KontaktPont Fogászat

az Árpád-híd lábánál

ADATVÉDELMI és ADATBIZTONSÁGI SZABÁLYZAT

DENTAL PROJECT KORLÁTOLT FELELŐSSÉGŰ TÁRSASÁG

ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT 

Hatályba lépés napja: 2021.02.01.

Tartalomjegyzék

1.       FEJEZET: ÁLTALÁNOS RENDELKEZÉSEK. 4

1.1. A szabályzat fogalmai, kiadásának célja, hatálya. 4

1.2. Adatkezelés elvei, jogalapja és célja. 5

1.3. Beépített adatvédelem, adatvédelmi hatásvizsgálat elvégzése. 8

1.4. Az adatvédelem elveinek érvényesítése és számon kérhetőségének biztosítása. 9

1.5. Az ügyintézés során történő adatkezelési és adatbiztonsági előírások. 11

1.6. Adatkezelés általános céljai, az adatkezelési nyilvántartások. 13

1.7. Az adatkezelési tevékenység nyilvántartása. 13

1.8. Adattovábbítás és a továbbított adatok nyilvántartása. 14

1.9. Az adatkezelési tájékoztatók és nyilvántartásuk. 15

1.10. Rendelkezési Nyilvántartás. 17

1.11. Az adatfeldolgozók, közös adatkezelők, adatfeldolgozások nyilvántartása. 17

1.12. Adatvédelmi incidensek és nyilvántartásuk. 18

2.       FEJEZET: AZ ÉRINTETTEK ADATKEZELÉSSEL KAPCSOLATOS JOGAINAK BIZTOSÍTÁSA. 19

2.1. Az érintett jogainak biztosítása. 19

2.2. Az érintettek tájékoztatása. 20

2.3. Az adatok módosításához és helyesbítéséhez való jog biztosítása. 21

2.4. Az adatok törlésére irányuló jog biztosítása. 21

2.5. Az adatkezelés korlátozásához való jog biztosítása. 21

2.6. Az adatok hordozhatóságára irányuló jog biztosítása. 22

2.7. Az adatkezelés elleni tiltakozás jogának biztosítása. 22

2.8. Az adatokhoz való hozzáférési jog biztosítása. 23

2.9. Az adatkezelések jogalapjának vizsgálata. 23

2.10. Különleges adatok kezelése. 25

2.11. Adatszivárgás megelőzésének biztosítása. 26

3.       FEJEZET: A TÁRSASÁG ADATVÉDELMI RENDSZERE. 27

3.1. Az adatvédelmi tisztviselő. 27

3.2. Az Adatvédelmi Tisztviselő részletes feladatai 28

3.3. Az adatkezelést végző munkatársak. 29

3.4. Az ellenőrzés rendszere. 29

4.       FEJEZET: A MUNKAVÁLLALÓK ADATAINAK KEZELÉSE. 30

4.1. A személyügyi nyilvántartás. 30

4.2. Munkavállalók adatainak kezelése. 30

4.3. Adatkezelés az érintett hozzájárulása alapján. 32

4.4. Adatkezelés az adatkezelő jogos érdeke alapján. 33

4.5. A pályázatok, önéletrajzok megőrzése. 34

4.6. Az alkalmassági vizsgálatok. 34

4.7. Informatikai eszközök használata. 35

5.       FEJEZET: EGÉSZSÉGÜGYI ADATKEZELÉSI ÉS ADATVÉDELMI SZABÁLYOK. 37

5.1. Az adatfelvétel szabályai 37

5.2. Az egészségügyi adatokkal kapcsolatos titoktartási kötelezettség. 38

5.3. Az adat módosítása és törlése. 38

5.4. Adatbiztonság. 39

5.5. Adatkezelő azonosítása. 40

5.6. Eljárás az adatok sérülése, adatvédelmi incidens esetén. 41

5.7. Az adatkezelési rendszer sérülése, illetve károsodása esetére tervezett intézkedések. 41

5.8. Az egészségügyi dokumentáció. 41

5.9. Az egészségügyi dokumentáció tárolásának és archiválásának rendje. 42

6.       FEJEZET:AZ EGÉSZSÉGÜGYI DOKUMENTÁCIÓ MEGISMERÉSÉNEK SZABÁLYAI 43

6.1. Az érintett saját adatainak megismerése. 43

6.2. Elhunyt beteg egészségügyi adatainak megismerése. 43

6.3. Hozzátartozó általi betekintés egészségügyi indokok alapján. 43

6.4. Cselekvőképtelen, korlátozottan cselekvőképes beteg dokumentációjának megismerése. 44

6.5. Adattovábbítás az egészségügyi ellátó hálózaton kívüli szerv megkeresésére vagy adatkérésére. 45

6.6. Az egészségügyi dokumentáció megismerése iránti kérelmekkel kapcsolatos ügyintézés. 46

6.7. Az egészségügyi dokumentáció megismerésére irányuló kérelmek közös szabályai 46

6.8. Hatóságok kötelező értesítése. 47

6.9. Az egészségügyi informatikai rendszer. 48

6.10. Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) 49

6.11. Betegségregiszterek. 50

6.12. A Központi Implantátumregiszter. 50

7.       FEJEZET: KAPCSOLATTARTÁSI MARKETING CÉLÚ ADATKEZELÉSEK. 51

7.1. Fotó videó felvételek kezelése. 51

7.2. A Társaság honlapjának böngészésével kapcsolatos adatok kezelése. 52

7.3. Hírlevél szolgáltatáshoz kapcsolódó adatkezelés. 53

8.      FEJEZET: A KAMERÁS MEGFIGYELÉS SZABÁLYAI 53

8.1.1.         A kamerás megfigyelés célja, eszközei 53

8.1.4.         A felvételek biztonsága. 56

8.       fejezet: a Hatálybaléptetéssel kapcsolatos rendelkezések. 56

1. /a számú melléklet: Egészségügyi adatkezelés kontrollja. 58

1. /b számú melléklet: Adatvédelmi feladatok kontrollja. 59

1 /c számú melléklet: Adatvédelmi tisztviselő kontrollja. 60

1.      számú függelék: Fogalmak. 61

2.      számú függelék : Alkalmazandó jogszabályok. 62

ABSZ01/2021 ( 2021.01.26.) Ügyvezetői utasítás

a Dental Project Korlátolt Felelősségű Társaság adatvédelmi és adatbiztonsági szabályzatáról

A Dental Project Korlátolt Felelősségű Társaság ügyvezetőjeként a Társaság adatvédelmi és adatbiztonsági szabályzatát az alábbiakban határozom meg.

