Adatvédelmi Szabályzat
1 CÉL:
Jelen Szabályzat célja, hogy a Duna Medical Center Kft a természetes személyek személyes adatai kezelésének és védelmének alapvető szabályait, valamint a személyes adatok szabad áramlásának szabályait – a tevékenysége során előforduló esetekre tekintettel – rögzítse, valamint a Duna Medical Center Kft belső adatvédelmi eljárásait összefoglalja. Az egészségügyi adatok kezelésére külön szabályzat vonatkozik.
A Duna Medical Center Kft vállalja, hogy az Adatkezelés módjának meghatározásakor, illetve az Adatkezelés során olyan technikai és szervezési intézkedéseket tesz, amelyek célja az adatvédelmi alapelvek betartása és az Érintettek jogainak védelme. Továbbá a Duna Medical Center Kft kötelezettséget vállal arra, hogy csak olyan személyes Adatot kezel, amely a konkrét adatkezelési cél elérése szempontjából elengedhetetlen.
A Duna Medical Center Kft vállalja, hogy gondoskodik arról, hogy a képviselői, munkavállalói, illetve bármely olyan személy, aki a Duna Medical Center Kft helyett és/vagy nevében eljár, a jelen Szabályzatban foglaltakat megismerjék és a jelen Szabályzat re ndelkezései szerint járnak el.
A Duna Medical Center Kft vállalja, hogy – amennyiben szükséges – a jelen Szabályzat tartalmát megismerteti az szervezeti egységeivel, partnereivel, illetőleg bármely személyes adat átadását megelőzően ellenőrzi, hogy az adott szervezeti egysége, partnere a jelen Szabál yzattal azonos szintű, adatkezelési tevékenységekkel kapcsolatos és adatfeldolgozási tevékenységekkel kapcsolatos minimum standardokkal rendelkeznek -e, illetve, hogy az adatbiztonságot a Duna Medical Center Kft -val azonos színvonalon
biztosítják -e.
A Duna Medical Center Kft vállalja, hogy a személyes adatok kezelésével kapcsolatos kötelezettségeit a mindenkor hatályos jogszabályok, és belső szabályzatok (ezen szabályzatban foglaltakon túl különös tekintettel informatikai biztonsági, és az iratkezelés i tárgyú szabályzatokra) alapján teljesíti.
2. HATÓKÖR :
Időbeli hatály: a szabályzat a kiadás napjától visszavonásig van hatályban.
Tárgyi hatály
A szabályzat hatálya alá tartoznak mindazon adatok, melyeket a kórház a működéséből adódóan kezel, feladatellátásából adódóan feldolgoz, továbbít vagy nyilvánosságra hoz.
A szabályzat kiterjed a kórház által gyűjtött adatokra, illetve a kórháznál keletkezett adatokra. A papír alapú adatkezelést és az elektronikus formában történő adatkezelést is szabályozza.
A szabályzat hatálya kiterjed a kórház minden szervezeti egységénél folytatott adatkezelésre, illetve adatfeldolgozásra.
Személyi hatály
A szabályzat kiterjed:a kórház valamennyi munkavállalójára, valamint az alkalmi munkavállalókra és diákmunkás személyekre, az adatfeldolgozóra, a címzettekre, valamint mindazon személyre, aki a kórházzal bármilyen szerződéses jogviszonyban áll.
3. RÖVIDÍTÉSEK: -
4. MEGHATÁROZÁSOK:
Adatfeldolgozó : az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az Adatkezelő nevében személyes adatokat kezel.
Adatkezelés : a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhas ználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
Adatkezelés korlátozása : a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
Adatkezelő : az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.; ha az Adatkezelés céljait és eszközeit az uniós vagy a tagáll ami jog határozza meg, az Adatkezelőt vagy az Adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.
Adatvédelmi Incidens : a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Álnevesítés : személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes Adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes Adatot nem lehet kapcsolni.
érintett Hozzájárulása : az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő szemé lyes adatok kezeléséhez;
Azonosítható természetes személy : az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális va gy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
Címzett : az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes Adatot közlik, függetlenül attól, hogy harmadik fél -e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vag y a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek.; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az Adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabál yoknak.
Érintett : bármely információ alapján azonosított vagy azonosítható természetes személy.
Harmadik fél : az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az Érintettel, az Adatkezelővel, az Adatfeldolgozóval vagy azokkal a személyekkel, akik az Adatkezelő vagy Adatfeldolgozó közvetlen irányítása alat t a személyes adatok kezelésére felhatalmazást kaptak;
Info tv.: az információs önrendelkezési jogról és információ szabadságról szóló 2011. évi CXII. törvény;
Különleges Adat : a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes Adat, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adat, az egészségügyi ada t és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok:
(a) genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes Adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az adott ter mészetes személyből vett biológiai minta elemzéséből ered;
(b) biometrikus adat: egy természetes személy fizikai, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan, sajátos technikai eljárásokkal nyert személyes Adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen p éldául az arckép vagy a daktiloszkópiai adat;
(c) egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes Adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról.
Profilalkotás : személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi á llapothoz, személyes preferenciákhoz érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
Rendelet : az Európai Parlament és a Tanács (EU) 2016/679. rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről;
Személyes Adat : azonosított vagy azonosítható természetes személyre vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a te rmészetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
5. FELELŐSSÉG :
A jelen szabályzat végrehajtásával kapcsolatos feladatok koordinációját a belső adatvédelmi felelős és/vagy az érintett szakterületei vezetői/ügyvezető látja el az adatvédelmi tisztviselő támogatása mellett.
Az Ügyvezető felelőssége
A Duna Medical Center Kft. által kezelt személyes adatok védelméért elsősorban az ügyvezető felelős:
• gondoskodik az adatvédelmi szabályok betartásáról,
• ellenőrzi az adatkezelők és adatfeldolgozók adatkezeléssel, illetve adatfeldolgozással összefüggő tevékenységét,
• kezdeményezi az adatvédelem, illetve az adatbiztonság területén kifejlesztett új technológiák és eszközök alkalmazását,
• biztosítja az adatkezeléssel és adatfeldolgozással foglalkozó személyek adatkezelési oktatását,
• kijelöli az adatvédelmi felelőst (felelősöket),
• ellenőrzi az adatvédelmi felelős (felelősök) tevékenységét,
• gondoskodik az intézmény adatvédelmi szabályzatának elkészítéséről,
• dönt a kötelező nyilvántartási időt követően a nyilvántartott adatok további tárolásáról vagy megsemmisítéséről.
A Munkatársak felelőssége
A munkaszerződésben foglaltak alapján a Duna Medical Center Kft. munkavállalói teljes felelősséggel tartoznak a munkaköri feladatok ellátása miatt kezelt személyes adatok biztonságáért.
Az adatkezeléssel kapcsolatos utasítások be nem tartásához, adatvédelmi mulasztásokhoz kapcsolódó szankciókat a fegyelmi szabályzata tartalmazza
A munkatársak felelősek továbbá a saját személyes adatik megfelelő, gondos kezeléséért is. A munkáltató elvárja, hogy a munkatársak az „IT Szabályzat az Informatikai eszközök használatáról” című dokumentumban foglaltakat maradéktalanul betartsák. Indokolat lan – a munkavégzéshez nem szükséges
- személyes adatok, munkahelyi eszközökön való tárolásával kapcsolatban a munkáltató nem vállal felelősséget .
Ellenőrzés
Az adatvédelemmel kapcsolatos előírások, így különösen jelen szabályzat rendelkezéseinek betartását a Duna Medical Center Kft. ügyvezetése által erre kijelölt személy folyamatosan, megfelelő rendszerességgel ellenőrzi.
Az ellenőrzéssel megbízott személy a kapcsolódó szabályzatok, szabályok, jegyzőkönyvek és a nyilvántartás áttekintésével gondoskodik az adatkezelés törvényes rendjének megtartásáról.
Az egyes adatkezelések ellenőrzését az ellenőrzéssel megbízott személy szükség szerint köteles elvégezni.
Az ellenőrzés tapasztalatairól fél évente köteles az ügyvezetőt írásban tájékoztatni.
Az ügyvezető bármikor jogosult saját maga is ellenőrzést folytatni.
A jelen szabályzatban rögzített előírások maradéktalan be nem tartása a szabályzat személyi hatálya alá tartozó személyek részéről súlyos és vétkes kötelezettségszegésnek minősül, amelynek alapján a Duna Medical Center Kft. jogosult a mulasztó személlyel s zemben jogkövetkezményeket alkalmazni.
Az adatkezelési szabályok megsértésének jogkövetkezményei
Adatkezelő tájékoztatja a jelen szabályzat személyi hatálya alá tartozó személyeket, hogy az adatkezeléssel érintett adatokkal összefüggésben végzett bármely olyan művelet, amely a jelen szabályzatban rögzített céloknak és előírásoknak nem felel meg (így k ülönösen, de nem kizárólagosan az adatok jogellenes másolása, terjesztése, illetéktelen személyek részére történő átadása vagy az azokról történő jogosulatlan információszolgáltatás stb.), súlyosan jogsértő és visszaélésszerű magatartásnak minősül.
