Adatvédelmi Tájékoztató

TARTALOMJEGYZÉK

  1. Az Adatvédelmi szabályzat érvényessége, az adatkezelő adatai

1. Az adatkezelő megnevezése:

2. jelen adatvédelmi szabályzat módosításai (verziói):

3. Jelen Adatvédelmi szabályzat időbeli érvényessége:

4. Jóváhagyó aláírása:

5. Jelen Adatvédelmi szabályzat elérhetőségei:

6. Adatvédelmi hatóság megnevezése és elérhetőségei:

  1. ÁLTALÁNOS RENDELKEZÉSEK

1. Bevezetés

2. A Szabályzat célja

3. A Szabályzat hatálya

4. Kapcsolódó jogszabályok

5. Fogalommeghatározások

6. Az adatkezelés elvei

7. Az adatkezelés jogszerűsége

8. A hozzájárulás feltételei

9. Az érintettek jogai

10. Az adatbiztonság

11. Adattovábbítás

12. Adatfeldolgozás

13. Adatvédelmi incidens

14. Kártérítéshez való jog és a felelősség

III. A SZERVEZET MUNKAVÁLLALÓINAK ADATVÉDELMI KÖTELEZETTSÉGEI

1. Az adatkezelés jogszerűségének megállapítása

2. Az adatkezelés jogcímének vizsgálata

3. Eljárás 18. éven aluli érintett esetén

4. Eljárás adatfeldolgozó igénybevétele esetén

5. Eljárás adatfeldolgozóként

6. Adatbiztonsági intézkedések megtétele

7. Adatvédelmi incidensek jelentése

VI. FEJEZET TÁJÉKOZTATÁS AZ ÉRINTETT SZEMÉLY JOGAIRÓL

Betegjog.

Milyen adatkezelési célok szerint kezelik az adatokat. (Eü. adatv. tv. 4.§)

Gyógykezelés miatt hogyan kezelik az adataimat?

Orvosi titoktartás (Eü. adatv. tv. 7-8.§)

Gyógykezeléssel kapcsolatban milyen jogaim vannak?

Tájékoztatáshoz való jog

Orvos adatlekérdezési JOGA (Eü. adatv. tv.    11.§)

Adatfeldolgozásról és adattovábbításról tájékoztatás (Eü.adatv.tv. 10.§)

Mikor kötelező az egészségügyi adataim továbbítása?

Statisztikai célú adatkezelés

Ki lehet jelen a gyógykezelésem során

Felírt recepttel, vénnyel kapcsolatosan kezelt adatok

Adataimat elírták, hogyan kérhetem a helyesbítését, javítását

Személyazonosító és egészségügyi adataimat hogyan tartják nyilván

Meddig őrzik a rólam felvett egészségügyi adatokat

Elektronikus Egészségügyi Szolgáltatási Tér EESZT

Mi ez az e-egészségügy?

Digitális önrendelkezés mit jelent? (Eü. adatv. tv. 35/H. §)

Papír alapú Önrendelkezési nyilatkozatot is tehetek?

IV. A SZERVEZETNÉL ALKALMAZOTT ADATBIZTONSÁGI INTÉZKEDÉSEK

1. Adatbiztonsági intézkedések

  1. ADATVÉDELMI INCIDENSEK KEZELÉSE

1. Az adatvédelmi incidens fogalma

2. Adatvédelmi incidensek kezelése, orvoslása

3. Adatvédelmi incidensek nyilvántartása

  1. ADATVÉDELMI HATÁSVIZSGÁLAT ÉS ELŐZETES KONZULTÁCIÓ

1. Adatvédelmi hatásvizsgálat és előzetes konzultáció

  1. AZ ADATVÉDELMI TISZTVISELŐ

1. Az adatvédelmi tisztviselő kijelölése, feladatai

  1. ADATKEZELÉSI TEVÉKENYSÉGEK
  2. ZÁRÓ RENDELKEZÉSEK

1. Intézkedések a szabályzat megismertetésére

MELLÉKLETEK

 

I. AZ ADATVÉDELMI SZABÁLYZAT ÉRVÉNYESSÉGE, AZ ADATKEZELŐ ADATAI

1. AZ ADATKEZELŐ MEGNEVEZÉSE:

Cégnév:

Testért Plasztika Kft.

Székhely:

2092, Budakeszi, Széchenyi u 24

Telephely(ek):

1095, Budapest, Mester u 45.

1095, Budapest Lechner Ödön fasor 3

Cégjegyzékszám:

13 09 194832

Adószám:

25030420-2-13

Számlavezető bank:

CIB

Honlap:

www. drfalus.hu

E-mail cím:

gyorgy.falus@drfalus.hu

Telefonszám:

+36 1 633 3677, +36-30/921 40 84

Képviselő neve:

Dr. Falus György

 (a továbbiakban Szervezet, vagy Adatkezelő)

2. JELEN ADATVÉDELMI SZABÁLYZAT MÓDOSÍTÁSAI (VERZIÓI):

Verziószám 2021.11.09:

4.0                  

 

 

 

3. JELEN ADATVÉDELMI SZABÁLYZAT IDŐBELI ÉRVÉNYESSÉGE:

Kelte, és hatálybalépés napja:

Budapest, 2021. november 09.

Hatályon kívül helyezés napja:

 

4. JÓVÁHAGYÓ ALÁÍRÁSA:

Név:

Dr. Falus György

Aláírás:

 

 

5. JELEN ADATVÉDELMI SZABÁLYZAT ELÉRHETŐSÉGEI:

Cím:

1096 Budapest, Nagyvárad tér 1.

Internetes elérhetőség:

drfalus.hu

 

6. ADATVÉDELMI HATÓSÁG MEGNEVEZÉSE ÉS ELÉRHETŐSÉGEI:

 

Nemzeti Adatvédelmi és Információszabadság Hivatal

Cím:

1055 Budapest, Falk Miksa utca 9-11

Telefon:

+36 (1) 391-1400

Fax:

+36(1) 391-1410

E-mail:

ugyfelszolgalat@naih.hu

 

 

II. ÁLTALÁNOS RENDELKEZÉSEK

1. BEVEZETÉS

A Szervezet magára nézve kötelezőnek ismeri el jelen jogi közlemény tartalmát, akár adatkezelőként, akár adatfeldolgozóként végez adatkezelést. Kötelezettséget vállal arra, hogy a tevékenységével kapcsolatos minden adatkezelés megfelel jelen szabályzatban és a hatályos nemzeti jogszabályokban, valamint az Európai Unió jogi aktusaiban meghatározott elvárásoknak.

A Szervezet fenntartja magának a jogot jelen szabályzat bármikor történő megváltoztatására.

A Szervezet elkötelezett ügyfelei és munkavállalói személyes adatainak védelmében, kiemelten fontosnak tartja ügyfelei, munkavállalói információs önrendelkezési jogának tiszteletben tartását.

A Szervezet a személyes adatokat bizalmasan kezeli, és megtesz minden olyan biztonsági, technikai és szervezési intézkedést, mely az adatok biztonságát garantálja.

2. A SZABÁLYZAT CÉLJA

Jelen Adatvédelmi szabályzat (továbbiakban: “Szabályzat”) az alábbi célokkal készült.

  1. Ismertesse a Szervezetnél végzett manuális, illetve számítógépes adatkezelési tevékenységek törvényes kereteit, különös tekintettel az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) továbbiakban: (“GDPR Rendelet”) -re – továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2018. évi XXXVIII. törvénnyel módosított 2011. évi CXII. törvény (a továbbiakban: “Info törvény”) rendelkezéseire.
  2. Biztosítsa az adatvédelem Magyarország Alaptörvényében leírt elveinek és az információs önrendelkezési jognak az érvényesítését.
  3. Elősegítse az adatbiztonsági követelmények betartását, biztosítását.
  4. Elősegítse a jogosulatlan adatkezelés megakadályozását.
  5. Meggátolja az adatokhoz történő jogosulatlan hozzáférést, az adatok törvénysértő megváltoztatását, az adatok jogosulatlan felhasználását, valamint engedély nélküli nyilvánosságra hozatalát.
  6. Meghatározza az adatszolgáltatást igénylő hatóságoknak, szervezeteknek, intézményeknek történő pontos és biztonságos adattovábbítás rendjét.
  7. Meghatározza a Szervezetnél történő adatkezelés, feldolgozás, felhasználás, továbbítás, megsemmisítés pontos rendjét.
  8. Meghatározza az adatvédelem szempontjából fontos feladatokat, különös tekintettel a munkavállalók szerepére az adatbiztonságban.

3. A SZABÁLYZAT HATÁLYA

Jelen Szabályzat hatálya kiterjed a Szervezet által végzett valamennyi adatkezelésre, adattovábbításra, információ átadásra, az és ezen tevékenységek során, adatok kezelésével és védelmével kapcsolatos munkafolyamatokra.

A Szabályzat személyi hatálya kiterjed a Szervezet munkatársaira, ügyfeleire, partnereire, tagjaira, valamint azon személyekre, akik adatait a Szabályzat hatálya alá tartozó adatkezelések során kezeljük, továbbá azon személyekre, akik jogait vagy jogos érdekeit az adatkezelés érinti.

A Szabályzat tárgyi hatálya kiterjed a Szervezet által kezelt valamennyi személyes adatra, bármely azonosított vagy azonosítatlan személyre vonatkozó információra, a rajtuk végzett adatkezelési műveletek teljes körére, keletkezésük, kezelésük, feldolgozásuk helyétől, valamint megjelenési formájuktól függetlenül.

Annak eldöntésére, hogy egy személy azonosítható-e vagy sem, figyelembe kell venni minden lehetséges eszközt, amely valószínűsíthetően felhasználható az adott személy azonosítására. A védelem szabályai nem alkalmazhatóak az olyan adatokra, amelyekkel – anonimmá tételük következtében - az érintett többé nem azonosítható.

Egyéni vállalkozókat, egyéni cégeket, őstermelőket e Szabályzat alkalmazásában természetes személynek kell tekinteni.

A Szabályzat hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre vonatkozik, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat GDPR Rendelet (14).

A Szabályzat legalább évente felülvizsgálatra és jóváhagyásra kerül.

4. KAPCSOLÓDÓ JOGSZABÁLYOK

A Szervezet adatkezelési alapelvei összhangban vannak az adatvédelemmel kapcsolatos hatályos jogszabályokkal, így különösen az alábbiakkal:

  • az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2018. évi XXXVIII. törvénnyel módosított 2011. évi CXII. törvény;
  • Magyarország Alaptörvénye (Alaptörvény);
  • évi CXII. törvény - az információs önrendelkezési jogról és az információszabadságról (Info törvény);
  • évi V. törvény – a Polgári Törvénykönyvről (Ptk.);
  • évi I. törvény a Munka törvénykönyvéről (Mt.);
  • évi CLV. törvény a minősített adat védelméről;
  • évi CXXXIII. törvény a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól, (Szmt.);
  • évi C. törvény a Büntető Törvénykönyvről, (Btk.);
  • évi XC. törvény a büntetőeljárásról (Be.);
  • évi XCIII. törvény a munkavédelemről (Mvt.);
  • évi C. törvény a számvitelről, (Számviteli tv.);
  • évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól, (Grtv.);
  • 33/1998. (VI. 24.) NM rendelet a munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről;
  • évi CL. törvény az adózás rendjéről.
  • 106/2021.(III.5.) Korm. rendelet az egészségügyi szolgálatra berendelés és az egészségügyi szolgáltatás biztosításának vészhelyzeti külön szabályairól

5. FOGALOMMEGHATÁROZÁSOK

E Szabályzat alkalmazásában irányadó fogalommeghatározásokat a GDPR Rendelet 4. cikke tartalmazza. Ennek megfelelően emeljük ki a főbb fogalmakat:

Adatállomány: az egy nyilvántartásban kezelt adatok összessége;

Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az Adatkezelő nevében Személyes Adatokat kezel;                                 

Az adatkezeléshez kapcsolódó feladatok elvégzése „alvállalkozóként” saját eszközökkel, az adatkezelő iránymutatása alapján. Adatfeldolgozás pl: a bérszámfejtési, könyvelési, weblap kezelés, feladatok ellátása.

Adatkezelés: a Személyes Adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;  - Adatkezelés az adatok felvétele, feldolgozása, rögzítése papíron, vagy számítógépen, adatok tárolása, továbbítása (pl: adatfeldolgozónak), törlése, módosítása, zárolása, megsemmisítés megakadályozása, felsorolás, stb

Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a Személyes Adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; az, aki az adatkezelést végzi – Természetes vagy jogi vagy nem jogi személy. Ő határozza meg az adatok kezelésének célját. Adatot rögzíti vagy továbbítja az adatfeldolgozónak. Meghatározza, az adatrögzítés módját.

