esetben, ha az Adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett az Adatkezelőtől sérelemdíjat követelhet.

 

44. Abban az esetben, ha Adatkezelő adatfeldolgozót vett igénybe, az érintettel szemben az Adatkezelő és az adatfeldolgozó a GDPR-ban meghatározott előírások megsértésével okozott kárért egyetemlegesen felelnek, továbbá a személyiségi jogsértés esetén járó sérelemdíjat egyetemlegesen kötelesek megfizetni az érintettnek.

 

45. Nem kell megtéríteni a kárt és nem követelhető a sérelemdíj annyiban, amennyiben a kár a károsult vagy a személyiségi jog megsértésével okozott jogsérelem az érintett szándékos vagy súlyosan gondatlan magatartásából származott.

 

1.    Jelen Szabályzat rendelkezése, valamint az Adatkezelő gyakorlata nem lehet ellentétes az adatkezelési elvekkel.

 

2.   A Szabályzat a következő adatkezelési elveket vezeti be hatályba lépése napjától, amely elvek kötelező rendelkezések és iránymutatásul szolgálnak olyan kérdésekben, amelyeket a Szabályzat, vagy a belső adatvédelmi szabályozási portfólióba tartozó dokumentum nem tárgyal.

 

A célhoz kötöttség elve

 

3.    „Célhoz kötöttség” elve: (GDPR 5. cikk (1) b) pontja, Infotv 4. § (1)-(3) bek.) Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának. A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű cél(ok)ból történhet, és adatok nem kezelhetőek az eredeti céllal/célokkal össze nem egyeztethető módon. Nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés.

 

4.    Az elv megvalósulásával kapcsolatban a Munkatársak tipikus feladatait a  17/2020/GDPR sz. belső utasítás tartalmazza.

 

Jogszerűség, tisztességes eljárás és átláthatóság elve

 

5.    „Jogszerűség, tisztességes eljárás és átláthatóság” elve: (GDPR 5. cikk (1) a), Infotv 4. § (1) és (5) bek.) Személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni, az adatok gyűjtésének és kezelésének tisztességesnek és törvényesnek kell lennie.

 

6.    Az elvek megvalósulásával kapcsolatban a Munkatársak tipikus feladatait a  18/2020/GDPR sz. belső utasítás tartalmazza.

 

Arányosság, szükségesség elve

 

 

7.    „Arányosság, szükségesség, adatminimalizálás vagy adattakarékosság” elve: (GDPR 5. cikk (1) c) pontja, Infotv 4. § (2) bek.) Az adatoknak az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk. Máshogyan megfogalmazva csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. Az érintettet csak az adatkezelés céljához szükséges ideig lehet azonosítani. Mindezeknek megfelelően Adatkezelő csak és kizárólag olyan adatot kezel és annyi ideig, amely feltétlenül szükséges. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az Adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.

 

8.    Az elv megvalósulásával kapcsolatban a Munkatársak tipikus feladatait a  19/2020/GDPR sz. belső utasítás tartalmazza.

 

Pontosság, naprakészség elve

 

9.    „Pontosság, naprakészség” elve: (GDPR 5. cikk (1) d) pontja, Infotv 4. § (4) bek.) A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; Adatkezelőnek minden észszerű intézkedést meg kell tennie annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.

 

10. Az elv megvalósulásával kapcsolatban a Munkatársak tipikus feladatait a  20/2020/GDPR sz. belső utasítás tartalmazza.

 

Korlátozott tárolhatóság elve

 

11. „Korlátozott tárolhatóság” elve: (GDPR 5. cikk (1) e) pontja, Infotv 4. § (2) bek. második fordulata) A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, a GDPR-ban az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is tekintettel.

 

12. A korlátozott tárolhatóság alól kivételként az az eset értelmezhető, amikor az adatok maradandó értékű iratokon szereplő adatok. Maradandó értékű iratnak minősülő dokumentum esetében az irat és így adat nem leselejtezhető, nem törölhető, nem semmisíthető meg. Maradandó értékű irattá minősítést az Adatkezelő adatvédelmi vezetése határozza el, figyelemmel jogszabályi előírásokról és a működésére.

 

13. Az elv megvalósulásával kapcsolatban a Munkatársak tipikus feladatait a  21/2020/GDPR sz. belső utasítás tartalmazza.

 

Integritás és bizalmasság elve

 

14. „Integritás és bizalmasság” elve: (5. cikk (1) f) pontja, Infotv 4. § (4a) bek.) Személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

 

15. Az elv megvalósulásával kapcsolatban a Munkatársak tipikus feladatait a  22/2020/GDPR sz. belső utasítás tartalmazza.

 

Elszámoltathatóság elve

 

16. „Elszámoltathatóság” elve: (GDPR 5. cikk (2) bek.) Az Adatkezelő felelős az alapelveknek és a Szabályzatban meghatározottaknak való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.

 

17. Az elv megvalósulásával kapcsolatban a Munkatársak tipikus feladatait a  23/2020/GDPR sz. belső utasítás tartalmazza.

 

Beépített és alapértelmezett adatvédelem gondolatisága

 

18. „Beépített és alapértelmezett adatvédelem” gondolatisága: nagyon tudatos adatvédelmi gondolkodásmód, amely nagyon röviden összefoglalva azt jelenti, hogy az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során az Adatkezelő megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre a fenti elvek hatékony megvalósítása, a kötelezettségek teljesítése, jogi garanciák beépítése, stb. céljával, mindezeket pedig szabályozottan és részletesen dokumentáltan teszi meg. Az Adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

 

19. A gondolkodásmód implementálásával kapcsolatban a Munkatársak tipikus feladatait a  24/2020/GDPR sz. belső utasítás tartalmazza.