A fenti adatokkal összefüggő feladatok nem megfelelő körültekintéssel történő ellátása (pl.: az adatok illetéktelen személyek részére történő gondatlan továbbítása) ugyancsak súlyosan jogsértő és felróható magatartásnak minősül.
Az adatok megőrzése és jogszabályszerű kezelésének/feldolgozásának maradéktalan betartása és betartatása, továbbá a titoktartási kötelezettség betartása/betartatása az adatkezelő kiemelt érdeke és felelőssége. Adatkezelő ennek érdekében – a jelen szabályza tban részletezettek szerint – megtesz minden olyan biztonsági és egyéb intézkedést, amelyek révén az adatkezelés/adatfeldolgozás szabályszerűsége teljeskörűen biztosítható.
A jelen szabályzat személyi hatálya alá tartozó személyek az Adatkezelővel fennálló/fennállt jogviszonyuk keretében tudomásukra jutott adatokkal összefüggésben kizárólag a jogviszonyt létrehozó szerződésben rögzített célok érdekében és kizárólag ezen célok nak megfelelő módon és mértékben, a Duna Medical Center Kft. ügyvezetésének utasításainak megfelelően végezhetnek bármilyen műveletet. Az ezen adatokkal összefüggő feladataik ellátása (pl.: az adatok nyilvántartása, valamint a jogosultak felé történő továb bítása) során kötelesek továbbá kiemelt gondossággal és körültekintéssel eljárni.
A jelen szabályzatban rögzített adatkezelési szabályok és titoktartási kötelezettség bármely formában történő megszegése – a jogsértés jellegétől és súlyától függetlenül – a jelen szabályzat személyi hatálya alá tartozó fél részéről súlyos szerződésszegésn ek és jogszabálysértésnek minősül, amely alapot ad a Duna Medical Center Kft. oldalán a jogviszony (munkaviszony, munkavégzésre irányuló egyéb jogviszony, egyéb szerződés stb.) azonnali hatállyal történő (egyoldalú) megszüntetésére, valamint az ezzel kapcs olatos jogkövetkezmények alkalmazására.
Amennyiben az adott jogsértés/szerződésszegés kapcsán fennáll a bűncselekmény elkövetésénekmegalapozott gyanúja, az adatkezelő fenntartja a jogát arra nézve is, hogy megindítsa az illetékes hatóságok előtt az érintett személy büntetőjogi felelősségre vonás ára irányuló eljárást is.
6. TEVÉKENYSÉG FOLYAMATA:
6.1. Személyes Adatok kezelése
6.1.1 Személyes adatok
Személyes Adatnak minősül azonosított vagy azonosítható természetes személyre vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára von atkozó egy vagy több tényező alapján azonosítható.
Személyes Adatnak minősül – többek között – a természetes személy neve, lakcíme, születési helye és ideje, továbbá a képmása vagy a természetes személy beszédéről készült hangfelvétel is.
6.1.2. Adatkezelés
Adatkezelésnek minősül a személyes adatokon végzett bármely művelet vagy műveletek összessége.
Adatkezelés így a személyes adatok gyűjtése, rögzítése, rendszerezése, tagolása, tárolása, átalakítása vagy megváltoztatása, lekérdezése, a személyes adatokba tö rténő betekintés, a személyes adatok felhasználása, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolása vagy összekapcsolása, korlátozása, törlése, illetve megsemmisítése.
Adatkezelésnek minősül – többek között – a munkavállalói adatok felvétele és tárolása, a szerződéses partnerek kapcsolattartói elérhetőségének felvétele egy adatbázisba, továbbá a hírlevél küldése céljából felépített adatbázisban tárolt nevek és e -mail cím ek.
A személyes adatok kezelésére vonatkozó részletes nyilvántartásokat jelen Szabályzat 2. sz. Melléklete tartalmazza. (új adatkezelési nyilvántartást itt hivatkozzuk meg)
6.1.3 Különleges Adatok kezelése
6.1.3.1. Különleges Adatok
Különleges Adatok a személyes adatok speciális kategóriáját képezik. Különleges Adatnak minősülnek az alábbi személyes adatok:
• a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes Adat,
• a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adat,
• az egészségügyi adat, és
• a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes Adat.
Különleges Adatnak minősül – többek között – a munkavállaló várandósságára vonatkozó információ, az orvosi igazolás a keresőképtelen állományba vételéről (ún. táppénzes papír), továbbá a beléptetőrendszerben tárolt ujjlenyomat.
A Különleges Adatok kezelésére vonatkozó információkat jelen Szabályzat 2. sz. Melléklete tartalmazza. A Különleges Adatok kezelése a Rendelet alapján főszabály szerint tilos
6.1.3.2. A Különleges Adatok kezelésére vonatkozó tilalom azonban nem alkalmazandó az alábbi esetekben:
1) ha az érintett kifejezett hozzájárulását adta az adott Különleges Adat kezeléséhez (kifejezett hozzájárulás esetén sem kezelhető Különleges Adat, ha az uniós vagy tagállami jog ezt nem teszi lehetővé);
2) ha az Adatkezelés az Adatkezelőnek vagy az Érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges;
3) ha az Adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, és az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
4) ha az Adatkezelés valamely vallási célú alapítvány, egyesület vagy bármely más nonprofit szervezet, egyházi jogi személy megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy
a. az Adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és
b. a személyes adatokat az Érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára; c. ha az Adatkezelés olyan Különleges Adatra vonatkozik, amelyet az érintett kifejezetten nyilvánosságra hozott;
d. ha az Adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;
e. ha az Adatkezelés jelentős közérdek miatt szükséges, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét int ézkedéseket ír elő;
f. ha az Adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges (feltéve, hogy ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki szakmai vagy egyéb uniós
jogban megállapított titoktartási kötelezettség hatálya al att áll);
g. ha az Adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra és különösen a
szakmai titoktartásra vonatkozóan;
h. ha az Adatkezelés közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érinte tt alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.
A Duna Medical Center Kft a következő, Különleges Adatok kezelésére vonatkozó tevékenységeket folytatja:
A Duna Medical Center Kft munkavállalóinak a foglalkoztatásukkal kapcsolatos különleges adatait, valamint az egészségügyi szolgáltatást igénybe vevők egészségi állapotára vonatkozó különleges adatokat kezeli.
6.1.4. Adatfeldolgozói tevékenység
6.1.4.1 Adatfeldolgozónak minősül a Duna Medical Center Kft mint jogi személy, ha valamely rajta kívül álló Adatkezelő nevében személyes adatokat kezel. Jelenleg a Duna Medical Center Kft. -nek nincs adatfeldolgozói szerepköre.
6.1.4.2 Adatfeldolgozónak minősül – többek között – a honlap tárhely szolgáltatója, továbbá a hírlevelet küldő harmadik személy , a külsős könyvelő - és bérszámfejtő , a medikai szoftver üzemeltetője, számlázóprogram üzemeltetője stb.
6.1.4.3. Az Adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. Az Adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.
Az adatfeldolgozási szerződés legalább az alábbi rendelkezéseket tartalmazza:
(a) a személyes adatokat kizárólag az Adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az Adatkezelést az Adatfeldolgozóra alkalm azandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az Adatfeldolgozó az Adatkezelőt az Adatkezelést megelőzően értesíti, kivéve, ha az Adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;
(b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási
kötelezettség alatt állnak; (c) meghozza az Adatkezelés biztonsága tekintetében előírt intézkedéseket;
(d) tiszteletben tartja a további Adatfeldolgozó igénybevételére vonatkozó rendelkezésekben említett feltételeket;
(e) az Adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az Adatkezelőt abban, hogy teljesíteni
tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
(f) segíti az Adatkezelőt az Adatkezelés biztonságára, Adatvédelmi Incidens bejelentésére, az adatvédelmi hatásvizsgálat és előzetes konzultáció lefolytatására
vonatkozó kötelezettségek teljesítésében, figyelembe véve az Adatkezelés jellegét és az Adatfeldolgo zó rendelkezésére álló információkat;
(g) az adatkezelési szolgáltatás nyújtásának befejezését követően az Adatkezelő döntése alapján minden személyes Adatot töröl vagy visszajuttat az Adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárol ását írja elő;
(h) az Adatkezelő rendelkezésére bocsát minden olyan információt, amely az Adatfeldolgozás tekintetében meghatározott kötelezettségek teljesítésének
igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az Adatkezelő által vagy az általa meg bízott más ellenőr által végzett auditokat, beleértve a helyszíni
vizsgálatokat is.
A Duna Medical Center Kft a tevékenysége során az alábbi tevékenységek folytatása során jár el Adatfeldolgozóként : BM.AD .01.00 Adatkezelési nyilvántartás
Adatfeldolgozói tevékenységére vonatkozó részletes nyilvántartásokat BM.AD.0 2.00 Adatfeldolgozók nyilvántartása dokumentum tartalmazza.