Adatvédelmi Incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt Személyes Adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; A magánszemély személyes adatának jogellenes kezelése vagy feldolgozása. Jogosulatlan hozzáférés, véletlen megsemmisülés, sérülés, jogellenes megváltoztatás, törlés vagy megsemmisítés. Magánszemélyek adatainak bármilyen „sérülése” hecker támadás, vírus, köremail (mindenki látja a másik email címét, nevét), stb 

Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;

Adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése; pl: a pendrive, DVD lemez összetörése.

Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele; ilyen pl: amikor a könyvelőnek/számviteli szolgáltatónak, futárcégnek továbbítja az adatokat. 

Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;

Álnevesítés: Személyes Adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a Személyes Adat mely konkrét természetes személyre vonatkozik feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a Személyes Adatot nem lehet kapcsolni; visszafordíthatatlan módon azonosítóval látják el a magánszemély adatát mely után  nem beazonosíthatóak az adatok. Pl ilyen a név nélküli statisztikai adatok.

 Biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;

 

Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat;

Betegellátó: a kezelést végző orvos, az egészségügyi szakdolgozó, az érintett gyógykezelésével kapcsolatos tevékenységet végző egyéb személy, a gyógyszerész

Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a Személyes Adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek. Akinek a nevére emailt, postai küldeményt, stb tudunk küldeni.

Egészségügyi adat: az érintett testi, értelmi és lelki állapotára, kóros szenvedélyére, valamint a megbetegedés, illetve az elhalálozás körülményeire, a halál okára vonatkozó, általa vagy róla más személy által közölt, illetve az egészségügyi ellátóhálózat által észlelt, vizsgált, mért, leképzett vagy származtatott adat; továbbá az előzőekkel kapcsolatba hozható, az azokat befolyásoló mindennemű adat (pl. magatartás, környezet, foglalkozás);

 

EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Közösség és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez;

 

Egészségügyi ellátóhálózat: minden egészségügyi ellátást nyújtó, valamint annak szakmai felügyeletét, ellenőrzését végző szervezet és természetes személy (Eü. adatv. tv. 2.§ a./)

Egészségügyi dokumentáció: a gyógykezelés során a betegellátó tudomására jutott egészségügyi és személyazonosító adatokat tartalmazó feljegyzés, nyilvántartás vagy bármilyen más módon rögzített adat, függetlenül annak hordozójától vagy formájától

Érintett: azonosított vagy azonosítható természetes személy; akinek adatait azadatkezelő/adatfeldolgozó rögzíti, cél szerint kezeli és tárolja. – az érintett az a személy, aki megadja az adatait rögzítési célra.

Érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez; - hozzájárulás megadása telefonszámunk, email címünk, (nem kötelező adatunk) megismeréséhez, és hogy ezeken keresztül felvegyék velünk a kapcsolatot. Ennek módja rögzített telefonvonalon, weboldalon kitöltve az adatokat, vagy papír alapon aláírva történik 

Gyógykezelés: minden olyan tevékenység, amely az egészség megőrzésére, továbbá a megbetegedések megelőzése, korai felismerése, megállapítása, gyógyítása, a megbetegedés következtében kialakult állapotromlás szinten tartása vagy javítása céljából az érintett közvetlen vizsgálatára, kezelésére, ápolására, orvosi rehabilitációjára, illetve mindezek érdekében az érintett vizsgálati anyagainak feldolgozására irányul, ideértve a gyógyszerek, gyógyászati segédeszközök, gyógyászati ellátások kiszolgálását, a mentést és betegszállítást, valamint a szülészeti ellátást is

GDPR (General Data Protection Regulation) az Európai Unió új Adatvédelmi Rendelete

Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.

 

Harmadik ország: minden olyan állam, amely nem EGT-állam;

Hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat - teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez

 

Info tv.: Információs ön rendelkezési jogról és az információszabadsáról a 2011. évi CXII. törvény – Alaptörvény VI. cikke alapján

 

Képviselő: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában; A társaság által képviseletre jogosult.

 

Kezelést végző orvos: az egészségügyről szóló 1997. évi CLIV. törvény 3. § b) pontja szerinti kezelőorvos: (a beteg adott betegségével, illetve egészségi állapotával kapcsolatos vizsgálati és terápiás tervet meghatározó, továbbá ezek keretében beavatkozásokat végző orvos, illetve orvosok, akik a beteg gyógykezeléséért felelősséggel tartoznak.”

 

Közeli hozzátartozó: a házastárs, az egyeneságbeli rokon, az örökbe fogadott, a mostoha- és nevelt gyermek, az örökbe fogadó, a mostoha- és nevelőszülő, valamint a testvér és az élettárs;

Közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;

Közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli;

Különleges Adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok,

 

Megrendelő: A Webáruház Megrendelőjévé azon természetes és jogi személyek válhatnak, akik a Webáruház felületének alkalmazásával megrendelést aktiválnak és ezen aktiválási folyamat részeként elfogadják a Webáruház által előírt jelen Általános Szerzősédi Feltételekben (továbbiakban: ÁSZF) Adatvédelmi tájékoztató és a Fizetési Feltételekben foglaltakat. Amennyiben a jelen ÁSZF-ben foglalt szabályok eltérnek a fogyasztónak minősülő Megrendelők és a jogi személy Megrendelők vonatkozásában, úgy ezt a Webáruház az ÁSZF-ben egyértelműen és kifejezetten jelzi. A Webáruház lehetőséget biztosít a Webáruházban történő regisztrálásra is. Amennyiben a regisztrált Megrendelő elfelejti jelszavát, a Webáruház kérésére újra rendelkezésére bocsátja, de a jelszó átadásából, illetéktelen személy általi felhasználásából eredő károkért a Webáruház felelősséget

Nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető; Regisztráció során megadott adatok nyilvántartása programmal.

Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

Orvosi titok: a gyógykezelés során az adatkezelő tudomására jutott egészségügyi és személyazonosító adat, továbbá a szükséges vagy folyamatban lévő, illetve befejezett gyógykezelésre vonatkozó, valamint a gyógykezeléssel kapcsolatban megismert egyéb adat;

Sürgős szükség: az egészségi állapotban hirtelen bekövetkezett olyan változás, amelynek következtében azonnali egészségügyi ellátás hiányában az érintett közvetlen életveszélybe kerülne, illetve súlyos vagy maradandó egészségkárosodást szenvedne;

Szerződés: Eladó és Vevő között a Honlap és elektronikus levelezés igénybevételével, személyes megjelenéssel létrejövő adásvételi szerződés.

Személyazonosító adat: a családi és utónév, leánykori név, a nem, a születési hely és idő, az anya leánykori családi és utóneve, a lakóhely, a tartózkodási hely, a társadalombiztosítási azonosító jel (a továbbiakban: TAJ szám) együttesen vagy ezek közül bármelyik, amennyiben alkalmas vagy alkalmas lehet az érintett azonosítására

Személyes Adat: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján (bárki által) azonosítható. Ilyen adat, ami a személyhez köthető név, telefonszám, IP cím, arckép, fénykép, adóazonosító jel, taj szám stb. Ezen adatokból megállapítható, kikövetkeztető, hogy kihez tartozik. Ezen adatok lehetnek kötelező adatok (pl: munkavállaló, számlázás, adókedvezmény igénybevételéhez, stb) vagy hozzájáruláson alapuló.

Személyazonosító adat: a családi és utónév, leánykori név, a nem, a születési hely és idő, az anya leánykori családi és utóneve, a lakóhely, a tartózkodási hely, a társadalombiztosítási azonosító jel (a továbbiakban: TAJ szám) együttesen vagy ezek közül bármelyik, amennyiben alkalmas vagy alkalmas lehet az érintett azonosítására;

Szerződés: Eladó és Vevő között a Honlap és elektronikus levelezés igénybevételével, személyes megjelenéssel létrejövő adásvételi szerződés.

Vállalkozás: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is; - egyéni vállalkozás, betéti társaság, korlátolt felelősségű társaság, részvénytársaság stb.

 

Kivételesen, a következő esetekben kezelhetőek különleges adatok:

  1. a) az érintett kifejezett, írásbeli hozzájárulását adta különleges adatainak egy vagy több konkrét célból történő kezeléséhez, (kivéve, ha az uniós vagy tagállami jog ezt nem teszi lehetővé);
  2. b) az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, és az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
  3. c) az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;
  4. d) az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
  5. e) az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;
  6. f) az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, (feltéve, hogy ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki szakmai vagy egyéb uniós jogban megállapított titoktartási kötelezettség hatálya alatt áll).

6. AZ ADATKEZELÉS ELVEI

Jogszerűség, tisztességes eljárás és átláthatóság: A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.

Célhoz kötöttség: A személyes adatokat csak meghatározott, egyértelmű és jogszerű célból gyűjti, kezeli a Szervezet. A Szervezet ezzel a céllal össze nem egyeztethető módon nem és azokat nem kezelhet személyes adatokat.

Adattakarékosság: A Szervezet által kezelt személyes adatoknak az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk.

Pontosság: A Szervezet ügyel arra, hogy az általa kezelt személyes adatok pontosnak és szükség esetén naprakésznek legyenek. A Szervezet minden észszerű intézkedést meg tesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.

Korlátozott tárolhatóság: A Szervezet a személyes adatokat olyan formában tárolja, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.

 

Integritás és bizalmas jelleg: A Szervezet olyan technikai vagy szervezési intézkedések alkalmaz, amely biztosítja a személyes adatok megfelelő biztonságát, védelmét, többek között az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szemben.

Elszámoltathatóság: A Szervezet felelős azért, hogy valamennyi alapelvnek megfeleljen, továbbá felelős azért, hogy e megfelelést igazolni tudja.

7. AZ ADATKEZELÉS JOGSZERŰSÉGE

A személyes adatok kezelése akkor és annyiban jogszerű, amennyiben legalább az alábbi pontok egyike teljesül:

  1. az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
  2. az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
  3. az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  4. az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  5. az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
  6. az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
  7. A Szervezet az adatkezelés célját valamennyi esetben a jelen pontban írt jogalapra hivatkozással határozza meg.
  8. Amennyiben a Szervezet a személyes adatokat az általa korábban megjelölt adatgyűjtés céljától eltérő célból kívánja kezelni, - amennyiben az adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban – a Szervezet az eltérő célú adatkezelés eredeti céllal történő összeegyeztethetőségének, jogszerűségének eldöntéséhez a következőket veszi figyelembe:
    • a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;
    • a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az Adatkezelő közötti kapcsolatokra;
    • a személyes adatok jellegét, különösen pedig azt, hogy a személyes adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak kezeléséről van-e szó;
    • azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;
    • megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.

8. A HOZZÁJÁRULÁS FELTÉTELEI

A hozzájáruláson alapuló adatkezelés esetében, a Szervezetnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.

Ha az érintett hozzájárulását olyan írásbeli nyilatkozatban adja meg, amely más ügyekre is vonatkozik, akkor a hozzájárulás iránti kérelmet a más ügyekre adott nyilatkozatoktól egyértelműen megkülönböztethető módon kell kérni. A hozzájárulást érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel kell megfogalmazni, kérni. Ha hozzájárulást tartalmazó nyilatkozat bármely része, amely sérti a GDPR Rendelet előírásait, úgy az kötelező erővel nem bír.

Az érintett a hozzájárulását bármikor visszavonhatja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.

A hozzájárulás visszavonását a Szervezet ugyanolyan egyszerű módon teszi lehetővé tenni, mint a hozzájárulás megadását.

9. AZ ÉRINTETTEK JOGAI

ÁTLÁTHATÓ TÁJÉKOZTATÁS, KOMMUNIKÁCIÓ ÉS AZ ÉRINTETT JOGAINAK GYAKORLÁSÁRA VONATKOZÓ INTÉZKEDÉSEK

Az Adatkezelő az érintett részére a személyes adatok kezelésére vonatkozóan tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazott tájékoztatást nyújt.

Az Adatkezelő a tájékoztatást írásban, elektronikusan vagy más módon adja meg. Az érintett kérésére az Adatkezelő szóbeli tájékoztatást is adhat, amennyiben az érintett a személyazonosságát megfelelő módon igazolta.

Az Adatkezelő az érintettet jogainak a gyakorlásában elősegíti. Az Adatkezelő az érintett jogai gyakorlására irányuló kérelmének a teljesítését nem tagadhatja meg, kivéve, ha az Adatkezelő bizonyítja, hogy az érintettet nem áll módjában azonosítani.

Az Adatkezelő az érintett kérelmére hozott intézkedésekről indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet. Ez a határidő szükség esetén a kérelem összetettségére és a kérelmek számára figyelemmel, további két hónappal meghosszabbítható. Az Adatkezelő határidő meghosszabbításáról – a késedelem okainak megjelölésével - egy hónapon belül tájékoztatja az érintettet.

Ha az érintett kérelmét elektronikus úton nyújtotta be, úgy a tájékoztatást elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

Amennyiben az Adatkezelő az érintett kérelme nyomán nem tesz intézkedéseket, úgy legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

Az Adatkezelő az információkat, a tájékoztatást és intézkedést díjmentesen biztosítja.

Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó,

akkor az Adatkezelő - a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre figyelemmel - észszerű összegű díjat számíthat fel, vagy megtagadhatja a kérelem alapján történő intézkedést. Ebben, ez esetben az Adatkezelőnek kell bizonyítania, hogy a kérelem egyértelműen megalapozatlan vagy túlzó.

Az Adatkezelőnek az érintett személyazonosságának megerősítéséhez szükséges információkat kérhet, amennyiben a kérelmet benyújtó természetes személy kilétével kapcsolatban megalapozott kétségei vannak.

Az Adatkezelő tájékoztatást szabványosított ikonokkal is kiegészítheti annak érdekében, hogy a tervezett adatkezelésről az érintett jól látható, könnyen érthető és jól olvasható formában kapjon általános tájékoztatást. Az elektronikusan megjelenített ikonoknak géppel olvashatónak kell lenniük.

TÁJÉKOZTATÁSHOZ VALÓ JOG

A Szervezet a személyes adatok megszerzése előtt tájékoztatást nyújt az érintettnek, amennyiben a személyes adatokat az érintettől gyűjti:

  • az Adatkezelő, az Adatkezelő képviselőjének kiléte és elérhetőségei;
  • az adatvédelmi tisztviselő (DPO) elérhetőségei, ha van ilyen;
  • a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
  • a jogos érdeken alapuló adatkezelés esetén, az Adatkezelő vagy harmadik fél jogos érdekei;
  • adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
  • adott esetben annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a kötelező vállalati szabályok alapján történő adattovábbítás esetén, vagy a kényszerítő erejű jogos érdek esetében szükséges adattovábbítás esetén annak szabályairól, garanciáiról, elérhetőségeiről
  • a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól,
  • az érintett azon jogáról, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
  • hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
  • a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
  • arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
  • automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

A Szervezet a személyes adatok megszerzésének időpontjában tájékoztatást nyújt az érintettnek, amennyiben a személyes adatokat nem az érintettől gyűjti:

  • az Adatkezelőnek, és az Adatkezelő képviselőjének a kiléte és elérhetőségei;
  • az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
  • a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
  • az érintett személyes adatok kategóriái;
  • a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
  • adott esetben annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a kötelező vállalati szabályok alapján történő adattovábbítás esetén, vagy a kényszerítő erejű jogos érdek esetében szükséges adattovábbítás esetén annak szabályairól, garanciáiról, elérhetőségeiről.
  • a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
  • az Adatkezelő vagy harmadik fél jogos érdekeiről, amennyiben az adatkezelés az Adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges,
  • az érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
  • a hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
  • a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
  • a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e;
  • automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

Az Adatkezelő az jelen pontban írt tájékoztatást az alábbiak szerint adja meg:

  • a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
  • ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
  • ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.

Ha az Adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, akkor valamennyi további adatkezelést megelőzően tájékoztatnia kell az érintettet az eltérő (új) adatkezelési célról és a jelen pontban írt releváns kiegészítő információról.

Nem kell a jelen pontban írt tájékoztatást megadni az érintett részére, ha és amilyen mértékben:

  1. az érintett már rendelkezik az információkkal;
  2. a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a GDPR Rendeletben foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben a tájékoztatási kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az Adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;
  3. az adat megszerzését vagy közlését kifejezetten előírja az Adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
  4. a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.

AZ ÉRINTETT HOZZÁFÉRÉSI JOGA

Az érintett jogosult az Adatkezelőtől tájékoztatást kérni arra vonatkozóan, hogy az Adatkezelő a személyes adatait kezeli-e.

Személyes adati kezelése esetén az érintett jogosult az Adatkezelőtől következő információkhoz hozzáférni:

  • az adatkezelés céljai;
  • az érintett személyes adatok kategóriái;
  • azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
  • adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
  • az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
  • a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
  • ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
  • az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

Ha az Adatkezelő a személyes adatoknak harmadik országba vagy nemzetközi szervezet részére továbbítja, akkor az érintett jogosult a megfelelő garanciákról tájékoztatást kapni

Az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát térítésmentesen bocsátja az érintett rendelkezésére. Azonban az Adatkezelő az érintett által kért további másolatokért az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésére bocsátani, kivéve, ha az érintett másként kéri.

A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.

A HELYESBÍTÉSHEZ VALÓ JOG

Amennyiben az érintett a Szervezet által kezelt személyes adataiban pontatlanságot vagy hibát észlel, jogosult kérni az Adatkezelőtől a hiányos személyes adatok helyesbítését.

Az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

Az Adatkezelő minden olyan címzettet tájékoztat a személyes adat helyesbítéséről, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek, vagy aránytalanul nagy erőfeszítést igényel.

Az Adatkezelő az érintettet kérésére tájékoztatja e címzettekről.

 

A TÖRLÉSHEZ VALÓ JOG (AZ ELFELEDTETÉSHEZ VALÓ JOG)

Az érintett bármikor kérheti, hogy az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozószemélyes adatokat.

Az Adatkezelő - az érintett kérésére- köteles az érintettre vonatkozó személyes adatokat – indokolatlan késedelem nélkül- törölni, ha az alábbi indokok valamelyike fennáll:

  • a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
  • az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
  • az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a közvetlen üzletszerzés érdekében történt adatkezelés esetében tiltakozik az adatkezelés ellen;
  • a személyes adatokat jogellenesen kezelték;
  • a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
  • a személyes adatok gyűjtésére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

Amennyiben az Adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő Adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

Az Adatkezelő nem törli az érintett személyes adatait, amennyiben az adatkezelés szükséges:

  • a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
  • a személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
  • a népegészségügy területét érintő közérdek alapján;
  • a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
  • jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

Az Adatkezelő minden olyan címzettet tájékoztat a személyes adat törléséről, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel.

Az Adatkezelő az érintettet kérésére tájékoztatja e címzettekről.

AZ ADATKEZELÉS KORLÁTOZÁSÁHOZ VALÓ JOG

Az érintett kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

  • az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
  • az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
  • az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
  • az érintett a saját helyzetével kapcsolatos okokból tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Az Adatkezelő a személyes adatok korlátozása esetén a személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

Az Adatkezelő előzetesen tájékoztatja az érintettet a személyes adatok korlátozásának feloldásáról.

Az Adatkezelő minden olyan címzettet tájékoztat az adatkezelés korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek, vagy aránytalanul nagy erőfeszítést igényel.

Az Adatkezelő az érintettet kérésére tájékoztatja e címzettekről.

AZ ADATHORDOZHATÓSÁGHOZ VALÓ JOG

Az érintett kérheti, hogy a rá vonatkozó, általa önkéntes hozzájárulás útján a Szervezet rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa anélkül, hogy a Szervezet ezt akadályozná, ha:

  1. az adatkezelés a hozzájáruláson vagy szerződésen alapul; és
  2. az adatkezelés automatizált módon történik.

Az érintett kérheti, ha ez technikailag megvalósítható, a személyes adatok Adatkezelők közötti közvetlen továbbítását.

Az adathordozhatósághoz való jog gyakorlása nem sértheti a személyes adatok törléséhez való jogot.

Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges. Az adathordozhatósághoz való jog nem érintheti hátrányosan mások jogait és szabadságait.

A TILTAKOZÁSHOZ VALÓ JOG

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelés ellen, ha az adatkezelés közérdekű vagy az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, ideértve az ezen alapuló profilalkotást is.

Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

A közvetlen üzletszerzés érdekében történő személyes adatok kezelése esetében, az érintett bármikor tiltakozhat a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is.

Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

A tiltakozáshoz való jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

Az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.

Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

AUTOMATIZÁLT DÖNTÉSHOZATAL EGYEDI ÜGYEKBEN, BELEÉRTVE A PROFILALKOTÁST

Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

Az érintett nem gyakorolhatja ezt a jogát, ha a döntés:

  1. az érintett és az Adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
  2. meghozatalát az Adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
  3. az érintett kifejezett hozzájárulásán alapul.

Az a) és c) esetben az érintett az Adatkezelő részéről emberi beavatkozást kérhet, kifejezheti álláspontját, és a döntéssel szemben kifogást nyújthat be. Adatkezelő köteles a megfelelő intézkedéseket megtenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében.

PANASZTÉTELHEZ VALÓ JOG

Az érintett - egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül - jogosult arra, hogy panaszt tegyen a felügyeleti hatóságnál, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet.

AZ ADATKEZELŐVEL VAGY AZ ADATFELDOLGOZÓVAL SZEMBENI HATÉKONY BÍRÓSÁGI JOGORVOSLATHOZ VALÓ JOG

Az érintett jogosult hatékony bírósági jogorvoslatra, ha megítélése szerint a személyes adatainak a Rendeletnek nem megfelelő kezelése következtében megsértették a Rendelet szerinti jogait.

 

 

10. AZ ADATBIZTONSÁG

Az Adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

  • a személyes adatok álnevesítését és titkosítását;
  • a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
  • fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
  • az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

Az Adatkezelő biztosítja, hogy az Adatkezelőnél és az általa megbízott adatfeldolgozónál a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az Adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.

Az Adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a GDPR Rendelet, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.

Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

Az Adatkezelőnek és az adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az Adatkezelőnek.

Az alkalmazott számítógépes rendszer, valamint a papír alapú nyilvántartások tárolási helyiségei – a jelenlegi ismeretek szerint – védettnek tekinthetők a jogosulatlan hozzáféréstől, az adatlopásoktól, az adatok törlésétől, megváltoztatásától, a vétlen megsemmisüléstől, valamint a nem szándékos nyilvánosságra kerüléstől.

11. ADATTOVÁBBÍTÁS

Az adatok akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárult, vagy törvény azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek.

Az adatfeldolgozásra irányuló adatátadás nem minősül adattovábbításnak.

Az EGT (Európai Gazdasági Térség) államba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.

Az Adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

Az, akinek jogát vagy jogos érdekét a képfelvétel, illetve más személyes adatának rögzítése érinti, a képfelvétel, illetve más személyes adat rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje. Bíróság vagy más hatóság megkeresésére a rögzített képfelvételt, valamint más személyes adatot a bíróságnak vagy a hatóságnak haladéktalanul meg kell küldeni. Amennyiben megkeresésre attól számított harminc napon belül, hogy a megsemmisítés mellőzését kérték, nem kerül sor, a rögzített képfelvételt, valamint más személyes adatot meg kell semmisíteni, illetve törölni kell.

A bíróság, az ügyész és a nyomozó hatóság gazdálkodó szervezetet kereshet meg tájékoztatás adása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása végett, és ennek a teljesítésére legalább nyolc, legfeljebb harminc napos határidőt állapíthat meg. A megkeresett a megállapított határidő alatt - ha törvény másképp nem rendelkezik - köteles a megkeresést teljesíteni, vagy a teljesítés akadályát közölni.

Ha a megkeresés személyes adatok közlésére vonatkozik, az csak annyi és olyan személyes adatra vonatkozhat, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges. A megkeresésben az adatkezelés pontos célját és a kért adatok körét meg kell jelölni.

12. ADATFELDOLGOZÁS

Adatfeldolgozó az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az Adatkezelő nevében személyes adatokat kezel.

A Szervezet kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR Rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

Az Adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit a GDPR Rendelet, az Info törvény, valamint az adatkezelésre vonatkozó külön törvények keretei között az Adatkezelő határozza meg. Az általa adott utasítások jogszerűségéért az Adatkezelő felel.

Az adatfeldolgozó az Adatkezelő rendelkezése szerint vehet igénybe további adatfeldolgozót. További adatfeldolgozó igénybevételekor a további adatfeldolgozó köteles az adatvédelmi előírásokat betartani, köteles megfelelő garanciákat nyújtani a megfelelő technikai és szervezési intézkedések végrehajtására, és biztosítania kell, hogy az adatkezelés megfeleljen a GDPR Rendelet követelményeinek.

Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az Adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.

Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az Adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az Adatkezelő rendelkezései szerint köteles tárolni és megőrizni.

Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az Adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.

Az Adatkezelő az általa igénybe vett adatfeldolgozókról, az átadott adatok köréről és céljáról nyilvántartást vezet.

13. ADATVÉDELMI INCIDENS

Adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az adatvédelmi incidenst az Adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a Nemzeti Adatvédelmi és Információszabadság Hivatalnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Ha a Szervezet 72 órán belül nem teszi meg a bejelentést, akkor a 72 órát követően tett bejelentéshez mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

A Szervezet a bejelentésben:

  • ismerteti az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • közli az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • ismerteti az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  • ismerteti a Szervezet által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

A Szervezet nyilvántartást vezet az adatvédelmi incidensekről, melyben feltünteti az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

A Szervezet által igénybe vett adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül köteles bejelenteni a Szervezetnek.