 

1.    Az adatkezelés bevezetése, módosítása, megszüntetése során a vonatkozó belső szabályokat, utasításokat e fejezet rendelkezéseivel együtt kell alkalmazni.

 

2.   Adatkezelés bevezetése az Adatkezelő adatvédelmi vezetésének döntése alapján történik. A döntésnek tartalmaznia kell a következőket:

a.   az adatkezelésért felelős Munkatárs/Partner feladatai,

b.   az adatok felvételének, módosításának, törlésének rendje,

c.   adatszolgáltatási kötelezettségek meghatározása az adatok naprakészen tartása érdekében,

d.   a nyilvántartási rendszerből történő adattovábbítás, az ahhoz való hozzáférés rendje;

e.   az adatkezelésre vonatkozó különös adatbiztonsági intézkedések meghatározása;

f.     GDPR-nak, az Infotv-nek és egyéb alkalmazandó jogszabálynak megfelelő adatkezelési tájékoztató,

g.   hozzájáruláson alapuló adatkezelés esetén a hozzájáruló nyilatkozat mintája.

 

3.   Adatvédelmi tisztviselőt / kapcsolattartót (ha ilyen pozíció betöltésre került) az új adatkezelés bevezetésére vonatkozó igény megfogalmazásától kezdve be kell vonni az adatkezelés feltételeinek kidolgozása folyamatába.

 

4.   Amennyiben az új adatkezelés bevezetése több szervezeti egységet érint, az adatkezelésért felelős valamennyi érintett egység vezetőjét be kell vonni az adatkezelés feltételeinek kidolgozása folyamatába.

 

5.   Az adatkezelés feltételeinek kidolgozásában érintett szervezeti egységek vezetői kötelesek egymással és az adatvédelmi tisztviselővel / kapcsolattartóval, valamint az Adatkezelő adatvédelmi vezetésével együttműködni.

 

Feladatok az adatkezelés bevezetésével kapcsolatban

 

6.   Az adatkezelés bevezetésével, az adatkezelés feltételeinek meghatározásával kapcsolatban

a.   ki kell nevezni a leendő adatkezelésért felelőst (Munkatársat, vagy szükség esetén Partnert). A leendő adatkezelésért felelős feladatait a szervezeti egység vezetője látja el, ha külön felelős valamilyen ok miatt mégsem került kinevezésre, vagy feladatait ellátni nem tudja.

b.   a leendő adatkezelésért felelős:

a)  meghatározza az adatkezelés célját, az adatkezelés jogalapját, a kezelendő adatok körét, az adatkezelés várható időtartamát, az adatkezelés egyéb feltételeit, és ilyen tartalmú javaslatot készít az adatvédelmi tisztviselő / kapcsolattartó és az Adatkezelő adatvédelmi vezetése számára (GDPR 4. cikk 7. és 16. pont);

b)  az előző pontban meghatározott feladat részeként előterjesztést tesz a fenti címzett(ek)nek arról, hogy az esetleg eltérő célú adatkezelés összeegyeztethető-e az eredeti céllal, és az eredeti cél szolgálhat-e a tervezett adatkezelés új jogalapjául [GDPR 6. cikk (4) bek.];

c)   amennyiben az adatkezelés jogalapja a jogos érdek, felkéri az adatvédelmi tisztviselőt / kapcsolattartót (ha ilyen személy kinevezésre került), hogy működjön közre az érdekmérlegelési teszt tervezetének létrehozásában [GDPR 6. cikk (1) bek. f) pont];

d)  amennyiben hatásvizsgálat elkészítése szükséges, felkéri az adatvédelmi tisztviselőt / kapcsolattartót, hogy működjön közre a hatásvizsgálat tervezetének létrehozásában

e)   javaslatot tesz az adatvédelmi tisztviselő / kapcsolattartó és az Adatkezelő adatvédelmi vezetése számára abban a kérdésben, hogy az adatkezelést közös adatkezelésként indokolt-e ellátni, illetve indokolt-e adatfeldolgozót bevonni; valamint automatizált döntéshozatali módszer, illetve profilalkotási módszer alkalmazására [GDPR 22. cikk (1) bek.], és ha szüksége arról, hogy a személyes adatok harmadik országba továbbíthatók-e ;

f)     amennyiben a hozzájárulás a jogalap, felkéri az adatvédelmi tisztviselőt / kapcsolattartót, hogy nézze át a hozzájáruló nyilatkozat tervezetét [GDPR 7. cikk (2) bek.], illetve a megfelelő szerződéses rendelkezések tervezetét;

g)  felkéri az adatvédelmi tisztviselőt / kapcsolattartót, hogy nézze át az adatkezelésről szóló tájékoztatás tervezetét (GDPR 13-14. cikk);

 

7.   Az Adatvédelmi tisztviselő / kapcsolattartó (amennyiben kijelölésre került)

a.   az adatkezelés bevezetéséről szóló döntést követően az adatkezelést bevezeti a vonatkozó adatkezelési tevékenységek nyilvántartásába (adatkezelői nyilvántartásba)

b.   gondoskodik és közreműködik

a)  a célhoz kötött adatkezelés és az adattakarékosság elvének megfelelően gyűjtött adatokra vonatkozóan a beépített és alapértelmezett adatvédelem elveinek dokumentált érvényesüléséről;

b)  annak biztosításában, hogy az adathordozhatóság, adattörlés és adattisztítás célú módosítások szabályozott és dokumentált módon valósuljanak meg;

c)   annak biztosításában, hogy az adatvédelmi tájékoztatók és nyilatkozatok könnyen elérhetők legyenek az érintettek számára,

d)  annak biztosításában, hogy az adatkezeléssel kapcsolatos érintetti rendelkezéseket visszakereshető formában tárolják.