6.1.5. Személyes adatok kezelésének alapelvei
6.1.5.1. A személyes adatokat jogszerűen és tisztességesen, valamint az érintett számára átlátható módon
kell kezelni.
6.1.5.2. A személyes adatokat a Duna Medical Center Kft akkor kezeli jogszerűen, ha az Adatkezelést megfelelő jogalap alapján végzi. Ha a Duna Medical Center Kft a szerződés teljesítéséhez szükséges személyes adatokat kezel, úgy az Adatkezelés akkor jogszerű, ha a jogalap a szerződés teljesítése, vagy jogszabály illetve hozzájárulás alapján történik. Nem jogszerű az Adatkezelés azonban ebben az esetben, ha a Duna Medical Center Kft a személyes adatokat hozzájárulás alapján kezeli.
6.1.5.3. A személyes adatokat a Duna Medical Center Kft akkor kezeli tisztességesen, ha az Adatkezelés során az erkölcsi értelemben vett tisztességességi szabályokat betartja, valamint az emberi méltóságot tiszteletben tartja. A tisztességesség elve korlátot szab a z adatkezelési tevékenységek folytatásának annak figyelembevételével, hogy az érintett „nem pusztán tárgya, hanem alanya az Adatkezelésnek”. Így a Duna Medical Center Kft nem tévesztheti meg az Érintettet az Adatkezelés során, nem bocsáthat ki meg tévesztő tartalmú tájékoztató anyagot.
6.1.5.4. A személyes adatokat a Duna Medical Center Kft akkor kezeli átláthatóan, ha az Adatkezelés megkezdését megelőzően, valamint az Adatkezelés során meghatározott időközönként teljes körűen tájékoztatja az Érintettet az Adatkezelésről, az érintett jogairól, va lamint az Adatkezeléssel kapcsolatos kockázatokról, szabályokról, garanciákról, továbbá biztosítja, hogy az érintett a Duna Medical Center Kft által kezelt személyes Adataival a jogszabályi kereteken belül rendelkezhessen. Az Adatkezelés átlátható sága akkor áll fenn, ha az Adatkezeléssel kapcsolatos bármely változásról – a változást az adott változás Érintettekre való hatása figyelembevételével meghatározott idővel megelőzően – a fentiekben foglaltak szerint tájékoztatja a Duna Medical Center Kft a z Érintettet.
6.1.5.5. Az átláthatóság elve továbbá megköveteli, hogy a Duna Medical Center Kft valamennyi, Adatkezeléssel kapcsolatos intézkedését megfelelően dokumentálja. A Duna Medical Center Kft az Érintettek részére a Duna Medical Center Kft által a konkrét Adatkezelés fén yében meghatározott időközönként ismételt tájékoztatást ad annak érdekében, hogy biztosítsa, hogy az érintett a személyes Adatai kezelésével kapcsolatos információkkal rendelkezik.
6.1.5.6. Az átláthatóság elvének a Duna Medical Center Kft akkor felel meg, ha az Érintettek részére nyújtandó tájékoztatás, valamint az Érintettekkel folytatandó kommunikáció (ideértve a jogok érvényesítésével, valamint az Adatvédelmi Incidenssel kapcsolatos kommu nikációt) során az alábbi szempontokat figyelembe veszi:
• tömörség, átláthatóság, érthetőség és könnyen hozzáférhetőség;
• világos és közérthető nyelvezet;
• írásbeliség vagy más – a konkrét Adatkezelés tekintetében – megfelelő mód, valamint az érintett kérésére szóbeli tájékoztatás.
6.1.5.7. A tájékoztatás formáját a Rendelet nem határozza meg, az átláthatóság elvének való megfelelés érdekében a tájékoztatás a konkrét Adatkezelés körülményeinek figyelembevételével – többek között – az alábbi módokon valósulhat meg:
• többszintű elektronikus tájékoztatás (azaz az egyes személyes adatok bekérése esetén információként felugró ablakban rövid tájékoztatást nyújt a Duna Medical Center Kft a személyes Adat kezelése tekintetében, valamint adatkezelési tájékoztatóban részletes tájékoztatást nyújt);
• elektronikus úton, felugró ablakban történő tájékoztatás (azaz a személyes adatok kezelésére vonatkozó információ felugró ablakban jelenik meg a honlap látogatója
részére a figyelemfelhívás érdekében);
• elektronikus úton, személyes adatok kezelését lehetővé tevő felület biztosítása (azaz valamennyi, az adott honlapon keresztül történő vagy az adott Adatkezelő által
folytatott adatkezelési tevékenység kezelését egy felületen keresztül engedélyezi a felhasz náló részére a Duna Medical Center Kft);
• papír alapú tájékoztatás;
• telefonon, előre rögzített hangfelvételen keresztül történő tájékoztatás;
• személyesen történő tájékoztatás;
• szabványosított ikonokon keresztül történő tájékoztatás.
6.1.6. Célhoz kötöttség
6.1.6.1. A Duna Medical Center Kft a személyes adatokat meghatározott, egyértelmű és jogszerű célból kezelheti. Ezzel a céllal össze nem egyeztethető módon nem kezelheti a Duna Medical Center Kft a személyes adatokat. A Duna Medical Center Kft nem kezelhet továbbá személyes adat okat meghatározott cél nélkül vagy jövőbeli felhasználás érdekében.
6.1.6.2. A Duna Medical Center Kft az Adatkezelés célját az Adatkezelés megkezdése előtt esetről esetre világosan, a törvényekkel összhangban meghatározza, oly módon, hogy a célt nem szűken vagy túl tágan fogalmazza meg. A Duna Medical Center Kft az Adatkezelés cél járól tájékoztatja az Érintetteket annak érdekében, hogy az Érintettek megalapozott döntést tudjanak hozni az Adatkezelésről.
6.1.6.3. A Duna Medical Center Kft a célhoz kötöttségnek történő megfelelés érdekében szükséges lépéseket átgondolja, dokumentálja és megteszi. Ha a Duna Medical Center Kft ugyanazon személyes adatokat több, egymáshoz nem kapcsolódó adatkezelési célból kezeli, akkor valamennyi adatkezelési cél tekintetében a fentiek szerint jár el. Egymáshoz nem kapcsolódó adatkezelési célok – többek között – egy nyereményjátékra való regisztráció és azt követően hírlevél küldése az érintett részére.
6.1.7.Adattakarékosság
6.1.7.1. A Duna Medical Center Kft a konkrét adatkezelési cél szempontjából megfelelő, releváns és szükséges személyes adatokat kezeli. A Duna Medical Center Kft valamennyi Adatkezelés esetén megvizsgálja, hogy az adatkezelési cél megvalósítható lenne -e egyéb módon, ami a magánszférát kevésbé sérti. A Duna Medical Center Kft már az Adatkezelés megtervezésénél figyelembe veszi, hogy a szemé lyes adatok kezelése a konkrét adatkezelési cél megvalósításához szükséges -e, azzal arányos -e, van -e bármilyen egyéb mód arra, hogy a Duna Medical Center Kft az adatkezelési célt elérje.
6.1.8. Pontosság
6.1.8.1. Az Adatkezelés során biztosítani kell az adatok pontosságát, teljességét és – ha az Adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az Érintettet csak az Adatkezelés céljához szükséges ideig lehessen azonosítani
6.1.8.2. Ha a Duna Medical Center Kft arról szerez tudomást, hogy az általa kezelt személyes Adat az Adatkezelés célja szempontjából pontatlan, hibás, hiányos vagy időszerűtlen, minden észszerű intézkedést köteles megtenni annak érdekében, hogy a személyes adatokat haladéktalanul töröljék vagy helyesbítsék.
6.1.8.3. A Duna Medical Center Kft mindent megtesz annak érdekében, hogy azon adatbázisok, amelyek személyazonosító, illetve kapcsolattartási adatokat tartalmaznak, pontos információkat tartalmazzanak, így az adatbázisokat rendszeres időközönként átvizsgálja és az adatokat szükség esetén frissíti.
6.1.9. Korlátozott tárolhatóság
6.1.9.1. Személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. A személyes Adat tárolásának olyan formában kell történnie, amely az Érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.
6.1.9.2. A Duna Medical Center Kft a személyes adatok tárolási idejére vonatkozó listát készít, amely alapján az egyes személyes adatok törlésének idejét nyomon követi. A Duna Medical Center Kft a listát rendszeres időközönként felülvizsgálja. A lista jelen Szabály zat 8. sz. mellékletét képezi.
6.1.9.3. Amikor a személyes adatok kezelésének célja megvalósul, vagy a Duna Medical Center Kft által rögzített tárolási idő lejárt, akkor a Duna Medical Center Kft a személyes adatokat törli, a személyes adatok törlését pedig írásban rögzíti.