    1. 1.1. A szabályzat fogalmai, kiadásának célja, hatálya
  • A jelen szabályzat alkalmazása során a 1. számú függelékben meghatározott fogalmakat a 2. számú függelékben felsorolt jogszabályok által előírt tartalommal a kell használni.
  • a) a Dental Project Korlátolt Felelősségű Társaság (cégjegyzékszám: Cg.01-09-178132, adószám: 24703910-2-41, székhely: 1134 Budapest, Róbert Károly körút 36. földszint 6.) – a továbbiakban: Társaság – alaptevékenysége egészségügyi szolgáltatás – fogorvosi tevékenység – amely során személyes és különleges személyes adatok, többek között egészségügyi adatok kezelése történik. A Társaság adatkezelési tevékenységét elsősorban a főtevékenysége során nyújtott szolgáltatások keretében végzi. Ezen tevékenységéhez kapcsolódóan kezeli a betegeknek, továbbá azok hozzátartozóinak adatait. A tevékenysége ellátása során annak teljesítése érdekében a Társasággal munkaviszonyban, más foglalkoztatási jogviszonyban, vagy más, személyes közreműködésre kötelező jogviszonyban álló személyeknek, továbbá partneri viszonyban álló szervezet tagjainak, alkalmazottainak személyes adatát kezeli.
  • Az Európai Parlament és a Tanács 2016. április 27. napján kelt, 2016/679 számú rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (a továbbiakban: GDPR) 2018. május 25. napjától a Társaság tekintetében kötelezővé teszi a GDPR-ban megfogalmazott, a személyes adatok védelmére teendő intézkedések alkalmazását. A Társaság fő tevékenysége során a GDPR 9. cikke szerinti különleges kategóriába tartozó személyes adatok kezelését végzi, ezért a GDPR 37. cikke (1) bekezdésének c) pontja alapján adatvédelmi tisztviselő kijelölésére/megbízására kötelezett. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 25/A. § (3) bekezdése előírja, hogy az adatkezelő adatvédelmi tisztviselő kijelölésére köteles, illetve, hogy az adatkezelés jogszerűségének biztosítása, továbbá az érintettek alapvető jogainak érvényesülése érdekében az adatkezelés által fenyegető kockázatokhoz igazodó műszaki és szervezési intézkedéseket tesz, melynek részeként belső adatvédelmi és adatbiztonsági szabályzatot alkot meg és alkalmaz.
  • A Szabályzat hatálya kiterjed
  • a Társaságminden tevékenységi körére, amely során személyes adatok kezelése történik;
  • a Társasággal foglalkoztatási jogviszonyban, vagy személyes közreműködésre kötelező jogviszonyban álló személyekre (a továbbiakban: munkatárs) és mindenkire, aki személyes adatot kezel, vagy a Társaság részére végzett tevékenysége során személyes adatot ismer meg;
  • az összes, a vonatkozó jogszabályok által személyesnek minősített adatra;
  • Ezen szabályzat hatálya a személyes adatok védelmére vonatkozó rendelkezések tekintetében nem terjed ki a Társasággal alvállalkozói, vagy más szerződéses kapcsolatban álló személyekre, társaságokra, vagy a Társaság működéséhez kapcsolódó bármely önálló jogalanyisággal rendelkező szervezetre (a továbbiakban: szervezet), azonban a ezen szervezetek  a szabályzat rendelkezéseit a Társasággal kapcsolatosan végzett tevékenységük során köteles tiszteletben tartani. A Társaság ezen szervezetek együttműködő partnereként segíti és elvárja, hogy ezen szervezetek saját adatvédelmi rendszerüket jelen szabályzatban meghatározott adatvédelmi elvek szerint alakítsák ki.
  1. 1.2. Adatkezelés elvei, jogalapja és célja
  • A személyes adatok
  • [1]kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
  • [2]gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő adatkezelés („célhoz kötöttség”);
  • [3]az adatkezelés céljai szempontjából megfelelőek és relevánsnak kell, hogy legyenek, és szükségesre kell korlátozódniuk („adattakarékosság”);
  • [4]pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”)
  • [5]tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintett jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);
  • [6]kezelését oly módon kell végezni, hogy megfelelő technikai és szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”)
  • [7]Az adatkezelő felelős az adatkezelés elveinek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására is („elszámoltathatóság”). A személyes adatok kezelésével együtt járó tevékenység esetén az adatvédelmi tisztviselő által meghatározott iránymutatás szerint gyakorolja az adatkezelő részére előírt feladatokat.
  • [8]A Társaság személyes adatot csak akkor kezel, ha
  • az érintett hozzájárulását adta személyes adatainak meghatározott cél elérése érdekében történő kezeléséhez;
  • [9]az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
  • [10]az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  • [11]az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  • [12]az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
  • [13]az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
  •  Különleges adat akkor kezelhető, ha
  • [14]az érintett kifejezett hozzájárulását adta a különleges személyes adatok egy vagy több meghatározott célból történő kezeléséhez, kivéve, ha az uniós vagy a tagállami jog úgy rendelkezik, hogy a különleges adatok kezelésére vonatkozó általános tilalom nem oldható fel az érintett hozzájárulásával;
  • [15]az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkozást, valamint a szociális biztonságot és a szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;
  • [16]az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
  • [17]az adatkezelés valamely politikai, világnézeti vallási vagy érdekképviseleti, szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;
  • [18]az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében;
  • [19]az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem, vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;
  • [20]az adatkezelés közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.
  • [21]Az érintettel az adat felvétele előtt közölni kell, hogy az adatfelvétel a GDPR 13. illetve 14. cikkelyeire tekintettel mely információk alapján történik az adatkezelés. Ennek formája lehet az adatvédelmi tájékoztató közzététele.
  • [22]Hozzájárulás az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozata, mellyel önkéntes, kifejezett, tájékoztatáson alapuló és egyértelmű hozzájárulását adta a természetes személyt érintő személyes adatok kezeléséhez.
    • Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozatot vagy cselekedetet tesz, amely az adott összefüggésben egyértelműen az érintett hozzájárulását jelzi a személyes adatainak tervezett kezeléséhez.
    • A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed.
    • A több célt is szolgáló adatkezelés esetén a hozzájárulást az összes adatkezelési célra vonatkozóan egyenként meg kell adni.
    • Ha az érintett a hozzájárulását elektronikus felkérést követően adja meg, a felkérésnek egyértelműnek kell lennie és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérik.
  • A Társaság az érintettek által adott hozzájárulások megadásáról az alábbi tartalommal nyilvántartás vezet
  • adatkezelési hozzájárulás iktató száma         
  • érintett természetes személyazonosító adatai
  • az adatkezelés nyilvántartás neve és száma   
  • adatkezelési tájékoztató iktató száma
  • adatkezelési hozzájárulás megadásának időpontja    
  • adatkezelési hozzájárulás visszavonásának időpontja
  • A Társaság nyilvántartással kapcsolatos dokumentumok mintáját, valamint a nyilvántartás felülvizsgálatának elvégzéséhez szükséges jegyzőkönyv mintáját a formanyomtatványtárban kezeli.
  • [23]A Társaság által alkalmazottak kötelesek a munka törvénykönyvéről szóló 2012. évi I. törvény 8. § (4) bekezdése, az egészségügyről szóló 1997. évi CLIV. törvény 25. §-a alapján az általuk megismert személyes adatokat időbeli korlát nélkül titokként megőrizni.
  • [24]A Társaság új munkavállalója munkába lépésekor adatvédelmi oktatásban részesül. Az adatvédelmi továbbképzés tematikus előadássorozat keretében, e-learning formában valósul meg, melyet a Társaság szervez. A munkavállalók oktatásáról a Társaság nyilvántartást vezet az alábbi tartalommal:
  • az oktatásban részvevő neve
  • az alapszintű oktatásban való részvétel időpontja
  • a továbbképzésben való részvétel időpontja
  • A Társaság munkavállalók oktatásának szervezéséről szóló nyilvántartás mintáját, valamint a nyilvántartás felülvizsgálatának elvégzéséhez szükséges jegyzőkönyv mintáját a formanyomtatványtárban kezeli.
  • [25]A Társaság az új adatkezelés megkezdése előtt (különösen új adatkezelési technológiákat alkalmazása esetén), ha annak jellege, hatóköre, körülményei és céljai, valószínűsíthetően magas kockázattal járnak a természetes személyek jogaira és szabadságaira nézve, az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét miként érintik.
  • A Társaság ügyvezetője hatásvizsgálat elvégzésének szükségessége kérdésében kikéri adatvédelmi tisztviselő véleményét és ennek alapján dönt a hatásvizsgálat elvégzéséről. A Társaság vezetőjének megkeresésére az általa szolgáltatatott adatok és információk alapján az adatvédelmi tisztviselő hatásvizsgálatot végez, mely nem tarthat tovább 30 napnál.
  • A hatásvizsgálatot az alábbi esetekben kell elvégeznie a Társaságnak:
  • természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek,
  • személyes adatok különleges kategóriáiba tartozó adatok kezelése, vagy
  • a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése,
  • nyilvános helyek nagymértékű, módszeres megfigyelése.
  • A hatásvizsgálat kiterjed a GDPR 35. cikk (7) bekezdésében meghatározott szempontokra. Amennyiben az adatvédelmi hatásvizsgálat eredményeként a hatásvizsgálatot végző megállapította, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az Adatvédelmi tisztviselő konzultál a felügyeleti hatósággal. Az adatvédelmi tisztviselő a konzultáció eredményéről tájékoztatja a Társaság vezetőjét, aki ennek alapján dönt a tervezett adatkezelés bevezetéséről (alkalmazásáról). Amennyiben a Társaság vezetője az adatkezelés bevezetéséről dönt, köteles minden olyan intézkedést megtenni, amely a hatásvizsgálat alapján biztosítja személyes adatok védelmét az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat. Amennyiben ez nem biztosítható, úgy az adatkezelés nem kezdhető meg.
  • A hatásvizsgálat kezdeményezéséhez, elvégzéséhez és az alapján az adatkezelésről való döntéshez szükséges formanyomtatványokat a Társaság a formanyomtatványtárban kezeli.
  • A Társaság folyamatosan gondoskodik arról, hogy a belső szabályzatai, munkautasításai az adatvédelmi előírásoknak megfeleljenek. A Szabályzatok, munkautasítások kiadását megelőzően azok tekintetében a Társaság és az Adatvédelmi tisztviselő véleményét ki kell kérni.
  • [26]A Társaság a személyes adatok kezelése során, az adatkezelés elveinek érvényesítése érdekében az alábbi intézkedéseket teszi:
  • [27]Jogszerűség, tisztességes eljárás és átláthatóság érdekében: A személyes adatok kezelését jogszerűen és tisztességesen, az érintett számára átlátható módon kell végezni. A személyes adatok kezelésekor a természetes személyek számára átláthatóvá kell tenni a rájuk vonatkozó személyes adataik gyűjtésének és felhasználásának jogalapját, módját, mikéntjét, a kezelt adatok körét, továbbá az azokba való betekintés lehetőségét és módját. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint, hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Annak biztosítása érdekében, hogy a személyes adatok kezelése az érintett számára átlátható legyen, a Társaság adatkezelési célonként valamennyi adatkezelésről adatkezelési nyilvántartást vezet, az adatkezelési nyilvántartás alapján az abban nyilvántartott minden adatkezelésről és annak alapján adatkezelési tájékoztatót készít, amelyeket nyilvántart, illetve nyilvánosan és korlátozásmentesen hozzáférhetővé tesz saját honlapján. A Társaság ezek megfelelőségét a tárgyévet követő év január 31. napjáig felülvizsgálja, az abban szereplő adatokat szükség esetén módosítja, törli.
  • [28]Célhoz kötöttség: A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet. A személyes adatok nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon. Annak biztosítása érdekében, hogy a személyes adatok kezelése csak az adott célhoz kötött legyen, a Társaság az általa kezelt adatok célhoz kötöttségét tárgyévet követő év január 31. napjáig. napjáig felülvizsgálja és szükség esetén az adatokat módosítja, törli.
  • [29]Adattakarékosság: A személyes adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük, valamint csak a szükségesre szabad korlátozódniuk. Annak biztosítása érdekében, hogy a személyes adatok kezelése csak a szükséges mértékű legyen, a Társaság az általuk kezelt adatokat, azok relevanciáját a tárgyévet követő év január 31. napjáig felülvizsgálja és szükség esetén az adatokat módosítja, törli.
  • [30]Pontosság: A személyes adatoknak, pontosnak és naprakésznek kell lenniük, azaz minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék. Annak biztosítása érdekében, hogy a kezelt személyes adatok pontosak és naprakészek legyenek, a Társaság az általa kezelt adatokat, azok pontosságát és helyességét tárgyévet követő év január 31. napjáig felülvizsgálja és szükség esetén az adatokat módosítja, helyesbíti, vagy törli.
  • [31]Korlátozott tárolhatóság: A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, ha a személyes adatok kezelése ezt követően is igazolhatóan szükséges. Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, a Társaság minden adatkezelése tekintetében adattörlési határidőt állapít meg az iratkezelési szabályzatában, ezt a határidőt pedig az adatkezelési nyilvántartásába felvezeti. Az adattörlési határidők megfelelőségét a Társaság tárgyévet követő év január 31. napjáig felülvizsgálja és szükség esetén a határidőket módosítja, a határidők leteltével – feltéve, hogy más jogalap nem lett az adatkezelésre – az adatokat törli.
  • Integritás és bizalmas jelleg: A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai és szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve. A Társaság az információbiztonságért biztonsági felelős (rendszergazda) közreműködésével tárgyévet követő év január 31. napjáig felülvizsgálja a Társaság adatkezelési tevékenysége során az adatszivárgás megelőzésére tett szervezési, technikai intézkedések megfelelőségét.
  • [32]Elszámoltathatóság: a Társaság az adatkezeléssel kapcsolatos valamennyi iratát, személyes adatot tartalmazó iratot a tanúsított ügyviteli rendszerben iktatja, helyreállítható formátumban. Az egyes adatkezeléssel kapcsolatos iratokat a Társaság őrzi papír alapú és elektronikus dokumentumban.
  • A Társaság ügyvezetője az (1) bekezdés szerinti megfelelőségek felülvizsgálatáról jegyzőkönyvet készít. Amennyiben szükséges, ebben javaslatot tesz dokumentumok, adatok módosítására, pótlására, törlésére, kiegészítésére. Az adatvédelmi tisztviselő a javaslatok alapján minden év március 15. napjáig véleményezi a javaslatokat és véleményét megküldi az Társaság ügyvezetőjének. A Társaság az adatvédelmi tisztviselő véleménye alapján minden év május 31. napjáig elvégzi a változtatást.
  • A személyes adatok védelméért, az adatkezelés jogszerűségéért a Társaság ügyvezetője és az adatkezelést közvetlenül végző munkatársak felelősek. A Társaság által kezelt személyes adatok védelméről, az adatvédelemmel kapcsolatos szabályok foglalkoztatottak általi megismeréséről és betartásáról a Társaság ügyvezetője gondoskodik A Társaság ügyvezetőjének a személyes adatok védelmével kapcsolatos tevékenységét az adatvédelmi tisztviselő támogatja, szükség esetén iránymutatást ad, akár egyedi, akár általános jelleggel.
  • A Társaság az adatkezelési nyilvántartás mintáját és az adatvédelem elveinek érvényesítése és számon kérhetőségének biztosítására szolgáló felülvizsgálati jegyzőkönyv mintáját a formanyomtatványtárban kezeli.
  • [33]A Társaság munkatársa az Infotv., a GDPR és jelen szabályzat előírásai alapján a személyes adatnak minősülő adatokat tartalmazó iratokat köteles munkaidőn túl – és amelyeket lehetséges, munkaidőben is – zárt szekrényben tartani. Az asztalon és az irodában egyéb helyen hivatalos iratok csak munkavégzés céljából és annak időtartama alatt tárolhatók.
  • [34]A munkatársnál vagy az irattárban lévő iratba a munkatárson és a munkatárs vezetőjén kívül más személy csak akkor tekinthet be, ha ezt törvény lehetővé teszi, vagy a munkatárs részére küldött megkeresésben igazolja, hogy a tevékenységével összefüggő feladatellátása szükségessé teszi.
  • [35]Jogszabályi felhatalmazás hiányában csak az érintett hozzájárulása esetén lehet az adatot 3. személy részére továbbítani. Amennyiben az érintett nem járul hozzá az adatai más szerv részére történő továbbításához, tájékoztatni kell arról, hogy kérelme ez esetben nem, vagy nem teljes egészében teljesíthető.
  • [36]Az érintett vagy képviselője betekintési jogának gyakorlása során úgy kell eljárni, hogy ezáltal mások jogai ne sérülhessenek (a más személyre vonatkozó személyes, vagy védett adatokat ki kell takarni vagy más módon felismerhetetlenné tenni). Ugyanígy kell eljárni a másolat, kivonat készítésekor is.
  • [37]Az adatvédelmi tisztviselő – különösen az adatvédelmi feladatok végrehajtásának ellenőrzése során, e feladatához kötődően és szükséges körben, ­– jogosult a Társaság által kezelt valamennyi személyes és különleges adat megismerésére.
  • [38]Az (1) bekezdésben felsorolt iratok elzárásáért az a munkatárs felelős, akinél azok a munkaidő befejezésekor találhatók. Az egyéb szempontokon túl adatvédelmi megfontolásból azokat a helyiségeket, ahol közös használatú nyomtató vagy másológép üzemel, az adatbiztonsági követelmények figyelembevételével kell használni.
  • [39]Az egyéb szempontokon túl adatvédelmi megfontolásból azokat a szobákat, helyiségeket, ahol számítógép, munkaállomás üzemel, úgy kell használni, hogy az megfeleljen az adatvédelmi, tűzrendészeti és informatikai biztonsági követelményeknek. Az munkatárs köteles a számítógépet és az ahhoz alkalmazott adathordozókat úgy kezelni, tárolni, hogy a védelmet igénylő adatokat illetéktelen személy ne ismerhesse meg. Köteles továbbá a munkaidő végeztével a munkaállomást – a folyamatosan bekapcsolva és online tartandó munkaállomások kivételével – kikapcsolni, az ajtót bezárni.
  • [40]Személyes adatokat is tartalmazó iratot a Társaság helyiségéből kivinni – munkaköri feladat ellátásának kivételével – csak a Társaság ügyvezetőjének engedélyével lehet. A munkatárs ez esetben is köteles gondoskodni arról, hogy az ne vesszen el, ne rongálódjon vagy semmisüljön meg, és tartalma illetéktelen személy tudomására ne jusson.
  • [41]Az adatkezelés céljának eléréséhez már nem szükséges, és olyan adatokat, amelyekre nézve az adatkezelés célja megszűnt vagy módosult – az Iratkezelési Szabályzatban foglaltakkal összhangban – haladéktalanul, vagy az előírt megőrzési határidő leteltével meg kell semmisíteni. A személyes adatokat tartalmazó egyéb iratanyagok megsemmisítéséről szintén a szükséges biztonsági intézkedések mellett kell gondoskodni. A számítógépen rögzített adatokat, amennyiben céljukat betöltötték – további felhasználásuk megakadályozása érdekében – felismerhetetlenné kell tenni.
  • [42]Az egyes nyilvántartások, adatkezelések tekintetében a hozzáférési jogosultságot a Társaság ügyvezetőjének személyre, munkaköri feladatra lebontottan meg kell határoznia. E jogosultságokat a munkaköri leírásokban meg kell jeleníteni. E feladatot az új munkavállaló esetében a jogviszony létesítést követő 30 napon belül, a már foglalkozatott munkavállalók esetében – amennyiben szükséges - 90 napon belül, a munkaköri feladat változása esetén 30 napon belül kell teljesítenie a Társaság vezetőjének.
  • A jogosultságok nyilvántartásáról a Társaság nyilvántartást vezet az alábbi adattartalommal:
  • sorszám
  • munkaköri leírás iktatószáma
  • munkavállaló neve munkaköre
  • az adatbázis neve
  • a személyes adatok kategóriái
  • a jogosultság kiadásának időpontja
  • a jogosultság munkaköri leírásban való felvezetésének időpontja
  • a jogosultság visszavonásának időpontja
  • a jogosultság munkaköri leírásból való törlésének időpontja.
  • A Társaság a hozzáférési jogosultságok nyilvántartásának mintáját, valamint a nyilvántartás felülvizsgálatának elvégzéséhez szükséges jegyzőkönyv mintáját a formanyomtatványtárban kezeli.
  • [43]Az érintett kérelmére, kezdeményezésére indult eljárásban az eljárás lefolytatásához szükséges személyes adatok tekintetében, az érintett kérelmére indult más ügyben az általa megadott személyes adatok tekintetében az érintett hozzájárulását vélelmezni kell. Az egészségügyi és a személyazonosító adatoknak az érintett részéről történő szolgáltatása - az egészségügyi ellátás igénybevételéhez kötelezően előírt személyazonosító adatok önkéntes. Abban az esetben, ha az érintett önként fordul az egészségügyi ellátó hálózathoz, a gyógykezeléssel összefüggő egészségügyi és személyazonosító adatainak kezelésére szolgáló hozzájárulását - ellenkező nyilatkozat hiányában - megadottnak kell tekinteni, és erről az érintettet (törvényes képviselőjét) tájékoztatni kell. Sürgős szükség, valamint az érintett belátási képességének hiánya esetén az önkéntességet vélelmezni kell
  • [44]A hozzájáruláson alapuló adatkezeléséhez az érintett írásbeli hozzájárulását kell kikérni (amely tartalmazza a személyazonosításra alkalmas adatait, valamint azon nyilatkozatát, hogy az adatkezelő által közzétett és általa megismert adatkezelési tájékoztató (a tájékoztató neve és elérési helyének megnevezése) alapján önkéntes hozzájárulását adja az abban megjelölt célból és jogalappal az abban megjelölt személyes adatainak az adatkezelő általi kezeléséhez.
  • [45]A szolgáltatás nyújtás során csak azokat a személyes, vagy különleges adatokat szabad felvenni és kezelni, amelyek az ügy szempontjából feltétlenül szükségesek, és amelyeknek a célhoz kötöttsége igazolható. A felvett adatokat csak az adott ügy intézése érdekében szabad felhasználni, más eljárásokkal és adatokkal – a törvény eltérő rendelkezése hiányában – nem kapcsolhatók össze.
  • [46]Az adatminőség biztosítása céljából személyes adatot csak az érintett személyének azonosítására alkalmas és érvényes hatósági igazolványból, különleges adatot az érintett írásos hozzájárulása szerint szabad felvenni.
  • [47]Az adatfelvétel és a további adatkezelés folyamán ügyelni kell a személyes adatok pontosságára, teljességére és időszerűségére, hogy emiatt az érintettek jogai ne sérülhessenek
  • [48]Az ügyiratba nem kerülő, papíralapú feljegyzésben rögzített, személyes és különleges adatokat – további felhasználásuk megakadályozása érdekében – azonosításra alkalmatlanná kell tenni. A számítástechnikai eljárás során keletkezett munkapéldánnyal, illetőleg rontott vagy egyéb okból feleslegessé vált példányokkal a meg kell semmisíteni.
  • [49]A Társaság az adatkezelés eltérő célja alapján ügyviteli és nyilvántartási célú adatkezelést végez.
  • Az e szabályzat által előírt nyilvántartásokat és dokumentumokat (adatkezelési nyilvántartás, adatkezelési tájékoztatók és nyilvántartásuk, adattovábbítási nyilvántartás, az érintettek jogainak gyakorlásának nyilvántartása az adatkezelések felülvizsgálati jegyzőkönyvei és azok nyilvántartása) a Társaság készíti el és vezeti. A dokumentumok elkészítését és a nyilvántartások vezetését a Társaságon belül az adatvédelemmel összefüggő feladatokat is ellátó munkatárs végzi. A dokumentumok elkészítéséért, a nyilvántartások vezetéséért, azok teljes körűségéért, az azokban feltüntetett adatok valódiságáért és naprakészségéért a Társaság ügyvezetője felelős.
  • [50]A nyilvántartási célú új adatállomány kialakítását a tevékenység megkezdése előtt 60 nappal a Társaság ügyvezetője bejelenti adatvédelmi tisztviselőnek Az adatkezelésre  adatkezelési nyilvántartásába történt bejegyzést követően kerülhet sor. Amennyiben az adatvédelmi tisztviselő tevékenysége végzése során megállapítja, hogy a személyes adatok kezelése nyilvántartás vezetését igényli, erről tájékoztatja a Társaság vezetőjét és módszertani segítséget nyújt a nyilvántartással összefüggő feladatok GDPR-nak megfelelő ellátása érdekében.
  • A Társaság tevékenysége keretében személyes adatkezelésére az adatkezelési nyilvántartásba vételt követően kerül sor. Az Adatkezelési Nyilvántartás (a továbbiakban: ADL), a GDPR 30. cikk szerinti adatokat tartalmazza:
  • a Társaság neve, elérhetősége
  • a Társaság képviselőjének neve, elérhetősége
  • a Társaság adatvédelmi tisztviselőjének neve, elérhetősége
  • az adatkezelés célja
  • az adatkezelés jogalapja
  • a hozzáférésre jogosult személyek beosztása
  • az érintettek köre és száma
  • a nyilvántartott adatok köre
  • az adatok forrása
  • az adatfeldolgozás módszere
  • az adatkezelés helye
  • az adatkezelési műveletek módja
  • az adatok törlésének, selejtezésének ideje, helye
  • az archiválás módja és gyakorisága
  • az adatbiztonsági rendszabályok, intézkedések
  • adatvédelmi incidens lehetséges kockázatai
  • a rendszeres adatszolgáltatás módja, címzettje, adattovábbítás jogalapja, a továbbított adatok köre
  • az adatfeldolgozó, vagy adatfeldolgozásra megbízást adó, illetve közös adatkezelő neve címe,         adatfeldolgozással érintettek kategóriái, adatfeldolgozással érintett személyes, különleges személyes adatok  kategóriái, adatfeldolgozó által végzett adatfeldolgozási tevékenység
  • A Társaság az adatkezelési nyilvántartás mintáját, valamint a nyilvántartás felülvizsgálatának elvégzéséhez szükséges jegyzőkönyv mintáját a formanyomtatványtárban kezeli.
  • Az ADL elkészítéséért az adatkezelést végző munkatárs felelős. A Társaság adatkezelési nyilvántartásának tartalmaznia kell a Társaság belső feladatellátása szerinti valamennyi szervezeti rész adatkezelésének nyilvántartását. A Társaság megszűnt adatkezelés esetén az ADL-t archiválja, új adatkezelés esetén arról új ADL-t készít. Az ADL kitöltéséhez az adatvédelmi tisztviselő módszertani segítséget nyújt a Társaság részére.
  • [51]A személyes adatokat az érintetten kívül azon személyek részére kell továbbítani, aki/amely az adatkezelés célját és jogalapján kifejezetten megjelölte és akit/amelyet az adat megismerésére jogszabály rendelkezése felhatalmaz.
  • Az adattovábbítást nyilván kell tartani annak érdekében, hogy megállapítható legyen, hogy az adatkezelő mely adatot, kinek, milyen felhatalmazás alapján, mikor továbbította, vagy szolgáltatta (pl. belföldi jogsegély, stb.). A nyilvántartandó adatok a következők: érintett személye, továbbított adatok köre, továbbítás jogalapja, továbbított adatok címezettje, adattovábbítás időpontja. Az adatvédelmi tisztviselő módszertani segítséget nyújt a Társaság részére az adatok továbbításával összefüggésben felmerült adatvédelmi szakmai kérdésben, így a Társaság megkeresése alapján különösen megvizsgálja az adattovábbítás jogalapját, jogszerűségét, egyedi esetekben állást foglal az adattovábbítás szakmai megfelelősége tekintetében.
  • A nyilvántartás egy másolati példányát – a tárgyévet követő január 31. napjáig – az adatvédelmi tisztviselő részére meg kell küldeni Az adattovábbításról vezetett nyilvántartást – eltérő jogszabályi rendelkezés hiányában – személyes adatok esetében legalább 5 évig, különleges adatok vonatkozásában pedig legalább 20 évig kell megőrizni. A nyilvántartás vezetéséhez az adatvédelmi tisztviselő egységesen alkalmazandó sablont készít, továbbá módszertani segítséget nyújt a Társaság vezetője részére.
  • A nyilvántartást az alábbi adattartalommal kell vezetni:
    • ügyiratszám          
    • kérelmező adatai  
    • kért adatok fajtája
    • adatkérés jogcíme
    • érintett kérelem időpontja 
    • teljesítés időpontja
    • elutasítás időpontja          
    • elutasítás oka                   
    • részbeni teljesítés oka.
  • A Társaság az adattovábbítás és a továbbított adatok nyilvántartásának mintáját, valamint a nyilvántartás felülvizsgálatának elvégzéséhez szükséges jegyzőkönyv mintáját a formanyomtatványtárban kezeli.
  • Az adattovábbítás jogszerűségéért a Társaság vezetője az általa kezelt adatok tekintetében az érintettel szemben felelősséggel tartozik.
  • Amennyiben az adattovábbítást nem lehet jogszerűen teljesíteni, vagy a kérelem elbírálásához szükséges információkat az adat kérője a felhívást követően sem jelölte meg, az adattovábbítást meg kell tagadni.
  • Az adattovábbítás megtagadásáról – annak indokolásával együtt – írásban kell értesíteni az igénylőt.
  • Jelen szakasz rendelkezéseit nem kell alkalmazni az összesített, és a statisztikai adatokra vonatkozó adatkérés esetén, amennyiben az adatfeldolgozás eredményeként az adatok elvesztik egyedi jellegüket.
  • Az érintettet a kérelmére indult eljárásban az adattovábbításra vonatkozó törvényi felhatalmazás hiányában nyilatkoztatni kell – különleges adatai tekintetében írásban –, hogy hozzájárul-e személyes adatainak továbbításához, amennyiben ügye elintézéséhez más szerv megkeresése szükséges.
  • Az érintettet megilleti az a jog, hogy személyes adatai kezeléséről tájékoztatást kérjen, továbbá kérheti személyes adatainak helyesbítését, vagy – a kötelező adatkezelés kivételével – azok törlését vagy zárolását. Az adatkezelésről szóló tájékoztatásra vonatkozó kérelmeket a jogszabályi feltételek fennállása esetén legfeljebb 30 napon belül, lehetőség szerint azonban soron kívül teljesíteni kell. Az elutasított kérelmekről az adatvédelmi tisztviselőt évente tájékoztatni kell.
  • A személyes adatokat továbbítani, vagy adatszolgáltatást teljesíteni, és a különböző adatkezeléseket összekapcsolni csak akkor szabad, ha ahhoz az érintett hozzájárult, vagy törvény ezt előírja, vagy megengedi és az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek.
    • a
  • [52]Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában, ha nem érintettől gyűjtötték, akkor adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül az érintettet adatkezelési tájékoztató formájában tájékoztatja.
  • A Társaság adatkezelési tájékoztatót alkalmaz:

általános adatkezelési tájékoztatóban a Társaság adatkezelési tevekénységének összefoglalójaként közzéteszi - az adatkezelési nyilvántartásnak elehetőségének biztosításával -  a munkáltatói tevékenységével összefüggő, az egészségügyi szolgáltatási tevékenységével összefüggő, pénzügyi szolgáltatási tevékenységével összefüggő, marketing tevékenységével  összefüggő adatkezelésekkel kapcsolatos  alábbi információkat, a Társaság nevét, címét,

  • adatkezelés megnevezése és a nyilvántartási rendszer  megnevezése  
  • adatkezelői tevékenység minősége    
  • adatkezelés helye és a hozzáférésre jogosult személyek beosztása
  • az érintettek kategóriai és az adatok forrása
  • a kezelt személyes adatok és kezelt különleges személyes adatok kategóriái   
  • adatkezelés célja       
  • adatok kezelésének jogalapja a GDPR 6. cikke szerint, és amennyiben az adatkezelés jogalapja jogszabály, annak pontos megnevezése 
  • különleges adatok kezelésének jogalapja a GDPR 9. cikke szerint, és amennyiben az adatkezelés jogalapja jogszabály, annak megnevezése         
  • adatkezelés módszere           
  • elektronikus adatkezelés esetén az adatkezelő rendszer megnevezése
  • adatkezelési műveletek,
  • az adatok általános kezelési ideje és adatok tervezett törlési időpontja           
  • adatbiztonság érdekében alkalmazott általános fizikai és logikai védelmi intézkedések
  • adatvédelmi incidens lehetséges kockázatai
  •    rendszeres adatszolgáltatás címzettje, adattovábbítás jogalapja,      
  •    a továbbított adatok köre   
  • adatfeldolgozó neve és címe, az érintettek kategóriái, az adatfeldolgozással érintett adatok kategóriái, valamint az adatfeldolgozó által végzett adatfeldolgozási tevékenység
  • [53]Az egyedi adatkezelési tájékoztató közzétételéről nyilvántartást kell vezetni az alábbi tartalommal
  • az adatkezelési tájékoztató száma,
  • az adatkezelési tájékoztató címe,
  • az adatkezelési tájékoztató kiadmányozásának időpontja,
  • az adatkezelési tájékoztató közzétételnek ideje,
  • az adatkezelési tájékoztató hatályvesztésének/módosításnak időpontja.
  • Az szakági adatkezelési tájékoztatót a Társaság, az egyedi adatkezelési tájékoztatókat az adatvédelmi tisztviselő készítik el és teszik közzé a Társaság honlapján.
  • [54]A Társaság az 1.5 (2) bekezdése szerint az adatkezelési tájékoztató felülvizsgálatáról, amennyiben szükséges módosítás, arról minden év december 31. napjáig jegyzőkönyvet készítenek. A jegyzőkönyvek és az adatkezelési tájékoztatók nyilvántartását 30 napon belül elektronikus úton megküldik az adatvédelmi tisztviselőnek.
  • A Társaság az adatkezelési tájékoztató és adatkezelési tájékoztató nyilvántartásának mintáját, valamint a nyilvántartás felülvizsgálatának elvégzéséhez szükséges jegyzőkönyv mintáját a formanyomtatványtárban kezeli.
  • [55]A Társaság a GDPR 15-22. cikkében meghatározott az érintettet megillető jogokról:
  • tájékoztatás,
  • hozzáférés,
  • helyesbítés,
  • korlátozás,
  • törlés/felejtés,
  • adathordozás,
  • tiltakozás,
  • hozzájárulás

teljesítéséről nyilvántartást (Rendelkezési Nyilvántartás) vezet.