 

8.   Amennyiben nincsen adatvédelmi tisztviselő / kapcsolattartó kinevezve, úgy a feladatokat vagy e feladattal megbízott Munkatárs hajtja végre, vagy maga az Adatkezelő adatvédelmi vezetése.

 

9.   Amennyiben az adatkezelés feltételei kidolgozásában részt vevők között véleményeltérés van, az adatvédelmi tisztviselő / kapcsolattartó javaslatot tesz a lehetséges megoldásra, amelyről az Adatkezelő adatvédelmi vezetése dönt.

 

10. Az adatvédelmi tisztviselő / kapcsolattartó véleményét az adatkezelés bevezetéséről való döntést kezdeményező előterjesztésben ismertetni kell. Az adatvédelmi tisztviselő véleményétől való eltérést az előterjesztésben részletesen meg kell indokolni.

 

Feladatok az adatkezelés során

 

11. Az adatkezelés során az adatkezelésért felelős:

a.   figyelemmel kíséri az adatkezelés feltételeinek folyamatos fennállását (beleértve az adatkezelés jogszerűségéhez szükséges tájékoztatások megadását, nyilatkozatok beszerzését stb.) és szükség esetén kezdeményezi a szükséges intézkedéseket az adatkezelés feltételeinek módosítása iránt;

b.   amennyiben az adatkezelés hozzájáruláson alapul, ellenőrzi, hogy az érintett a hozzájárulását szabályosan szerezték-e be [GDPR 7. cikk (1) bek.], azokat hogyan tárolják, kezelik;

c.   amennyiben az adatkezelés jogos érdeken alapul, gondoskodik arról, hogy legalább az érintettel való első kapcsolatfelvételkor felhívják az érintett figyelmét a tiltakozási jogra, és hogy az erről szóló tájékoztatást egyértelműen és más információtól elkülönítve jelenítsék meg [GDPR 21. cikk (4) bek.];

d.   közreműködik az érdekmérlegelési tesztek és adatvédelmi hatásvizsgálatok utóellenőrzésben, felülvizsgálatában [GDPR 35. cikk (11) bek.].

 

12. Az adatkezelés során az adatvédelmi tisztviselő / kapcsolattartó (amennyiben a pozíció betöltésre került)

a.   a hozzá érkezett kérdéseket, kéréseket, panaszokat kivizsgálja és

b.   őrködik az adatkezelés jogszerűsége és más alapelvek betartása felett, beleértve azt, hogy szükség esetén javasolja az adatkezelés (azonnali hatályú) felfüggesztését, megszüntetését, módosítását az Adatkezelő adatvédelmi vezetése számára.

 

Feladatok az adatkezelés megszüntetésével kapcsolatban

 

13. Adatkezelés megszüntetéséről szóló döntés estén az adatvédelmi tisztviselő / kapcsolattartó javaslatot tesz az Adatkezelő adatvédelmi vezetése számára a törlés/megsemmisítés módjára, idejére, az adatok esetleges archiválására meghatározott ideig, az adatkezelési tevékenységek (adatkezelői) nyilvántartásból történő törlésre.

 

Az érdekmérlegelési teszt elvégzésének módszertana

 

14. Amennyiben az Adatkezelő saját vagy harmadik személy jogos érdeke alapján kezel adatot [GDPR 6. cikk (1) bekezdés f) pont], érdekmérlegelési tesztet kell elvégezni és azt dokumentálni. Jogos érdek az a törvényes, kellően pontosan megfogalmazott, valós és fennálló, illetve elérhető előny, amelyet az adatkezelő származtat – vagy a harmadik személy származtathat – az adatkezelésből.

 

15. Az érdekmérlegelési tesztet az e feladattal megbízott Munkatárs/Partner végzi el és küldi meg az adatvédelmi tisztviselő / kapcsolattartó, ezek hiányában az Adatkezelő adatvédelmi vezetése számára. A jogos érdeken alapuló adatkezelés kizárólag sikeres érdekmérlegelési teszt elvégzését követően kezdhető meg.

 

16. Minden egyes célhoz önálló érdekmérlegelési tesztet kell elvégezni.

 

17. Az érdekmérlegelési teszt részei legalább a következő kérdésekre és pontokra kell, hogy választ adjanak:

a.   Miben áll az Adatkezelő jogos érdeke?

b.   a tervezett adatkezelés leírása és az annak keretében kezelni tervezett személyes adatok meghatározása

c.   a jogos érdek jogszerűsége

d.   a jogos érdek egyértelműsége

e.   a jogos érdek valós és fennálló érdeket képvisel-e?

f.     adatkezelés szükséges-e?

g.   adatkezelés arányos?

h.   az Adatkezelő érdekének természete, jellege.

i.      adatkezelés elmaradása esetén elszenvedett hátrányok.

j.      az érintettek státusza.

k.    az érintettek jogai, érdekei.

l.      adatkezelés biztonsága.

m. az Adatkezelő (vagy harmadik fél) és az érintettek érdekeinek összevetése,

n.   az érdekmérlegelési teszt eredménye.