6.1.10. Integritás és bizalmas jelleg
6.1.10.1. A Duna Medical Center Kft olyan technikai és szervezési intézkedéseket alkalmaz, amelyek biztosítják a személyes adatok biztonságát, illetve védelmet biztosítanak az ellen, hogy a személyes adatokat jogosulatlanul vagy jogellenesen kezeljék, azok véletlenül elvesszenek, megsemmisüljenek vagy károsodjanak.
6.1.10.2. A Duna Medical Center Kft biztosítja, hogy a papír alapon vagy elektronikusan kezelt személyes adatokhoz a Duna Medical Center Kft szervezetén belül csak az arra jogosult személy férjen hozzá, illetve harmadik személy e személyes adatokhoz jogosulatlanul n e férjen hozzá.
6.1.10.3. A személyes adatok bizalmasságának biztosítása érdekében a Duna Medical Center Kft értékeli az adott Adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket alkalmaz.
6.1.10.4. A Duna Medical Center Kft az adatvédelmi garanciákat az adatkezelési rendszerekbe a fejlesztés legkorábbi szakaszától kezdve beépíti, figyelembe veszi a tudomány és technológia állását, valamint a végrehajtás kockázatokkal és a védelmet igénylő személyes a datok jellegével összefüggő költségeit. A Duna Medical Center Kft biztosítja, hogy egy esetleges adatvédelmi incidens esetén a személyes adatok kellő időben visszaállíthatók legyenek.
6.2. Személyes adatok kezelésének jogszerűsége
A személyes adatok kezelése akkor és olyan mértékben jogszerű, amikor és amennyiben legalább alábbi pontban foglaltak egyike teljesül:
(i) az érintett hozzájárulását adta személyes Adatainak konkrét célból történő kezeléséhez;
(ii) az Adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
(iii) az Adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
(iv) az Adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
(v) az Adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
(vi) az Adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé (különösen, ha az érintett gyermek).
A Duna Medical Center Kft az Adatkezelés célját a fenti pontok (jogalapok) egyikére való hivatkozással határozza meg. A Duna Medical Center Kft az egyes adatkezelési tevékenységek BM.AD.0 1.00 Adatkezelési nyilvántartás nyilv ántartási lapokon az adatkezelési cél meghatározásánál tünteti fel.
6.2.1. Amennyiben a Duna Medical Center Kft a személyes adatokat egy konkrét célból gyűjti, és a gyűjtött személyes adatokat bármely más célból is használni kívánja, akkor – amennyiben az eltérő célú Adatkezelés nem az érintett hozzájárulásán vagy nem olyan uniós vagy tagállami jogon ala pul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban – a Duna Medical Center Kft az eltérő célú Adatkezelés jogszerűségének megítélése szempontjából az alábbi szempontokat veszi figyelembe:
(i) a személyes adatok gyűjtésének céljait és a tervezett további Adatkezelés céljai közötti esetleges kapcsolatokat;
(ii) a személyes adatok gyűjtésének körülményeit (különös tekintettel az Érintettek és az Adatkezelő közötti kapcsolatokra);
(iii) a személyes adatok jellegét (különösen azt, hogy személyes adatok különleges kategóriáinak kezeléséről van -e szó, illetve, hogy büntetőjogi felelősség
megállapítására és bűncselekményekre vonatkozó adatoknak a kezeléséről van -e szó);
(iv) azt, hogy az Érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;
(v) megfelelő garanciák meglétét (például titkosítás vagy álnevesítés).
6.2.2. Hozzájárulás feltételei Hozzájáruláson alapuló Adatkezelés esetén a Duna Medical Center Kft -nak mindenkor képesnek kell lennie arra, hogy igazolja, hogy az érintett a személyes Adatainak kezeléséhez hozzájárult. Így a Duna Medical Center Kft valamennyi, elektronikusan gyűjtött ho zzájárulást rögzít, valamint valamennyi, papír alapon
gyűjtött hozzájárulást megőriz.
6.2.2.1. A hozzájárulás csak akkor fogadható el a Rendeletnek megfelelő hozzájárulásnak, ha megfelel az alábbi követelményeknek:
• Önkéntes
A hozzájárulás akkor önkéntes, ha az Érintettnek tényleges választási lehetősége áll fenn a hozzájárulás megadása vagy meg nem adása közötti döntés meghozatala során.
A hozzájárulás nem tekinthető önkéntesnek – többek között – akkor, ha az érintett negatív következményekkel kell, hogy számoljon abban az esetben, ha nem adja meg
hozzájárulását vagy ha azt visszavonja, illetőleg, ha a hozzájárulást az érintett a nem tárgy alható általános szerződési felételek elfogadásával együtt automatikusan
megadja.
Nem önkéntes a hozzájárulás akkor, ha a hozzájárulást kérő és a hozzájáruló személy között alá -fölérendeltségi viszony áll fenn, és az alárendelet személy nem rendelkezik tényleges választási lehetőséggel az alá -fölérendeltségi viszony miatt, így például munkaviszony fennállása esetén.
• Konkrét
Akkor konkrét a hozzájárulás, ha az egy meghatározott adatkezeléshez kapcsolódik, a Duna Medical Center Kft az Adatkezelés célját pontosan meghatározza, hozzájárulást a konkrétan meghatározott adatkezelési célhoz kér, valamint világosan elválasztja a szemé lyes adatok kezeléséhez való hozzájáruláskérést valamennyi más információtól.
Ugyanazon személyes adatok eltérő célból történő kezelése esetén a Duna Medical Center Kft az egyes eltérő adatkezelési célokhoz külön -külön kér hozzájárulást.
• Tájékoztatáson alapul
A hozzájárulás csak megfelelő tájékoztatáson alapulhat. A Duna Medical Center Kft az Adatkezelés megkezdését megelőzően az érintett rendelkezésére bocsátja a jelen
Szabályzat 6.3.1.1 (iii) vagy 6.3.1.1 (iv) pontjában foglalt információkat.
Az Érintettek részére nyújtott tájékoztatás megfogalmazása során a Duna Medical Center Kft figyelembe veszi, hogy a tájékoztatás kinek szól és a tájékoztatás formáját
és nyelvezetét e tény figyelembevételével alakítja.
• Egyértelmű
Az érintett egyértelműen kifejezi, hogy hozzájárul a személyes Adatai kezeléséhez erre vonatkozó nyilatkozatban vagy más, egyértelműen hozzájárulásként azonosítható
cselekedettel.
Bármely, a fenti feltételeknek meg nem felelő hozzájárulás sérti a Rendelet előírásait és kötelező erővel nem bír.
6.2.2.2. Ha az érintett a hozzájárulását olyan nyilatkozatban adja meg, amely más ügyre is vonatkozik, akkor a személyes adatok kezelésére vonatkozó hozzájárulás iránti kérelmet a más ügyekre vonatkozó nyilatkozatoktól külön kell kérni, annak érthető és könnyen hoz záférhető formában kell tartalmaznia a hozzájárulás kérését és azt világos és egyszerű nyelvezettel kell megfogalmazni. Amennyiben a hozzájárulást tartalmazó nyilatkozat bármely része nem felel meg a Rendelet előírásainak, akkor az kötelező erővel nem bír.
6.2.2.3. Az érintett jogosult hozzájárulását bármikor visszavonni, azonban a hozzájárulás visszavonása nem teszi jogszerűtlenné a hozzájárulás visszavonását megelőző időszakban folytatott adatkezelési tevékenységet, amennyiben az jogszerű hozzájáruláson alapult. A hozzájárulás visszavonására a Duna Medical Center Kft -nek olyan egyszerű formában kell lehetőséget biztosítania az érintett részére, mint amilyen egyszerű formában lehetőséget biztosított a hozzájárulás megadására.
6.3. Érintett jogai
6.3.1. Az Érintettek az alábbi jogokkal rendelkeznek:
• tájékoztatáshoz való jog,
• hozzáféréshez való jog,
• helyesbítéshez való jog,
• törléshez való jog,
• adatkezelés korlátozásához való jog,
• adathordozhatósághoz való jog,
• tiltakozáshoz való jog,
• panasztételhez való jog, valamint
• az Adatkezelővel vagy Adatfeldolgozóval szembeni bírósági jogorvoslathoz való jog.
A Duna Medical Center Kft az érintett részére tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazott tájékoztatást nyújt a személyes adatok kezelése tekintetében.
Az érintett i joggyakorlásra irányuló kérelmeket az Adatkezelő az erre szolgáló nyilvántartásban vezeti.
ARC.AD.04.00. Adatvédelmi kérések nyilvántartása
6.3.1.1. Tájékoztatáshoz való jog
(i) A Duna Medical Center Kft a jelen pont (iii) alpontja szerinti tájékoztatást a személyes adatok megszerzésének időpontjában nyújtja, a jelen pont (iv) alpontja szerinti
tájékoztatást az alábbi időpontok egyikében nyújtja:
• a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
• ha a személyes adatokat az Érintettel való kapcsolattartás céljára használják, legalább az Érintettel való első kapcsolatfelvétel alkalmával; vagy
• ha várhatóan más Címzettel is közli az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.