  • [57]A Társaság a GDPR-ban és az Infotv.-ben meghatározottak szerint nyilvántartást vezet a a Társasággal szerződés viszonyban álló adatfeldolgozókról és a Társasággal közösen adatot kezelő adatkezelőkről, valamint a Társaság által harmadik személy adatkezelő részére végzett adatfeldolgozásról.
  • Adatfeldolgozási, közös adatkezelési és harmadik személy adatkezelő részére a Társaság által végzett adatfeldolgozási szerződés esetében a jogi véleményezés keretében az adatvédelmi tisztviselő jóváhagyását is meg kell adni. A szerződés egy példányát a szerződésnyilvántartásban kell elhelyezni.
  • A nyilvántartás tartalmazza
  • az adatfeldolgozó, közös adatkezelő, adatkezelésre megbízást adó szervezet nevét, címét, képviselőjének nevét;
  • az adatfeldolgozó, közös adatkezelő, adatkezelésre megbízást adó szervezet adatvédelmi tisztviselőjének nevét és elérhetőségét;
  • az adatkezelés/adatfeldolgozás célját;
  • az adatkezelés/adatfeldolgozás céljából kezelt adatok kezelésének jogalapját;
  • az adatkezelés/adatfeldolgozás célból kezelt személyes adatok kategóriáit;
  • az adatkezelés/adatfeldolgozás célból való adatkezelés során érintett személyek csoportjait;
  • az adatkezelésre/adatfeldolgozásra vonatkozó megállapodás hatályát;
  • a Társaság érintett szervezeti egységét.
  • A Társaság adatfeldolgozók, közös adatkezelők, adatfeldolgozások nyilvántartásának mintáját, valamint, a nyilvántartás felülvizsgálatának elvégzéséhez szükséges jegyzőkönyv mintáját a formanyomtatványtárban kezeli.
  • [58]A munkatársak kötelesek adatvédelmi incidens észlelése esetén tudomására jutásától számított 24 órán belül az adatvédelmi tisztviselőnek és a Társaság vezetőjének  bejelenteni
  • [59]A Társaság – az adatvédelmi tisztviselő útján – az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat
  • [60]Az adatvédelmi tisztviselőnek a bejelentést követő 48 órán belül kell döntést hoznia arról, hogy az adatvédelmi incidenssel kapcsolatban terheli-e jelentéstételi kötelezettség a Társaságot. Amennyiben a Társaságot jelentéstételi kötelezettség terheli, az adatvédelmi tisztviselő a jelentést úgy készíti elő a döntéshozatalra a Társaság ügyvezetője részére, hogy a jelentés megtételére 72 órán belül sor kerülhessen.
  • [61]Az incidens kockázat elemzésekor az adatvédelmi tisztviselő vizsgálja:
  • az adatvédelmi incidens jellegét,
  • az érintettek körét és hozzávetőleges számát,
  • az incidenssel érintett adatok kategóriáit és hozzávetőleges számát,
  • az adatvédelmi felelős vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit,
  • az adatvédelmi incidensből eredő, valószínűsíthető következményeket,
  • az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
  • Az adatvédelmi incidensnek az adatvédelmi tisztviselő részére történő bejelentéshez, az incidens értékeléséhez, az incidenskezelésről való döntéshez, az incidensnek a felügyeleti hatósághoz való bejelentéséhez, az érintetteknek az incidensről való tájékoztatásához szükséges formanyomtatványokat a Társaság a formanyomtatványtárban kezeli. A Társaság Adatvédelmi incidensek nyilvántartásának mintáját, valamint, a nyilvántartás felülvizsgálatának elvégzéséhez szükséges jegyzőkönyv mintáját a formanyomtatványtárban kezeli.
  • [62]Az adatvédelmi tisztviselő – a Társaság ügyvezetőjedöntésének megfelelően – az incidens bekövetkezését – ha az adatvédelmi incidens valószínűsíthetően kockázattal jár az érintett jogaira – a tudomásra jutástól számított 72 órán belül bejelenti a felügyeleti hatóságnak.
  • [63]Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintett jogaira és szabadságaira nézve, a Társaság –indokolatlan késedelem nélkül – de legfeljebb 30 napon belül tájékoztatja az érintettet az adatvédelmi incidensről.
  • 2.   
  • Az adatkezelő elősegíti az érintett jogainak a gyakorlását. Ennek érdekében az érintettnek az adatkezelővel közölnie kell a jog gyakorlásra irányuló kérelem előterjesztése során a személye azonosítására alkalmas adatait, valamint azokat az adatokat, amelyek az adott jog gyakorlása tekintetében, illetve az adott adatkezeléshez szükségesek.
  • Az adatkezelő az érintett jogai gyakorlására irányuló kérelmének teljesítését csak akkor tagadhatja meg, ha bizonyítja, hogy a rendelkezésére álló adatok alapján az érintettet nem tudja azonosítani.
  • Az adatkezelő indokolatlan késedelem nélkül, de mindenképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelem nyomán hozott intézkedésekről. Szükség esetén – figyelembe véve a kérelem összetettségét és a kérelmek számát – ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri. A határidő meghosszabbítására a Társaság ügyvezetője jogosult.
  • A kérelem a Társaság ügyvezetője írásban indokolva tájékoztatja a kérelmezőt a kérelem beérkezésétől számított egy hónapon belül.  
  • A beérkezett kérelmekről és azok teljesítéséről/ és elutasításáról a Társaság nyilvántartást vezet. A nyilvántartás tartalmazza:
  • az ügyirat számát
  • a kérelmező azonosító adatait
  • a kérelem tárgyát és az érintett jogának típusát
  • a kérelem beérkezésének napját
  • a kérelem teljesítését és annak idejét
  • a kérelem elutasításának okát és idejét
  • a kérelem elbírálásának időtartamát.
  • A Társaság az érintett jogainak biztosítására vonatkozó kérelmek nyilvántartásának mintáját, valamint a felülvizsgálat elvégzéséhez szükséges jegyzőkönyv mintáját a formanyomtatványtárban kezeli.
  • Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál és élhet bírósági jogorvoslati jogával.
  • Amennyiben a kérelmet nem az arra jogosult terjeszti elő, vagy a kérelmező nem azonosítható, a kérelmet el kell utasítani. A kérelem hiányos benyújtása esetén a kérelmezőt 8 napon belül hiánypótlásra hívja fel a Társaság. A hiánypótlási határidő nem számít bele a 8 napos továbbítási, illetve a kérelem teljesítésére előírt 30 napos határidőbe.
  • [64]A Társaság az érintettek megfelelő tájékoztatása érdekében valamennyi adatkezeléséről adatkezelési tájékoztatót ad ki. A Társaság által kiadott adatkezelési tájékoztatót könnyen hozzáférhetővé kell tenni és azt közérthetően, világosan és egyszerű nyelvezettel kell megfogalmazni.
  • Az adatkezelési tájékoztató tartalmazza a személyes adatok kezeléséről készített nyilvántartásban rögzítetteken túlmenően a tájékoztatást arról, hogy
  • az érintettnek jogában áll megerősítést és tájékoztatást kapni a róla kezelt adatokról,
  • az érintett milyen módon gyakorolhatja az adatkezeléssel összefüggésben őt megillető jogokat.
  • az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok módosítását, helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen,
  • az érintett adatainak hordozhatóságát kérheti az adatkezelőtől,
  • az érintett az adatkezeléshez adott hozzájárulását bármely időpontban visszavonhatja, amely nem érinti a visszavonás előtt - a hozzájárulás alapján - végrehajtott adatkezelés jogszerűségét,
  • az érintett jogai védelmében a felügyeleti hatósághoz panasszal fordulhat,
  • a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e,
  • az érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása.
  • A jogszabály rendelkezése, az adatkezelőre vonatkozó jogi kötelezettség teljesítése, szerződéses kötelezettség vagy saját, vagy harmadik személy jogos érdeke, az érintett érdeke alapján végzett adatkezelés esetén a Társaság a tájékoztatást elektronikusan teszi meg; a tájékoztatók elérhetőségét a Társaság a honlapján biztosítja. Az adatkezelési tájékoztatók elérhetőségének helyéről a Társaság az érintetteket valamennyi adatkezelés esetében tájékoztatja. Az érintett hozzájárulása alapján történő adatkezelés esetében a tájékoztatót az érintett részére - átvétel, postai kézbesítés, elektronikus levél - formájában át kell adni és az átvétel tényét igazoló dokumentumot az adatkezelés mellett meg kell őrizni. A tájékoztatást az érintett részére - az átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó megfelelő intézkedések érvényesülése érdekében - az érintettől való adatfelvétel esetén a gyűjtés előtt kell megadni. Amennyiben nem az érintettől származnak az adatok, a gyűjtést követő 30 napon belül meg kell történnie az érintett tájékoztatásának.
  • A tájékoztatásért az adatot kezelő munkatárs tartozik felelősséggel.
  • A jelen szabályzat hatálybalépését megelőzően adott hozzájáruláson alapuló adatkezelések tekintetében a Társaság a szabályzat hatálybalépését követő 30 napon belül központi honlapján közzéteszi a hozzájáruláson alapuló adatkezelésről szóló tájékoztatót, és felhívja az érintetteket, hogy amennyiben az új tájékoztatás alapján a hozzájáruló nyilatkozatukat vissza kívánják vonni, azt milyen módon tehetik meg.
  • A Társaság az érintettek tájékoztatása nyilvántartásának mintáját, valamint a felülvizsgálat elvégzéséhez szükséges jegyzőkönyv mintáját a formanyomtatványtárban kezeli.
  • [65]A Társaság biztosítja, hogy az érintett megfelelő tájékoztatás alapján befolyástól mentesen gyakorolhassa adatai módosításával és helyesbítésével kapcsolatos jogait.
  • A helyesbítéshez való jog biztosítása során az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül módosítsa, vagy helyesbítse a rá vonatkozó személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
  • Az adatok helyesbítéséért az adatot kezelő munkatárs tartozik felelősséggel.
  • [66]A Társaság biztosítja, hogy az érintett megfelelő tájékoztatás alapján és befolyástól mentesen gyakorolhassa adatai törlésére irányuló jogát.
  • Az adatkezelés törlésére irányuló jog biztosítása során az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül vizsgálja meg, hogy
  • a személyes adatok kezelésére szükség van-e még abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték,
  • az érintett visszavonta-e az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek van-e más jogalapja,
  • az érintett tiltakozott-e az adatkezelése ellen, és nincs elsőbbséget élvező jogalap az adatkezelésre,
  • az adatkezelés közvetlen üzletszerzés érdekében történt és az érintett tiltakozott-e az adatkezelés ellen,
  • a személyes adatot jogellenesen kezelték-e,
  • a személyes adatot az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítése miatt kell-e törölni,
  • a személyes adat gyűjtésére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került-e sor.
  • A Társaság, amennyiben az adatok törlésének feltételei fennállnak, indokolatlan késedelem nélkül elvégzi azok törlését az érintett rendelkezésének megfelelően.
  • Amennyiben az adat kezelését jogszabály rendeli el, illetve ad rá felhatalmazást, úgy az adatkezelő – a kérelem elutasításával egyidejűleg – erről tájékoztatja az érintettet.
  • Az adatok törléséért az adatot kezelő munkatárs tartozik felelősséggel.
  • [67]A Társaság biztosítja, hogy az érintett megfelelő tájékoztatás alapján és befolyástól mentesen gyakorolhassa az adatkezelés korlátozásával kapcsolatos jogait.
  • Az adatkezelés korlátozására való jog biztosítása során az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül korlátozza az adatkezelést az alábbiak esetén:
  • amennyiben az érintett vitatja a személyes adatok pontosságát, akkor a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát,
  • amennyiben az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kérte azok felhasználásának korlátozását,
  • az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez,
  • az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
  • A Társaság - amennyiben az adatkezelés korlátozásnak feltételei fennállnak - indokolatlan késedelem nélkül rendelkezik azok korlátozásáról az érintett rendelkezésének megfelelően.
  • Az adatkezelés korlátozásáért az adatot kezelő munkatárs tartozik felelősséggel.
  • [68]A Társaság biztosítja, hogy az érintett megfelelő tájékoztatás alapján és befolyástól mentesen gyakorolhassa adatai hordozhatóságára irányuló jogait.
  • Az adatok hordozhatóságára irányuló jog biztosítása során az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül vizsgálja meg, hogy
  • az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges vagy
  • az érintett hozzájárulása alapján kerül sor.
  • Amennyiben az adatok hordozhatóságának feltételei fennállnak, a Társaság indokolatlan késedelem nélkül az érintett rendelkezésének megfelelően
  • érintett rendelkezésére bocsátja az adatokat tagolt, széles körben használt, géppel olvasható formátumban,
  • az érintett által meghatározott adatkezelőnek közvetlenül továbbítja az adatokat.
  • Az adatok továbbításáért az adatot kezelő munkatárs tartozik felelősséggel.
  • [69]A Társaság biztosítja, hogy az érintett megfelelő tájékoztatás alapján és befolyástól mentesen gyakorolhassa az adatkezelés elleni tiltakozás jogát.
  • Az adatkezelés elleni tiltakozás jogának biztosítása során az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül vizsgálja meg, hogy az adatkezelés elleni tiltakozás joga érvényesíthető-e, azaz
  • az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges volt-e.
  • az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges volt-e.
  • Amennyiben adatkezelés elleni tiltakozás jog érvényesítésének feltételei fennállnak, és más jogalapja nincs az adat kezelésének, úgy a Társaság az érintett rendelkezésének megfelelően késedelem nélkül megszünteti az adat kezelését.
  • Az adatkezelés megszüntetéséért az adatot kezelő munkatárs tartozik felelősséggel.
  • [70]A Társaság biztosítja, hogy az érintettek megfelelő tájékoztatás alapján és befolyástól mentesen gyakorolhassák az adatokhoz való hozzáférési jogukat.
  • Az adatokhoz való hozzáférési jog alapján az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
    • az érintett személyes adatok kategóriái;
    • az adatkezelés céljai;
    • azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
    • a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
    • az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
    • a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
    • ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
    • a GDPR 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
  • Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a GDPR 46. cikke szerinti megfelelő garanciákról.
  • [71]A Társaság folyamatosan vizsgálja az adatnyilvántartásba felvett valamennyi személyes adatkezelés dokumentációját, hogy az abban szereplő adatok kezelésére a jogszabályok és a Társaság szabályzatai szerint került-e sor, az adatkezelések megfelelő jogalapja fennáll-e, az adott adatokat megfelelő jogalap alapján kezelik-e. A Társaság ügyvezetője az adatkezelés jogalapja tekintetében az adatvédelmi tisztviselő módszertani iránymutatása alapján jár el, az adatkezelés jogalapjának megállapítása szempontjából az adatvédelmi tisztviselő állásfoglalása az irányadó.
  • Minden adat kezelésének vizsgálata során meg kell állapítani az adatkezelés jogalapját és azt, hogy az adatot adatkezeléshez szükséges jogalapot alátámasztó dokumentáció rendelkezésre áll-e.
  • [72]A Társaság adatkezeléseinek jogalapja és a szükséges dokumentációk:
  • az érintett hozzájárulásán alapuló adatkezelés: az érintett vagy törvényes képviselőjének legalább teljes bizonyító magánokiratba foglalt nyilatkozata, amely tartalmazza az érintett akaratának önkéntes és határozott kinyilvánítását, amely megfelelő tájékoztatáson (az adatkezelés célja, jogalapja, időtartama, az adatkezelő neve címe adatfeldolgozó neve, címe és az adatkezeléssel összefüggő tevékenység) alapul, és amellyel az érintett félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat - teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez;
  • az érintettel kötött vagy megkötendő szerződés teljesítéséhez szükséges adatkezelés: az érintettel kötött szerződés – szerződéskötésre vonatkozó nyilatkozat (megjelölve a szerződésben a szükséges adatkezelés, vagy külön íven megszövegezve, hogy az adatkezelésre a szerződés mely rendelkezésének teljesítéséhez szükséges);
  • adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges adatkezelés: az adatkezelést elrendelő vagy szükségessé tevő jogszabályi rendelkezés pontos megnevezése és szövege;
  • az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges adatkezelés: az érdekmérlegelési teszt elvégzése megtörtént-e
  • az érintett vagy egy másik természetes személy célja elérése érdekében feltétlenül szükséges-e személyes adat kezelése,
  • rendelkezésre állnak-e olyan alternatív megoldások, amelyek alkalmazásával személyes adatok kezelése nélkül megvalósítható a tervezett cél,
  • a jogos érdek lehető legpontosabb meghatározása,
  • mi az adatkezelés célja,
  • milyen személyes adatok, meddig tartó adatkezelését igényli a jogos érdek,
  • a másik fél milyen érdekei lehetnek azok, amelyek jogszerűen biztosítják a másik fél érdeke alapján történő adatkezelést;
  • közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelés: az adatkezelő közérdekű, vagy az adatkezelőre ruházott közhatalmi jogosítvány meghatározó jogszabályi rendelkezés pontos megnevezése és szövege, valamint e jogosítványból meghatározva az adott adatkezelés szükségessége;
  • [73]az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges: az érdekmérlegelési teszt elvégzése megtörtént-e
  • az adatkezelő vagy egy harmadik fél célja elérése érdekében feltétlenül
    szükséges-e személyes adat kezelése,
  • rendelkezésre állnak-e olyan alternatív megoldások, amelyek alkalmazásával személyes adatok kezelése nélkül megvalósítható a tervezett cél,
  • a jogos érdek lehető legpontosabb meghatározása,
  • mi az adatkezelés célja,
  • milyen személyes adatok meddig tartó adatkezelését igényli a jogos érdek,
  • a másik fél milyen érdekei lehetnek azok, amelyek jogszerűen biztosítják a másik fél érdeke alapján történő adatkezelést.
  • [74]A hozzájáruláson alapuló adatkezelés dokumentálása érdekében a Társaságnak minden hozzájáruláson alapuló adatkezelés esetében át kell vizsgálni, hogy
  • jogalapot alátámasztó dokumentáció rendelkezésre áll-e és annak megszerzésére a belső eljárásrend szerint került-e sor,
  • az adat kezeléséhez a hozzájárulás volt-e a megfelelő jogalap,
  • a hozzájárulás megfelelő formátumban történt-e meg,
  • a hozzájárulás megadása előtt az érintett megfelelő tájékoztatást kapott-e.
  • A Társaság a honlapjain elérhető nyilatkozat korlátozás mentes letölthetőségével biztosítja a hozzájáruláson alapuló adatkezelés érintettje részére a jogot, hogy a hozzájáruló nyilatkozatát visszavonja, módosítsa, korlátozza.
  • Az adatkezelés jogalapjának vizsgálatáért az adatot kezelő szervezeti egység vezetője tartozik felelősséggel.
  • [75]A személyes adatok különleges kategóriáinak kezelése esetén a Társaságnak minden adatkezelés során meg kell vizsgálnia, hogy a hozzájáruláson alapuló adatkezelésre, személyes adatok különleges kategóriáinak kezelésére az adatkezelési szabályok szerint került-e sor. Az adatkezelés jogszabályoknak való megfelelősége szempontjából az adatvédelmi tiszviselő állásfoglalása az irányadó.
  • A Társaság vizsgálja, hogy az általa kezelt faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítására alkalmas genetikai, biometrikus és egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése az alábbi felhatalmazások valamelyike által történt-e:
  • az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több meghatározott célból történő kezeléséhez, és az uniós vagy tagállami jog nem rendelkezik úgy, hogy az említett tilalom nem oldható fel az érintett hozzájárulásával,
  • az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi,
  • az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni,
  • az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára,
  • az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott,
  • az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el,
  • az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő,
  • az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében,
  • az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan,
  • az adatkezelés a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.
  • [76] A Társaság megfelelő eljárásokat alkalmaz az adatok kiszivárgásának kiszűrésére, jelentésére és kivizsgálására. Ennek érdekében a Társaságnek felméri a kezelt adatok típusait, valamint annak dokumentálását, hogy ezek közül melyek, azok az adatok, amely kiszivárgása esetén adatvédelmi incidensként bejelentési kötelezettség alá esnek. Az esetleges incidensekre a Társaság az információbiztonsági felelős közreműködésével a Társaság ügyvezetőjének kezdeményezésére kockázatelemzést végez.
  • A Társaság az alábbi intézkedéseket teszi a személyes adatok adatszivárgásának megelőzésének biztosítására:
    • vizsgálja a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét,
    • vizsgálja az arra való képességet fizikai vagy műszaki incidens esetén, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehessen állítani,
    • kialakítja az informatikai biztonság keretében az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást,
    • a biztonság megfelelő szintjének meghatározására kockázatelemzést végez a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből felmerülő kockázatok azonosítására és azok súlyának az általuk okozható kár meghatározására.
  • 3.    FEJEZET: A TÁRSASÁG ADATVÉDELMI RENDSZERE
  • 3.   
  • [77],[78]A Társaság ügyvezetője - független adatvédelmi tisztviselőt (a továbbiakban: adatvédelmi tisztviselő) nevez ki/biz meg– a Társaság, mint adatkezelő illetve adatfeldolgozó adatvédelmi tisztviselői feladatainak ellátására.
  • [79]Az adatvédelmi tisztviselő feladatai különösen:
  • tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó részére,