 

Az adatvédelmi hatásvizsgálat elvégzésének módszertana

 

18. Ha az adatkezelés valamely, különösen új technológiákat alkalmazó típusa valószínűsíthetően magas kockázattal jár a természetes személyek jogaira nézve az adatkezelést megelőzően hatásvizsgálatot kell végezni. Olyan egymással hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló kockázatokat jelentenek, egyetlen adatvédelmi hatásvizsgálat (továbbiakban hatásvizsgálat) keretei között is értékelhetők.

 

19. Adatvédelmi hatásvizsgálatot a GDPR 35. cikk (3) bekezdésében, illetve a Nemzeti Adatvédelmi és Információszabadság Hatóság által közzétett jegyzékben ( https://www.naih.hu/files/GDPR_35_4_lista_HU_mod.pdf) szereplő adatkezelések, adatkezelési műveletek esetén kell végezni.

 

20. A fenti eseteken túl minden olyan bevezetésre kerülő – különösen az új technológiákat alkalmazó – adatkezelés esetén is hatásvizsgálatot kell végezni, mely adatkezelés az érintettre tekintettel jelentős joghatással bír/az ügyfelet jelentős mértékben érinti.

 

21. A hatásvizsgálat módszertanát minden esetben a tervezett adatkezelés figyelembevételével kell megválasztani. Egy lehetséges módszertant alkalmazó szoftver található a Nemzeti Adatvédelmi és Információszabadság Hatóság honlapján (https://naih.hu/adatvedelmi-hatasvizsgalati-szoftver.html).

 

22. A hatásvizsgálatot legalább háromévente felül kell vizsgálni, szükség esetén újra el kell végezni.

 

1.    Az Adatkezelő minden esetben tájékoztatja az érintetteket az adatkezelés jogalapjáról a szabályozási portfólió egyes részeiben, így többek között a 3/2020/GDPR sz. utasítás mellékleteiben (adatkezelési tájékoztatókban), hozzájáruló nyilatkozatokban, vagy más tájékoztatóban, stb.

 

2.    Összhangban az adatkezelések céljaival, a személyes adatok kezelése akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül (GDPR 6. cikk):

 

a.   az érintett előzetes és önkéntes hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b.   az adatkezelés jogszerű, ha az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c.   az adatkezelés jogszerű, ha az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d.   az adatkezelés akkor is jogszerű, ha az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e.   az adatkezelés jogszerű, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

f.     az adatkezelés jogszerű, ha az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.

 

2.      Összhangban az adatkezelések céljaival, a különleges adatok kezelése akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül (GDPR 9. cikk)

a.   az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az érintett hozzájárulásával nem élhet;

b.   az adatkezelés az Adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;

c.   az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;

d.   az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott és az az adatkezelés céljának megvalósulásához szükséges és azzal arányos;

e.   az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;

f.     az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

g.   az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a GDPR 9. cikk (3) bekezdésben említett feltételekre és garanciákra figyelemmel;

h.   az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;

i.      az adatkezelés a GDPR 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.

 

3.      A hozzájárulás kizárólag akkor tekinthető jog szerint elfogadhatónak, ha mindhárom tartalmi követelményt, tehát

a.   az önkéntességet,

b.   a határozottságot (egyértelműséget) és

c.   megfelelő tájékozottságon alapulóságot is teljesíti.

 

4.      Az érintett önkéntes, kifejezett adatszolgáltatása esetén az Adatkezelő a személyes adatot az érintett beleegyezésével kezeli.

 

5.      Az önkéntességnek minden esetben aktív magatartással kell megvalósulnia.

 

6.      Az Adatkezelőnek kell bizonyítania, hogy az adatkezelési művelethez az érintett hozzájárult, ezért az Adatkezelő a hozzájárulást írásban, vagy elektronikus úton veszi fel és tárolja el.

 

7.      Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel.

 

8.      Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. Ebben az esetben a vonatkozó belső utasításnak megfelelően kell eljárni.

 

Például: az érintett kérheti hírlevélről történő törlését.

 

9.      Az Adatkezelő a hozzájárulás visszavonása esetén az érintettet törli az adott adatkezeléshez kapcsolódó adatállományból (ha az egyéb feltételek fennállnak). Magát a hozzájáruló nyilatkozatot az Adatkezelő a visszavonástól számított általános elévülési időben kezeli (tárolja) a későbbi bizonyíthatóság, így az elszámoltathatóság elvének teljesítése miatt.

 

10.  A GDPR 6. cikk (1) b) pontjában rögzített esetben hangsúlyos az, hogy a szerződés az érintett és az Adatkezelő között jöjjön létre, vagy ilyen szerződés megkötéséhez szükséges lépésekről legyen szó. Amennyiben a szerződés az érintett által képviselt szervezet és az Adatkezelő között jön létre, úgy az érintett (mint képviselő, kapcsolattartó) adatait az Adatkezelő jogos érdek (GDPR 6. cikk (1) f) pontja) alapján kezeli.

 

11.  A fenti szabályokat kiegészítve, az egészségügyi és személyazonosító adatok a következő célok elérése érdekében kezelhetőek:

a.   az egészség megőrzésének, javításának, fenntartásának előmozdítása,

b.   a páciensellátó eredményes gyógykezelési tevékenységének elősegítése, ideértve a szakfelügyeleti tevékenységet is,

c.   az érintett egészségi állapotának nyomon követése,

d.   a népegészségügyi, közegészségügyi és járványügyi érdekből szükségessé váló intézkedések megtétele,

e.   a páciensjogok érvényesítése.