A Szervezet indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről, ha az valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve.

A Szervezet az érintett részére adott tájékoztatásban világosan és közérthetően ismerteti az adatvédelmi incidens jellegét és közli az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit, az adatvédelmi incidensből eredő, valószínűsíthető következményeket és ismerteti a Szervezet által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Nem kell tájékoztatni az érintettet, ha a következő feltételek bármelyik teljesül:

  • a Szervezet megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
  • a Szervezet az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
  • a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

14. KÁRTÉRÍTÉSHEZ VALÓ JOG ÉS A FELELŐSSÉG

Minden olyan személy, aki a GDPR Rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az Adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

Az adatkezelésben érintett valamennyi Adatkezelő felelősséggel tartozik minden olyan kárért, amelyet a GDPR Rendeletet sértő adatkezelés okozott.

Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be az e rendeletben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha a Szervezet jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.

A Szervezet, illetve az adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

Ha több Adatkezelő vagy több adatfeldolgozó vagy mind az Adatkezelő mind az adatfeldolgozó érintett ugyanabban az adatkezelésben, és egyaránt felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes Adatkezelő vagy adatfeldolgozó az érintett tényleges kártérítésének biztosítása érdekében egyetemleges felelősséggel tartozik a teljes kárért.

III. A SZERVEZET MUNKAVÁLLALÓINAK ADATVÉDELMI KÖTELEZETTSÉGEI

1. AZ ADATKEZELÉS JOGSZERŰSÉGÉNEK MEGÁLLAPÍTÁSA

Minden munkavállaló a munkaköri feladatainak végzése során köteles a munkakörében felmerülő adatkezelések során utólagosan is igazolhatóan megvizsgálni a következő kérdéseket:

  • A munkaköri feladat teljesítése során felmerül-e személyes adatok kezelésének szükségessége?
  • Kik az érintettek?
  • Milyen érintetti kategóriával kell számolni?
  • Milyen személyes adatok gyűjtése szükséges feltétlenül?
  • Mi az adatkezelés célja, jogalapja?
  • Felmerülnek-e további adatkezelési célok?
  • Hogyan kell igazolni a jogalapot?
  • Ki az adatkezelő? A Szervezet, vagy más szervezet?
  • Van-e adatfeldolgozó? Ki az adatfeldolgozó? Ő megfelel-e a rendeleti követelményeknek?
  • Hogyan kell biztosítani az érintettek tájékoztatását és joggyakorlását?
  • Milyen technikai és szervezési intézkedéseket kell tenni az adatbiztonság érdekében?
  • Felmerül-e adatvédelmi hatásvizsgálat elvégzésének szükségessége?

A fenti kérdések megválaszolása során jelen Szabályzat szerint kell eljárni, meg kell teremteni az adatkezelés jogalapját, és az érintettet tájékoztatni kell az adatkezelés céljáról, jogalapjáról, további tényeiről, és a jogairól.

Új – addig nem végzett - adatkezelési cél felmerülése esetén az előbbi pont szerinti eljárás mellett azt jelezni kell a munkáltató vezetőjének az adatkezelési tevékenységek nyilvántartásába való felvétel végett. Új adatkezelési tevékenység megkezdése előtt meg kell vizsgálni, hogy van-e szükség adatvédelmi hatásvizsgálatra, és ezen döntés tényét dokumentálni kell akkor is, ha a vizsgálat nem szükséges. Az adatkezelés során a munkavállaló köteles betartani jelen Szabályzat rendelkezéseit.

2. AZ ADATKEZELÉS JOGCÍMÉNEK VIZSGÁLATA

Az adatkezelési folyamat vizsgálata során először azt kell vizsgálni, vagy a Szervezet adatkezelése alapozható-e szerződés teljesítése, vagy jogos érdek, vagy jogi kötelezettség teljesítése jogcímre. Ezek hiányában meg kell vizsgálni, hogy az “érintett hozzájárulása” jogcím alkalmazható-e.

A jogi kötelezettségen alapuló adatkezelés esetén a kezelhető adatok körére, az adatkezelés céljára, az adatok tárolásának időtartamára, a címzettekre az alapul szolgáló jogszabály rendelkezései irányadók.

A jogi kötelezettség teljesítése jogcímén alapuló adatkezelés az érintett hozzájárulásától független, mivel az adatkezelést jogszabály határozza meg.

Az érintettel az adatkezelés megkezdése előtt ez esetben közölni kell, hogy az adatkezelés kötelező, továbbá az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő a rá vonatkozó jogi kötelezettség alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés esetén a tájékoztatás megtörténhet az előbbi információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.

3. ELJÁRÁS 18. ÉVEN ALULI ÉRINTETT ESETÉN

A 16. életévét be nem töltött kiskorú érintettre vonatkozó adatkezeléséhez – ha az hozzájáruláson alapul - a Szervezet munkavállalója a törvényes képviselő belegyezését köteles beszerezni, és valamennyi jogcímű adatkezelés esetén a törvényes képviselő részére kell a tájékoztatásokat megadnia.

Az orvosi kezelésekre és adatokra vonatkozóan a magyar szabályozások az irányadóak, így 18 éven aluli érintett esetén szintén köteles a Szervezet munkavállalója a törvényes képviselő belegyezését beszerezni, és őt tájékoztatni az adatkezelésekről.

4. ELJÁRÁS ADATFELDOLGOZÓ IGÉNYBEVÉTELE ESETÉN

Ha más szervezet a Szervezet nevében (megbízása alapján) kezel személyes adatot, a GDPR Rendelet alapján a Szervezet adatfeldolgozójának minősül.

A munkavállaló köteles az adatfeldolgozótól megkövetelni a GDPR Rendeletben és az Infó törvényben előírt garanciák teljesítését:

  • az adatfeldolgozó írásban vállaljon garanciát arra, hogy az adatkezelés megfelel a GDPR Rendelet és az Infó törvény előírásainak;
  • az adatfeldolgozó és munkavállalói az általuk megismert személyes adatok kezelése körében titoktartást vállaljanak;
  • az adatfeldolgozó alvállalkozót csak a Szervezet engedélyével vehet igénybe, akinek meg kell felelnie az 1-2. pont rendelkezéseinek, és megnevezését, elérhetőségeit a Szervezet számára át kell adnia.

5. ELJÁRÁS ADATFELDOLGOZÓKÉNT

Ha a Szervezet kezel más nevében (megbízása alapján) személyes adatokat – azaz adatfeldolgozónak minősül, a Szervezet munkavállalója munkakörében köteles biztosítani, hogy a Szervezet megfeleljen az adatfeldolgozóra előírt a Rendeletben és az Info törvényben meghatározott követelményeknek.

6. ADATBIZTONSÁGI INTÉZKEDÉSEK MEGTÉTELE

A munkavállaló kötelezettsége minden egyes adatkezelés során a Szervezet Informatikai Biztonsági Szabályzatában rögzített adatbiztonsági intézkedések betartása, az észlelt hiányosságok jelzése a munkáltató vezetőjének.

7. ADATVÉDELMI INCIDENSEK JELENTÉSE

A munkavállaló köteles jelenteni a munkáltatói jogok gyakorlójának, ha adatvédelmi incidens, vagy arra utaló információk jutottak a tudomására.

 

 

VI. FEJEZET TÁJÉKOZTATÁS AZ ÉRINTETT SZEMÉLY JOGAIRÓL

 

Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete alapján és a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról a 2018. évi XXXVIII. törvény alapján (2018.07.26-tól) (Infotv.) az érintett jogai a következők:

  • Átlátható tájékoztatás, kommunikáció és az érintett joggyakorlásának elősegítése
  • Előzetes tájékozódáshoz való jog – ha a személyes adatokat az érintettől gyűjtik
  • Az érintett tájékoztatása és a rendelkezésére bocsátandó információk, ha a személyes adatokat az adatkezelő nem tőle szerezte meg
  • Az érintett hozzáférési joga
  • A helyesbítéshez való jog
  • A törléshez való jog („az elfeledtetéshez való jog”)
  • Az adatkezelés korlátozásához való jog
  • A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
  • Az adathordozhatósághoz való jog
  • A tiltakozáshoz való jog
  • Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
  • Korlátozások
  • Az érintett tájékoztatása az adatvédelmi incidensről
  • A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)
  • A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
  • Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog

 

Az alábbiakban teljes körű tájékoztatást adunk az érintetti jogokról.

 

Átlátható tájékoztatás, kommunikáció és az érintett joggyakorlásának elősegítése 

Ön jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon. (Rendelet 13-14. cikk)

 

Az adatkezelőnek az érintett részére a személyes adatok kezelésére vonatkozó valamennyi információt és minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtania, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.

 Az adatkezelőnek elő kell segítenie az érintett jogainak a gyakorlását.

 

 Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről. E határidő a Rendeletben írt feltételekkel további két hónappal meghosszabbítható. amelyről az érintettet tájékoztatni kell.

 

Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

 

Az adatkezelő az információkat és az érintett jogairól szóló tájékoztatást és intézkedést díjmentesen biztosítja, azonban a Rendeletben írt esetekben díj számítható fel.

 

A részletes szabályok a Rendelet 12 cikke alatt találhatók.

 

Előzetes tájékozódáshoz való jog – ha a személyes adatokat az érintettől gyűjtik

 

Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon.  Ennek keretében az érintettet tájékoztatni kell:

az adatkezelő és képviselője kilétéről és elérhetőségeiről,

az adatvédelmi tisztviselő elérhetőségeiről (ha van ilyen), 

személyes adatok tervezett kezelésének céljáról, valamint az adatkezelés jogalapjáról,

jogos érdek érvényesítésén alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekeiről,

a személyes adatok címzettjeiről – akikkel a személyes adatot közlik -, illetve a címzettek kategóriáiról, ha van ilyen;

adott esetben annak tényéről, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.

 

A tisztességes és átlátható adatkezelés biztosítsa érdekében az adatkezelőnek az érintettet a következő kiegészítő információkról kell tájékoztatnia:

  1. a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;

az érintett hozzájárulásán alapuló adatkezelés esetén arról, hogy a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;

arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;

az automatizált döntéshozatal tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról, és arra vonatkozóan érthető információkról, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

 

Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és minden releváns kiegészítő információról.

 

 Az előzetes tájékozódáshoz való jog részletes szabályait a Rendelet 13. cikke tartalmazza.

 

Az érintett tájékoztatása és a rendelkezésére bocsátandó információk, ha a személyes adatokat az adatkezelő nem tőle szerezte meg

 

 Ha az adatkezelő a személyes adatokat nem az érintettől szerezte meg, az érintettet  az adatkezelőnek  a személyes adatok megszerzésétől számított  legkésőbb egy hónapon belül; ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor tájékoztatnia kell az előbbi 2. pontban írt tényekről és információkról, továbbá az érintett személyes adatok kategóriáiról, valamint  a személyes adatok forrásáról  és adott esetben arról, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e. A további szabályokra az előbbi 2. pontban (Előzetes tájékozódáshoz való jog) írtak irányadók. Rendelet 14. cikke.

 

Az érintett hozzáférési joga

 

Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a kapcsolódó információkhoz hozzáférést kapjon. (Rendelet 15. cikk).

 

Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a Rendelet 46. cikk szerinti megfelelő garanciákról.

 

Az adatkezelőnek az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére kell bocsátania. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. 

 

Az érintett hozzáférési jogára vonatkozó részletes szabályokat a Rendelt 15. cikke tartalmazza.

 

A helyesbítéshez való jog

 

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.

 

Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését is. Rendelet 16. cikke.

 

A törléshez való jog („az elfeledtetéshez való jog”)

 

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje ha

a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,

a személyes adatokat jogellenesen kezelték;

a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

a személyes adatok gyűjtésére közvetlenül gyermeknek kínált, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

 

A törléshez való jog nem érvényesíthető, ha az adatkezelés szükséges

a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;

az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;

a népegészségügy területét érintő közérdek alapján;

a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy

jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

 

A törléshez való jogra vonatkozó részletes szabályokat a Rendelet 17. cikk.

 

Az adatkezelés korlátozásához való jog

 

Az adatkezelés korlátozása esetén az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

 

Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

- az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;

- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

- az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

- az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

 

Az adatkezelés korlátozásának feloldásáról az érintettet előzetesen tájékoztatni kell.

 

A vonatkozó szabályokat a Rendelet 18. cikke tartalmazza.

 

A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

Az adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről. Rendelet 19. cikke

 

Az adathordozhatósághoz való jog

 

A Rendeletben írt feltételekkel az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha

  1. a) az adatkezelés hozzájáruláson vagy szerződésen alapul; és
  2. b) az adatkezelés automatizált módon történik.

 

Az érintett kérheti a személyes adatok adatkezelők közötti közvetlen továbbítását is.