(ii) Ha a Duna Medical Center Kft az eredeti adatkezelési céltól eltérő célból további Adatkezelést kíván végezni, akkor valamennyi további Adatkezelést megelőzően
tájékoztatja az Érintettet az új adatkezelési célról, valamint valamennyi, (iii) alpont szerinti releváns kiegészítő információról.
(iii) A Duna Medical Center Kft a személyes adatok megszerzésének időpontjában az alábbi pontokról ad minden esetben tájékoztatást az Érintettek részére, amennyiben
a személyes adatokat az Érintettől gyűjti:
• az Adatkezelőnek és – ha van ilyen – az Adatkezelő képviselőjének a kiléte és elérhetőségei;
• az Adatvédelmi Tisztviselő elérhetőségei;
• a személyes adatok tervezett kezelésének célja, valamint az Adatkezelés jogalapja;
• a kezelt személyes adatok köre
• az Adatkezelő vagy harmadik fél jogos érdekei, amennyiben az Adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez
szükséges;
• adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
• adott esetben annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya vagy megfelelő garanciák alapján, kötelező er ejű belső egyházi és világi szabályok alapján történő adattovábbítás esetén, vagy az Adatkezelő olyan kényszerítő erejű jogos érdekében szükséges adattovábbítás esetén, amihez képest az érintett érdekei, jogai és szabadságai nem élveznek elsőbbséget, a meg felelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás;
• a személyes adatok tárolásának időtartamáról, vagy, ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;• az érintett azon jogáról, hogy az alkalmazott jogalaptól függően kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
• hozzájáruláson alapuló Adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott Adatkezelés jogszerűségét;
• felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
• arról, hogy a személyes Adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele -e, valamint, hogy az érintett köteles -e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel j árhat az adatszolgáltatás elmaradása;
• automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen Adatkezelés milyen jelentőséggel, és az Érintettre nézve milyen várható következményekkel bír.
• az adatokhoz való hozzáférés szervezeten belül
• az alkalmazott adatbiztonsági intézkedések .
Nem kell a fentiek szerinti tájékoztatást megadni az érintett részére, ha és amilyen mértékben az érintett már rendelkezik az információkkal.
(iv) A Duna Medical Center Kft a személyes adatok megszerzésének időpontjában az alábbi pontokról ad minden esetben tájékoztatást az Érintettek részére, amennyiben a személyes adatokat nem az Érintettől gyűjti:
• az Adatkezelőnek és az Adatkezelő képviselőjének a kiléte és elérhetőségei (ha van ilyen);
• az Adatvédelmi Tisztviselő elérhetőségei;
• a személyes adatok tervezett kezelésének célja, valamint az Adatkezelés jogalapja;
• az érintett személyes adatok kategóriái;
• a személyes adatok címzettjei, illetve a címzettek kategóriái (ha van ilyen);
• adott esetben annak ténye, hogy a Duna Medical Center Kft valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy megfelelő garanciák alapján, kötelező erejű belső egyházi és világi szabályok alapján történő adattovábbítás esetén vagy az Adatkezelő olyan kényszerítő erejű jogos érdekében szükséges adattovábbítás esetén, amihez képest az érintett érdekei, jogai és sza badságai nem élveznek elsőbbséget, a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás;
• a személyes adatok tárolásának időtartama, vagy, ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
• az Adatkezelő vagy harmadik fél jogos érdekei, amennyiben az Adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges;
• az érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozható sághoz való joga;
• hozzájáruláson alapuló Adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
• felügyeleti hatósághoz címzett panasz benyújtásának joga;
• a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak -e; és
cautomatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó
érthető információk, hogy az ilyen Adatkezelés milyen jelentőséggel, és az Érintettre nézve milyen várható következményekkel bír.
• az adatokhoz való hozzáférés szervezeten belül
• az alkalmazott adatbiztonsági intézkedések.
(v) Nem kell a fentiek szerinti tájékoztatást megadni az érintett részére, ha és amilyen mértékben
• az érintett már rendelkezik az információkkal;
• a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a GDPR vonatkozó rendelke zésében foglalt feltételek és garanciák figyelembevételével végzett Adatkezelés esetében, vagy amennyiben a tájékoztatási kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen Adatkezelés céljainak elérését (az Adatkezelőnek ebben az esetben megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében);
• az adat megszerzését vagy közlését kifejezetten előírja az Adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
• a személyes adatoknak szakmai titoktartási kötelezettség alapján – ideértve a jogszabályon alapuló titoktartási kötelezettséget is – bizalmasnak kell maradnia.
(vi) A Duna Medical Center Kft az alábbiak szerint jár el a megfelelő tájékoztatás nyújtása érdekében:
Az Adatvédelmi Tisztviselő valamennyi adatkezelési tevékenység megkezdését megelőzően felméri, hogy az adott adatkezelési tevékenység esetében fennáll -e a Duna Medical Center Kft előzetes tájékoztatási kötelezettsége.
Amennyiben az előzetes tájékoztatási kötelezettség fennáll, úgy a Duna Medical Center Kft a személyes adatok kezelését megelőzően elkészíti / elkészítteti a 6.3.1.1 (iii), illetőleg a 6.3.1.1 (iv) pontokban foglaltak szerinti adatkezelési tájékoztatót.
A Duna Medical Center Kft az elkészült adatkezelési tájékoztatót – 4. sz. melléklet -- a személyes adatok kezelésének megkezdése előtt mindazon személyek rendelkezésére bocsátja, akikre az adatkezelési tevékenység kiterjed.
6.3.3.2. Hozzáféréshez való jog
Az érintett jogosult tájékoztatást kérni és kapni arról, hogy a Duna Medical Center Kft a kérelem beérkezésekor kezeli -e a személyes Adatait.
Ha a Duna Medical Center Kft a kérelmet benyújtó érintett személyes Adatait kezeli a kérelem beérkezésekor, akkor az érintett jogosult a következő információkhoz hozzáférni:
(i) az Adatkezelés céljai;
(ii) az érintett személyes adatok kategóriái;
(iii) azon Címzettek vagy Címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli
Címzetteket, illetve a nemzetközi szervezeteket;
(iv) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
(v) az érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását és tiltakozhat az ilyen személyes adatok kezelése ellen;
(vi) felügyeleti hatósághoz címzett panasz benyújtásának joga;
(vii) ha a személyes adatokat nem az Érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
(viii) az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen Adatkezelés milyen jelentőséggel bír, és az Érintettre nézve milyen várha tó következményekkel jár.
Ha a Duna Medical Center Kft a személyes adatokat harmadik országba vagy nemzetközi szervezet részére továbbítja, akkor az érintett a megfelelő garanciákra vonatkozó tájékoztatásra is jogosult.
A Duna Medical Center Kft ingyenesen az érintett rendelkezésére bocsátja az Adatkezelés tárgyát képező személyes adatokat. A másolat igénylésére vonatkozó jog azonban nem érintheti hátrányosan mások jogait és szabadságait.
További másolatok igénylése esetén a Duna Medical Center Kft igényt tarthat az adminisztratív költségek megtérítésére úgy, hogy észszerű összegű díjat számíthat fel.
A Duna Medical Center Kft az alábbiak szerint jár el a hozzáféréshez való jog érvényre juttatása érdekében:
Az Adatvédelmi Tisztviselő biztosítja, hogy a kérelmező a hozzáférési joga érvényre juttatása érdekében benyújtott kérelmével a Duna Medical Center Kft foglalkozzon, és azt határidőben megválaszolja.
Az Adatvédelmi Tisztviselő a kérelem beérkezését követően megvizsgálja, hogy a Duna Medical Center Kft kezeli -e a kérelmező személyes Adatait.
Amennyiben a Duna Medical Center Kft nem kezeli a kérelmező személyes Adatait, úgy az Adatvédelmi
Tisztviselő vizsgálatát követően, de legfeljebb a kérelem beérkezésétől számított 30 (harminc) napon belül tájékoztatást nyújt e tényről a kérelmező részére.
Abban az esetben, ha a Duna Medical Center Kft kezeli a kérelmező személyes Adatait, az Adatvédelmi Tisztviselő az ellenőrzést követően, de legfeljebb a kérelem beérkezésétől számított 30 (harminc) napon belül az alábbi lépéseket teszi meg a kérelem megvál aszolása érdekében:
• megvizsgálja, hogy a kérelmező mely személyes Adatait kezeli a Duna Medical Center Kft;
• megvizsgálja, hogy az adott személyes adatokat milyen célból és milyen jogalapon kezeli a Duna Medical Center Kft;
• megvizsgálja, hogy a kérelmező személyes Adatait mely Címzettek részére továbbította a Duna Medical Center Kft;
• mely személyes adatokat milyen időtartamra köteles a Duna Medical Center Kft megőrizni.