 

12.  A fent felsoroltakon kívül törvényben meghatározott esetekben a következő célokból lehet egészségügyi és személyazonosító adatot kezelni:

a.   egészségügyi szakember-képzés,

b.   orvos-szakmai és epidemiológiai vizsgálat, elemzés, az egészségügyi ellátás tervezése, szervezése, költségek tervezése,

c.   statisztikai vizsgálat,

d.   tudományos kutatás,

e.   az egészségügyi adatot kezelő szerv vagy személy hatósági vagy törvényességi ellenőrzését, szakmai vagy törvényességi felügyeletét végző szervezetek munkájának elősegítése, ha az ellenőrzés célja más módon nem érhető el, valamint az egészségügyi ellátásokat finanszírozó szervezetek feladatainak ellátása,

f.     a társadalombiztosítási, illetve szociális ellátások megállapítása, amennyiben ez az egészségi állapot alapján történik,

g.   az egészségügyi ellátásokra jogosultak részére a kötelező egészségbiztosítás terhére igénybe vehető szolgáltatások rendelésének és nyújtásának, valamint a gazdaságos gyógyszer-gyógyászati segédeszköz- és gyógyászati ellátás rendelési szabályai betartásának a vizsgálata,

h.   továbbá a külön jogszabály szerinti szerződés alapján a jogosultak részére nyújtott ellátások finanszírozása, illetve az ártámogatás elszámolása,

i.      bűnüldözés, továbbá a rendőrségről szóló 1994. évi XXXIV. törvényben meghatározott feladatok ellátására kapott felhatalmazás körében bűnmegelőzés,

j.      a nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvényben meghatározott feladatok ellátása, az abban kapott felhatalmazás körében,

k.    közigazgatási eljárás,

l.      szabálysértési eljárás,

m. ügyészségi eljárás,

n.   bírósági eljárás,

o.   az érintettnek nem egészségügyi intézményben történő elhelyezése, gondozása,

p.   a munkavégzésre való alkalmasság megállapítása függetlenül attól, hogy ezen tevékenység munkaviszony, közalkalmazotti és közszolgálati jogviszony, hivatásos szolgálati viszony vagy egyéb jogviszony keretében történik,

q.   közoktatás, felsőoktatás és szakképzés céljából az oktatásra, illetve képzésre való alkalmasság megállapítása,

r.     a katonai szolgálatra, illetve a személyes honvédelmi kötelezettség teljesítésére való alkalmasság megállapítása,

s.     munkanélküli ellátás, foglalkoztatás elősegítése, valamint az ezzel összefüggő ellenőrzés.

 

13.  Amennyiben közegészségügyi, járványügyi célból történik adatkezelés, a páciensellátó haladéktalanul továbbítja az egészségügyi államigazgatási szervnek az egészségügyi és személyazonosító adatot, ha fertőző betegséget észlel, vagy annak gyanúja merül fel.

 

14.  Az ÁNTSZ városi intézete közegészségügyi vagy járványügyi közérdekre hivatkozva kérheti az érintett személyazonosító adatait, amelyet az Adatkezelő felé továbbítani köteles.

 

15.  Adatkezelési célokra csak annyi és olyan egészségügyi, illetve személyazonosító adat kezelhető, amely az adatkezelési cél megvalósításához elengedhetetlenül szükséges.

 

16.  Kötelező adatkezelés esetén, ha az érintett az adatszolgáltatást elmulasztja, akkor az Adatkezelő a szolgáltatást/adatkezelést köteles megtagadni számára.

 

17.  Kötelező adatkezelés kapcsán előfordulhatnak olyan dokumentációk, iratok, amelyek személyes adatokat tartalmaznak, és jogszabály meghatározza a formátumot is, amelyben kell ezeket vezetni, és vannak olyan dokumentációk, amelyeket vezetni kötelező, de nincsen formai megkötés.

 

18.  Az e feladattal megbízott Munkatárs látja el a dokumentációk vezetését.

 

19.  Abban az esetben, ha adatkezelés alapja a jogos érdek, úgy Adatkezelő érdekmérlegelési tesztet végez el.

 

1.      Az adatkezelés időtartama minden adatkezelési tevékenység esetében meghatározásra került az adatkezelés leírásában, azonban ha az valamilyen hiba, hiányosság miatt nem alkalmazható, úgy a következő szabályokat kell alkalmazni:

a.   a cél megvalósulásáig és a személyes adatainak törléséig, vagy

b.   adatainak kezelésére vonatkozó engedélye visszavonásáig, vagy adatainak kezelési igényének visszavonásáig, és így személyes adatainak törléséig,

c.   jogszabályban meghatározott határidő lejártáig,

d.   bíróság vagy hatóság törlésre vonatkozó döntésének végrehajtásáig,

e.   jogos érdek megszűnéséig,

f.     jogi igény érvényesíthetőségéig tart (A hatályos Ptk. 6:22 § alapján az általános elévülési idő 5 év).

 

2.      Jogszabályon alapuló kötelező adatkezelés esetén, a vonatkozó törvény, vagy önkormányzati rendelet állapítja meg az adatkezelés időtartamát. Ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, úgy Adatkezelő a 22/2020/GDPR. sz. belső utasításnak megfelelően jár el.