  • éves munkaterv alapján ellenőrzi az adatvédelemmel kapcsolatos jogi irányítási eszközök érvényesülését, a szabályoknak való megfelelést, amelyről évente jelentés útján Társaság ügyvezetőjének beszámol,
  • szakmailag felügyeli a munkatársak adatvédelmi tárgyú képzését,
  • kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését,
  • együttműködik a felügyeleti hatósággal és,
  • az adatkezeléssel összefüggő ügyekben – ideértve az előzetes konzultációt is – kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele,
  • közreműködik a Társaság integrált kockázatfelmérésében az adatvédelmi kockázatok meghatározásában,
  • tanácsadói tevékenysége részeként javaslatot tesz az adatvédelmi tárgyú oktatások tematikájára.
  • [80]segíti az érintett jogának gyakorlását, kivizsgálja az érintett panaszát és kezdeményezi az adatkezelőnél a panasz orvoslásához szükséges intézkedések megtételét.
  • Az adatvédelmi tisztviselő jogosult
  • minden, e szabályzat hatálya alá tartozó adatkezelést vizsgálni és minden olyan helyiségbe belépni, ahol adatkezelés folyik,
  • tájékoztatást, felvilágosítást kérni minden, e szabályzat hatálya alá tartozó adatkezelésről,
  • tanácskozási és jóváhagyási joggal részt venni minden olyan fórumon, ahol a hatáskörébe tartozó témák szerepelnek a napirenden.
  • Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódhasson. Feladatai ellátásához jogosult betekinteni a Társaság által kezelt adatokba és a Társaságtól adatokat kérni.
  • [81]Az adatvédelmi tisztviselő feladatai ellátásával kapcsolatban utasítást senkitől nem fogadhat el.
  • [82]Az adatvédelmi tisztviselő nem tölthet be a Társaságon belül olyan munkakört, mely e tevékenységével összeférhetetlen.
  • [83]Az adatvédelmi tisztviselőt e tevékenységével összefüggésben időbeli korlát nélkül, a jogviszony fennállásától függetlenül titoktartási kötelezettség terheli.
  • 3.2. Az Adatvédelmi Tisztviselő részletes feladatai
  • Az adatvédelmi tisztviselő feladata a képzés szervezésében:
  • adatvédelmi oktatási tematika készítése
  • az adatvédelmi oktatási tematika alapján az új, belépő dolgozók részére adatvédelemi oktatási anyag készítése
  • jogszabályi változások esetén a változás jellegétől, terjedelmétől függően tájékoztatás szervezése.
  • Az adatvédelmi tisztviselő feladata a szabályozásban:
  • az adatkezelést és adatbiztonságot érintő szabályzatok rendszeres felülvizsgálata és annak időszerűségéről való gondoskodás,
  • részvétel és szakmai tanácsadás a Társaság részére adatkezeléssel kapcsolatos szabályokat is tartalmazó szabályzatok adatkezelést érintő részeinek elkészítésében, aktualizálásában.
  • Az adatvédelmi tisztviselő feladata az érintettek kérelmével, panaszával kapcsolatosan:
  • kivizsgálja és megválaszolja a Társasághoz érkező, adatvédelmet, illetve betegjogot érintő panaszt (panaszkezelés),
  • közreműködik az adatvédelmi tárgyú, illetve a személyes adatok kezelését érintő panaszok kivizsgálásában,
  • módszertani és adatvédelmi jogi segítséget nyújt a Társaság részére a jelen szabályzatban meghatározott esetekben.
  • Az adatvédelmi tisztviselő feladata az ellenőrzésben:
  • jogosulatlan adatkezelés bejelentése vagy észlelése esetén részt vesz annak kivizsgálásában és segítséget nyújt annak megszüntetésében,
  • ellátja a Társaság és társaság munkatársainak adatvédelmi feladatokkal összefüggő tevékenységének ellenőrzését.
  • Az adatvédelmi tisztviselő feladata tanácsadásban:
  • iránymutatásokat készítése az adatvédelem és a betegjogokkal összefüggő, Társaságon belüli eljárások gyakorlatáról (panaszkezelés, adatkiadás, dokumentáció vezetése),
  • a Társaság információbiztonsági felelős adatvédelmi szempontú tanácsadással való segítése a tevékenységi körébe tartozó engedélyeztetési és jóváhagyási eljárásokban,
  •  a belső és a Társasághoz érkező külső, adatvédelmet érintő megkeresések megválaszolása, e válaszok nyilvántartása,
  • formanyomtatványok készítése és közzététele a formanyomtatványtárban.
  • Az adatvédelmi tisztviselő közreműködik a Társaság az adatvédelmi tárgyú, illetve a személyes adatok kezelését érintő szerződéseinek véleményezésében.
  • Az adatvédelmi tisztviselő feladata ellátásához jogosult adatkezelési célból betekinteni a Társaság által kezelt adatokba, és a Társaságtól adatokat kérni. Az adatvédelmi tisztviselőt e tevékenységével összefüggésben időbeli korlát nélkül, a jogviszony fennállásától függetlenül titoktartási kötelezettség terheli.
  • 3.3. Az adatkezelést végző munkatársak
  • A Társaság ügyvezetője felel a Társaság adatkezelési tevékenységéért.
  • A Társaság vezetője
    • kijelöli az adatkezelést végző munkatársakat
    • ellenőrzi tevékenységüket,
    • dönt a kötelező nyilvántartási időt követően a nyilvántartott adatok további tárolásáról vagy megsemmisítéséről.
    • megszervezi a Társaságnál adatkezeléssel és adatfeldolgozással foglalkozó személyek adatvédelmi oktatását,
  • Az adatkezelést végző munkatárs
    • közreműködik a Társasághoz érkező, illetve személyes adat kezelését érintő panaszok megválaszolásában,
    • adatot szolgáltat a panaszokról, az adatkérésekről, valamint az intézkedésről az adatvédelmi tisztviselőnek,
    • szükség esetén gondoskodik az ADL-ek, adatkezelési tájékoztatók elkészítéséről és felülvizsgálatáról, azokat megküldi a adatvédelmi tisztviselőnek,
    • vezeti a Társaság adatvédelmi tárgyú nyilvántartásait, azokat önellenőrzéssel felülvizsgálja, az adatkezeléssel összefüggő dokumentumok és intézkedések, valamint nyilvántartások megfelelőségét, továbbá az erről készített jegyzőkönyvet megküldi az  adatvédelmi tisztviselőnek,
    • segíti az adatvédelmi tisztviselő által folytatott, a Társaságot érintő vizsgálatot,
    • gondoskodik az egészségügyi adatkezelési nyilvántartás vezetéséről,
    • tájékoztatja az adatvédelmi tisztviselőt a bekövetkezett adatvédelmi incidensről.
  • [84]A Társaság ügyvezetője a 1. a)-c) számú melléklet szerinti folyamatábrában meghatározott módon, az adatkezelési folyamatba építve vizsgálja az adatkezelésre és –védelemre vonatkozó jogszabályok végrehajtásával összefüggő kötelezettségek teljesítését. A vizsgálat eredményéről az adatvédelmi tisztviselő évente jelentést készít a Társaság ügyvezetője részére.
  • A Társaság az adatkezelési folyamatokat, azok megfelelőségét folyamatba épített önellenőrzéssel vizsgálja.
  • Az adatvédelmi tisztviselő éves ellenőrzési terv alapján ellenőrzi, hogy a Társaság munkatársai
  • eleget tesznek-e az adatvédelmi incidensekkel kapcsolatos kötelezettségeiknek,
  • eleget tesznek-e a személyes adatok védelmével kapcsolatos kötelezettségeiknek, különösen
  • az érintettek tájékoztatási kötelezettségének,
  • az érintettek hozzáférési jogának biztosításával kapcsolatos kötelezettségeiknek,
  • az érintettek jogának biztosításával kapcsolatos kötelezettségeiknek.
  • Az ellenőrzésről jegyzőkönyvet készít és az alábbi intézkedéseket teszi:
  • hiányosság észlelése esetén 15 napon belül, 15 napos határidővel intézkedésre hívja fel az érintett munkatársat,
  • az intézkedési határidő leteltét követően, az intézkedés teljesítésének ellenőrzésére, 15 napon belül utóellenőrzést végez. A hiányosság további fennállása esetén 8 napon belül, 8 napos határidővel intézkedésre hívja fel az érintett munkatársat.
  • Az utóellenőrzést követően 8 napon belül ellenőrzi az intézkedés végrehajtását, az intézkedés elmaradása vagy nem megfelelő teljesítése esetén tájékoztatja Társaság ügyvezetőjét és 15 napon belüli intézkedési terv kiadásával intézkedését kéri hiányosságok megszüntetésére. Az intézkedés elmaradása esetén 15 napon belül tájékoztatja az Társaság ügyvezetőjét a hiányosságról, az intézkedés elmaradásáról.
  • 4.    FEJEZET: A MUNKAVÁLLALÓK ADATAINAK KEZELÉSE
  • 4.   
  • A Társaság (e fejezet vonatkozásában munkáltató) munkavégzésre irányuló jogviszonyra vonatkozó tények dokumentálására szolgáló adatkezelés, a munkavégzéshez kapcsolódó nyilatkozatok és nyilvántartások (példálózó jelleggel: munkaidő, képzési előmeneteli, minősítési követelmények, munkavédelem) egyéb munkáltatói jog gyakorlási jog alapján történő más munkáltató által foglalkoztatottak nyilvántartása)
  • A személyügyi nyilvántartások adatai munkatársak jogviszonyával kapcsolatos tények megállapítására, a besorolási követelmények igazolására és statisztikai adatszolgáltatásra használhatók fel.
  • A személyügyi nyilvántartás a Társaság valamennyi fő-, és mellékállású munkatársának, valamint egyéb dolgozójának, valamint az egyéb munkavégzésre irányuló személyek adatait tartalmazza.
  • A személyügyi, adatok és a bér-és munkaügyi adatok nyilvántartásának kezelője az ügyvezető és a személyügyi nyilvántartás vezetésével megbízott munkatárs. 
  • A bér-és munkaügyi nyilvántartás a munkavégzésre irányuló jogviszonyra vonatkozó tények dokumentálására szolgáló adatkezelés. A bér-és munkaügyi nyilvántartás adatai a fent említett érintettek jogviszonyával kapcsolatos tények megállapítására, a besorolási követelmények igazolására, bérszámfejtésre, társadalombiztosítási ügyintézésre és statisztikai adatszolgáltatásra használhatók fel.
  • [85]A munkavállaló személyes adata csak akkor kezelhető, ha az adat kezelése nélkül a munkaviszony létesítése, fenntartása, megszűnése nem lenne lehetséges. A munkáltatónak adatkezelései jogszerűségét azzal kell alátámasztania, hogy minden adatkezelése vonatkozásában igazolni tudja az adatkezelés célját, és azt, hogy az adatkezelés a cél eléréséhez szükséges. A munkáltató köteles a munkavállalóktól kért adatok körét előre oly módon meghatározni, hogy az adatok kizárólag a munkaviszony létesítéséhez, fenntartásához, megszűnéséhez kapcsolódjanak.
  • [86]A munkáltató az (1) bekezdésben meghatározott cél érdekében a munkavállaló okiratának bemutatását kérheti, azokból a cél eléréséhez szükséges adatok feljegyezheti, kezelheti, amennyiben azt külön törvény nem rendeli el,[87] úgy a munkavállaló okirata nem másolható le, ehhez érvényes hozzájárulást a munkavállaló nem adhat.
  • [88]A munkavállalókat tájékoztatni kell arról, hogy a tőlük kért adatok, a velük szemben alkalmazott vizsgálatok milyen információként szolgálhatnak a munkáltató számára. Minden olyan adat kérése tilos, mely nem ad lényeges tájékoztatást a munkaviszony létesítése, fenntartása, megszüntetése szempontjából, indokolatlanul korlátozza a munkavállalók magánszféráját, személyes adataikkal való rendelkezési jogukat – különösen akkor, ha a munkáltató az adatszolgáltatás megtagadása esetén kilátásba helyezi például a munkaviszony létesítésének megtagadását. Amennyiben az adatokon eltérő célokból végeznek műveleteket, akkor a célokat egyenként meg kell határozni. Továbbá az adatkezelésnek minden szakaszában meg kell felelnie az adott adatkezelési célnak, és tilos adatokat kezelni olyan újabb célból, amely összeegyeztethetetlen az eredetivel.
  • [89]Abban az esetben, ha a munkakörre vonatkozóan jogszabály alkalmassági vizsgálatot ír elő, a munkahelyi felvételi eljárás során kizárólag olyan kérdést intézhet a munkáltató a leendő munkavállaló felé, amely a munkaviszony, az alkalmasság megítélése szempontjából releváns, és az érintett személyiségi jogait – így a személyes adatok védelméhez való jogát – nem sérti.
  • [90]A munkáltató a munkavállalónak az utazási adatait veszélyhelyzet vagy egészségügyi válsághelyzet esetén az egészséget nem veszélyeztető és biztonságos munkavégzés követelményeinek biztosítása érdekében a munkáltató és a többi munkavállaló erre irányuló jogos érdeke alapján kezelheti a lehetséges egészségügyi kockázatot jelentő munkavállalónak a munkavégzés alóli felmentése (állásidő) elrendelése érdekében. Különleges adat (egészségügyi adat) e felhatalmazás alapján nem kezelhető.
  • [91]Amennyiben veszélyhelyzet vagy egészségügyi válsághelyzet esetén jogszabály a munkavállaló utazását korlátozza és e korlátozás feloldása érdekében a munkáltatónak a feloldásra jogosult szerv megkeresésére adatokat kell szolgáltatnia a munkavállaló személyes adatairól, úgy a munkáltató a korlátozás feloldásához szükséges adatokat kezelheti és továbbíthatja. Különleges adat (egészségügyi adat) e felhatalmazás alapján nem kezelhető.
  • [92]          A munkavállaló munkavégzésének munkáltatói ellenőrzése során az alábbiak szerint kell eljárni:
  • Az alkalmazott eszköznek alkalmasnak kell lennie a cél elérésére, vagyis csak akkor lehet ellenőrzést folytatni, ha egyértelmű, hogy az alkalmazni kívánt eszköz, módszer által az ellenőrzés útján a védeni kívánt munkáltatói érdekek, jogok sérelme megelőzhető.
  • Az ellenőrzés csak a szükséges mértékű adatkezeléssel járhat. Ez egyszerre jelenti az adatkezelés időbeni korlátozottságát, és azt is, hogy a személyes adatokat csak a szükséges esetben, és csak az arra feljogosított személyek használhatják fel.
  • Az ellenőrzés csak a munkával összefüggésben történhet, a munkavállalók magánélete nem ellenőrizhető. A munkavállalókat a munkahelyen is megilleti a magánélethez való jog, és ezt a munkáltatónak tiszteletben kell tartania.
  • Az ellenőrzésnek minden esetben a munkavállalók emberi méltóságának tiszteletben tartásával kell történnie. Az ellenőrzés nem irányulhat a munkavállalók megfélemlítésére, megalázására, zaklatására, zavarására, és ezeket nem is eredményezheti.
  • A hozzájárulásnak, önkéntesnek előzetes és érhető írásbeli tájékoztatáson alapulónak valamint, mindenfajta külső befolyástól mentesnek kell lennie. A hozzájárulás csak akkor minősül önkéntesnek, ha érintettnek valódi választási lehetőség áll rendelkezésére, és nem áll fenn a megtévesztés, a megfélemlítés, a kényszerítés vagy más jelentős negatív következmény veszélye a hozzájárulás megtagadása esetén. Az önkéntesség hiányában az adatkezelő nem rendelkezik megfelelő jogalappal az adatkezeléshez. A munkavégzésre irányuló jogviszonyokban főszabályként nem értelmezhető a hozzájárulás önkéntessége: a munkáltató és a munkavállaló közötti alá-fölérendeltségi viszonyban, ha az alkalmazott a hozzájárulását megtagadja, ez anyagi vagy nem anyagi természetű hátrányt okozhat neki. Az érintett hozzájárulására, mint jogalapra, a munkahelyi adatkezelések esetében csak kivételesen lehet hivatkozni akkor, amikor egyértelmű, hogy az adatkezelés során feltétel nélküli előnyöket szerez a munkavállaló, és nem érheti őt semmilyen hátrány az adatkezelés megtagadása esetén.
  • A hozzájárulás akkor megfelelő jogalap az adatkezelésre, ha az adatkezelésre nem a munkaviszonnyal összefüggésben kerül sor, vagyis, ha az adatkezelés a munkáltatói jogok gyakorlásával nem áll kapcsolatban.
  • Adatkezelés szerződés alapján:
  • A szerződés alapján történő az adatkezelés az érintett által kötött szerződés teljesítésének érdekében, illetve az érintett által kért, a szerződéskötést megelőzően megteendő lépések során is lehetséges.
  • Az érintett részére korlátozás mentesen hozzáférhetővé kell tenni az adatkezelésről szóló részletes írásbeli tájékoztatót.
  • Adatkezelés törvényi felhatalmazás alapján:
  • A Társaság a jogszabályi felhatalmazáson alapuló adatkezelés esetén, amennyiben a jogszabály kötelezővé teszi, az adatkezelést köteles elvégezni.
  • Amennyiben a jogszabály nem írja elő, csak lehetővé teszi az adatkezelést, munkáltatói döntésen alapulhat az adatkezelés. Az ilyen adatkezelést kiadmányozott döntésnek kell megelőznie.
  • Az érintett részére korlátozás mentesen hozzáférhetővé kell tenni az adatkezelésről szóló részletes írásbeli tájékoztatót.
  • [93]Adatkezelés az adatkezelő jogos érdeke alapján
  • Az érintett adatait a Társaság, amennyiben az jogos érdekének érvényesítéséhez szükséges, kezelheti. Ez az adatkezelés az érintett hozzájárulásától függetlenül jogszerűvé teszi a munkáltató adatkezelését, feltéve, ha az adatkezelő jogos érdeke arányosan korlátozza az érintett személyes adatok védelméhez való jogát, magánszféráját. Nem kezelhetők ezek az adatok a munkáltató jogos érdekének fennállása esetén sem, ha ezeknél az érdekeknél magasabb rendű a munkavállaló személyes adatai védelméhez és a magánéletének tiszteletben tartásához való joga.
  • Az érintett részére korlátozás mentesen hozzáférhetővé kell tenni az adatkezelésről szóló részletes írásbeli tájékoztatót.
  • A Társaságnak az a) pont szerinti jogalapból fakadó adatkezeléshez belső szabályzataiban ki kell dolgoznia a jogos érdek alkalmazásával végzett adatkezeléseire vonatkozó eljárási rendet. A szabályzatokban rögzíteni kell
  • az adatkezelési körülményeket,
  • az érdekmérlegelési teszt elvégzésének az adatkezelő általi elvégzésének kötelezettségét,
  • az adatkezelői jogos érdeket meglapozó körülményeket,
  • az érdekmérlegelési teszt elvégzése során megfontolandó kulcsfontosságú tényezőket,
  • azokat az intézkedéseket, amelyek biztosítják az érintettek magánszférájának és személyes adatainak védelmét.
  • Az érdekmérlegelési teszt elvégzése során az adatkezelőnek:
  • a tervezett adatkezelés megkezdése előtt át kell tekintenie, hogy a célja elérése érdekében feltétlenül szükséges-e személyes adat kezelése,
  • meg kell vizsgálnia, hogy rendelkezésre állnak-e olyan alternatív megoldások, amelyek alkalmazásával személyes adatok kezelése nélkül megvalósítható a tervezett cél,
  • meg kell határoznia az adatkezelői jogos érdeket,
  • meg kell határoznia, hogy mi az adatkezelés célja, milyen személyes adatok, meddig tartó adatkezelését igényli a jogos érdek,
  • meg kell határoznia, hogy a munkavállalóknak mik lehetnek az érdekeik az adott adatkezelés vonatkozásában, melyek azok a szempontok, amelyeket a munkavállalók felhozhatnának az adatkezeléssel szemben,
  • meg kell határoznia, hogy miért korlátozza arányosan a munkáltatói jogos érdek – és az ennek alapján végzett adatkezelés – az érintettek jogait.
  • A munkáltatónak a munkavállalók munkaviszonnyal összefüggő magatartásának ellenőrzése körében lehetőleg olyan módszert kell választania, amely nem jár együtt személyes adat kezelésével. Ha nincs ilyen, akkor a magánszférát legkevésbé korlátozó módszert kell alkalmaznia, amelynek nyomán korlátozott körben ismer meg személyes adatokat.
  • A munkáltatónak biztosítania kell a munkavállaló jelenlétét a munkáltatói ellenőrzés során.
  • [94]Az önéletrajzok, pályázatok esetében az adatkezelés célja az, hogy a meghirdetett munkakört betöltsék. Ennek megfelelően, amennyiben a munkáltató a jelentkezők közül kiválasztott egy személyt a meghirdetett állásra, akkor megszűnt az adatkezelés célja és a ki nem választott jelentkezők személyes adatait törölni kell. Fennáll a törlési kötelezettség abban az esetben is, ha az érintett még a jelentkezési határidő végét megelőzően visszavonja pályázatát.
  • [95]A munkáltató alapvetően csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat, feltéve, ha azok megőrzésére adatkezelési célja elérése érdekében szükség van. Amennyiben munkáltató a felvételi eljárás lezárultát követően is kezelni kívánja a pályázó adatait, ahhoz a hozzájárulást a felvételi eljárás lezárását követően kell kérnie a jelentkezőktől. A munkáltatónak a pályázati anyagok megőrzése esetében is egy meghatározott, az adatkezelés céljához és az adatkezelés pontosságának, naprakészségének elvéhez igazodó időtartamot kell meghatároznia.
  • [96]Az alkalmassági vizsgálatok
  • Részletesen tájékoztatni kell a munkavállalót, illetve leendő munkavállalót többek között arról, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik.
  • Az eredményeket a vizsgált leendő munkavállalók és a munkavállalók, valamint a vizsgálatot végző szakember ismerhetik meg.
  • A munkáltató csak azt az információt kaphatja meg, hogy a vizsgált személy a munkára alkalmas-e vagy sem, illetve milyen feltételek biztosítandók ehhez. A vizsgálat részleteit, illetve annak teljes dokumentációját azonban nem ismerheti meg.
  • A munkáltató által előírt alkalmassági vizsgálatok követelményei esetében is el kell végezni az érdekmérlegelési tesztet, a munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges.
  • A munkaalkalmasságra, felkészültségre irányuló teszteket a munkáltató mind a munkaviszony létesítése előtt, mind pedig a munkaviszony fennállása alatt kitöltetheti a munkavállalókkal.
  • A munkavállalói alkalmassági vizsgálat során részletesen tájékoztatni kell a munkavállalókat arról, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik. Amennyiben jogszabály írja elő a vizsgálat elvégzését, akkor tájékoztatni kell a munkavállalókat a jogszabály címéről és a pontos jogszabályhelyről is.
  • A vizsgálat eredményét a munkavállalók, illetve a vizsgálatot végző szakember ismerhetik meg. A munkáltató vizsgálat eredményből csak azt az információt kaphatja meg, hogy a vizsgált személy a munkára alkalmas-e vagy sem, illetve milyen feltételek biztosítandók ehhez. A vizsgálat részleteit, illetve annak teljes dokumentációját azonban nem ismerheti meg.
  • [97]A munkáltató a nem kötelező adatkezelés (jogszabály által előírt vizsgálat) kivételével csak a munkáltató jogos érdekére, mint jogalapra tekintettel írhat elő alkalmassági vizsgálatot a munkavállalónak, ezen jogos érdek fennállását, előtte érdekmérlegelési tesztet kell elvégzésével kell igazolnia, amelynek eredményét a munkavállalókkal közölnie kell. A munkáltató által választott módszernek alkalmasnak kell lennie a cél elérésére, a munkaviszonnyal kapcsolatos, releváns adatot kell a teszteredményből kapni. Másrészt az alkalmassági vizsgálat szükségességét a munkáltatónak meg kell indokolnia. Az az alkalmassági vizsgálat célja csak a munkaviszony létesítése, fenntartása szempontjából lényeges körülmény lehet.