 

Az adathordozhatósághoz való jog gyakorlása nem sértheti a Rendelet 17. cikkét (A törléshez való jog („az elfeledtetéshez való jog”). Az adtahordozhatósághoz való jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges. E jog nem érintheti hátrányosan mások jogait és szabadságait. Rendelet 20. cikke 

 

A tiltakozáshoz való jog

 

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdeken, közfeladat végrehajtásán (6. cikk (1) e)), vagy jogos érdeken (6. cikk f)) alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. Az érdekmérlegelési teszt keretében az adatkezelő feltárja a jogos érdek tartalmát, és megvizsgálja, hogy a jogos érdek érvényesítése hogyan hat az érintett érdekeire vagy alapvető jogaira és szabadságaira. Majd mérlegelni kell ez utóbbiak elsőbbséget élveznek-e az adatkezelő jogos érdekével szemben, különösen, ha az érintett gyermek. Ha a mérlegelés során az érintett érdekei a   személyes adatok védelmét teszik szükségessé – az adatkezelés nem folytatható.

Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.  Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

Ezen jogokra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

Az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.

Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

 

A vonatkozó szabályokat a Rendelet 21. cikke tartalmazza.

 

Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást

Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

 

Ez a jogosultság nem alkalmazandó abban az esetben, ha a döntés:

  1. a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
  2. b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
  3. c) az érintett kifejezett hozzájárulásán alapul.

 

Az előbbi a) és c) pontjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

 

A további szabályokat a Rendelet 22. cikke tartalmazza.

 

Korlátozások

 

Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja jogok és kötelezettségek (Rendelet 12-22. cikk, 34. cikk, 5. cikk) hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát. Rendelet 23. cikke.

 

Az érintett tájékoztatása az adatvédelmi incidensről

 

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintettet az adatvédelmi incidensről. E tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a következőket:

 

az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

 

Az érintettet nem kell az tájékoztatni, ha a következő feltételek bármelyik teljesül:

az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását. Rendelet 34. cikke.

 

A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)

 

Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet.  Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy az az ügyfél jogosult bírósági jogorvoslattal élni, Rendelet 77. cikke tartalmazza.

 

A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog

 

Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.

 

Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha az illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.

 

A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.

 

Ha a felügyeleti hatóság olyan döntése ellen indítanak eljárást, amellyel kapcsolatban az egységességi mechanizmus keretében a Testület előzőleg véleményt bocsátott ki vagy döntést hozott, a felügyeleti hatóság köteles ezt a véleményt vagy döntést a bíróságnak megküldeni. Rendelet 78. cikke.

 

BETEGJOG.

 

Beteg jogokat az Eü. tv. tartalmazza:

 

  • Az egészségügyi ellátáshoz való jog (Eü.tv. 6-9/. §)
  • Az emberi méltósághoz való jog (Eü.tv. 10.§)
  • A kapcsolattartás joga (Eü.tv. 11.§)
  • Az intézmény elhagyásának joga (Eü. tv. 12.§)
  • A tájékoztatáshoz való jog (Eü. tv. 13-14.§)
  • Az önrendelkezéshez való jog (Eü. tv. 15-19.§)
  • Az ellátás visszautasításának joga (Eü. tv. 20-23.§)
  • Az egészségügyi dokumentáció megismerésének joga (Eü. tv. 24.§)
  • Az orvosi titoktartáshoz való jog (Eü. tv. 25.§)
  • A beteg jogainak érvényesítése (Eü.tv. 28.§)
  • A beteg panaszainak kivizsgálása (Eü. tv. 29.§)
  • Tájékoztatási kötelezettség betegjogi képviselőről (Eü.tv.33.

 

Beteg jogai: Beteget az állapotától függően – felvételkor, illetőleg az ellátás előtt tájékoztatni kell a jogairól, érvényesítésének lehetőségeiről, az intézet házirendjéről.

 

Tájékoztatás a betegjogi képviselőről: Ellátottjogi, gyermekjogi és betegjogi képviselőt foglalkoztató szerv biztosítja, hogy a betegek és hozzátartozóik a „Betegjogi képviselő” személy nevét és elérhetőségét megismerje.  (Eü. tv. 33 §/1/)

 

Beteg panasz kivizsgálása (Eü. tv. 29.§):

A betegnek joga van panaszt tenni

Az egészségügyi szolgáltató, illetve fenntartó a panaszt köteles kivizsgálni, az eredményről a beteget a legrövidebb időn belül tájékoztatni. A beteg figyelmét fel kell hívni arra a tényre, hogy a panasz jogát gyakorolhatja a külön jogszabályokban meghatározottak szerint – a panasz kivizsgálása érdekében – a betegjogi, ellátottjogi és gyermekjogi képviselőt foglalkoztató szervhez és más szervekhez forduljon.

Panaszokat nyilván kell tartani és a panasszal, illetve annak kivizsgálásával összefüggő iratokat 5 évig meg kell őrizni

 

MILYEN ADATKEZELÉSI CÉLOK SZERINT KEZELIK AZ ADATOKAT. (EÜ. ADATV. TV. 4.§)

Az egészségügyi szolgáltató az egészségügyi és személyazonosító adatokat az alábbi célokból kezeli (4.§/1/):

             az egészség megőrzésének, javításának, fenntartásának előmozdítása,

a betegellátó eredményes gyógykezelési tevékenységének elősegítése, ideértve a szakfelügyeleti tevékenységet is,

az érintett egészségi állapotának nyomon követése,

népegészségügyi [16. §], közegészségügyi és járványügyi érdekből szükségessé váló intézkedések megtétele,

a betegjogok érvényesítése.

Egészségügyi és személyazonosító adatot az előbbi alpontban meghatározottakon túl – törvényben meghatározott esetekben – az alábbi célból lehet kezelni (4.§/2/):

  • egészségügyi szakember-képzés,
  • orvos-szakmai és epidemiológiai vizsgálat, elemzés, az egészségügyi ellátás tervezése, szervezése, költségek tervezése,
  • statisztikai vizsgálat,
  • hatásvizsgálati célú anonimizálás és tudományos kutatás,
  • az egészségügyi adatot kezelő szerv vagy személy hatósági vagy törvényességi ellenőrzését, szakmai vagy törvényességi felügyeletét végző szervezetek munkájának elősegítése, ha az ellenőrzés célja más módon nem érhető el, valamint az egészségügyi ellátásokat finanszírozó szervezetek feladatainak ellátása,
  • a társadalombiztosítási, illetve szociális ellátások megállapítása, amennyiben az az egészségi állapot alapján történik, valamint a rendvédelmi feladatokat ellátó szervek hivatásos állományának szolgálati jogviszonyáról szóló törvény szerinti rendvédelmi egészségkárosodási ellátás megállapítása,
  • az egészségügyi ellátásokra jogosultak részére a kötelező egészségbiztosítás terhére igénybe vehető szolgáltatások rendelésének és nyújtásának, valamint a gazdaságos gyógyszer-, gyógyászati segédeszköz- és gyógyászati ellátás rendelési szabályai betartásának a vizsgálata, továbbá a külön jogszabály szerinti szerződés alapján a jogosultak részére nyújtott ellátások finanszírozása, illetve az ártámogatás elszámolása, valamint a társadalombiztosítási ellátások megállapítása, kifizetése és a kifizetett ellátások visszafizetése, megtérítése érdekében,
  • bűnüldözés, továbbá a rendőrségről szóló 1994. évi XXXIV. törvényben meghatározott feladatok ellátására kapott felhatalmazás körében bűnmegelőzés,
  • a nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvényben meghatározott feladatok ellátása, az abban kapott felhatalmazás körében,
  • közigazgatási hatósági eljárás,
  • szabálysértési eljárás,
  • ügyészségi eljárás,
  • m) bírósági eljárás,
  • az érintettnek nem egészségügyi intézményben történő elhelyezése, gondozása,
  • a munkavégzésre való alkalmasság megállapítása függetlenül attól, hogy ezen tevékenység munkaviszony, közalkalmazotti, kormányzati szolgálati, közszolgálati vagy állami szolgálati jogviszony, hivatásos szolgálati viszony vagy egyéb jogviszony keretében történik,
  • közoktatás, felsőoktatás és szakképzés céljából az oktatásra, illetve képzésre való alkalmasság megállapítása,
  • a katonai szolgálatra, illetve a személyes honvédelmi kötelezettség teljesítésére való alkalmasság megállapítása,
  • munkanélküli ellátás, foglalkoztatás elősegítése, valamint az ezzel összefüggő ellenőrzés,
  • az egészségügyi ellátásokra jogosultak részére vényen rendelt gyógyszer, gyógyászati segédeszköz és gyógyászati ellátás folyamatos és biztonságos kiszolgáltatása, illetve nyújtása érdekében,
  • a munkabalesetek, foglalkozási megbetegedések – ideértve a fokozott expozíciós eseteket is – kivizsgálása, nyilvántartása és a szükséges munkavédelmi intézkedések megtétele,
  • az egészségügyi dolgozókkal szemben lefolytatott etikai eljárás,
  • eredményesség alapú támogatásban részesülő gyógyszerek, gyógyászati segédeszközök eredményességének, támogatásának megállapítása, és ezen gyógyszerekkel kezelt kórképek finanszírozási eljárásrendjének alkotása,
  • betegút-szervezés,
  • az egészségügyi szolgáltatások minőségének értékelése és fejlesztése, az egészségügyi szolgáltatások értékelési szempontjainak rendszeres felülvizsgálata és fejlesztése,
  • az egészségügyi rendszer teljesítményének ellenőrzése, mérése és értékelése,
  • az egészségügyi ellátásokra jogosult részére a hatásos és biztonságos gyógyszerelés elősegítése, valamint a költséghatékony gyógyszeres terápia kialakítása érdekében,
  • az Európai Unión belüli határon átnyúló egészségügyi ellátáshoz kapcsolódó jogok érvényesítése.

A felsoroláson kívül meghatározott céloktól eltérő célra is lehet az érintett, illetve törvényes vagy meghatalmazott képviselője (a továbbiakban együtt: törvényes képviselő) – megfelelő tájékoztatáson alapuló – írásbeli hozzájárulásával egészségügyi és személyazonosító adatot kezelni. (Eü.adatv.tv. 4.§/3/)

Az adatkezelési célokra csak annyi és olyan egészségügyi, illetve személyazonosító adat kezelhető, amely az adatkezelési cél megvalósításához elengedhetetlenül szükséges.

 

GYÓGYKEZELÉS MIATT HOGYAN KEZELIK AZ ADATAIMAT?

 

Az egészségügyi adatok felvétele a gyógykezelés része. (Eü. adatv. tv. 9.§) Hogy milyen adatokat vesz fel a kezelést végző orvos a szakmai szabályoknak megfelelően – a kötelező adatokon túl – azt a kezelés során az Eü. adatv. tv. 4 §. (1) bekezdésben leírtak szerinti cél alapján dönti el.

A beteg gyógykezelésével kapcsolatos tevékenységet végző személy (asszisztens, nővér stb.) a kezelést végző orvos utasításának megfelelően, a feladatai ellátásához szükséges mértékben vehet fel egyészségügyi adatot.

Egészségügyi dokumentációk, amik nem kerültek megsemmisítésre, illetve átadásra az Eü. adatv. tv. e törvény előírásai értelemszerűen vonatkoznak rá

Adatkezelés jogalapja

Jogi kötelezettség teljesítése (Eü. adatv. tv. 13.§): Az érintett (törvényes képviselője) köteles a betegellátó felhívására egészségügyi és személyazonosító adatait átadni,

Ø  ha valószínűsíthető vagy beigazolódott, hogy az Eü. adatv. tv.  1. számú mellékletben felsorolt valamely betegség kórokozója által fertőződött, vagy fertőzéses eredetű mérgezésben, illetve fertőző betegségben szenved, kivéve az Eü.adatv.tv.  15. § (6) bekezdése szerinti esetet (HIV fertőzés),

Ø   ha arra az Eü. adatv. tv.  2. számú mellékletben felsorolt szűrő- és alkalmassági vizsgálatok elvégzéséhez van szükség,

Ø   heveny mérgezés esetén,

Ø   ha valószínűsíthető, hogy az érintett az Eü. adatv. tv. 3. számú melléklet szerinti foglalkozási eredetű megbetegedésben szenved,

Ø   ha az adatszolgáltatásra a magzat, illetve a kiskorú gyermek gyógykezelése, egészségi állapotának megőrzése vagy védelme érdekében van szükség,

Ø  ha bűnüldözés, bűnmegelőzés céljából, továbbá ügyészségi, bírósági eljárás, illetve szabálysértési vagy közigazgatási hatósági eljárás során az illetékes szerv a vizsgálatot elrendelte,

Ø  ha az adatszolgáltatásra a nemzetbiztonsági szolgálatokról szóló törvény szerinti ellenőrzés céljából van szükség.