 

3.      Az egészségügyi dokumentációt, és egészségügyi adatot a 1997. évi XLVII. törvény 30. § 1. bek. alapján legalább 30 évig, a zárójelentést legalább 50 évig, a képalkotó diagnosztikai eljárással készült felvételt az annak készítésétől számított 10 évig, a felvételről készített leletet a felvétel készítésétől számított 30 évig kell az Adatkezelőnek megőriznie.

 

Adatmegosztás Adatkezelő szervezetén belül

 

1.    Adatok Adatkezelőn belül történő megosztás kizárólag úgy történhet, ha a megosztani kívánt adat(ok)hoz a címzett Munkatársnak is van hozzáférési jogosultsága és a Munkatárs feladatainak ellátáshoz szükséges az adat.

 

2.    A Munkatárs a megosztást megelőzően köteles beszerezni a címzett Munkatárs hozzáférési jogosultságával kapcsolatos információkat.

 

Adattovábbítás az Adatkezelőtől eltérő harmadik fél felé

 

3.    Az adattovábbítást megelőzően az Adatkezelő megvizsgálja a továbbítandó személyes adatok pontosságát, teljességét és naprakészségét, szükség esetén adategyeztetést hajt végre.

 

4.    Személyes adatot az Adatkezelő harmadik országban, továbbá nemzetközi szervezet keretein belül adatkezelést folytató adatkezelő vagy adatfeldolgozó részére – a közvetett adattovábbítást is ideértve – akkor továbbíthat (a továbbiakban együtt: nemzetközi adattovábbítás), ha

a nemzetközi adattovábbításhoz az érintett kifejezetten hozzájárult, vagya nemzetközi adattovábbítás az adatkezelés céljának eléréséhez szükséges, valamint                                                   i.    annak során az adatkezelésnek az 5. §-ban előírt feltételei teljesülnek, és

                                                  ii.    a harmadik országban, illetve a nemzetközi szervezet keretein belül adatkezelést folytató adatkezelő vagy adatfeldolgozó tekintetében a továbbított személyes adatok megfelelő szintű védelme biztosított, vagy

a nemzetközi adattovábbítás az alább meghatározott kivételes esetekben szükséges: adattovábbítás az érintett kifejezett hozzájárulásának hiányában kizárólag abban az esetben lehetséges, ha az                                                    i.    az érintett vagy más személy létfontosságú érdekeinek védelme érdekében szükséges, vagy

                                                  ii.    valamely EGT-állam vagy harmadik ország közbiztonságát közvetlenül és súlyosan fenyegető veszély elhárítása érdekében szükséges, vagy

                                                 iii.    egyedi ügyben, eseti jelleggel az adatkezelő által végzett vizsgálatok vagy eljárások hatékony és eredményes lefolytatása érdekében szükséges, és az nem jár az érintett alapvető jogainak aránytalan korlátozásával, vagy

                                               iv.    egyedi ügyben, eseti jelleggel az érintett vagy más jogi igényeinek előterjesztése, érvényesítése, illetve védelme érdekében szükséges, és az nem jár az érintett alapvető jogainak aránytalan korlátozásával.

 

1.    Adatkezelő gondoskodik arról, hogy a vonatkozó jogszabályokban előírt adatbiztonsági szabályok érvényesüljenek. Ennek érdekében megteszi a szükséges technikai és szervezési intézkedéseket a tárolt adatállományok tekintetében.

 

2.    Az adatbiztonsági szabályok tervezetének kialakításába az adatvédelmi tisztviselőt / kapcsolattartót (ha betöltésre került ilyen pozíció) be kell vonni.

 

3.    Az adatbiztonsági intézkedéseket érintően az adatkezelésért felelős, hiányában a szervezeti egység vezetője:

a területére vonatkozó információk szolgáltatásával közreműködik az adatkezelés biztonságát fenyegető kockázatok felmérésében és meghatározásában;közreműködik azon információbiztonságot érintő feladatok végrehajtásában, amelyek az adatbiztonsági követelmények megvalósulásához szükségesek;figyelemmel kíséri a belső adatvédelmi szabályok érvényre juttatását a területen belül, jelzi a szabályok megsértését az érintett munkavállaló felettesének.  

4.    Az adatbiztonsági intézkedések mindennapi működésben történő betartására a jelen Szabályzat és a Belső Adatbiztonsági Szabályzat személyi hatálya alá tartozó minden személy köteles.

 

5.    Az Adatkezelő működése során betartandó adatbiztonsági szabályokat (GDPR 32. cikk) a belső adatbiztonsági szabályozási portfólió elemei tartalmazzák, a jelen fejezet csupán röviden összefoglalja azt, hogy az Adatkezelő mit biztosít.

 

6.    Az Adatkezelő biztosítja

 

az adatkezeléshez használt eszközök (a továbbiakban: adatkezelő rendszer) jogosulatlan személyek általi hozzáférésének megtagadását a következő intézkedésekkel:                                                    i.    Logikai hozzáférés szabályozása

                                                  ii.    A munkaállomások kezelése

                                                 iii.    Szabályzatok

 

az adathordozók jogosulatlan olvasásának, másolásának, módosításának vagy eltávolításának megakadályozását a következő intézkedésekkel:                                                   i.    Logikai hozzáférés szabályozás

                                                  ii.    Nyomon követhetőség (naplózás)