A fenti lépések megtétele után az Adatvédelmi Tisztviselő előterjesztése alapján a Duna Medical Center Kft tájékoztatást nyújt a kérelmező részére, amely az alábbiakat tartalmazza:
• a kérelmező személyes Adatai kezelésének célját;
• a kérelmezőnek a Duna Medical Center Kft által kezelt személyes Adatai kategóriáit;
• a kezelt személyes adatokat mely Címzettek részére továbbították;
• mely személyes adatokat milyen időtartamra őrzi a Duna Medical Center Kft;
• hogyan kérelmezhető a személyes adatok helyesbítése, törlése vagy kezelésének
korlátozása, valamint, hogy hogyan tiltakozhat a kérelmező a személyes Adatai
kezelése ellen;
• hogyan és hová nyújthat be panaszt a kérelmező a felügyeleti hatósághoz (ideértve a
felügyeleti hatóság elérhetőségéről szóló tájékoztatást is);
• amennyiben a Duna Medical Center Kft a személyes adatokhoz nem közvetlenül a
kérelmezőtől jutott hozzá, valamennyi információra kiterjedő tájékoztatást arról, hogy
honnan jutott hozzá a kérelmező személyes Adataihoz;
• amennyiben a Duna Medical Center Kft a kérelmező személyes Adatait automatizált
döntéshozatal céljából kezeli, akkor az automatizált döntéshozatalra vonatkozó
információkat;
• amennyiben a személyes adatokat a Duna Medical Center Kft harmadik országba vagy
nemzetközi szervezet részére továbbítja, akkor az adattovábbításra vonatkozó
információkat.
A Duna Medical Center Kft a tájékoztatással egyidejűleg másolatot ad át a kérelmezőnek a Duna Medical Center Kft rendelkezésére álló személyes Adatairól.
6.3.3.3. Helyesbítéshez való jog
A Duna Medical Center Kft az érintett kérése esetén – indokolatlan késedelem nélkül – helyesbíti az Érintettre vonatkozó pontatlan vagy hiányos személyes adatokat.
A Duna Medical Center Kft minden olyan Címzettet tájékoztat arról, hogy az érintett a helyesbítéshez való jogát gyakorolta, akivel vagy amellyel a személyes Adatot közölte, kivéve, ha ez lehetetlen vagy aránytalanul nagy erőfeszítést igényel.
A Duna Medical Center Kft az érintett kérésére tájékoztatja az Érintettet a személyes Adatai Címzettjeiről.
A Duna Medical Center Kft az alábbiak szerint jár el a helyesbítéshez való jog érvényre juttatása érdekében:
Az Adatvédelmi Tisztviselő biztosítja, hogy a Duna Medical Center Kft az érintett helyesbítésre való kérelmének beérkezését követően a lehető legrövidebb időn belül foglalkozzon a kérelemmel.
Az Adatvédelmi Tisztviselő a helyesbítési kérelem beérkezését követően megvizsgálja, hogy a helyesbíteni kért személyes adatok a Duna Medical Center Kft mely adatkezelési folyamataiban szerepelnek, valamint azt is, hogy a személyes adatokat mely program(ok )ban kell javítani annak érdekében, hogy azok valamennyi folyamatban helyesbítésre kerüljenek.
A Duna Medical Center Kft a pontatlan vagy hiányos adatokat a kérelmező kérésének megfelelően a folyamatban lévő ügyekben helyesbíti, valamint biztosítja, hogy a jövőbeli adatkezelési tevékenységek során a helyesbített adatok kerülnek felhasználásra.
A Duna Medical Center Kft a helyesbített adatokról minden olyan Címzettet tájékoztat, akivel vagy amellyel a Duna Medical Center Kft az adott, helyesbíteni kért adatok közölte.
A Duna Medical Center Kft a személyes adatok helyesbítésének megtörténtéről tájékoztatja a kérelmezőt.
6.3.3.4. Törléshez való jog
A Duna Medical Center Kft az érintett írásbeli kérése esetén – indokolatlan késedelem nélkül – törli az Érintettre vonatkozó személyes adatokat.
A Duna Medical Center Kft törli a személyes adatokat, amennyiben az alábbi pontokban foglaltak valamelyike fennáll:
• a személyes adatokra abból a célból már nincs szükség, amelyből azokat gyűjtötték vagy más módon kezelték;
• az érintett visszavonja az Adatkezelés alapját képező hozzájárulását és az Adatkezelésnek nincs más jogalapja;
• az érintett saját helyzetével kapcsolatos okokból tiltakozik az Adatkezelés ellen és nincs elsőbbséget élvező jogszerű ok az Adatkezelésre, vagy az érintett közvetlen üzletszerzési célból kezelt személyes adatok kezelése ellen tiltakozik;
• a személyes adatokat jogellenesen kezelték;
• a személyes adatokat az Adatkezelőre alkalmazandó jogi kötelezettség teljesítéséhez törölni kell;
• a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Amennyiben a Duna Medical Center Kft nyilvánosságra hozta a személyes Adatot és azt törölni köteles, akkor – az elérhető technológia és a megvalósítás költségeinek figyelembevételével – megteszi az elvárható lépéseket annak érdekében, hogy tájékoztassa a s zemélyes adatokat kezelő Adatkezelőket, hogy az érintett kérelmezte tőlük az adott személyes Adatra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
A Duna Medical Center Kft nem törli azonban a személyes adatokat és nem tesz lépéseket a személyes adatokat kezelő Adatkezelők tájékoztatása érdekében, amennyiben az Adatkezelés szükséges:
• a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
• a személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó jogi kötelezettség teljesítése, illetve közérdekből vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
• a népegészségügy területét érintő közérdek alapján;
• a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
• jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
A Duna Medical Center Kft minden olyan Címzettet tájékoztat arról, hogy az érintett a törléshez való jogát gyakorolta, akivel vagy amellyel a személyes Adatot közölte, kivéve, ha ez lehetetlen vagy aránytalanul nagy erőfeszítést igényel.
A Duna Medical Center Kft az érintett kérésére tájékoztatja az Érintettet a személyes Adatai Címzettjeiről.
A Duna Medical Center Kft az alábbiak szerint jár el a törléshez való jog érvényre juttatása érdekében:
A Duna Medical Center Kfthoz beérkező, a törléshez való jog érvényre juttatására irányuló kérelmekkel az Adatvédelmi Tisztviselő foglalkozik.
A törlésre irányuló kérelem beérkezését követően az Adatvédelmi Tisztviselő megvizsgálja, hogy
• a kérelmező személyes Adatait milyen célból, illetve milyen jogalapon kezeli a Duna Medical Center Kft;
• az adott célból, illetve jogalapon kezelt személyes adatokat a Duna Medical Center Kft mennyi ideig jogosult kezelni;
• a jelen pontban felsorolt törlési okok bármelyike fennáll -e a kérelmező személyes Adatainak kezelése esetében;
• a jelen pontban foglalt bármely okból szükséges -e a törölni kért személyes adatok kezelése.
Amennyiben a fent felsorolt törlési okok bármelyike fennáll, és a személyes adatok kezelését egyetlen, az Adatkezelés szükségességét alátámasztó kivétel sem alapozza meg azon személyes adatok tekintetében, melyeknek a törlését az érintett kérte, akkor a Du na Medical Center Kft az érintett kérésének megfelelően törli az adott személyes adatokat.
Ha a Duna Medical Center Kft a kérelmező törölni kért személyes Adatait nyilvánosságra hozta, akkor köteles minden olyan Címzettet tájékoztatni a személyes adatok törléséről, aki vagy amely részére azokat továbbította.
Amennyiben a kérelmező által törölni kért személyes adatok bármelyikének kezelése a jelen pontban felsorolt bármely ok miatt szüksége, úgy a Duna Medical Center Kft az adott személyes Adatot nem törli, hanem a nyilvántartásában megőrzi. Ebben az esetben a Duna Medical Center Kft köteles tájékoztatni a kérelmezőt arról, hogy a törölni kért személyes adatok kezelése mely ok miatt szükséges.
A Duna Medical Center Kft a kérelmező erre irányuló kérése esetén tájékoztatást nyújt arról, hogy személyes Adatait mely Címzettek részére továbbította.
6.3.3.5. Adatkezelés korlátozásához való jog
A Duna Medical Center Kft korlátozza a személyes adatok kezelését, amennyiben az érintett erre irányuló kérelmet nyújt be a Duna Medical Center Kft részére és valamelyik alábbi pontban foglalt feltétel teljesül:
(i) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a
személyes adatok pontosságát;
(ii) az Adatkezelés jogellenes és az érintett ellenzi az adatok törlését, ehelyett kéri azok felhasználásának korlátozását;
(iii) az Adatkezelőnek már nincs szüksége a személyes adatokra Adatkezelés céljából, de az érintett jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez igényli azokat; vagy
(iv) az érintett saját helyzetével kapcsolatos okokból tiltakozott az Adatkezelés ellen (ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek -e az érintett jogos indokaival szemben).
A Duna Medical Center Kft személyes adatok kezelésének korlátozása esetén a személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes személy vagy jogi személy jogainak védelme érdekében, vagy fontos közérdekből kezelheti.