  • A különböző kompetenciák, személyiségjegyek felmérésére alkalmas tesztek kitöltetése során a tesztek eredménye túlmutathat az alkalmasság megítélésén és a munkavállalók személyes – és bizonyos esetekben különleges – adataira világít rá, ezért a pszichológiai vagy személyiségjegyeket kutató tesztlapok körében csak az egyértelműen munkaviszonnyal kapcsolatos, a munkafolyamatok hatékonyabb ellátása, megszervezése érdekében kitöltethető a munkavállalók nagyobb csoportjával a személyiségjegyek kutatására alkalmas tesztlap alkalmazható, de csak akkor, ha az elemzés során felszínre került adatok nem köthetők az egyes munkavállalókhoz, vagyis anonim módon történik az adatok feldolgozása.
  • A munkahelyi tréningek alkalmassági vizsgálatok keretén belül elvégzett tesztek személyiségjellemzések nem ismerhető meg azokat munkáltató nem tárolhatja, nem tarhatja nyilván. A tesztek kitöltése az edzőnek (szakembernek) ad iránymutatást a tréningen részt vevő munkavállalókról: kinek milyen képességét szükséges fejleszteni, milyen módszerrel lehet eredményesebb munkavégzést elérni. A teszteredményeket a szakértő kezeli a tréning során, és ezeket a munkáltató részére nem adhatja át. A tréner arra nem jogosult, hogy egy tréningen részt vevő személy eredményeit névhez köthetően a téring után is kezelje.
  • [98] A munkáltató által a munkavállaló rendelkezésére bocsátott e-mail-fiók  használatát, magáncélra nem engedélyezte.
  • A munkáltató informatikai biztonságra vonatkozó szabályok szerint gondoskodik
  • az e-mail-fiókról biztonsági másolat készítéséről
  • a munkáltató a munkaviszony megszűnését követően köteles az e-mailek végleges törléséről
  • a magán- és munkáltatói célból való használat elkülönítéséről
  • az e-mail-fiók használata ellenőrzéséről.
  • [99]A munkáltatónak az adatkezelés megkezdése előtt el kell végeznie az érdekmérlegelés tesztjét. Ennek során meg kell határoznia azt, hogy milyen céljai, érdekei miatt kerülhet sor az e-mail-fiók ellenőrzésére. Ezen érdekeknek, ténylegesnek és valósnak, a munkáltató tevékenységéhez, piaci helyzetéhez és a munkavállalók munkaköréhez igazodóaknak kell lenniük. Ezen túlmenően a munkáltatónak az e-mail-fiók használatának ellenőrzése előtt közölnie kell a munkavállalókkal, hogy milyen érdeke miatt kerül sor a munkáltatói intézkedésre.
  • A munkáltatónak – a fokozatosság elvére figyelemmel – lépcsőzetes ellenőrzési rendszert kell kidolgoznia, amelyben megfelelően érvényesülhet a személyes adatok védelme, illetve, hogy az ellenőrzés minél kisebb mértékben érintse a munkavállalók magánszféráját. Az ellenőrzés során elegendő az e-mail-cím és a levél tárgyának ellenőrzése, nem ismerhető meg az e-mail tartalma. A munkáltató nem jogosult az e-mail-fiókban tárolt magánjellegű e-mailek tartalmát ellenőrizni még akkor sem, ha az ellenőrzés tényéről előzetesen a munkavállalókat tájékoztatta.
  • [100]A munkáltatónak előzetesen részletes tájékoztatást kell biztosítania a munkavállalók számára. A tájékoztatóban közölni kell, milyen célból, milyen munkáltatói érdekek miatt kerülhet sor az e-mail-fiók ellenőrzésére.
  • A kifejezett ellenőrzés előtt tájékoztatni kell a munkavállalót arról, hogy
    • milyen munkáltatói érdek miatt kerül sor az ellenőrzésre,
    • a munkáltató részéről ki végezheti az ellenőrzést,
    • milyen szabályok szerint kerülhet sor ellenőrzésre,
    • mi az eljárás menete,
    • milyen jogai és jogorvoslati lehetőségei vannak a munkavállalóknak az e-mail-fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban.
  • A munkáltatónak az informatikai biztonságra vonatkozó szabályzatában kell megalkotnia a munkavállaló rendelkezésére bocsátott számítógép, laptop, tablet és egyéb infokommunikációs eszköz (a továbbiakban: eszköz) használatának, ellenőrzésének szabályait. A munkáltató az eszközök használatát, munkavégzés akadályozása nélkül, magáncélra is engedélyezte.
  • Az informatikai biztonsági előírások során kell meghatározni:
    • a biztonsági mentés készítésének és megőrzésének a szabályait,
    • mikor kerül sor az eszköz adatainak végleges törlésére,
    • az eszközön tárolt adatok ellenőrzésének részletes szabályait.
  • Az más informatikai eszközhasználatra egyebekben az e-mailre vonatkozó rendelkezéseket kell alkalmazni.
  • A munkavállaló által meglátogatott weboldal vagy az internet használatával kapcsolatban a számítógépen rögzített, lementett információk – az elmentett felhasználónév, jelszó – a munkavállaló személyes adatainak tekinthetők. A munkáltató az internet használatát, magáncélra nem engedélyezte.
  • Az ellenőrzés csak az ahhoz szükséges személyes adatok megismerésére terjedhet ki. Amennyiben a munkáltató bizonyos honlapok látogatását blokkolja, és az ellenőrzése pusztán arra terjedhet ki, hogy megállapítsa, a munkavállaló betartotta-e ezt a munkáltatói rendelkezést, akkor elegendő a honlap címének a megismerése és feljegyzése, tilos a munkavállaló tevékenységének részletes feltérképezése. A munkáltató nem ellenőrizheti, hogy a munkavállaló milyen tevékenységet végzett a honlapon, milyen felhasználónevet és jelszót mentett el, milyen fájlokat mentett le a honlapról.
  • Az internethasználatra egyebekben az e-mailre vonatkozó rendelkezéseket kell alkalmazni.
  • A munkáltató által rendelkezésre bocsátott mobiltelefon előfizetés, mobiltelefon eszköz használatának ellenőrzésére a munkáltató jogosult.
  • A hivatalos hívások adatait a munkáltató megismerheti, a magáncélú hívások adatait nem.
  • A magáncélú telefonhasználat engedélyezése során a munkáltató hívásrészletezőt kérhet a telefonszolgáltatótól, de ennek adatait csak azután ismerheti meg, ha felhívja a munkavállalót arra, hogy a dokumentumon a magáncélú hívások esetében a hívott számokat tegye felismerhetetlenné. A fennmaradó telefonszámokat a munkáltató megismerheti, mivel a munkáltató képviseletében hívta fel a munkavállaló. A munkáltató nem kezelhet személyes adatokat, nem ismerheti meg, hogy a munkavállaló magáncélból kit és mikor hívott fel.
  • 5.    FEJEZET: EGÉSZSÉGÜGYI ADATKEZELÉSI ÉS ADATVÉDELMI SZABÁLYOK
  • 5.   
    • szabályai
  • Az egészségügyi adatok felvétele a gyógykezelés része.
  • [101]A beteget felvételekor tájékoztatni kell a Társaság adatkezelési és adatvédelmi rendjéről, amelyet jelen fejezet tartalmaz. A beteg tájékoztatása az adatkezelésről és védelemről a felvevő, illetve a kezelést végző orvos kötelessége. A tájékoztatás megtörténtét a beteg aláírásával igazolja.
  • [102]Az egészségügyi és a személyazonosító adatoknak az érintett (törvényes képviselője) részéről történő szolgáltatása – az egészségügyi ellátás igénybevételéhez kötelezően előírt személyazonosító adatok és az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (Eüak.) 13. §-ában foglaltak kivételével – önkéntes. Abban az esetben, ha az érintett önként fordul az intézményhez, a gyógykezeléssel összefüggő egészségügyi és személyazonosító adatainak kezelésére szolgáló hozzájárulását – ellenkező nyilatkozat hiányában – megadottnak kell tekinteni, és erről az érintettet (törvényes képviselőjét) tájékoztatni kell.
  • [103]Sürgős szükség, valamint a gyógykezelt személy belátási képességének hiánya esetén az önkéntességet vélelmezni kell.
  • Az érintett (törvényes képviselője) törvény szerinti kötelezettsége a betegellátó felhívására egészségügyi és személyazonosító adatait átadni,
    • ha valószínűsíthető vagy beigazolódott, hogy az Eüak. 1. számú mellékletében felsorolt valamely betegség kórokozója által fertőződött, vagy fertőzéses eredetű mérgezésben, illetve fertőző betegségben szenved, kivéve, ha az érintett annak megállapítása érdekében kíván szűrővizsgálaton részt venni, hogy HIV vírussal fertőződött-e,
    • ha arra az Eüak. 2. számú mellékletében felsorolt szűrő- és alkalmassági vizsgálatok elvégzéséhez van szükség,
    • heveny mérgezés esetén,
    • ha valószínűsíthető, hogy az érintett az Eüak. 3. számú mellékletében felsorolt foglalkozási eredetű megbetegedésben szenved,
    • ha az adatszolgáltatásra a kiskorú gyermek gyógykezelése, egészségi állapotának megőrzése vagy védelme érdekében van szükség,
    • ha bűnüldözés, bűnmegelőzés céljából, továbbá ügyészségi, bírósági eljárás, illetve szabálysértési vagy közigazgatási hatósági eljárás során az illetékes szerv a vizsgálatot elrendelte,
    • [104]ha az adatszolgáltatásra a nemzetbiztonsági szolgálatokról szóló törvény szerinti ellenőrzés céljából van szükség.
  • Az adatfelvétel során az egészségügyi dokumentációban rögzíteni kell az adatfelvétel időpontját és az adatfelvevő személyét.
  • 5.2. Az egészségügyi adatokkal kapcsolatos titoktartási kötelezettség
  • [105]A betegellátót – az érintett választott háziorvosa, valamint az igazságügyi szakértő kivételével – a titoktartási kötelezettség azzal a betegellátóval szemben is köti, aki az orvosi vizsgálatban, a kórisme megállapításában, illetve a gyógykezelésben vagy műtétnél nem működött közre, kivéve, ha az adatok közlése a kórisme megállapítása vagy az érintett további gyógykezelése érdekében szükséges.
  • [106]A titoktartási kötelezettség alól felmentést írásban adhat a beteg.
  • [107]Közölni lehet az érintett beteg hozzájárulása nélkül is a beteg további ápolását, gondozását végző személlyel azokat az egészségügyi adatokat, amelyek ismeretének hiánya a beteg egészségi állapotának károsodásához vezethet.
  • [108]A Társaság által nyújtott ellátás, gyógykezelés során jelen lehet orvos, egészségügyi szakdolgozó, amelyhez nincs szükség az érintett hozzájárulására, azonban erről az adatfelvétel megkezdése előtt tájékoztatni kell az érintettet.
  • [109]Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse, vagy törölje a rá vonatkozó pontatlan személyes adatokat, feltéve, hogy az adat kezelését nem jogszabály írja elő, vagy teszi lehetővé. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat alapján történő – kiegészítését. Az érintettet a törlés következményeiről és veszélyeiről a törlés előtt tájékoztatni kell. A tájékoztatást írásba kell foglalni és azt az érintettel aláíratva a kérelemmel együtt meg kell őrizni.
  • [110]Az egészségügyi dokumentációban szereplő hibás egészségügyi adatot – az adatfelvételt követően – úgy kell kijavítani, vagy törölni, hogy az eredetileg felvett adat megállapítható legyen. A kézzel történő módosítást a módosító személy olvashatóan írt nevével, kézjegyével és dátummal kell ellátni, elektronikus adatkezelés esetén a bejegyzést végző egyértelmű azonosítását és a bejegyzés naplózását a rendszernek biztosítania kell.
  • 5.4. Adatbiztonság
  • [111]Az egészségügyi és személyazonosító adat kezelésének célja az egészség megőrzésének, javításának, fenntartásának előmozdítása, a betegellátó eredményes gyógykezelési tevékenységének elősegítése, ideértve a szakfelügyeleti tevékenységet is, az érintett egészségi állapotának nyomon követése, a népegészségügyi, közegészségügyi és járványügyi érdekből szükségessé váló intézkedések megtétele, és a betegjogok érvényesítése. Az egészségügyi és személyazonosító adatok fenti célokon túli kezelése törvényben meghatározott esetekben és célokból lehetséges.
  • [112]Az (1) bekezdés szerinti adatkezelési célokra csak annyi és olyan egészségügyi, illetve személyazonosító adat kezelhető, amely az adatkezelési cél megvalósításához elengedhetetlenül szükséges.
  • [113]Az egészségügyi és személyazonosító adatok kezelése és feldolgozása során biztosítani kell az adatok biztonságát véletlen vagy szándékos megsemmisítéssel, megsemmisüléssel, megváltoztatással, károsodással, nyilvánosságra kerüléssel szemben, továbbá, hogy azokhoz illetéktelen személy ne férjen hozzá.
  • [114]Az érintettről felvett, a gyógykezelés érdekében szükséges egészségügyi és személyazonosító adatot nyilván kell tartani. Az egészségügyi intézményen belül az egészségügyi és személyazonosító adatok védelméért, a nyilvántartás megőrzéséért az adatot kezelő intézmény vezetője felelős.
  • Az egészségügyi dokumentáció a gyógyítási folyamat során mindazon helyeken jelen van, ahol az ellátással kapcsolatos gyógyító-, ápolási-, ezekhez társuló kapcsolt-, illetve kiegészítő tevékenység zajlik (pl. betegszállítás, esetdokumentáció, finanszírozás).A jogosulatlan adatkezelés és a dokumentáció eltulajdonításának megelőzése érdekében az alábbi rendelkezések betartása kötelező:
    • [115]Az egészségügyi dokumentáció kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve. Az integritást és bizalmas jelleget az egészségügyi dokumentáció kezelésének teljes időtartama alatt meg kell őrizni.
    • Az ellátás alatti, illetve az azzal kapcsolatos dokumentálást követően az egészségügyi dokumentációt el kell zárni, vagy olyan helyen kell tartani, ahol a jogosulatlan hozzáférés kizárható, illetve az egészségügyi dolgozók folyamatos jelenléte által a felügyelet biztosított. Elzárás alatt értendő a számítógép jelszavas zárolása is arra az időtartamra, amíg a dokumentálást végző személy – bármilyen rövid ideig –nem tartózkodik a számítógép előtt.
    • A beteg szállítása, más intézményben történő vizsgálata során az egészségügyi dokumentációt személy szerint a vizsgálatért, vagy beavatkozásért felelős, vagy az átvételt intéző, szállításban részt vevő egészségügyi dolgozónak kell zárható borítékban átadni, aki a dokumentációt úgy köteles kezelni, hogy az csak a betegellátás tényleges megkezdésekor váljon megismerhetővé az arra jogosultak számára. Az átvétel tényét az időpont megadásával az átvevő által aláírva a beteg dokumentációjában fel kell tüntetni, és az adatok helyességéről meg kell győződni.
    • Az egészségügyi dokumentációk megfelelő, biztonságos tárolásának tárgyi feltételeit a Társaság biztosítja.
    • Jogosulatlan adatkezelés, így különösen az egészségügyi dokumentációhoz, adatokhoz való illetéktelen hozzáférés, vagy azok eltulajdonításának gyanúja esetén az e cselekményekkel a Társaság ügyvezetőjét tájékoztatni kell.
    • Bárki, akinek jogosulatlan adatkezelés, így különösen az egészségügyi dokumentációkhoz, adatokhoz való jogosulatlan hozzáférés, vagy a dokumentáció eltulajdonítása jut tudomására, köteles a közvetlen munkahelyi vezetőjét haladéktalanul írásban tájékoztatni az eseményről, aki tájékoztatja Társaság ügyvezetőjét, aki írásban értesíti s az adatvédelmi tisztviselőt.
    • Az adatvédelmi tisztviselő a bejelentést és az arra okot adó körülményeket, információt – lehetőség szerint írásbeli és képi formában is – dokumentálja.
    • Az adattárolás szabályszerűségét az adatvédelmi tisztviselő évente ellenőrzi.
  • Az elektronikusan tárolt adatok esetében a központi szerverek és az adatok archiválása során használt munkaállomások és adathordozók védelme a Társaság informatikai előírások rendje szerint történik.
  • 5.5. Adatkezelő azonosítása
  • Az egészségügyi ellátásban résztvevő az adatkezelést végző dolgozók aláírás mintáját az egészségügyi adatkezelői hozzáférési nyilvántartásban kell rögzíteni. A nyilvántartás vezetéséért a Társaság ügyvezetője a felelős.
  • Elektronikus adatkezelés esetén az aláírást az elektronikus felhasználónév-jelszó páros helyettesíti. A nyilvántartás vezetéséért, illetve a belépési jogosultság engedélyezéséért a Társaság ügyvezetője felelős. A jelszó titkosan történő kezeléséért, azzal történő bármilyen visszaélésért a jelszó tulajdonosa felel. Csak olyan elektronikus rendszert szabad alkalmazni, amely képes a jelszavak titkos kezelését biztosítani.
  • Manuális adatkezelés esetén az adatkezelő, vagy módosító személy azonosítása az aláírásnak a nyilvántartásban rögzített aláírás mintával való összevetésével történik.
  • Elektronikus adatkezelés esetén a rendszernek naplóznia kell a beavatkozás tényét.
  • [116]Az egészségügyi ellátó hálózaton belül az egészségügyi és személyazonosító adat kezelésére - tevékenységének ellátásához szükséges mértékben - jogosult:
  • a betegellátó, illetve annak feladattal érintett munkatársai,
  • az adatvédelmi tisztviselő,
  • a Társaság feladattal érintett munkatársai.
  • A manuális dokumentációs rendszerben az adminisztratív tevékenységet a munkaköri leírás határozza meg. A dolgozó belépésekor, illetve a jogviszony megszűnésekor elvégzendő elszámolás része a Társaság ügyvezetőjével, aki ennek alapján aktualizálja az aláírás mintákat az egészségügyi adatkezelői nyilvántartásban.
  • Elektronikus adatkezelés esetén a belépő dolgozó részére a hozzáférési jogosultság megadását a Társaság ügyvezetőjének rendelkezése alapján kell megtenni. A megfelelő adatkezelési szintre vonatkozó engedély csak az elektronikus adatkezelési rendszer kezelését ismertető tanfolyam sikeres elvégzése után adható ki. A dolgozó jogviszonyának megszűnésekor intézkedni kell a hozzáférési jogosultság megszüntetéséről.
  • 5.6. Eljárás az adatok sérülése, adatvédelmi incidens esetén
  • Az egészségügyi és személyes adatokat ért sérülés vagy megsemmisülés esetén a rendelkezésre álló egyéb adatforrásokból meg kell kísérelni a károsodott adatok visszaállítását, pótlását.
  • A sérült adat pótlásáért annak a Társaság ügyvezetője felelős.
  • A manuálisan kezelt adatok esetén:
  • a hagyományos adathordozók tárolásakor az adatok visszakereshetőségének érdekében a megőrzés biztosítására a Társaság iratkezelési szabályzatának előírásai szerint kell eljárni,
  • a következmények felszámolásakor, a visszaállítás érdekében, minden lehető és észszerű intézkedést meg kell tenni, felhasználva a bármely szervezeti egységben, vagy a betegnél fennmaradt hiteles dokumentumot,
  • a visszaállítást és annak mértékét az adatvédelmi tisztviselő egyetértésével a Társaság ügyvezetője írásban rendeli el.
  • 5.7. Az adatkezelési rendszer sérülése, illetve károsodása esetére tervezett intézkedések
  • Manuális adatkezelés esetén:
    • a dokumentumokat a tároló hely sérülésének elhárítása idejéig szükség esetén biztonságos helyre kell szállítani,
    • az adatok védelmének és integritásának biztonságát veszélyeztető állapot elhárítását azonnal meg kell kezdeni, az elhárítás idejére folyamatos felügyeletet kell biztosítani, vagy a dokumentumokat zárható helyre kell szállítani.
  • Elektronikus adatkezelés esetén:
    • hálózat esetén a központi egységek (szerverek) sérülésekor a Társaság informatikai előírások rendje szerint kell eljárni,
    • a rendszer működésképtelensége alatt az adatokat manuális módszerekkel kell rögzíteni, és a helyreállítást követően azokat a rendszerbe pótlólag fel kell venni.
  • 5.8. Az egészségügyi dokumentáció
  • [117]A beteg vizsgálatával és gyógykezelésével kapcsolatos adatokat az egészségügyi dokumentáció tartalmazza. Az egészségügyi dokumentációt úgy kell vezetni, hogy az a valóságnak megfelelően tükrözze az ellátás folyamatát, kötelező tartalmáról az Eütv. 136. § (2) bekezdése rendelkezik. A dokumentáció részeként meg kell őrizni:
  • [118]Az egészségügyi dokumentációt az adatfelvételtől számított legalább 30 évig, a zárójelentést legalább 50 évig kell megőrizni. A kötelező nyilvántartási időt követően gyógykezelés vagy tudományos kutatás érdekében – amennyiben indokolt – az adatok továbbra is nyilvántarthatók. Ha a további nyilvántartás nem indokolt, a nyilvántartást meg kell semmisíteni, kivéve, ha annak tudományos jelentősége van, ebben az esetben a kötelező nyilvántartási időt követően át kell adni az illetékes levéltár részére.
  • A papír alapú egészségügyi dokumentáció tárolásának és megőrzésének rendjére a Társaság Iratkezelési szabályzatának, illetve az ennek mellékletét képező Irattári Tervnek az előírásait kell alkalmazni.
  • Az egészségügyi dokumentációt a stabilitását és védelmét biztosító irattári körülmények között, illetve informatikai rendszerben kell kezelni. A rendszernek képesnek kell lennie arra, hogy a dokumentációban szereplő adatok olvashatóságát fenntartsa.
  • Az egészségügyi dokumentációt úgy kell kezelni, hogy az a jogosult számára a hozzáférést lehetővé tegye, illetve a jogosulatlan hozzáférést megakadályozza.
  • A napi egészségügyi ellátás során már nem szükséges betegellátási dokumentumokat az ellátást végző szervezeti egység átmeneti irattárában kell elhelyezni.
  • Az átmeneti irattárból a Társaság ügyvezetőjének vagy az általa ezzel meghatalmazott munkatársnak az engedélyével lehet dokumentumokat kiemelni, az általános adatvédelmi irányelvek betartásával, az adatvédelmi tisztviselő tájékoztatása mellett.
  • A kiemelt dokumentumokról a Társaság adatkezelési feladatokat ellátó munkatársa nyilvántartást vezet.
  • A nyilvántartásnak tartalmaznia kell:
    • a nyilvántartási sorszámot,
    • a kiemelést elrendelő személy nevét, beosztását,
    • a kiemelt dokumentum azonosítására alkalmas adatokat,
    • a kikérés jogcímét (betekintés/másolat, kiadás/eredeti irat kölcsönzése),
    • a kiemelés dátumát,
    • az iratot átadó irattáros nevét,
    • a megjegyzéseket (pl.: betekintő személy neve és személyazonosításra alkalmas adatai, a kölcsönzés határideje, stb.)
    • a visszahelyezés dátumát.
  • 6.    FEJEZET:AZ EGÉSZSÉGÜGYI DOKUMENTÁCIÓ MEGISMERÉSÉNEK SZABÁLYAI
  • 6.   
  • (1)   [119]A beteg jogosult a róla készült egészségügyi dokumentációban foglaltakat megismerni. A megismerés joga magában foglalja a betekintést és a dokumentációról készült másolat rendelkezésre bocsátását.
  • [120]A beteg jogosult a járóbeteg-szakellátási tevékenység befejezésekor ambuláns ellátási lapot kapni, amely az egészségügyi dokumentáció eredeti példányának minősül.
  • [121]Amennyiben a betegről készült egészségügyi dokumentáció más személy magántitokhoz való jogát érintő adatokat is tartalmaz, annak csak a betegre vonatkozó része tekintetében gyakorolható a megismerési jog.
  • [122]Az egészségügyi dokumentáció megismerésének joga a betegen kívül
  • a beteg ellátásának időtartama alatt az általa írásban felhatalmazott személyt,
  • a beteg ellátásának befejezését követően az általa teljes bizonyító erejű magánokiratban felhatalmazott személyt