Ø  Hozzájárulás 1997 XLVII. Tv. 12.§

Adatkezelés célja

Gyógykezelés 1997 XLVII. Tv. 4 § (1)-(3)

Adatkezeléssel érintett címzettek kategóriái

Háziorvos, kezelőorvos, szakdolgozók, a törvény szerinti adattovábbítás címzettjei

Kezelt adatok köre

Az egészségügyi és a személyazonosító adatoknak az érintett részéről történő szolgáltatása – az egészségügyi ellátás igénybevételéhez kötelezően előírt adatok: személyazonosító adatok és az Eü. adatv. tv.  13. §-ban foglaltak törvényi előíráson alapulnak: Név, születési név, anyja neve, születési hely, idő, neme, lakcíme, tartózkodási helye, Társadalombiztosítási szám (TAJ)

Minden további adat önkéntesen hozzájáruláson alapuló adat Abban az esetben, ha az érintett önként fordul az egészségügyi szolgáltatóhoz és ellátóhálózathoz, a gyógykezeléssel összefüggő egészségügyi és személyazonosító adatainak kezelésére szolgáló hozzájárulását – ellenkező nyilatkozat hiányában – megadottnak kell tekinteni, és erről az érintettet (törvényes képviselőjét) tájékoztatni kell

Sürgős szükség, valamint az érintett belátási képességének hiánya esetén az önkéntességet vélelmezni kell hozzájáruláson alapuló adatkezelés (Eü. adatv. tv. 12.§)

Adatkezelés időtartama

Képalkotó diagnosztikai eljárással készült felvételt 10 évig

Képalkotó diagnosztikai eljárással készült felvételekről készült leletek a felvételtől számított 30 év

Zárójelentések 50 év

A kötelező megőrzési időt követő gyógykezelés vagy tudományos kutatás érdekében – indokolt esetben – az adatok továbbra is nyilvántarthatók – azonban az illetékes levéltárnak át kell adni.

Jogutód nélküli megszűnés esetén: tudományos jelentőségű egészségügyi dokumentációt a levéltár részére, egyéb egészségügyi dokumentációt a Kormány által kijelölt szervnek kell átadni.

Jogutód nélküli megszűnés után az ellátott feladatokat más szerv látja el: A megszűnés időpontját megelőző tíz évben keletkezett dokumentációt a feladatot ellátó szerv, minden további egészségügyi iratot, dokumentumot a továbbiakban ezen feladatokat ellátó adatkezelő részére kell átadni.  

Adatbiztonság

szabályzatban leírtak szerint.

 

ORVOSI TITOKTARTÁS (EÜ. ADATV. TV. 7-8.§)

 

Az orvos, mint adatkezelő, továbbá az adatfeldolgozó az orvosi titkot köteles megtartani – kivételek mellett.

  • Mentesülési kivételek: az egészségügyi és személyazonosító adat továbbítására az érintett, illetve törvényes képviselője írásban hozzájárult, az abban foglalt korlátozásokon belül,
  • az egészségügyi és személyazonosító adat továbbítása törvény előírásai szerint kötelező

A beteget ellátó – a választott háziorvosa, az igazságügyi szakértő kivételével- köti a titoktartás a beteget ellátóval szemben is, aki az orvosi vizsgálatban, a kórisme megállapításában, illetve a gyógykezelésben vagy a műtétnél nem volt jelen, nem működött közre, kivéve, ha az adatok közlése a kórisme megállapítása vagy az érintett további gyógykezelése érdekében szükséges.

 

GYÓGYKEZELÉSSEL KAPCSOLATBAN MILYEN JOGAIM VANNAK?

 

A gyógykezelésemmel kapcsolatban kezelt adataimról, adataim továbbításáról, hol és hogyan élhetek jogaimmal? (Eü. adatv. tv. 7.§ (3)-(7)).

 

Adatkezelő felhívja az érintettek figyelmét, hogy az érintettek tájékoztatás kérésüket, valamint egyéb jogaik gyakorlását – ha azt jogszabály ki nem zárja – a

Név: Testért Plasztika Kft

e-mail címre:

Adatkezelő más elérhetőségre küldött székhelyre:

levélben, vagy email útján írt nyilatkozattal/kéréssel tehetik meg.

Az Adatkezelő a nyilatkozatot a beérkezéstől számított legrövidebb időn, de maximum 15 napon belül megvizsgálja és megválaszolja, valamint megteszi a szükséges lépéseket a nyilatkozatban, a Szabályzatban, valamint jogszabályban foglaltak alapján.

Testért Plasztika Kft  az érintett kérelmére tájékoztatást ad az érintett  általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens - előfordulása esetén - körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről.

TÁJÉKOZTATÁSHOZ VALÓ JOG

Az érintett (beteg) jogosult tájékoztatást kapni a gyógykezelésével összefüggésben történő adatkezelésről, az egészségügyi és személyazonosító adatairól, egészségügyi dokumentációról információt kaphat, betekinthet, illetve azokról – saját költségére – másolatot kaphat.                                                                                                                   

A beteg életében, illetőleg halálát követően, az érintett házastársa, egyeneságbeli rokona, testvére, valamint élettársa – írásbeli kérelme alapján – akkor is jogosult a tájékoztatásra, és az azzal kapcsolatos jog gyakorlására, ha az egészségügyi adatra:

a házastárs, az egyeneságbeli rokon, a testvér, illetve az élettárs, valamint leszármazóik életét, egészségét befolyásoló ok feltárása, illetve ezen személyek egészségügyi ellátása céljából van szükség és az egészségügyi adat más módon való megismerése, illetve az arra való következtetés nem lehetséges. Ebben az esetben csak azoknak az egészségügyi adatoknak a megismerése lehetséges, amelyek az előbbi okkal közvetlenül összefüggésbe hozhatók.

Ezen jog az érintett ellátásának időtartama alatt az általa írásban felhatalmazott személyt, az érintett ellátásának befejezését követően az általa teljes bizonyító erejű magánokiratban felhatalmazott személyt illeti meg.

Az érintett halála esetén törvényes képviselője, közeli hozzátartozója, valamint örököse – írásos kérelme alapján – jogosult a halál okával összefüggő vagy összefüggésbe hozható, továbbá a halál bekövetkezését megelőző gyógykezeléssel kapcsolatos egészségügyi adatokat megismerni, az egészségügyi dokumentációba betekinteni, valamint azokról – saját költségére – másolatot kapni.

 

ORVOS ADATLEKÉRDEZÉSI JOGA (EÜ. ADATV. TV.    11.§)

A kezelést végző orvos az általa megállapított, az érintettre vonatkozó egészségügyi adatokról az érintettet közvetlenül tájékoztatja, és – amennyiben az érintett ezt kifejezetten nem tiltotta meg – azokat továbbítja az érintett választott háziorvosának.

A háziorvos az érintettet – kérelmére – tájékoztatja a rendelkezésére álló egészségügyi adatokról.  Az érintett háziorvosa és a kezelését végző orvos Az Eü. adatv. tv.  4. § (1) bekezdése szerinti érdekében – ha az érintett ezt írásban nem tiltotta meg – jogosult az érintett által a kötelező egészségbiztosítás terhére igénybe vett egészségügyi ellátás adatairól tudomást szerezni úgy, hogy az adatokat az egészségbiztosítási szerv elektronikus lekérdezés formájában biztosítja számára. A háziorvos a hozzá bejelentkezett biztosított adatait ismerheti meg. Az érintettet a kezelést végző orvos írásban vagy szóban tájékoztatja a tiltakozás lehetőségéről. Az érintett a tiltakozását az egészségbiztosítási szerv részére személyesen, postai úton vagy elektronikus úton juttatja el.

A fentiek egyedi adatbetekintésre, illetve adatkezelésre történő felhatalmazás nem jogosítja fel a kezelőorvost sem az adatok esetleges továbbadására, sem más célú felhasználására.

 

ADATFELDOLGOZÁSRÓL ÉS ADATTOVÁBBÍTÁSRÓL TÁJÉKOZTATÁS (EÜ.ADATV.TV. 10.§)

 

Eü. adatv. tv. 4. § (1) – (3) bekezdése szerinti célból történő adatkezelés és adatfeldolgozás esetén az egészségügyi ellátóhálózaton belül az egészségügyi és személyazonosító adatok továbbíthatók, illetve összekapcsolhatók a törvényben írtak szerint. Az egészségbiztosítási szervnek a kötelező egészségbiztosítás ellátásairól szóló 1997. évi LXXXIII. törvény (a továbbiakban: Ebtv.) 81. §-ában meghatározott feladata ellátása érdekében egészségügyi adatok és TAJ-számok az egészségügyi ellátóhálózat és az egészségbiztosítási szerv között is továbbíthatók és összekapcsolhatók, a feladat ellátásához szükséges mértékben.

Az Eü. adatv. tv. 4. § (1) bekezdése szerinti (1. az egészség megőrzésének, javításának, fenntartásának előmozdítása 2. a betegellátó eredményes gyógykezelési tevékenységének elősegítése, ideértve a szakfelügyeleti tevékenységet is, 3.  az érintett egészségi állapotának nyomon követése, 4. a népegészségügyi [16. §], közegészségügyi és járványügyi érdekből szükségessé váló intézkedések megtétele, 5. a betegjogok érvényesítése.)

adatkezelés és adatfeldolgozás esetén az érintett betegségével kapcsolatba hozható minden olyan egészségügyi adat továbbítható, amely a kezelőorvos vagy a háziorvos döntése alapján a gyógykezelés érdekében fontos, kivéve, ha ezt az érintett írásban vagy önrendelkezési nyilvántartásba vett nyilatkozatában megtiltja. Ennek lehetőségéről a továbbítás előtt az érintettet tájékoztatni kell. Az Eü. adatv. tv.  13. § szerinti esetekben (Fertőző betegség, szűrő és alkalmassági vizsgálatok, heveny mérgezés, foglalkozási eredetű megbetegedés, magzat és kiskorú gyermek gyógykezelése, bűnüldözés, bűnmegelőzés, hatósági megkeresés, nemzetbiztonsági ellenőrzés) az érintett tiltása ellenére is továbbítani kell az egészségügyi és személyazonosító adatot.  Adattovábbítás esetén sem lehet – az Eü. adatv. tv.  11. § (3) bekezdésében és a 13. §-ban foglaltak kivételével – az érintett hozzájárulása nélkül továbbítani a továbbítás idején fennálló betegséggel össze nem függő, korábbi betegségre vonatkozó egészségügyi adatokat.

Sürgős szükség esetén a kezelést végző orvos által ismert, a gyógykezeléssel összefüggésbe hozható minden egészségügyi és személyazonosító adat továbbítható.

 

MIKOR KÖTELEZŐ AZ EGÉSZSÉGÜGYI ADATAIM TOVÁBBÍTÁSA?

  • Közegészségügyi, járványügyi és munka-egészségügyi célból az Eü. adatv. tv. 15-15/A.§-a szerint.
  • A társadalombiztosítási igazgatási szervek részére az Eü. adatv. tv. 22-22/A.§ szerint.
  • Az orvosszakértői, rehabilitációs, illetve szociális szakértői szerv, rehabilitációs hatóság, a járási hivatal, az igazságügyi szakértő megkeresésére az Eü. adatv. tv. 22/E.§ szerint.
  • Központi implantátumregiszter részére az Eü. adatv. tv. 22/B-22/D.§ szerint.
  • Az egészségügyi ellátóhálózaton kívüli szerv megkeresésére az Eü. adatv. tv. 23-27.§ szerint.
  • Népegészségügyi célból az Eü. adatv. tv. 16-16/B.§-a szerint.
  • Epidemiológiai vizsgálatok, elemzések, az egészségügyi ellátás tervezése, szervezése, minőség- és teljesítményértékelés céljából az Eü. adatv. tv. 18-19.§-a szerint.
  • Egészségügyi dokumentáció nyilvántartása az EESZT-n belül (Eü.adatv.tv. 35/K.§)

 

STATISZTIKAI CÉLÚ ADATKEZELÉS

 

Anonim módon – személyazonosításra alkalmatlan módon - az érintett egészségügyi adatait statisztikai célra élve - születés és halálozás, valamint hozzájárulás kivételével – kezelhetők.                                                                                                                                                                       

 Ha az érintett egészségügyi és személyi azonosító adata statisztikai célú felhasználására személyiazonosításra alkalmas módon csak az érintett írásbeli hozzájárulásával adható át.

 

KI LEHET JELEN A GYÓGYKEZELÉSEM SORÁN

 

A kezelést végző orvoson és az egyéb betegellátó személyeken kívül csak az lehet jelen, akinek jelenlétéhez az érintett hozzájárul.

Az érintett hozzájárulása nélkül jelen lehet az érintett emberi jogainak és méltóságának tiszteletben tartásával

- más személy, ha a gyógykezelés rendje több beteg egyidejű ellátását igényli,

-  a rendőrség hivatásos állományú tagja, amennyiben a gyógykezelésre fogvatartott személy esetében kerül sor,

-  a büntetés-végrehajtási szervezet szolgálati jogviszonyban álló tagja, amennyiben a gyógykezelésre olyan személy esetében kerül sor, aki a büntetés-végrehajtási intézetben szabadságelvonással járó büntetését tölti, és a gyógykezelést végző betegellátó biztonsága, illetve szökés megakadályozása céljából erre szükség van,

az előző pontok szerinti személyek, ha bűnüldözési érdekből a beteg személyi biztonsága ezt indokolttá teszi, és a beteg nyilatkozattételre képtelen állapotban van.