A Duna Medical Center Kft az Érintettet előzetesen tájékoztatja a személyes adatok kezelése korlátozásának feloldásáról, amennyiben a személyes adatok kezelésének korlátozására korábban sor került.
A Duna Medical Center Kft minden olyan Címzettet tájékoztat arról, hogy az érintett az Adatkezelés korlátozásához való jogát gyakorolta, akivel vagy amellyel a személyes Adatot közölte, kivéve, ha ez lehetetlen vagy aránytalanul nagy erőfeszítést igényel.
A Duna Medical Center Kft az érintett kérésére tájékoztatja az Érintettet a személyes Adatai Címzettjeiről.
A Duna Medical Center Kft az alábbiak szerint jár el a személyes adatok korlátozásához való jog érvényre juttatása érdekében:
A Duna Medical Center Kft által kijelölt Adatvédelmi Tisztviselő gondoskodik arról, hogy a kérelmező az Adatkezelés korlátozásához való jogát érvényre juttathassa.
Az Adatvédelmi Tisztviselő a kérelem beérkezését követően köteles megvizsgálni, hogy az Adatkezelés korlátozásának bármely, jelent pontban foglalt feltétele fennáll -e.
Amennyiben az Adatkezelés korlátozására vonatkozó bármely ok fennáll, a Duna Medical Center Kft az alábbiak szerint korlátozza a személyes adatok kezelését:
• papíralapon történő Adatkezelés esetén olyan külön mappába, lezárt borítékba helyezi el a korlátozni kívánt személyes adatokat tartalmazó dokumentumokat,
amelyhez a Duna Medical Center Kftn belül az intézményvezetőn és az Adatvédelmi Tisztviselőn kívül sen ki nem fér hozzá;
• elektronikus alapú Adatkezelés esetén külső adathordozóra (mely lehet pendrive, cd, dvd) másolja a korlátozni kívánt személyes adatokat tartalmazó dokumentumokat, és az adathordozót a papír alapú zárolt személyes adatokat tartalmazó mappába, lezárt borítékba helyezi el. A zárolt személyes adatokat ezt követően törli az eredeti tárolási helyé ről, illetőleg az eredeti tárolási helyen anonimizált adatként tárolja tovább.
A lezárt borítékon fel kell tüntetni a személyes adatok törlésének várható időpontját.
A Duna Medical Center Kft tájékoztatja a kérelmezőt a személyes adatok kezelésének korlátozásáról.
6.3.3.6. Adathordozhatósághoz való jog
Az érintett megkaphatja a rá vonatkozó, általa a Duna Medical Center Kft rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban, továbbá továbbíthatja ezeket az adatokat egy másik Adatkezelőnek anélkül, hog y ezt akadályozná a Duna Medical Center Kft, ha:
• az Adatkezelés hozzájáruláson vagy szerződésen alapul; és
• az Adatkezelés automatizált módon (azaz nem papír alapon) történik.
Az érintett kérheti, hogy a Duna Medical Center Kft az általa megadott (például e -mail cím, életkor) vagy tevékenységének megfigyeléséből származó (például tevékenységlogok, honlapelőzmények, keresési előzmények) személyes Adatait másik Adatkezelő részére közvetlenül továbbítsa.
Az Adatkezelő az adathordozhatósághoz való jog gyakorlása esetén közvetlenül átadhatja az érintett vagy másik Adatkezelő részére a személyes adatokat vagy lehetőséget biztosíthat az érintett részére a személyes adatok exportálására.
A személyes adatok hordozhatóságának biztonsága érdekében az Adatkezelő a személyes adatokat tartalmazó fájlt jelszóval védheti, érzékeny adatok esetén akár külső eszközzel történő azonosításon alapú hozzáférést is biztosíthat az érintett vagy a másik Adat kezelő részére.
Az adathordozhatósághoz való jog gyakorlása nem sértheti a személyes adatok törléséhez való jogot, illetőleg nem érinti a személyes adatok őrzési idejét. Az Adatkezelő nem köteles a személyes adatokat hosszabb ideig őrizni annak érdekében, hogy az érintett az adathordozhatósághoz való jogával élhessen.
Az adathordozhatósághoz való jog gyakorlása nem érintheti hátrányosan mások jogait és szabadságait.
Az Adatkezelő nem köteles az átadásra kerülő személyes adatok minőségét ellenőrizni.
6.3.3.7. Tiltakozáshoz való jog
Az érintett bármikor tiltakozhat saját helyzetével kapcsolatos okokból a személyes Adatainak kezelése ellen, amennyiben az Adatkezelés közérdekű, vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához s zükséges, vagy az Adatkezelés az Adatkezelő vagy egy Harmadik Fél jogos érdekeinek érvényesítéséhez szükséges. A Duna Medical Center Kft az érintett tiltakozása esetén nem kezelheti tovább a személyes adatokat, kivéve, ha a Duna Medical Center Kft bizonyít ja, hogy az Adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Közvetlen üzletszerzés érdekében történő Adatkezelés esetén az érintett bármikor tiltakozhat a személyes Adatai üzletszerzési célból történő kezelése ellen (üzletszerzés érdekében folytatott profilalkotás esetén is).
Az érintett tiltakozása esetén üzletsze rzési célból a Duna Medical Center Kft nem kezelheti a személyes adatokat a tiltakozást követően.
Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az Adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
A Duna Medical Center Kft az alábbiak szerint jár el a személyes adatok kezelése elleni tiltakozáshoz való jog érvényre juttatása érdekében:
Az Adatvédelmi Tisztviselő köteles gondoskodni arról, hogy az érintett tiltakozáshoz való jogának érvényre juttatásával kapcsolatos kérelmében a Duna Medical Center Kft eljárjon.
Ennek első lépéseként az Adatvédelmi Tisztviselő a kérelem beérkezését követően megvizsgálja az Adatkezelés célját.
6.3.3.8. Jogos érdeken alapuló Adatkezelés
Az Adatvédelmi Tisztviselő megvizsgálja, hogy az adott személyes Adathoz fűződő Adatkezelést indokolja -e bármely olyan, kényszerítő erejű jogos ok, amely elsőbbséget élvez a kérelmező érdekeivel, jogaival és szabadságaival szemben, illetőleg, amely a jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódik. Ennek érdekében az Adatvédelmi Tisztviselő áttekinti a Duna Medical Center Kft által korábban lefolytatott érdekmérlegelési tesztek eredményét, illetve, amennyiben korábban nem került sor érdekmérlegelésre, elkészíti az érdekmérlegelési tesztet arra tekintettel, hogy az Adatkezelő vagy a Harmadik Fél érdekei elsőbbséget élveznek -e az érintett érdekeivel, jogával vagy szabadságaival szemben.
Amennyiben az Adatvédelmi Tisztviselő az érdekmérlegelési tesztek áttekintése / elkészítése során arra az eredményre jut, hogy az Adatkezelést indokolják olyan, kényszerítő erejű jogos okok, amelyek elsőbbséget élveznek a kérelmező érdekeivel, jogaival és szabadságaival szemben, illetőleg jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak, úgy a Duna Medical Center Kft folytatja a személyes adatok kezelését, ellenkező esetben azonban köteles a személyes adatokat törölni.
A Duna Medical Center Kft a következő, jogos érdeken alapuló Adatkezeléseket folytatja:
• munkavállalói adatok kezelése kapcsolattartás céljából;
• kamerarendszer üzemeltetésével kapcsolatos személyes adatok kezelése;
• szerződéses partnerek kapcsolattartási adatainak kezelése.
• telefonon történő bejelentkezések hangfelvételének rögzítése
6.3.3.9 Tudományos és történelmi kutatási célból vagy statisztikai célból végzett adatkezelés
Amennyiben a kérelmező a saját helyzetével kapcsolatos okokból tiltakozik az Adatkezelés ellen, az Adatvédelmi Tisztviselő megvizsgálja, hogy a személyes adatok kezelése tudományos és történelmi kutatás céljából vagy statisztikai célból történik -e, illetve , hogy az Adatkezelésre közérdekű okból végzett feladat végrehajtása miatt van -e szükség.
Amennyiben az Adatkezelés közérdekű okból végzett feladat végrehajtása érdekében szükséges, a kérelmező nem jogosult a személyes adatok kezelése elleni tiltakozásra. E tényről a Duna Medical Center Kft tájékoztatja a kérelmezőt.
6.3.3.10. Panasztételhez való jog
Az érintett jogosult a felügyeleti hatóságnál panasszal élni, ha megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet.
Az érintett egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül jogosult panaszt benyújtani a felügyeleti hatósághoz.
6.3.3.11. Adatkezelővel vagy Adatfeldolgozóval szembeni bírósági jogorvoslathoz való jog Az érintett jogosult bírósági jogorvoslatra, ha megítélése szerint a személyes Adatainak a Rendeletnek nem megfelelő kezelése következtében megsértették a Rendelet szerinti jogait.