illeti meg.

  • [123]A beteg halála esetén törvényes képviselője, közeli hozzátartozója, valamint örököse – írásos kérelme alapján – jogosult:
  • a halál okával összefüggő vagy összefüggésbe hozható, továbbá
  • a halál bekövetkezését megelőző gyógykezeléssel kapcsolatos egészségügyi adatokat megismerni, az egészségügyi dokumentációba betekinteni, valamint azokról másolatot készíteni, vagy kapni.
  • A Társaság ügyvezetője igazolja, hogy a kérelmezett dokumentáció másolat kizárólag a halál okával összefüggő vagy összefüggésbe hozható, továbbá a halál bekövetkezését megelőző gyógykezeléssel kapcsolatos.
  • [124]A beteg életében, illetőleg halálát követően az érintett beteg házastársa, élettársa, egyeneságbeli rokona, testvére – írásbeli kérelme alapján –jogosult a személyes adatokhoz való hozzáférési jog gyakorlására, ha az egészségügyi adatra a házastárs, az élettárs, az egyeneságbeli rokon, a testvér, valamint leszármazóik
  • életét, egészségét befolyásoló ok feltárása, illetve
  • egészségügyi ellátása céljából van szükség,

és az egészségügyi adat más módon való megismerése, illetve az arra való következtetés nem lehetséges.

Ebben az esetben csak azoknak az egészségügyi adatoknak a megismerése lehetséges, amelyek az a) és b) pontban meghatározott okkal közvetlenül összefüggésbe hozhatók.

  • [125]Az egészségügyi adatokra vonatkozó tájékoztatást a Társaság ügyvezetője adja meg, az orvosi tájékoztatásra vonatkozó előírásoknak megfelelően, - szükség esetén - a kérelmező kezelőorvosával való szakmai konzultáció alapján.
  • [126]az előző pontban megjelölt hozzátartozó hiányában a beteggel közös háztartásban nem élő, cselekvőképes hozzátartozója a törvény által meghatározott következő sorrendben:
  • [127]Korlátozottan cselekvőképes kiskorú és cselekvőképességében az egészségügyi ellátással összefüggő jogok gyakorlása tekintetében részlegesen korlátozott beteg dokumentációjába betekinthet
  • [128]Cselekvőképes személy közokiratban, teljes bizonyító erejű magánokiratban, vagy írásképtelensége esetén két tanú együttes jelenlétében megtett nyilatkozattal kizárhatja az egészségi állapotával kapcsolatos tájékoztatásból és a dokumentációjába való betekintésből az (1) bekezdés c. és d. pontjában felsorolt személyeket. E rendelkezés a 16. életévét betöltött kiskorú személy esetén is irányadó.
  • [129]A Társaság ügyvezetője átadja az érintett egészségügyi, és a megkereső vagy adatszolgáltatást kérő szerv által törvény alapján kezelhető, az érintett azonosításához szükséges személyazonosító adatokat a következő szervek adatkérésére vagy írásbeli megkeresésére:
  • [130]Az adatkezelési célokra csak annyi és olyan egészségügyi, illetve személyazonosító adat kezelhető, amely az adatkezelési cél megvalósításához elengedhetetlenül szükséges.
  • [131]A megkeresésben vagy adatkérésben az Infotv. 4. §-ában meghatározottak szerint meg kell jelölni az adatkezelés pontos célját és a kért adatok körét.
  • [132]A Tárasaság ügyvezetője az ügyészség engedélye nélkül is köteles az adatkérést teljesíteni, ha

az adatkérés engedélyezése olyan késedelemmel járna, amely az adatkéréssel elérni kívánt célt jelentősen veszélyeztetné. Ilyen esetben az ügyészség engedélyét utólag haladéktalanul be kell szerezni.

  • [133]Az (1) bekezdésben meghatározott megkeresést vagy adatkérést rövid úton is előterjesztheti

ha az egészségügyi adatokra a halottvizsgálat során soron kívül van szükség. A kezelőorvos a megkeresést vagy adatkérést soron kívül teljesíti.

  • Az egészségügyi dokumentáció megismerése iránti kérelmet Társaság ügyvezetőjénél lehet benyújtani
  • Amennyiben a kérelmet nem az arra jogosult terjeszti elő, vagy olyan adat megismerését kérelmezi, amelyre nem jogosult, a kérelmet el kell utasítani. A kérelem hiányos benyújtása esetén a kérelmezőt hiánypótlásra hívja fel a Társaság. A hiánypótlási határidő nem számít bele a 8 munkanapos továbbítási, illetve a kérelem teljesítésére előírt 30 napos határidőbe.
  • [134]A kérelem teljesítésére 30 nap áll rendelkezésre a kérelem Társasághoz történő beérkezésétől számítva. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható, amelyről az adatkezelő tájékoztatja az érintettet, a késedelem okának megjelölésével. A határidő meghosszabbítására a Társaság jogosult.
  • A kérelem elutasításáról a kérelem teljesítésében közreműködő szervezeti egység vezetője írásban indokolva tájékoztatja a kérelmezőt a kérelem beérkezésétől számított 30 napon belül.
  • A kérelmezőnek a jogosultságát a személyazonosításra alkalmas, az 1996. évi XX. törvényben meghatározott természetes személyazonosító adatainak megadásával és a jogosultságát igazoló okirattal, vagy a 2015. évi CCXXII. törvényben meghatározott elektronikus ügyintézés útján való azonosítással, és a jogosultságát igazoló okirattal kell igazolnia.
  • [135]Kiskorú gyermek esetében a kérelemhez csatolni kell a szülő, vagy a törvényes képviselő teljes bizonyító erejű magánokiratba foglalt nyilatkozatát a törvényes képviselői minőségének fennállásáról.
  • A kérelmekről és az intézkedésekről a Társaság adatkezelés végző munkatársa nyilvántartást vezet az alábbi tartalommal:
  • kérelmező neve    
  • kért adatok                      
  • kérelem időpontja
  • teljesítési határidő meghosszabbításának időpontja
  • adatkiadás adattovábbítás időpontja         
  • Az adatkiadás, adattovábbítás elutasításának időpontja.
  • Az adatkezelő munkatárs a nyilvántartást a Rendelkezési Nyilvántartás részeként vezeti.
  • Az egészségügyi dokumentáció betekintés útján történő megismerése esetén a betekintést dokumentálni kell (a betekintés időpontjának, a betekintő személy adatainak feltüntetésével és a betekintést felügyelő aláírásával), amelyet az egészségügyi dokumentáció részeként kell a továbbiakban megőrizni.
  • [136]A Társaság az egészségügyi dokumentáció másolatának kiadását első alkalommal díjmentesen biztosítja.
  • Ha a kérelem egyértelműen megalapozatlan vagy - különösen ismétlődő jellege miatt - túlzó, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre, a Társaság Térítési Díj Szabályzatában meghatározott összegű díj számítható fel, vagy megtagadható a kérelem alapján történő intézkedés.
  • Ismétlődő jellege miatt túlzónak tekintendő minden olyan kérés, amely ugyanattól a személytől ugyanarra az adatra, adatkörre, dokumentumra, vagy annak részére vonatkozik.
  • Az egészségügyi dokumentáció másolatának minden oldalát a Társaság pecsétjével és dátummal kell ellátni.
  • Az egészségügyi dokumentáció másolatának kiadása esetén a másolatot a kiadott dokumentumokról készült tételes iratlistával együtt kell a kérelmező rendelkezésére bocsátani, és az iratlistát az egészségügyi dokumentáció megismerése iránti kérelemhez csatolva, az egészségügyi dokumentáció részeként meg kell őrizni. Az iratlista mintáját a Társaság a formanyomtatványtárban kezeli.
  • A dokumentáció másolata a kérelmező választása szerint kiadható papíralapon, vagy CD-re/DVD-re írva. Az adathordozót a kérelem teljesítésében közreműködő szervezeti egység biztosítja.
  • Az egészségügyi dokumentáció másolatát a kérelem teljesítésében közreműködő szervezeti egység adja át/küldi meg. A dokumentáció másolatát
  • a kérelmező, a törvényes képviselője vagy a teljes bizonyító erejű magánokiratban meghatalmazott személy részére személyesen kell átadni, vagy
  • könyvelt postai küldeményként, a kérelmező által megadott címre kell megküldeni. Személyes átadás esetén a kérelmező vagy meghatalmazottja aláírásával igazolja a másolatok átvételét és idejét.
  • [137]Az érintett első ízben történő orvosi ellátásakor, ha az érintett 8 napon túl gyógyuló sérülést szenvedett és a sérülés feltehetően bűncselekmény következménye, a kezelőorvos a rendőrségnek haladéktalanul bejelenti az érintett személyazonosító adatait.
  • [138]A kiskorú érintett első ízben történő egészségügyi ellátásakor – a gyermekek védelméről és a gyámügyi igazgatásról szóló 1997. évi XXXI. törvény 17. §-ára is tekintettel – az ellátást végző egészségügyi szolgáltató ezzel megbízott orvosa köteles az egészségügyi szolgáltató telephelye szerint illetékes gyermekjóléti szolgálatot haladéktalanul értesíteni, ha
  • feltételezhető, hogy a gyermek sérülése vagy betegsége bántalmazás, illetve elhanyagolás következménye,
  • a gyermek egészségügyi ellátás során bántalmazására, elhanyagolására utaló körülményekről szerez tudomást.
  • [139]Az (1) és (2) bekezdés szerinti adattovábbításhoz az érintett, illetve az adattal kapcsolatosan egyébként rendelkezésre jogosult beleegyezése nem szükséges.
  • [140]Az (1) és (2) bekezdés szerinti adattovábbítás esetén az érintett első orvosi ellátójának az az orvos minősül, aki az érintettet szervezett formában először ellátásban részesíti. Az adattovábbítás nem veszélyeztetheti a sérült vagy más beteg egészségi állapotát.
  • [141]A sérült személyazonosító adatainak hiányában is jelenteni kell a sérülés tényét, illetve a kezelést végző orvos által ismert körülményeket.
  • [142]Az (1) bekezdés szerinti jelentés telefonon történik a rendőrhatóság egységes vagy az ellátás helye szerint illetékes kapitányság hívószámán. A (2) bekezdés szerinti bejelentést írásban kell megtenni.
  • [143]A jelentés tényét a sérült egészségügyi dokumentációjában rögzíteni kell.
  • A Társaság egészségügyi informatikai rendszerben kezeli az egészségügyi szolgáltatás nyújtása során kezelt személyes és különleges személyes adatokat. Ezen informatikai rendszer jelenleg a Dental Pocket informatikai rendszer. A rendszer használatára a gyógykezelésért felelős orvos jogosult.
  • A Dental Pocket informatikai rendszer, az EESZT modul, a NEAK modul, valamint az e-Recept modul használatára mind a kezelő orvos munkatársak, mind az egészségügyi szakszemélyzet jogosult, az adott, kezelésük alatt álló páciens tekintetében.
  • Berendelő naptár modul használatára mind a kezelő orvos munkatársak, mind az egészségügyi szakszemélyzet jogosult, a betegút szervezés, mint adatkezelési cél érdekében, valamennyi érintett tekintetében.  E modul használat távoli eléréssel is engedélyezett, az arra kijelölt munkatárs részére. Berendelő naptár modul Páciensek osztályozása szerint funkcióját sem megbízhatóság, sem más szempontból, sem pozitív sem negatív minősítési szempontok használat szigorúan tilos. Ez az érintett profilozásának minősül automatizált adatkezelésessel, amely adatkezelést a Társaság nem végez
  • A jelen fejezet alatt nem szabályozott kérdések esetében az Informatikai Üzemeltetési és az Informatikai Biztonsági Szabályzat az irányadó, különös tekintettel a felhasználói jogosultság igénylésére, a felhasználók belépési lehetőségeire, az adatmentésre, archiválásra, a rendszer műszaki megbízhatóságára, a rendszer karbantartására.
  • A Társaság használt elektronikai rendszerben minden esemény nyomon követhető, szükség esetén kimutatható. A kimutatások egy része naplózás eredményeként az erre jogosultak számára a rendszerből közvetlenül megtekinthető, más részéhez – az adatfeldolgozó közreműködésével – közvetetten hozzá lehet férni.
  • A Dental Pocket informatikai rendszer távoli elérése a mobil alkalmazással - a Berendelő naptár modul kivételével - csak kivételes esetben, az alábbiak fennállása esetén engedélyezhető:
    • A kezelőorvos írásban indokolt kérelmét Társaság ügyvezetője - amennyiben adatvédelmi szempontból nem merülnek fel aggályok - jóváhagyja és továbbítja kézjegyével ellátva a Társaság információbiztonsági felelősének.
    • A Társaság információbiztonsági felelőse jóváhagyja, amennyiben az informatikai biztonsági kockázat szintje ezt lehetővé teszi.
  • A távoli hozzáférést elutasító döntést írásban meg kell indokolni. Az elutasító döntés ellen jogorvoslatnak helye nincs.
  • [144]Az EESZT-hez engedélyezett informatikai rendszere útján csatlakozásra köteles az egészségügyi szolgáltatás nyújtására az egészségügyi államigazgatási szerv által kiadott működési engedély alapján jogosult egészségügyi szolgáltató, aki finanszírozási jelentés benyújtására vagy elektronikus adatszolgáltatásra kötelezett.
  • [145]A 49/2018. EMMI rendelet rendeletben meghatározott betegségregisztert vezető szerv (a továbbiakban: betegségregisztert vezető szerv) az általa felügyelt szakterületen népegészségügyi szempontból kiemelt jelentőségű, vagy egyébként jelentős költségteherrel járó betegségcsoportok, ellátások és szűrések (a továbbiakban együtt: megbetegedések) tekintetében betegségregisztert hoz létre és működtet ezen megbetegedések nyilvántartása érdekében az Eüak. 4. § (1) bekezdés a)-d) pontja és a 4. § (2) bekezdés b), c), d) és w) pontja szerinti célból. A betegségregiszter az adatok gyűjtése, a kapcsolati kód képzése céljából kezelheti az érintett személyek
  • [146]Ha a betegellátó az érintett betegnél betegségregiszterben nyilvántartott megbetegedések valamelyikét észleli, vagy annak időszakos felülvizsgálatát végzi, a (2) bekezdés szerinti célokból továbbítja az érintett személynek a 49/2018. EMMI rendeletben meghatározott személyazonosító és az észlelt megbetegedéssel összefüggő egészségügyi adatait az észlelt megbetegedést nyilvántartó, elektronikus betegségregiszterbe.
  •  
  • [147]Implantátum beültetéséről, kivételéről és cseréjéről a beavatkozással érintett személy további gyógykezelése, egészségi állapotának nyomon követése, váratlan esemény gyors elhárítása, valamint a beültethető orvostechnikai eszközök megfelelőségének ellenőrzése érdekében az egészségügyi szolgáltató nyilvántartást vezet az Eütv. 101/C. § (1) bekezdésben foglalt adattartalommal, az egészségbiztosítási szerv által működtetett informatikai felület alkalmazásával.
  • [148]A nyilvántartásba az adatokat legkésőbb a beavatkozással érintett személy egészségügyi szolgáltatótól történő elbocsátását követő 8 napon belül, vagy a finanszírozási jelentéstétel napján kell felvinni.
  • [149]Az egészségügyi szolgáltató a törvény által előírt adatokat az egészségbiztosítási szerv által működtetett informatikai felület alkalmazásával a (2) bekezdésben leírt adatfelvitellel egyidejűleg, elektronikusan továbbítja a Központi Implantátumregiszter részére.
  • 7.    FEJEZET: KAPCSOLATTARTÁSI MARKETING CÉLÚ ADATKEZELÉSEK
  • 7.   
  • [150]Személyes adat kezelésének minősül az érintettről készített fotó, videofelvétel abban az esetben is, ha a fotón, videofelvételen nem szerepel az érintett neve vagy más adata. Személyes adatkezelésnek minősül a felvétel elkészítése abban az esetben is, ha az felhasználásra nem kerül. Az ilyen adatkezelés csak hozzájáruláson alapulhat. A hozzájárulás beszerzéséért a Társaság vezetője felelős. Amennyiben az adat nem az érintettől származik, csak akkor kezelhető, ha az adat közlője a Társaság rendelkezésére bocsátja az érintett felhasználási célra vonatkozó hozzájárulását. Személyes adat közzétételéhez a Társaságnak rendelkeznie kell az érintettnek a közzétételre való hozzájárulásával is. A hozzájárulást a felvételek elkészítése előtt kell beszerezni.
  • A rendezvényeken való felvételkészítés során, a rendezvényeken résztvevőket előzetesen – a meghívón vagy a rendezvényen való tájékoztató tábla elhelyezésével – a felvétel készítéséről és annak felhasználásáról tájékoztatni kell. A tájékoztatás megtörténtéről jegyzőkönyvet kell felvenni. Tájékoztatás esetén, a rendezvényen résztvevők részéről megadottnak kell tekinteni a hozzájárulást a felvétel készítéséhez, a közzétételhez. A rendezvényeken történő regisztrációs célú adatkezelés az érintettel való kapcsolattartás érdekében történhet.
  • A gyógyító eljárás során készített fényképfelvételek. A gyógyító eljárás során a Társaság az érintett betegekről, a betegek kezelés alatt álló testrészéről a betegellátó eredményes gyógykezelési tevékenységének elősegítése, az érintett egészségi állapotának nyomon követése érkezében fénykép, videó felvételek készít amennyiben erre az adott gyógykezelési eljárás során ovosszakmai okból szükség van. A fénykép- videó felvételek a betegdokumentáció részét képezik, az azokhoz kapcsolt személyes azonosító adatok alapján az érintettek azonosíthatóak.
  • A marketing céljából készített fényképfelvételek.