 

Az érintett hozzájárulása nélkül is jelen lehet az, aki az érintettet az adott betegség miatt korábban gyógykezelte, akinek erre az intézményvezető vagy az adatvédelemért felelős személy szakmai-tudományos célból engedélyt adott, kivéve, ha ez ellen az érintett kifejezetten tiltakozott.

 

FELÍRT RECEPTTEL, VÉNNYEL KAPCSOLATOSAN KEZELT ADATOK

 

Gyógyszer, gyógyászati segédeszköz és gyógyászati ellátás rendelése esetén a recepten/vényen fel kell tüntetni

  1. az érintett nevét, lakcímét, születési dátumát,
  2. társadalombiztosítási támogatással történő rendelés esetén az a) pontban foglaltak mellett az érintett TAJ-számát, betegségének a betegségek nemzetközi osztályozása szerinti kódját (BNO kód), valamint
  3. közgyógyellátásban részesülő beteg esetén az 1)és 2) pontban foglaltak mellett a közgyógyellátási igazolvány számát,
  4. az Elektronikus Egészségügyi Szolgáltatási Tér (a továbbiakban: EESZT) útján rendelt vény esetében az a) –c)pontban foglaltak mellett az érintett nemét, ezen kívül az érintett TAJ számát, vagy ennek hiányában más, az érintett azonosításához használt, személyazonosításra alkalmas okmány számát.

Az EESZT működtetője biztosítja, hogy az EESZT-ben tárolt recept/vény adatait az érintett, az érintett kezelőorvosa, valamint a gyógyszer, a gyógyászati segédeszköz csatlakozott kiszolgálója az EESZT útján megismerhesse.

 A gyógyszer, gyógyászati segédeszköz, gyógyászati ellátás kiszolgáltatója, illetve nyújtója a vényen feltüntetett adatokat az egészségügyi ellátásra jogosult részére vényen felírt gyógyszer, gyógyászati segédeszköz és gyógyászati ellátás folyamatos és biztonságos kiszolgáltatása, illetve nyújtásának céljából és érdekében kezelheti.

 

 

ADATAIMAT ELÍRTÁK, HOGYAN KÉRHETEM A HELYESBÍTÉSÉT, JAVÍTÁSÁT

 

A Testért Plasztika Kft   a személyes adatot helyesbíti, ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat A Testért Plasztika Kft   rendelkezésére áll.

Az egészségügyi dokumentációban szereplő hibás egészségügyi adatot – az adatfelvételt követően – úgy kell kijavítani vagy törölni, hogy az eredetileg felvett adat megállapítható legyen. (Eü.adatv.tv. 31.§/1/).

 

SZEMÉLYAZONOSÍTÓ ÉS EGÉSZSÉGÜGYI ADATAIMAT HOGYAN TARTJÁK NYILVÁN 

 

A betegről/érintettről felvett, a gyógykezelés érdekében szükséges egészségügyi és személyazonosító adatot, valamint azok továbbítását nyilván kell tartani. Eü.adatv.tv. 28- 32/A.§)

 

 Az adattovábbításról szóló feljegyzésnek tartalmaznia kell az adattovábbítás címzettjét, módját, időpontját, valamint a továbbított adatok körét.

A nyilvántartás eszköze lehet minden olyan adattároló eszköz vagy módszer, amely biztosítja az adatok 6. § szerinti védelmét.

A kezelést végző orvos az általa vagy az egyéb betegellátó által felvett egészségügyi adatokról, valamint az azzal összefüggő saját tevékenységéről és intézkedéseiről feljegyzést készít. A feljegyzés a nyilvántartás részét képezi.

Az egészségügyi szolgáltató nyilvántartja

  • azokat az érintetteket, akikről bebizonyosodott vagy valószínűsíthető, hogy az Eü.adatv.tv. 1. számú melléklete szerinti fertőző betegségben szenvednek. Ezzel összefüggésben nyilván kell tartani a megelőző gyógyszeres kezelésre, a szűrővizsgálatra, a járványügyi megfigyelésre, a járványügyi ellenőrzésre, a járványügyi zárlatra kötelezett személyeket,
  • a védőoltásra kötelezett személyeket,
  • azokat, akik kábítószer-élvezők, gyógyszert kóros mértékben fogyasztók, illetve egyéb, hasonló jellegű függőséget okozó anyagot használnak.

A háziorvos a hozzá bejelentkezett érintett kórtörténetében tartja nyilván annak – általa ismert – valamennyi egészségügyi adatát.

A nyilvántartott adatokról, az egészségügyi dokumentációról az adatkezelő hiteles másolatot készít, ha ezt az adatbiztonság vagy a tárolt adatok fizikai védelme, illetve az e törvényben előírt adatközlési kötelezettség szükségessé teszi. (Eü. adatv. tv. 31.§/2/).

 

Testért Plasztika Kft   a személyes adatot - jogszabály eltérő rendelkezése hiányában - törli, ha annak kezelése jogellenes; annak törlését az érintett kéri; az hiányos vagy téves - és ez az állapot jogszerűen nem orvosolható -, feltéve, hogy a törlést törvény nem zárja ki; az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt; azt a bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság elrendelte.

 

Törlés helyett zárolja a személyes adatot, ha az érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta.

Testért Plasztika Kft megjelöli az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen.

Ha Testért Plasztika Kft az érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 25 napon belül írásban vagy az érintett hozzájárulásával elektronikus úton közli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait. A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén Testért Plasztika Kft   tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulás lehetőségéről.

Az érintett tiltakozhat személyes adatának kezelése ellen.

 

MEDDIG ŐRZIK A RÓLAM FELVETT EGÉSZSÉGÜGYI ADATOKAT

 

 Az egészségügyi dokumentációt – a képalkotó diagnosztikai eljárással készült felvételek, az arról készített leletek – az adatfelvételtől számított legalább 30 évig, a zárójelentést legalább 50 évig kell megőrizni. A kötelező nyilvántartási időt követően gyógykezelés vagy tudományos kutatás érdekében – amennyiben indokolt – az adatok továbbra is nyilvántarthatók. Ha a további nyilvántartás nem indokolt – a tudományos jelentőségű dokumentáció kivételével – a nyilvántartást meg kell semmisíteni.

Képalkotó diagnosztikai eljárással készült felvételt az annak készítésétől számított 10 évig, a felvételről készített leletet a felvétel készítésétől számított 30 évig kell megőrizni.

Amennyiben az egészségügyi dokumentációnak tudományos jelentősége van, a kötelező nyilvántartási időt követően át kell adni az illetékes levéltár részére.

A dokumentációt kezelő jogutód nélküli megszűnése esetén

  1. a)a tudományos jelentőségű egészségügyi dokumentációt a levéltárnak,
  2. b)az egyéb egészségügyi dokumentációt a Kormány által kijelölt szervnek

kell átadni.

Amennyiben a dokumentációt kezelő jogutód nélkül szűnik meg, de az általa korábban ellátott feladatokat más szerv látja el,

a dokumentációt kezelő megszűnésének időpontját megelőző tíz évben keletkezett egészségügyi dokumentációt a feladatot ellátó szerv,

az a) pont alapján átadásra nem kerülő egészségügyi dokumentációt az előbbi pont szerinti adatkezelő részére kell átadni.

A meg nem semmisített, illetve a levéltárnak átadott egészségügyi dokumentációra az Eü. adatv. tv. e törvény előírásai értelemszerűen vonatkoznak.

 

 

ELEKTRONIKUS EGÉSZSÉGÜGYI SZOLGÁLTATÁSI TÉR EESZT

 

Magyarország új e-egészségügyi rendszere az Elektronikus Egészségügyi szolgáltatási Tér - https://e-egeszsegugy.gov.hu/jogszabalyok  - melyhez 2017. november 11-án a háziorvosi szolgálatok, járó- és fekvőbeteg- ellátó intézmények és az összes gyógyszertár csatlakozott. Az orvosok és a patikusok ugyanazokat a számítógépes rendszereket használják, amit eddig is. Viszont az EESZT-n keresztül elérhetővé válnak olyan adatok, melyeket eddig Önnek kellett papíron őrizgetnie vagy bevésnie az emlékezetébe, hogy az orvosi vizsgálatkor azt ismertethesse a kezelősorvossal. A gyógyszertárban pedig a gyógyszerész látja, hogy az Önnek felírt készítményeket, olyanokat is, melyeket korábban váltott ki, vagy elfelejtett kiváltani, és könnyebben tud tanácsot adni, hogy milyen készítményeket ne szedjen egy időben, vagy miért nem felejtse el kiváltani egyes készítményeit.

 

MI EZ AZ E-EGÉSZSÉGÜGY?

 

A mai világban már szinte az élet minden területén megjelenik a digitalizáció. Amennyiben ez még távol áll Öntől semmi dolga nincsen az EESZT-ve, az orvos ugyanúgy el fogja Önt látni, mint eddig, a gyógyszereit ugyanúgy kiválthatja a papírrecepttel, mint eddig, vagy megkérheti erre valamelyik rokonát, ismerősét.

Ha viszont érdekli Önt a digitalizált világ, akkor sok új szolgáltatás válik elérhetővé az Ön számára: https://www.eeszt.gov.hu/hu/nyito-oldal  ezt az oldalt akkor tudja használni, ha van Önnek ügyfélkapus elérhetősége, ekkor a TAJ száma megadása után megtekintheti minden olyan adatát, dokumentumait, mely az Ön ellátása folyamán keletkezett.

Nyomon követheti a saját ellátásának menetét, bármikor megtekint heti az Önnek felirt receptet, beutalót, és az ePfoll adatokat, melyek az Önnek jellemző soha, vagy csak nagyon ritkán változó adatokat összesíti, hogy sürgősségi ellátás esetén minél hamarabb a kezelőorvosa rendelkezésére álljanak.

 

DIGITÁLIS ÖNRENDELKEZÉS MIT JELENT? (EÜ. ADATV. TV. 35/H. §)

 

A digitális önrendelkezés lehetőségét az egészségügyi és hozzájuk kapcsolódó személyes adatok kezeléséről és védeleméről szóló 1997. évi XLVII. törvény 2015. évi CCXXIV. törvényben módosított rendelkezései teszik lehetővé.  A digitális önrendelkezés keretében mindenkinek lehetősége nyílik, hogy a portálon keresztül, vagy bármely kormányablak ügyintézőjénél nyomon kövesse, ki és mikor kért hozzáférést, az EESZT-ben rögzítésre került adataihoz.  Beállíthatja, hogy értesítést kapjon a személyéhez kapcsolt új adatok bekerüléséről, és amennyiben indokoltnak érzi, korlátozásokat és engedélyezéseket határozhat meg a lekérdezőre vagy egyes adatokra vonatkozóan. Ha Ön nem él ezzel a lehetőséggel, akkor a jelenleg is élő korlátozások lesznek érvényben.

Betegadatait csak a háziorvosa és a kezelőorvosa láthatja, különösen érzékeny adatokat, mint pl: a nemi betegségekre, pszichiátriai vagy addiktológiai kezelésre vonatkozó adatok, csak az e szakterületen dolgozó kezelőorvos tekintheti meg. 

Ez az oldal a legmagasabb fokú kibervédelemmel ellátott rendszer.

Az önrendelkezési nyilvántartás érintettre vonatkozó bejegyzéseit az érintett halála után 5 évvel helyreállíthatatlanul törölni kell.

 

PAPÍR ALAPÚ ÖNRENDELKEZÉSI NYILATKOZATOT IS TEHETEK?