                                                 iii.    Rosszindulatú software-ek kiszűrése

                                               iv.    A munkaállomások kezelése

                                                 v.    Fizikai hozzáférés védelem

                                               vi.    Hálózati tevékenységek megfigyelése

                                              vii.    Szabályzatok

 

az adatkezelő rendszerbe a személyes adatok jogosulatlan bevitelének, valamint az abban tárolt személyes adatok jogosulatlan megismerésének, módosításának vagy törlésének megakadályozását a következő intézkedésekkel:                                                    i.    Logikai hozzáférés szabályozás

                                                  ii.    Nyomon követhetőség (naplózás)

                                                 iii.    Rosszindulatú software-ek kiszűrése

                                               iv.    A munkaállomások kezelése

                                                 v.    Fizikai hozzáférés védelem

                                               vi.    Hálózati tevékenységek megfigyelése

                                              vii.    Szabályzatok

 

az adatkezelő rendszerek jogosulatlan személyek általi, adatátviteli berendezés útján történő használatának megakadályozását a következő intézkedésekkel:                                                   i.    A munkaállomások kezelése

                                                  ii.    Karbantartás

                                                 iii.    Webhely biztonság

                                               iv.    Hálózatbiztonság

                                                 v.    Fizikai hozzáférés védelem

                                               vi.    Hálózati tevékenységek megfigyelése

                                              vii.    Hardware biztonság

                                             viii.    Szabályzatok

 

azt, hogy az adatkezelő rendszer használatára jogosult személyek kizárólag a hozzáférési engedélyben meghatározott személyes adatokhoz férjenek hozzá a következő intézkedésekkel:                                                    i.    Logikai hozzáférés szabályozás

                                                  ii.    Nyomon követhetőség (naplózás)

                                                 iii.    Fizikai hozzáférés védelem

 

azt, hogy ellenőrizhető és megállapítható legyen, hogy a személyes adatokat adatátviteli berendezés útján mely címzettnek továbbították vagy továbbíthatják, illetve bocsátották vagy bocsáthatják rendelkezésére a következő intézkedésekkel,                                                    i.    Nyomon követhetőség (naplózás)

                                                  ii.    Nyilvántartások vezetése

 

azt, hogy utólag ellenőrizhető és megállapítható legyen, hogy mely személyes adatokat, mely időpontban, ki vitt be az adatkezelő rendszerbe a következő intézkedésekkel:                                                    i.    Logikai hozzáférés szabályozás

                                                  ii.    Nyomon követhetőség (naplózás)

 

a személyes adatoknak azok továbbítása során vagy az adathordozó szállítása közben történő jogosulatlan megismerésének, másolásának, módosításának vagy törlésének megakadályozását a következő intézkedésekkel:                                                    i.    Logikai hozzáférés szabályozás

                                                  ii.    Nyomon követhetőség (naplózás)

                                                 iii.    Fizikai hozzáférés védelem

 

azt, hogy üzemzavar esetén az adatkezelő rendszer helyreállítható legyen a következő intézkedésekkel:                                                    i.    Biztonsági mentés

 

azt, hogy az adatkezelő rendszer működőképes legyen, a működése során fellépő hibákról jelentés készüljön, továbbá a tárolt személyes adatokat a rendszer hibás működtetésével sem lehessen megváltoztatni:                                                    i.    Biztonsági mentés

                                                  ii.    Logikai hozzáférés szabályozás

                                                 iii.    Hálózatbiztonság

                                               iv.    Hálózati tevékenységek megfigyelése

                                                 v.    Szabályzatok

                                               vi.    A munkaállomások kezelése

 

7.    Az adatbiztonság szabályainak érvényesüléséről az Adatkezelő az adatbiztonsági szabályozási portfólió részeiben gondoskodik.

 

8.    Adatkezelő az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel van a technika mindenkori fejlettségére és több lehetséges adatkezelési megoldás közül azt választja, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene.

 

9.    Adatkezelő az adatbiztonsági intézkedéseket évente felülvizsgálja.

 

1.    Az Adatkezelő kijelenti, hogy

a.   az adatkezelés során a GDPR, az Infotv, valamint a működésére vonatkozó más jogszabályok adatvédelemre, adatkezelésre, adatbiztonságra irányuló rendelkezéseinek megfelelően jár el.

b.   az adatkezelés során az Adatkezelő tudomására jutott személyes adatokat kizárólag azok a Munkatársak ismerhetik meg, akiknek az adott adatkezeléssel kapcsolatban feladatuk van.

c.   gondoskodik arról, hogy a Szabályzat és általában az adatvédelmi szabályozási portfólió a mindenkor hatályos jogszabályokkal összhangban legyen és azt a Munkatársak megismerjék.

d.   a weboldal a látogatók személyes adatait bizalmasan, a hatályos jogszabályi előírásokkal összhangban kezeli, gondoskodik azok biztonságáról, technikai és szervezési intézkedéseket tesz, valamint az adatvédelem elveinek maradéktalan betartása érdekében eljárási szabályokat alakít ki.

e.   a tőle elvárható módon mindent megtesz az általa kezelt személyes adatoknak a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozatal, törlés, sérülés, megsemmisülés elleni védelem biztosítása, az ehhez szükséges technikai feltételek garantálása érdekében.

f.     a személyes adatokat harmadik személy részére csak kivételesen és abban az esetben továbbítja, valamint az általa kezelt adatbázist más adatkezelővel csak abban az esetben kapcsolja össze, ha annak jogszabályi feltételei fennállnak.

g.   az adattovábbításokról nyilvántartást vezet, amely tartalmazza az Adatkezelő által kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat, ha jogszabály ilyeneket előír.

h.    az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából adatvédelmi incidens kezelési szabályzatot hozott létre és az incidensekről nyilvántartást vezet. Az Adatkezelő indokolatlan késedelem nélkül – ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott – megteszi a bejelentést a felügyeleti hatóságnak kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

 

1.    Az Adatkezelőt, mint páciensellátót, valamint az Adatkezelő Munkatársait a páciens (érintett) egészségi állapotával kapcsolatos adat, továbbá a munkavégzéssel kapcsolatosan tudomására jutott egyéb adat vonatkozásában időbeli korlátozás nélkül titoktartási kötelezettség terheli. A titoktartási kötelezettség független attól, hogy az adatokat milyen módon ismerte meg.