A Társaság a szükségesség és arányosság elvének tiszteletben tartása mellett ún. stock fényképeket (olyan illusztrációnak szánt fényképek, amelyeket előre elkészítenek, majd képügynökségek által tárolt adatbázisokból elérhetővé tesznek) használ a Társaság eredményes tevékenységének a Társaság honlapján és reklám anyagaiban való bemutatása érdekében. Amennyiben az az eredményesebb működés érdekében szükséges, úgy a Társaság az érintett betegekről, a betegek kezeléséről, a munkavállalókról és partnerek munkavállalóiról fénykép, videó felvételeket készíthet, az érintettel kötött, határozatlan  idejű felhasználási szerződés alapján. A szerződés alapján az érintettet a Társaság díjszabályzata szerinti díjazás illeti meg. A Társaság a felhasználás szükségességét évente felülvizsgálja, és amennyiben a szükségesség és arányosság elve már nem érvényesül, a szerződés megszüntetését kezdeményezi.  A szerződés minden külön jogcselekmény nélkül  hatályát veszti az annak alapján képző jogviszony  (foglalkoztatási, partneri, páciensi) megszűnését követő 60 nap múlva, kivéve, ha a felek azt külön írásos nyilatkozatukkal  fenntartják és a jogviszony megszűnését követő időszakra is meghosszabbítják.

  • [151]A Társaság a honlapja szolgáltatási színvonalának növelése, a webhely felhasználásának megkönnyítése, továbbá a biztonsági és adatvédelmi kockázatok kezelése érdekében a honlap böngészése során ún. „cookie”-kat „süti”-ket (a továbbiakban süti) és webjelölőket használ. A sütik és webjelölők alkalmazása során az adatkezelés jogalapja az Érintett hozzájárulása.
  • A süti – az interneten használt eszköz IP-címével együtt – személyes adatnak minősül.
  • A sütiket és webjelölőket a Társaság kizárólag adminisztratív célokra: a webhely látogatottságának mérésére, illetve a böngészés megkönnyítésére használja föl.
  • Aki nem kívánja elfogadni a sütik és webjelölők használatát, ennek megfelelően beállíthatja a webböngészőt, de ekkor a honlap bizonyos funkcióinak használata korlátozottá válik. A sütikre és webjelölőkre vonatkozó beállításokat a böngészőben lehet módosítani.
  • A honlapon a böngészés megkezdésekor egy felugró ablakban figyelmeztetés jelenik meg a sütik használatáról. Ha az érintett ezek után tovább böngészi a honlapot, hozzájárul a sütik elhelyezéséhez a böngészésre használt eszközén.
  • A csak a böngészési munkamenet idején érvényes sütik teszik lehetővé, hogy a honlap böngészése során a szerver felismerje az adott eszközt, megjegyezze a beállításokat, megkönnyítse a böngészést.
  • Az állandó sütik a böngészési folyamat lezárulta után meghatározott ideig maradnak az Érintett eszközén, hogy lehetővé tegyék a felhasználók preferenciáinak, műveleteinek a felidézését egy későbbi látogatás során. (Ez biztosítja például egy adott oldalon a felhasználónév és a jelszó tárolását).
  • A Társaság a honlapját saját maga tartja karban, Magyar Hosting Kft.szerverén üzemelteti.
  • Naplófájl: a Társaság a honlapjának üzemeltetése során keletkező naplófájl bejegyzéseiben tárolt adatok: az érintett eszközének IP-címe, a használt böngésző típusa, az internetszolgáltató, a böngészés ideje, a belépő és kilépő oldalak címe, a látogatás alatti kattintások száma. A szerver anonim módon tárolja a jelzett adatokat. Amennyiben az Érintett nem járul hozzá a naplózáshoz szükséges adatkezeléshez, nem tudja használni a honlapot.
  • A Társaság honlapja harmadik féltől származó sütiket is kezel, úgy mint a GoogleAnalytics©, amely az oldal monitorozásához, a statisztikák készítéséhez szükséges információkat gyűjti.
  • A GoogleAnalytics© által kezelt adatok: a honlaplátogatók száma, a megtekintett oldalak, a látogatók tartózkodási helye, a belépés előtti webhely (ahonnan a felhasználó "érkezik"), a használt böngésző és operációs rendszer, az internetszolgáltató, a használt kijelző felbontása, az oldal böngészésének ideje, a honlap elhagyásának időpontja.
  • A GoogleAnalytics© a fenti információkat anonim formában tárolja. Az anonim adatokhoz a szolgáltatás tulajdonosa és üzemeltetője, a Google Inc. (1600 AmphitheatreParkway, Mountain View, CA 94043, USA) is hozzáfér. Az anonim adatok és a böngészéshez használt eszköz IP címének összekötésével az Adatfeldolgozó a gyűjtött adatokat célzott reklámok eljuttatására használja, melynek célpontja az internethasználó eszköze.
  • [152]Az adatkezelés érintettje a honlaplátogató, vagy aki a regisztráció során, vagy a honlapon megadta a hozzájárulását ahhoz, hogy a Társaság az érintett által megadott e-mail címre eljuttassa a hírlevelet. Az adatkezelés jogalapja mindkét esetben az érintett hozzájárulása.
  • Az adatkezelés célja: a Társaság által készített hírlevelek küldése az érintett részére. A hírlevelek tárgya a Társaság szolgáltatásai, programjai, újdonságai, figyelemfelhívó ajánlatai.
  • [153]Az adatkezelés időtartama: a Társaság a hírlevél küldése kapcsán kezelt személyes adatokat az érintett erre vonatkozó hozzájárulásának visszavonásáig (leiratkozásig), illetve az adatoknak az érintett kérésére történő törléséig kezeli. A hozzájárulás visszavonása nem érinti az azt megelőző adatkezelés jogszerűségét.
  • [154]Az adatok tárolásának módja: a Társaság az informatikai rendszerében egy elkülönített adatkezelési listán kezeli az online felületen kapott adatokat. Az érintett által a hírlevél küldés céljából kezelt, papíron átadott adatokat biztonságos helyen őrzi. a Társaság garantálja, hogy sem az informatikai rendszerben, sem a papíron tárolt személyes adatokhoz illetéktelenek nem férhetnek hozzá.
  • .
  • A kamerás megfigyelés célja a Társaság által üzemeltetett ingatlan területén a vagyonbiztonság és a balesetvédelem követelményeinek érvényre juttatása.
  • A személyes adatkezelés jogi alapja a Társaságnak a vagyonbiztonság fenntartásához és a baleset megelőzéshez fűződő jogos érdeke.  A kamerarendszer által gyűjtött személyes adatok köre a megfigyelt területre belépők tekintetében arcképmásuk és a rögzítés idején folytatott tevékenységük.
  • A képfelvevő által megfigyelt területre belépő személyek tájékoztatását elősegítő módon figyelemfelhívó jelzést, ismertetést kell elhelyezni a képfelvevők elhelyezéséről, az adatkezelés tényéről.
  • A képfelvevő által a készített felvétel a rögzítés helyszínén
    • elkövetett bűncselekmény vagy szabálysértés miatt indult eljárásban,
    • elkövetett jogsértés miatt indított közigazgatási hatósági eljárásban,
    • a felvételen szereplő személy által, jogainak gyakorlása érdekében indított eljárásban

használható fel.

  • A kamera rendszer üzemeltetésének nem célja a munkavállalók munkájának az MT. 11.§ szerinti megfigyelése és erre a képfelvevő által a készített felvétel nem használható fel.
  • A kamerák számát, helyét, és a kamerák által megfigyelt területek meghatározását a szabályzat 1. számú melléklete tartalmazza. A kamerák által megfigyelt terület határoló pontjain a Társaság tájékoztató táblát helyez el, amely figyelmeztetés tartalmaz arra vonatkozóan, hogy a  területen a Társaság  kamerás megfigyelést alkalmaz. A tábla tartalmazza a kamerás megfigyelésről szóló adatkezelési tájékoztatónak a Társaság által üzemeltetett honlapon való elérésének url-jét is. 
    •  A felvételek tárolása, kiadása
  • A Társaság a közbiztonsági, illetve bűnmegelőzési, a baleset megelőzési célból rögzített felvételt a rögzítést követő 15 nap elteltével haladéktalanul törli.
  • A Társaság a 8.1.1. pont (6) bekezdése szerinti eljárást a felvétel rögzítésétől számított két munkanapon belül köteles megindítani, vagy kezdeményezni az eljárásra jogosult szervnél vagy hatóságnál a hatáskörébe tartozó eljárás megindítását.
  • Ha a Társaság kezdeményezésére az eljárásra jogosult szerv vagy hatóság az eljárását megindította, a rögzített felvételt a Társaság az eljárás befejezéséig tárolja.
  • A Társaság a felvételt az eljárásra jogosult szerv vagy hatóság részére történő továbbításáig kezelheti azzal, hogy az adatkezelés időtartama nem haladhatja meg a harminc napot. Amennyiben Társaság a felvételen szereplő személy jogainak érvényesítésére eljárást indított, részére az adatkezelési határidőn belül benyújtott kérelemre a felvételt továbbítani kell. 
  • Amennyiben a rögzített felvételt Társaság az eljárásra jogosult szerv, hatóság megkeresésére vagy a felvételen szereplő személy kérelmére továbbította, a felvételt a továbbítással egyidejűleg törölni kell. A Társaság a felvétel kezelése során köteles megtenni az ahhoz szükséges szervezési, technikai és egyéb adatbiztonsági intézkedéseket, hogy az érintett személy személyes adatait, így különösen magántitkait és magánéletének körülményeit illetéktelen személy tudomására jutásától megóvja. A Társaságnak biztosítani kell továbbá, hogy a felvételen szereplő személy - a felvétel törlésének időpontjáig - megtekinthesse a róla készült felvételt.
  • A rögzített felvételt a Társaság bizonyítási eszközként a büntető vagy szabálysértési eljárásra jogosult szerv megkeresésére továbbíthatja.  A megkeresésben meg kell jelölni az eljárás tárgyát, ügyszámát és a rögzített felvétellel bizonyítandó tényt.
  • Az adattovábbítást az adattovábbítási nyilvántartásban kell rögzíteni.
  • Közigazgatási hatósági eljárásban az eljáró hatóság megkeresésére - belföldi jogsegély keretében - a rögzített felvétel továbbítható, ha a megkereső hatóság a megkeresésben az eljárás tárgyát, ügyszámát és a rögzített felvétellel bizonyítandó tényt megjelöli.
  • A rögzített felvétel továbbítására irányuló megkeresést meg kell tagadni akkor is, ha a felvétel a megkeresésben meghatározott tény bizonyítására alkalmatlan.
  • Akinek jogát vagy jogos érdekét a felvétellel rögzített esemény, cselekmény vagy intézkedés érinti, kérheti, hogy a felvételt a Társaság annak továbbításáig, de legfeljebb a kérelem benyújtását követő harminc napig ne törölje.
  • A rögzített felvételen szereplő személy részére az adattovábbításról adott tájékoztatás költségmentes.
  • A Társaság eljárása során a diplomáciai és konzuli képviseletek, valamint azok személyzetének kiváltságait és mentességeit, továbbá más, törvényben megállapított mentességeket köteles tiszteletben tartani.
  • A kamerák által rögzített felvételeket 15 napig kell a szervergépen tárolni.
  • A rögzített kép-, hang, valamint kép- és hangfelvételt felhasználás hiányában legfeljebb a rögzítéstől számított harminc nap elteltével meg kell semmisíteni, illetve törölni kell.
  • Az, akinek jogát vagy jogos érdekét a kép-, hang-, vagy a kép- és hangfelvétel, illetve más személyes adatának rögzítése érinti, a kép-, hang-, valamint kép- és hangfelvétel, illetve más személyes adat rögzítésétől számított három munkanapon, belül jogának, vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje. Bíróság, ügyészség, nyomozó hatóság, előkészítő eljárást folytató szerv vagy más hatóság megkeresésére vagy adatkérésére a rögzített kép-, hang-, valamint kép- és hangfelvételt, valamint más személyes adatot a bíróságnak vagy a hatóságnak haladéktalanul meg kell küldeni.
  • Amennyiben hatóság megkeresésre vagy adatkérésre attól számított harminc napon belül, hogy a megsemmisítés mellőzését kérték, nem kerül sor, a rögzített kép-, hang-, valamint kép- és hangfelvételt, valamint más személyes adatot meg kell semmisíteni, illetve törölni kell,
  • A rögzített kép-, hang-, valamint kép- és hangfelvételt, valamint más személyes adatot csak a Társaság ügyvezetője illetve az általa megbízott személy jogosult megismerni, a személy nevét, az adatok megismerésének okát és idejét jegyzőkönyvben kell rögzíteni.
  • A zárolás iránti kérelem a kamerák által rögzített felvételekbe való betekintésre vagy a felvételen látható eseményre vonatkozó tájékoztatáskérésre irányulhat. A kérelem teljesíthetőségéről annak beérkezésétől számított 3 napon belül a Társaság ügyvezetője dönt, melyről az érintettet írásban értesíteni köteles. A kérés engedélyezése esetén a betekintést az érintettel előzetesen egyeztetett időpontban, de legfeljebb a kérelem beérkezésétől számított 15 napon belül biztosítani kell a Társaság ügyvezetője által megbízott személy jelenlétében. A felvételekbe való betekintés mértéke, terjedelme korlátozott, az érintett kizárólag azon időpontok közötti felvételeket tekintheti meg, amíg a kamerával megfigyelt területen tartózkodott, és kizárólag azoknak a kameráknak a felvételeit nézheti meg, amelyeken keresztül rögzítették képmását, cselekvését.
  • A felvételen szereplő más érintettek személyes adatai védelméhez fűződő jogának érvényesülése érdekében az érintett az Infotv. alapján a felvételről másolatot nem kérhet, illetve nem is kaphat. Az érintett kérelmezheti, hogy az Infotv. rendelkezései alapján a Társaság ügyvezetője írásban tájékoztassa arról, hogy vele összefüggésben mi látható a felvételen. A Társaság ügyvezetője közérthető formában, hétköznapi szavak használatával nyilatkozni köteles arról, hogy a kamerás megfigyelés során az érintettel összefüggésben pontosan mit rögzített (a képfelvétel készítésének időpontja, az érintett mettől-meddig látható a felvételen, az érintettnek a felvételen látható cselekvése, történik-e az érintettel összefüggésben, az érintettre vonatkozóan bármilyen esemény azt követően, hogy az érintett már nem látható a felvételen). A tájékoztatást írásban a kérelem benyújtásától számított 25 napon belül meg kell adni az érintett részére.
  • A határidő lejártát követően a felvételeket – amennyiben ez alapján eljárás nem indul – haladéktalanul törölni kell, melyet a rendszer automatikusan elvégez. Az adatok mentését és törlését a rendszer automatikusan naplózza. A rendszerből kimásolt adatok megsemmisítéséről, és a megsemmisítés tényének jegyzőkönyvben való rögzítéséről az adatkezelő köteles gondoskodni. A megsemmisítésről készült jegyzőkönyvet a 6. számú melléklet szerint kell felvenni.
  • A kamerák által rögzített felvételek figyeléseA kamerák csak felvételeket rögzítenek, folyamatos monitoros megfigyelés csak a röntgen szobában történik. A folyamatos megfigyelést a balesetmegelőzés érdekében a röntgent kezelő munkatárs végzi. A rögzített felvételeket megjelenítő monitort csak a Társaság ügyvezetője kezelheti. Betekintési és közvetlen hozzáférési jogosultsággal a Társaság ügyvezetőjén kívül csak az erre feljogosított alkalmazottak rendelkeznek.   A felvételek biztonsága
    • A megfigyelő központot zárt szekrényben a megfigyelés helyén lévő irodában úgy kell elhelyezni, hogy a helyiségbe az oda beosztottakon kívül illetéktelen személy ne juthasson be, és az adatvédelmi előírások betarthatók legyenek.
    • A zárt szekrényhez kulccsal csak az az erre feljogosított alkalmazottak és a Társaság ügyvezetője rendelkezik. A kamerák által rögzített képeket a Társaság folyamatosan rögzíti.
    • A kamera rendszer kezeléséről - nyilvántartást kell vezetni. A nyilvántartásban rögzíteni kell:
  • a kezelő nevét,
  • a kezelés idő kezdő és befejező időpontját,
  • a felhasznált adathordozók nyilvántartási számát, valamint
  • a bekövetkezett eseményekre tekintettel kezdeményezett intézkedést.
    • A karbantartást végző külső személy a Társaság ügyvezetője által feljogosított személy kíséretében végezheti tevékenységét.  A rendszeren végzett karbantartási munkálatokról jegyzőkönyvet kell vezetni, melyben rögzítésre kerül a karbantartó személy neve, az elvégzett karbantartási munka leírása, ideje, és a karbantartást felügyelő személy neve.  
    • A kamerák által közvetített képeket rögzítő adathordozókról nyilvántartást kell vezetni (adathordozók nyilvántartása). Az adathordozók nyilvántartásában az adathordozók forgalmára vonatkozóan az adathordozókat kezelő személyeknek a következő adatokat kell folyamatosan rögzíteni:
  • a felhasznált adathordozó alkalmazásának kezdő és befejező időpontját,
  • a felhasznált adathordozó tárolási helyét,
  • az adathordozó azonosító adatait (pl. merevlemez gyári száma, sorszám),
  • az adathordozó esetleges sokszorosítására vonatkozó adatokat,
  • a felvétel megsemmisítésére, törlésére vonatkozó adatokat,
  • az adathordozó megsemmisítésére, törlésére vonatkozó adatokat.
  • Jelen Szabályzat a Társaság ügyvezetője általi kiadmányozásával válik érvényessé, és a Társaság honlapján való közzététel napján lép hatályba. A közzétételtől számított 30 napon belül a Társaság valamennyi munkavállalójával és szerződéses partnerével a Társaság ügyvezetőjének ismertetnie kell.
    • Az adatvédelmi tisztviselőt kijelölni, vagy a feladatok ellátására vonatkozó szolgáltatási szerződést megkötni a Szabályzat hatályba lépését követő 30 napon belül kell.
    • A Társaságnak az adatvédelmi dokumentációk felülvizsgálatát a Szabályzat hatálybalépését követően kell megkezdeni és 2021. év június 30. napjáig kell végrehajtani. A hiányzó dokumentumokat a szabályzat hatálybalépését követő év december 31. napjáig kell pótolni.