 

Az egészségügyi törvény alapján Ön bejelentheti (Eü. adatv. tv. 35/H. §), hogy személyes adatait kezeléséhez hozzájárul vagy azt korlátozza. (Önrendelkezési nyilatkozat)

A bejelentési és önrendelkezési nyilvántartás az alábbiakat tartalmazza:

  • Önrendelkezési nyilatkozatot tevő TAJ száma
  • azon egészségügyi adatok megjelölése, amelyekre az önrendelkezési nyilatkozat vonatkozik és az ezen egészségügyi adatokra vonatkozó önrendelkezési nyilatkozat
  • személyesen megtett önrendelkezési nyilatkozat esetében a bejelentés megtételének helyét
  • Az önrendelkezési nyilvántartást vezető szerv: a csatlakozott adatkezelő és az EESZT felhasználó számára abból a célból, hogy meg tudja állapítani, hogy az érintett egészségügyi adatainak kezelésére jogosult-e. Az adatkezelés jogszerűségének ellenőrzésére vagy megállapítására hatáskörrel rendelkező hatóság vagy bíróság számára, a végrehajtható döntése alapján az adatkezelés jogszerűségének ellenőrzése céljából az érintett TAJ szám alapján az EESZT útján adatot kell szolgáltatnia az érintett önrendelkezési nyilatkozatairól. Az adatszolgáltatást oly módon kell teljesítenie, hogy abból az érintett egészégügyi vagy hozzá kapcsolódó, az adatkezelési céljához nem szükséges személyes adatára, fennállására vagy fennállásának hiányára ne lehessen következtetni.
  • Az egészségügyi profilban rögzített adatokat az érintett halála után 5 évvel helyreállíthatatlanul törölni kell.
  • Az adat megismerésére jogosult EESZT felhasználó számára kizárólag egyedileg – TAJ számmal, - azonosított Önre vonatkozó adat továbbítható

 

 

 

IV. A SZERVEZETNÉL ALKALMAZOTT ADATBIZTONSÁGI INTÉZKEDÉSEK

1. ADATBIZTONSÁGI INTÉZKEDÉSEK

A Szervezet munkavállalói kötelesek az összes adatkezelése vonatkozásában a személyes adatok biztonsága érdekében megtenni azokat a technikai és szervezési intézkedéseket, kialakítani azokat az eljárási szabályokat, amelyek a GDPR Rendelet és az Info törvény érvényre juttatásához szükségesek.

A Szervezet az adatokat megfelelő intézkedésekkel védi a véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés, jogosulatlan nyilvánosságra hozatal vagy az azokhoz való jogosulatlan hozzáférés ellen.

A Szervezet a személyes adatokat bizalmas adatként minősíti és kezeli. A munkavállalókkal a személyes adatok kezelésére vonatkozóan titoktartási kötelezettséget ír elő, amelyre az munkaszerződést kiegészítő, munkavállalói titoktartási megállapodásban rögzített kikötéseket kell alkalmazni.  A személyes adatokhoz való hozzáférést a Szervezet jogosultsági szintek megadásával korlátozza.

A Szervezet az informatikai rendszereket tűzfallal védi, és vírusvédelemmel látja el.

A Szervezet alkalmazottai a munkahelyi gépekhez csatlakoztathatják saját számítástechnikai eszközeiket,adattároló és rögzítő eszközeiket. Ezekre az eszközökre vonatkozó adatvédelmi szabályokat a Szervezet Informatikai Biztonsági Szabályzata határozza meg.

A Szervezet az elektronikus adatfeldolgozást, nyilvántartást számítógépes program útján végzi, amely megfelel az adatvédelem követelményeinek. A programnak biztosítania kell, hogy az adatokhoz csak célhoz kötötten, ellenőrzött körülmények között csak azon személyek férjenek hozzá, akiknek munkaköri feladatainak ellátásához szükséges.

A személyes adatok automatizált feldolgozása során az Adatkezelő és az adatfeldolgozó további adatvédelmi intézkedésekkel biztosítja:

  • a jogosulatlan adatbevitel megakadályozását;
  • automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
  • annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
  • annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
  • a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
  • azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

A Szervezet a személyes adatok védelme érdekében gondoskodik az elektronikus úton folytatott bejövő és kimenő kommunikáció ellenőrzéséről.

A Szervezet által kezelt személyes adatok bármilyen közzététele tilos, kivéve amennyiben ezt valamilyen törvény vagy rendelet elvárja, vagy az érintett hozzájárulása ezt lehetővé teszi.

A munkahelyen és a Szervezet eszközein fájlletöltő-, játék-, csevegő-, és hasonló szolgáltatásokat kínáló oldalak látogatása szigorúan tilos.

Külső forrásból kapott vagy letöltött, nem engedélyezett programok használata tilos.

 A folyamatban levő munkavégzés, feldolgozás alatt levő iratokhoz csak az illetékes ügyintézők férhetnek hozzá, a személyzeti, a bér- és munkaügyi és egyéb személyes adatokat tartalmazó iratokat biztonságosan elzárva kell tartani.

Biztosítani kell az adatok és az azokat hordozó eszközök, iratok megfelelő fizikai védelmét.

Olyan külső személyek számára, akiket az adatok megismerésére nem hatalmaz fel törvényi előírás, a számítástechnikai eszközökhöz való hozzáférés csak abban az esetben engedélyezhető, ha a kezelt adatok megismerése kizárható vagy titoktartási nyilatkozatot tesznek.

A számítógépről elérhető adatokat több szintű jelszavas védelemmel kell ellátni. A számítógép illetéktelen elindítása elleni védelmet biztosítani kell. A vonatkozó részletszabályokat az IBSZ- ben kell meghatározni.

A hálózaton működő számítógépet a hálózatról való illetéktelen hozzáférés ellen is biztosítani kell.

A jelszó megismerésére jogosult ügyintéző köteles a jelszót bizalmasan kezelni, és az IBSZ-ben foglalt szabályokat követni.

A rendszerbe kerülő adatokat tartalmazó dokumentumokat úgy kell kezelni, hogy elvesztésük, elcserélésük, vagy meghibásodásuk elkerülhető, kiküszöbölhető legyen.

Az adatmegőrzés érdekében folyamatosan biztosítani kell, hogy az adathordozó az adott technikai feltételek mellett olvasható maradjon, vagy olvasható állapotba kerüljön.

Gondoskodni kell arról, hogy a számítástechnikai eszközök biztonsági megoldásainak dokumentációjához csak az arra felhatalmazott személyek férjenek hozzá.

Az informatikai rendszerben tárolt adatok védelme érdekében többszintű, informatikai hálózathoz, operációs rendszerhez, alkalmazói programhoz és a programon belüli munkafolyamathoz történő hozzáférési rendszert kell alkalmazni.

Biztosítani kell a feldolgozott adatállományok reprodukálhatóságát az informatikai adatok IBSZ-ben meghatározott időnkénti mentésével. A mentések szakszerű végrehajtásáért, tárolásáért, ellenőrzéséért az informatikai szervezeti egység vezetője felelős.

A manuális kezelésű személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani:

  1. Vagyonvédelem: Az irattári kezelésbe vett iratokat jól zárható, száraz helyiségbe kell elhelyezni.
  2. Hozzáférés-védelem: A folyamatosan aktív kezelésben lévő iratokhoz csak az illetékes ügyintézők férhetnek hozzá. A bér- és munkaügyi, valamint az egészségügyi iratokat lemezszekrényben kell tárolni.
  3. Archiválás: E Szabályzat különös részében említett adatkezelések iratainak archiválását évente egyszer el kell végezni

V. ADATVÉDELMI INCIDENSEK KEZELÉSE

1. AZ ADATVÉDELMI INCIDENS FOGALMA

Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; (GDPR Rendelet 4. cikk 12.) A leggyakoribb jelentett incidensek lehetnek például: a laptop vagy mobil telefon elvesztése, személyes adatok nem biztonságos tárolása (pl. szemetesbe dobott fizetési papírok); adatok nem biztonságos továbbítása, ügyfél- és vevő- partnerlisták illetéktelen másolása, továbbítása, szerver elleni támadások, honlap feltörése.

2. ADATVÉDELMI INCIDENSEK KEZELÉSE, ORVOSLÁSA 

Az adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások betartása a Szervezet vezetőjének feladata.

Az informatikai rendszereken naplózni kell a hozzáféréseket és hozzáférési kísérleteket, és ezeket folyamatosan elemezni kell.

Amennyiben a munkavállalói a feladataik ellátása során adatvédelmi incidenst észlelnek, haladéktalanul értesíteniük kell a Szervezet vezetőjét, vagy a munkáltatói jogok gyakorlóját.

Adatvédelmi incidens bejelenthető a Szervezet központi e-mail címén, telefonszámán, amelyen a munkavállalók, szerződő partnerek, érintettek jelenteni tudják az alapul szolgáló eseményeket, biztonsági gyengeségeket.

Adatvédelmi incidens bejelentése esetén a Szervezet vezetője haladéktalanul megvizsgálja a bejelentést, ennek során azonosítani kell az incidenst, el kell dönteni, hogy valódi incidensről, vagy téves riasztásról van szó.  Meg kell vizsgálni és meg kell állapítani:

  • az incidens bekövetkezésének időpontját és helyét;
  • az incidens leírását, körülményeit, hatásait;
  • az incidens során kompromittálódott adatok körét, számosságát;
  • a kompromittálódott adatokkal érintett személyek körét;
  • az incidens elhárítása érdekében tett intézkedések leírását;
  • a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.

Adatvédelmi incidens bekövetkezése esetén az érintett rendszereket, személyeket, adatokat be kell határolni, el kell különíteni és gondoskodni kell az incidens bekövetkezését alátámasztó bizonyítékok begyűjtéséről és megőrzéséről, valamint 72 órán belül értesíteni kell az Info törvényben megjelölt hatóságot. Ezt követően lehet megkezdeni a károk helyreállítását és a jogszerű működés visszaállítását.

3. ADATVÉDELMI INCIDENSEK NYILVÁNTARTÁSA

 Az adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza:

  • az érintett személyes adatok körét;
  • az adatvédelmi incidenssel érintettek körét és számát;
  • az adatvédelmi incidens időpontját;
  • az adatvédelmi incidens körülményeit, hatásait;
  • az adatvédelmi incidens orvoslására megtett intézkedéseket;
  • az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.

Az adatvédelmi incidensek nyilvántartásának mintáját jelen Szabályzat tartalmazza.

VI. ADATVÉDELMI HATÁSVIZSGÁLAT ÉS ELŐZETES KONZULTÁCIÓ

1. ADATVÉDELMI HATÁSVIZSGÁLAT ÉS ELŐZETES KONZULTÁCIÓ

Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor a Szervezet az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az Adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az Adatkezelő konzultál a felügyeleti hatósággal.

Az adatvédelmi hatásvizsgálat és előzetes konzultáció részletes szabályaira a GDPR Rendelet 35-36. cikkei és az Info törvény. rendelkezései irányadók.

VII. AZ ADATVÉDELMI TISZTVISELŐ

 1. AZ ADATVÉDELMI TISZTVISELŐ KIJELÖLÉSE, FELADATAI

A Szervezet adatvédelmi tisztviselőt jelöl ki a GDPR Rendelet 37. cikkében meghatározott esetekben.

Az adatvédelmi tisztviselő kijelölése az ügyvezető hatáskörébe tartozik.

Kijelölése esetén az adatvédelmi tisztviselő feladatai:

  • tájékoztat és szakmai tanácsot ad az Adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
  • ellenőrzi a GDPR Rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az Adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
  • kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
  • együttműködik a felügyeleti hatósággal; és
  • az adatkezeléssel összefüggő ügyekben – ideértve az előzetes konzultációt is – kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

 

 

VIII. ADATKEZELÉSI TEVÉKENYSÉGEK

Az adatkezelések belső szabályozását e Szabályzat 6. melléklete tartalmazza – amelyet az Adatkezelőnek akkor kell alkalmaznia, ha a melléklet szerinti tevékenységet ténylegesen végzi.

IX. ZÁRÓ RENDELKEZÉSEK

1. INTÉZKEDÉSEK A SZABÁLYZAT MEGISMERTETÉSÉRE

E Szabályzat rendelkezéseit meg kell ismertetni a Szervezet valamennyi munkavállalójával (foglalkoztatottjával), és a munkavégzésre irányuló szerződésekben elő kell írni, hogy betartása és érvényesítése minden munkavállaló (foglalkoztatott) lényeges munkaköri kötelezettsége. A munkaszerződési kikötés mintáját jelen szabályzat 5. számú melléklete tartalmazza.

 

 

MELLÉKLETEK

1. melléklet

Tájékoztatás a munkavállaló részére a munkaviszonyra vonatkozó szabályokról és a személyhez fűződő jogok munkaviszonyból eredő korlátozásáról

2. melléklet

Tájékoztatás a munkavállaló részére alkalmassági vizsgálatokkal kapcsolatos adatkezelésről

3. melléklet

Szerződések adatkezelési kikötései

4. melléklet

Adatkérő lap személyes adatok hozzájáruláson alapuló kezeléséhez

5. melléklet

Munkaszerződési kikötés az adatkezelési szabályzat megismeréséről, alkalmazásáról és titoktartási kötelezettségről

6. melléklet

A Szervezet által végezett adatkezelési tevékenységek leírása és szabályozása

7. melléklet

A szervezet adatvédelmi tájékoztatója a weboldalra

8. melléklet

Adatkezelési folyamatok nyilvántartása

9. melléklet

Adatfeldolgozók

10. melléklet

Adatvédemi incidensek nyilvántartásának mintája

11. melléklet

Adatvédelmi incidensek példái

12. melléklet

Egészségügyi adatkezelési folyamatok

 

 

 

Jelentkezz most ingyenes konzultációra!

Add meg elérhetőségeidet és kollégáink hamarosan keresni fognak telefonon egy ingyenes konzultációs lehetőséggel kapcsolatban!