 

2.      Az Adatkezelőt a titoktartási kötelezettség azzal a páciensellátóval szemben is köti, aki az páciens (érintett) gyógykezelésében nem működött közre, kivéve, ha az adatok a gyógykezelt személy további gyógykezelése érdekében szükségesek.

 

3.      A titoktartási kötelezettség alól írásban felmentést adhat a páciens, vagy törvényen alapuló adatszolgáltatási kötelezettség.

 

4.      Az orvosi titok védelme érdekében a Munkatársak kötelezettséget vállalnak az orvosi titok megtartására, amelyet jelen Szabályzattól formailag különálló dokumentum tartalmaz.

Az egészségügyi ellátó hálózat szerveinek adatkezelése

 

1.              Az egészségügyi ellátó hálózaton belül az egészségügyi és személyazonosító adat kezelésére amennyiben a törvény másként nem rendelkezik – jogosult:

a.   a páciensellátó,

b.   szolgáltató vezetője, illetve

c.    a szolgáltató vezetője által megbízott személy (Munkatárs).

 

2.      Az egészségügyi és személyazonosító adatok kezelése során biztosítani kell az adatok biztonságát véletlen vagy szándékos megsemmisítéssel, vagy megsemmisüléssel, megváltozással, károsodással, nyilvánosságra kerüléssel szemben, továbbá, hogy azokhoz illetéktelen személy ne férjen hozzá.

 

·      Adatfelvétel

 

1.      Az adatfelvétel során az egészségügyi dokumentációban rögzíteni kell az adatfelvétel időpontját és az adatfelvevő személyét.

 

2.      A páciens dokumentációjában történt minden feljegyzést, beírást aláírással vagy kézjeggyel, és ha szükséges, dátummal kell hitelesíteni, elektronikus adatkezelés esetén a bejegyzést végző egyértelmű azonosítását is biztosítani kell.

 

·      Adatmódosítás

 

1.      Ha tévesztés, vagy más ok miatt a beírt adatot módosítani kell, ez csak úgy végezhető, hogy az eredeti adat megállapítható legyen. Módosításnál is kézjeggyel el kell látni a módosítást, elektronikus adatkezelés esetén a bejegyzést végző egyértelmű azonosítását és a bejegyzés naplózását a rendszernek biztosítania kell.

 

·      Adattörlés

 

1.      Adatot törölni csak a jelen Szabályzat alapján lehet. A törlés során be kell tartani az adatvédelmi előírásokat különös tekintettel a jogosulatlan hozzáférésre. A törlés során a manuálisan kezelt adatokat fizikailag meg kell semmisíteni, elektronikusan tárolt adatok esetében azokat helyrehozhatatlanul meg kell változtatni.

1.    Jelen Szabályzat – változó működésből, vagy változó jogszabályi környezetből fakadó, esetleg pontatlanságból származó félreértések elkerülése miatt történő – módosítására az ok felmerülését követő 15 napon belül az adatvédelmi tisztviselő / kapcsolattartó írásbeli javaslatot tesz az Adatkezelő adatvédelmi vezetése számára, aki dönt a javaslatról a benyújtását követő 15 napon belül. A Szabályzat végső szövegezésének jóváhagyása, elektronikus és papír alapú kiadása, a személyi hatály alá tartozók számára történő elérhetővé tétele az Adatkezelő adatvédelmi vezetésének feladata és felelőssége.

 

2.    Jelen Szabályzat szerzői jogi műnek minősül, tilos a Szabályzat egészének vagy részének, részletének másolása, többszörözése, nyilvánossághoz történő közvetítése, a mű mindenfajta eltorzítása, megcsonkítása, egészben vagy részben történő használata, felhasználása, feldolgozása, értékesítése a szerző írásos hozzájárulása nélkül. Szabályzat szerzője az Adatkezelő képviselője.

 

3.    Adatkezelő felhívja a figyelmet, hogy a Szabályzat egy szabályozás része, nem használható sablonként, mintaként. Minden adatkezelőnek a saját működése szerinti szabályozásra van szüksége.

 

4.    A Szabályzata olvasója, felhasználója tudomásul veszi, hogy a felhasználási engedély nélküli felhasználás esetén a szerzőt kötbér illeti meg. A kötbér összege oldalanként bruttó 50.000.- Ft. Szabályzat olvasója, felhasználója tudomásul veszi, hogy ezen kötbérkikötés nem túlzó, és ennek tudatában használja fel a Szabályzatot. Szerzői jogi jogsértés esetén az Adatkezelő közjegyzői ténytanúsítást alkalmaz, melynek összegét szintén a jogsértő felhasználóra hárítja.

 

Kelt: 2020. március hó 16.

dr. Mayer Szabolcs ügyvezető

                                                                    Evidental 2004 Egészségügyi és Szolgáltató Kft.