Budapest, 2021.  január 26.

……………………………………………………………………...

dr. Bonczföldi-Pozsgay Sarolta ügyvezető

.

1. /a számú melléklet: Egészségügyi adatkezelés kontrollja

  folyamat lépései előkészítés lépései felelősségi szintek folyamat eredményeként keletkezett dokumentum
feladatgazda ellenőrző ellenőrzés módja jóváhagyó jóváhagyás módja
1. adatfelvétel érintett tájékoztatása felvevő, kezelést végző orvos  tájékoztató érintett általi aláírása ügyvezető aláírás egészségügyi dokumentáció, elektronikus adatkezelés
2. adat módosítás, kiegészítés, törlés érintett írásos kérelme alapján; tájékoztatás a törlés következményeiről adatkezelő érintett aláírás érintett aláírás egészségügyi dokumentáció, elektronikus adatkezelés mellett a kérelem és az aláírt törlésről való tájékoztatás
3. sérült adat pótlása rendelkezésre álló egyéb adatforrások felkutatása, károsodott adatok pótlása adatkezelő kezelést végző orvos  dokumentum-ellenőrzés, aláírás ügyvezető dokumen tum-ellenőrzés, aláírás visszaállított egészségügyi dokumentáció, elektronikus adat
4. egészségügyi dokumentáció tárolása, archiválása Iratkezelése Szabályzat alkalmazása felvevő, kezelést végző orvos kezelést végző orvos  dokumentum-ellenőrzés, aláírás ügyvezető dokumen tum-ellenőrzés, aláírás irattárazott egészségügyi dokumentáció
5. egészségügyi dokumentáció másolat kiadása kérelem pontos kitöltése felvevő, kezelést végző orvos kezelést végző orvos  dokumentum-ellenőrzés   ügyvezető aláírás átadott másolat az egészségügyi dokumentációról, iratkísérő lap
6. adattovábbítás nyilvántartása nyilvántartás kialakítása adatkezelő kezelést végző orvos  dokumentum-ellenőrzés ügyvezető aláírás adattovábbítási nyilvántartás


1. /b számú melléklet: Adatvédelmi feladatok kontrollja

  folyamat lépései előkészítés lépései felelősségi szintek folyamat eredményeként keletkezett dokumentum
feladatgazda ellenőrző ellenőrzés módja jóváhagyó jóváhagyás módja
1. adatkiadás kérelem teljesíthetőségének vizsgálata adatkezelést végző munkatárs ügyvezető kiadás ügyvezető aláírás válasz dokumentum
2. hatásvizsgálat elvégzése új adatkezelés szükségességének a vizsgálata  adatvédelmi tisztviselő ügyvezető adatkezelés bevezetése ügyvezető aláírás hatásvizsgálat ról készült dokumentum
3. központi panaszkezelés beadvány vizsgálata adatvédelmi tisztviselő ügyvezető panasz teljesítése ügyvezető aláírás válasz dokumentum
5. iránymutatások készítése javaslat az iránymutatás kiadásáról adatvédelmi tisztviselő ügyvezető iránymutatás jóváhagyása ügyvezető aláírás iránymutatás dokumentuma
6. kapcsolattartás a betegjogi képviselőkkel munkaterv szerinti és eseti találkozó adatvédelmi tisztviselő ügyvezető kiadmányozás ügyvezető aláírás emlékeztetők
7. nyilvántartások vezetése nyilvántartások kialakítása, folyamatos bevezetése adatvédelmi tisztviselő ügyvezető éves beszámoló ügyvezető aláírás nyilvántartás az ellenőrzés elvégzését igazoló aláírással
8   adatvédelmi tárgyú, illetve a személyes adatok kezelését érintő szerződések véleményezése szerződések vizsgálata adatvédelmi tisztviselő ügyvezető szerződés kötés ügyvezető aláírás adatvédelmi szempontból megfelelő szerződéstervezet
9.  adatvédelmi tevékenység megfelelőségének ellenőrzése szervezeti egység vezetők felkérése nyilatkozat tételre adatvédelmi tisztviselő ügyvezető éves beszámolóó ügyvezető beszámolás elfogadása beszámoló a megfelelőségvizsgálat eredményéről


1 /c számú melléklet: Adatvédelmi tisztviselő kontrollja

  folyamat lépései előkészítés lépései felelősségi szintek folyamat eredményeként keletkezett dokumentum
feladatgazda ellenőrző ellenőrzés módja jóváhagyó jóváhagyás módja
1. tájékoztatás és tanácsadás adott ügy megismerése, állásfoglalás kialakítása adatvédelmi tisztviselő ügyvezető éves beszámoló ügyvezető aláírás megkereső részére küldött válaszlevél
2. adatvédelemmel kapcsolatos jogi irányítási eszközök érvényesülésének ellenőrzése éves munkatervi feladatok megtervezése adatvédelmi tisztviselő ügyvezető éves beszámoló ügyvezető aláírás jelentés ügyvezetőnek
3. adatkezelési tevékenység ellenőrzése éves munkatervhez igazodó feladatok végzése adatvédelmi tisztviselő ügyvezető éves beszámoló ügyvezető aláírás ügyvezetőnek részére szóló beszámoló
4. adatvédelmi incidensek kezelése incidens észlelése, következmények értékelése adatvédelmi tisztviselő ügyvezető éves beszámoló ügyvezető aláírás incidens kezelésről készült bejelentés
5. felügyeleti hatósággal kapcsolattartás és együttműködés adott ügy releváns információinak az összegyűjtése, elemzése, bejelentési kötelezettség teljesítése adatvédelmi tisztviselő ügyvezető éves beszámoló ügyvezető aláírás jelentés


1.    számú függelék: Fogalmak

A jelen szabályzat alkalmazása során a fogalmakat a Preambulumban meghatározott jogszabályok által meghatározott tartalommal kell használni.

  1. adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
  2. adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisít;
  3. adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy tagállami jog is meghatározhatja;
  4. adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
  5. egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
  6. érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
  7. közeli hozzátartozó: az egészségügyről szóló 1997. évi CLIV. törvény 3. § r) és az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről szóló 1997. évi XLVII. törvény 3. § j) pontja alapján a házastárs, az egyeneságbeli rokon, az örökbe fogadott, a mostoha- és a nevelt gyermek, az örökbe fogadó, a mostoha- és a nevelőszülő, a testvér, valamint az élettárs;
  8. különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok;
  9. személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

2.    számú függelék : Alkalmazandó jogszabályok

A személyes adatok kezelésére és védelmére vonatkozó jogszabályok különösen:

  • az Alaptörvény,
  • az Európai Parlament és a Tanács (a továbbiakban: EU) 2016/679 Rendelete (a továbbiakban: GDPR) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet),
  • a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.),
  • az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.),
  • a Munka Törvénykönyvéről szóló 2012. I. törvény (a továbbiakban: Mt.),
  • az egészségügyről szóló 1997. CLIV. törvény (a továbbiakban: Eütv.),
  • az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (a továbbiakban: Eüak.),
  • az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésének egyes kérdéseiről szóló 62/1997. (XII. 21.) NM rendelet (a továbbiakban: Eünr.),

A jelen szabályzat egyes rendezéseihez kapcsolódó felhatalmazó, illetve kötelezettséget előíró jogszabályi hivatkozásokat lábjegyzetben kerülnek meghatározásra.


[1] GDPR 5. cikk (1) bek. a) pont

[2]GDPR 5. cikk (1) bek. b) pont

[3]GDPR 5. cikk (1) bek. c) pont

[4]GDPR 5. cikk (1) bek. d) pont

[5]GDPR 5. cikk (1) bek. e) pont

[6]GDPR 5. cikk (1) bek. f) pont

[7]GDPR 5. cikk (2) bek

[8]GDPR 6. cikk (1) bek. a) pont

[9] GDPR 6. cikk (1) bek. b) pont

[10]GDPR 6. cikk (1) bek. c) pont

[11]GDPR 6. cikk (1) bek. d) pont

[12]GDPR 6. cikk (1) bek. e) pont

[13]GDPR 6. cikk (1) bek. f) pont

[14]GDPR 9. cikk (2) bek. a) pont

[15]GDPR 9. cikk (2) bek. b) pont

[16]GDPR 9. cikk (2) bek. c) pont

[17]GDPR 9. cikk (2) bek. d) pont

[18]GDPR 9. cikk (2) bek. h) pont

[19]GDPR 9. cikk (2) bek. i) pont

[20]GDPR 9. cikk (2) bek. j) pont

[21]GDPR 12. cikk (1) bek

[22]GDPR 7. cikk

[23]2012. évi I. törvény 8. § (4) bekezdése, az egészségügyről szóló 1997. évi CLIV. törvény 25. §-a és a Büntető Törvénykönyvről szóló 2012. évi C. törvény 219. §

[24]GDPR 39. cikk (1) bek b) pont

[25]GDPR 25. cikk és 35. cikk

[26] GDPR 5. cikk ( 2) bek és 5 cikk (1) bek. és 6. cikke

[27]GDPR 5. cikk (1) bek. a) pont

[28]GDPR 5. cikk (1) bek. b) pont

[29]GDPR 5. cikk (1) bek. c ) pont

[30]GDPR 5. cikk (1) bek. d) pont

[31]GDPR 5. cikk (1) bek. e) pont

[32]GDPR 5. cikk (2) bek.

[33]GDPR 5 cikk (1) bek f) pont

[34]GDPR 5 cikk (1) bek f) pont

[35]GDPR 6 cikk (1) bek

[36]GDPR 5 cikk (1) bek f) pont

[37]GDPR 39 cikk (1) bek b) pont

[38]GDPR 32. cikk

[39]5 cikk (1) bek f) pont

[40]5 cikk (1) bek f) pont

[41]GDPR 32. cikk

[42]GDPR 32. cikk

[43]GDPR 6. cikk (1) bek.

[44]GDPR 7. cikk

[45]GDPR 5. cikk (1) bek. b) pont

[46]GDPR 5. cikk (1) bek. d) pont

[47]GDPR 5. cikk (1) bek. d) pont

[48]GDPR 5. cikk (1) bek. f) pont

[49]GDPR 6. cikk

[50]GDPR 30. cikk

[51] GDPR (5) cikk (2) bek.

[52] GDPR 13. és 14. cikk

[53] GDPR 5. cikk (2) bek.

[54]GDPR 5. cikk (1) bek. d) pont

[55] GDPR 5. cikk (2) bek.

[56] GDPR 5. cikk (2) bek.

[57] GDPR 26. cikk és 28. cikk, 5. cikk (2) bek.

[58] GDPR 33. cikk

[59] GDPR 5 cikk (2) bek.

[60] GDPR 33. cikk (1) bek.

[61] GDPR 33. cikk (3) bek. 39. cikk (19 bek. d) pont

[62] GDPR 33. cikk (1) bek.

[63] GDPR 34. cikk

[64] GDPR 15. cikk

[65] GDPR 16. cikk

[66] GDPR 17. cikk

[67] GDPR 18. cikk

[68] GDPR 20. cikk

[69]GDPR 21. cikk, 22, cikk

[70]GDPR 15. cikk

[71] GDPR 5. cikk (1) bek. a) pont, 6. cikk

[72]GDPR 6. cikk

[73] GDPR 6. cikk (1) bek. f) pont preambulum (69) bek.

[74] GDPR 7. cikk

[75] GDPR 9. cikk

[76] GDPR 32. cikk

[77] GDPR 37.cikk (5), (6) bek.

[78] Kjt. 20/A §

[79] GDPR 39. cikk

[80] GDPR 38. cikk (4) bek.., Infotv. 25/M §

[81] GDPR 38. cikk (3) bek.

[82] GDPR 38. cikk (6) bek.

[83] GDPR 38.cikk (5) bek

[84] GDPR 39. cikk, 5. cikk (2) bek.

[85] Mt. 10. § (1) bek., GDPR 5. cikk (1) bek. a) pont

[86]Mt. 10. § (3) bek.,GDPR 5. cikk (1) bek. a) pont,

[87]2017. évi LIII. törvény 7. § GDPR preambulum (43) bek.

[88]Mt. 10. § (2) bek.,GDPR 5. cikk (1) bek. a) pont, GDPR preambulum (42) és (43) bek.

[89] Mt. 10 § (4) bek.

[90] GDPR. 6. cikk (1) bek f) pont

[91] GDPR 6. cikk (1) bek.c) pont

[92]Mt. 11/A. § (1) bek.,GDPR 5. cikk (1) bek. a) pont

[93] GDPR 6. cikk (1) bek. f) pont GDPR preambulum ( 47) bek.

[94] GDPR 5 cikk (1) bek. e) pont

[95] GDPR preambulum (50) bek.

[96] Mt. 10 § (4) bek,

[97] GDPR 5. cikk (1) bek. f) pont

[98] Mt. 11/A §.

[99]GDPR 5. cikk (1) bek. f) pont

[100] GDPR 12. cikk

[101] Eüak. 9. § (1) bek.

[102] Eüak. 12. § (1)-(2) bek.

[103] Eüak. 12. § (3) bek.

[104] Eüak. 13. §

[105] Eüak. 8. §

[106] Eütv. 138. § (2) bek., Eüak. 7. § (2) bek. a) pont

[107] Eütv. 25. § (4) bek.

[108] Eüak. 17. § (1)-(2) bek.

[109] GDPR. 16-17. cikk

[110] Eüak. 31. § (1) bek.

[111] Eüak. 4. § (1)-(2) bek.

[112] Eüak. 4. § (4) bek., GDPR 5. cikk c) pont

[113] Eüak. 6. §

[114] Eüak. 28. § (1) bek.

[115] GDPR 5. cikk f) pont

[116] Eüak. 5. §

[117] Eütv. 136. § (1) bek.

[118] Eüak. 30. § (1) bek.

[119] Eütv. 24. § (1) bek.

[120] Eütv. 24. § (3) bek., 137. §

[121] Eütv. 24. § (5) bek.

[122] Eütv. 24. § (7)-(8) bek.

[123] Eütv. 24. § (11) bek., Eüak. 7. § (7) bek.

[124] Eüak. 7. § (5) bek., Eütv. 24. § (9) bek.

[125] Eüak. 7. § (6) bek.Eütv. 24. § (10) bek

[126] Eütv. 16. § (1)-(2) bek.

[127] Eütv. 24. § (6) bek.

[128] Eütv. 16. § (1) bek. b) pont,Eütv. 16. § (6) bek.

[129] Eüak. 23. § (1) bek.

[130] Eüak. 4. § (4) bek.

[131] Eüak. 23. § (2) bek., Infotv. 4. §

[132] Eüak. 23. § (3) bek.

[133] Eüak. 23. § (4) bek.

[134] GDPR 12. cikk (3) bek.

[135]A polgári perrendtartásról szóló 2016. évi CXXX. törvény (Pp.) 325. § (1) bek.

[136] GDPR 12. cikk (5) bek.

[137] Eüak. 24. § (1) bek., GDPR. 6. cikk (1) bek. c) pont, GDPR 9. cikk (1) bek. g) pont

[138] Eüak. 24. § (3) bek.

[139] Eüak. 24. § (4) bek.

[140] 62/1997. (XII. 21.) NM rendelet 4. § (1) bek.

[141] 62/1997. (XII. 21.) NM rendelet 4. § (3) bek.

[142] 62/1997. (XII. 21.) NM rendelet 4. § (2) bek.

[143] 62/1997. (XII. 21.) NM rendelet 4. § (2) bek.

[144] Eüak. 35/B. § (1) bek. a) pont

[145] Eüak. 16. § (7) bek.

[146] Eüak. 16. § (9) bek.

[147] Eütv. 101/C. § (1) bek.

[148] Eütv. 101/C. § (2) bek.

[149] Eütv. 101/C. § (3) bek.

[150]GDPR preambulum (51) bek.

[151]2003. évi C. törvény 155. § (4) bek.

[152] GDPR 7. cikk, 2008. évi XLVIII. törvény 6. § (1) – (2) bek,

[153]2008. évi XLVIII. törvény 6. § (3) és (6) bek,

[154]2008. évi XLVIII. törvény 6. § (5) bek,