6.4. Adattovábbítás harmadik országba vagy nemzetközi szervezet részére
Olyan személyes adatok továbbítására – ideértve a személyes adatok harmadik országból vagy nemzetközi szervezettől egy további harmadik országba vagy további nemzetközi szervezet részére történő újbóli továbbítását is –, amelyeket harmadik országba vagy ne mzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, az alábbi esetekben kerülhet sor:
• az Európai Bizottság megfelelőségi határozata alapján;
• az Adatkezelő vagy Adatfeldolgozó által nyújtott megfelelő garanciák alapján;
• kötelező erejű szabályok alapján; vagy
• az alábbi feltételek teljesülése esetén
• az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a
megfelelő garanciák hiányából fakadó – esetleges kockázatokról;
• az Adattovábbítás az érintett és az Adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához
szükséges;
• az Adattovábbítás az Adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez
szükséges;
• az Adattovábbítás fontos közérdekből szükséges;
• az Adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
• az Adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;
• a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely vagy
általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető, de csak ha az uniós vagy tagállami
jog által a betekintésre megállapított feltételek az adott különleges esetben teljesülnek.
A Duna Medical Center Kft -nak garantálnia kell a harmadik országba, illetve nemzetközi szervezet részé történő Adattovábbítás során, hogy a természetes személyek számára e rendeletben garantált védelem szintje ne sérüljön.
6.5. Adatkezelési tevékenységek nyilvántartása
A Duna Medical Center Kft a felelősségébe tartozóan végzett (ideértve az Adatkezelés, az Adatfeldolgozás és a közös adatkezelés esetét is) adatkezelési tevékenységekről nyilvántartást vezet – BM.AD.0 1.00 - a következő információk kal:
• az Adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az Adatkezelő képviselőjének és az Adatvédelmi Tisztviselőnek a neve és elérhetősége;
• az Adatkezelés céljai;
• az Érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
• olyan Címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli Címzetteket vagy nemzetközi szervezeteket;
• adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország
vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;
• ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
• ha lehetséges, az adatbiztonság garantálása érdekében tett technikai és szervezési intézkedések általános leírása.
6.5.1. Az adatkezelési tevékenységek nyilvántartását az Adatvédelmi Tisztviselő folyamatosan, de legalább évente frissíteni köteles.
Az adatkezelési tevékenységek nyilvántartásának frissítése során az Adatvédelmi Tisztviselő az alábbiak szerint jogosult eljárni:
Az Adatvédelmi Tisztviselő meghatározott időközönként (évente) felülvizsgálja a Duna Medical Center Kft adatkezelési tevékenységeinek körét.
Amennyiben a Duna Medical Center Kft adatkezelési tevékenységi köre változott, úgy az Adatvédelmi Tisztviselő kezdeményezi a Duna Medical Center Kft Szabályzatának módosítását, az adatvédelmi nyilvántartási lapok kiegészítését, törlését felülvizsgálja / el végzi a Duna Medical Center Kft jogos érdekén alapuló adatkezelési tevékenységekhez kapcsolódó érdekmérlegelési teszteket, ellenőrzi az esetleges Adatvédelmi Incidensek nyilvántartását.
Az Adatvédelmi Tisztviselő szükség esetén külső jogi tanácsadóval konzultál a Duna Medical Center Kft Szabályzatának felülvizsgálatával kapcsolatban.
6.6. Adatbiztonság
6.6.1. Kockázatok azonosítása és értékelése
A Duna Medical Center Kft felméri, hogy az általa kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből potenciálisan milyen kockázat ok erednek.
A Duna Medical Center Kft a fentiek szerint azonosított kockázatokat azok felmerülésének valószínűsége és a személyes adatok biztonsága szempontjából meghatározott súlyossága szerint besorolja.
(i) Papíralapú Adatkezelés
A Duna Medical Center Kft a papíralapon kezelt személyes adatok esetén a véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan
nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből eredő kockázatok at azonosította: A Duna Medical Center Kft személyes adatot tartalmazó dokumentumainak egy része nem zárt szekrényben kerül elhelyezésre , más része zárt szekrényekben van tárolva, archiválás után pedig korlátozott jogosultsággal használható irattárban.
A Duna Medical Center Kft területe kamerarendszerrel megfigyelt terület, amely a személyes adatokat tartalmazó papír alapú dokumentumok biztonságának
megőrzését elősegíti.
A Duna Medical Center Kft a papíralapú Adatkezelés során azonosított kockázatokat súlyosság és bekövetkezés valószínűsége szempontjából kialakította az Intézményi
Integrált Kockázatkezelési Szabályzatot
(ii) Elektronikus eszközök igénybevételével megvalósuló Adatkezelés
A Duna Medical Center Kft az elektronikus eszközök igénybevételével kezelt személyes adatok esetén a véletlen vagy jogellenes megsemmisítéséből, elvesztéséből,
megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan ho zzáférésből eredő kockázatokat azonosította:
Az egészségügyi adatokra tekintettel napi rendszerességgel biztonsági mentés készül a Duna Medical Center Kft szerverén tárolt személyes adatokat tartalmazó
dokumentumokról.
A Duna Medical Center Kft számítógépes rendszerét az arra jogosult munkavállalók használják, akiknek feladatuk ellátása érdekében szükséges hozzáférni az
elektronikusan tárolt személyes adatokat tartalmazó dokumentumokhoz. Az erre vonatkozó részletes szabályozást a Duna Medical Center Informatikai Szabályzata
tartalmazza.
Az e -mail rendszer használatából eredő alapvető kockázatok.
A Duna Medical Center Kft egyes feladatok ellátására adatfeldolgozókat vesz igénybe, akik a Duna Medical Center Kft rendszeréhez hozzáféréssel rendelkeznek.
A Duna Medical Center Kft vírusvédelemmel és jelszóvédelemmel biztosítja az elektronikusan tárolt személyes adatokat tartalmazó dokumentumok védelmét.
A Duna Medical Center Kft az elektronikus eszközök igénybevételével megvalósuló Adatkezelés során azonosított kockázatokat Informatikai Vésztervben és Intézményi
Integrált Kockázatkezelési Szabályzatban rögzítette
6.6.2. Adatbiztonságot szolgáló intézkedési lehetőségek
A Duna Medical Center Kft a megállapított kockázatok és a fenti pont szerinti szempontok figyelembevételével – többek között – az alábbi intézkedéseket hajtja végre a személyes adatok biztonsága érdekében:
• a személyes adatok álnevesítése és titkosítása;
• a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítása, integritása, rendelkezésre állása és ellenálló
képességének biztosítása;
• fizikai vagy műszaki incidens esetén az arra való képesség biztosítása, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben
vissza lehet állítani;
• az Adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére
szolgáló eljárás.
Az Adatkezelő továbbá biztosítja, hogy az Adatkezelőnél, illetve az Adatfeldolgozónál a személyes adatokhoz hozzáférő személyek a személyes adatokat kizárólag az Adatkezelő utasításának megfelelően kezelhessék.
E személyek akkor kezelhetik a személyes adat okat az Adatkezelő utasításától eltérően, ha őket az Európai Unió vagy az Európai Unió tagállamának joga erre kötelezi.
6.6.3. Az adatkezelési rendszer általános biztonsági előírásai
Az informatikai rendszerben tárolt egészségügyi és személyes adatokat biztonsága: a Duna Medical Center Kft rendszeréhez jelszó beírását követően lehet hozzáférni, a számítógépes rendszerhez hozzáférő munkavállalók / megbízottak saját belépési kóddal rende lkeznek . Részletesen a LIV DMC IT Szabályzat és SZAB31 -INFORMACIOBIZT dokumentumok tartalmazzák.
6.6.3.1 Adatvédelmi felelős / Adatvédelmi Tisztviselő
Tekintettel arra, hogy a Duna Medical Center Kft egészségügyi adatokat is nagy számban kezel Adatvédelmi
Tisztviselőt nevez ki.
6.6.3.2. Az adatkezelési rendszer sérülése, illetve károsodása esetére tervezett intézkedések
Amennyiben az informatikai rendszer sérül vagy károsodik, akkor a Duna Medical Center Kft a legrövidebb időn belül kapcsolatba lép a rendszergazdával az informatikai rendszer hibájának kijavítása céljából, illetve a rendszer szokásos működésének visszaállí tása céljából a QMS.PR.04.00 szerint.
A Duna Medical Center Kft a biztonsági mentés révén az informatikai rendszer sérülését vagy károsodását megelőző napig rendelkezik az informatikai rendszerben rögzített adatokról készült biztonsági mentéssel, így azok adatveszteség esetén visszaállításra k erülnek.
6.6.4. Az adatok eltulajdonítása elleni védekezés szabályai
A Duna Medical Center Kft érintett helyiségei beléptetőrendszerrel és kamerával védettek, amennyiben egyikük sem tartózkodik a helységben, figyelnek arra, hogy senki idegent ne hagyjanak a helységben egyedül, amíg azt – akár rövid időre is – elhagyják.
A Duna Medical Center Kft alkalmazottai / megbízottai a jelszavas védelemmel ellátott számítógépeket zárolják, amennyiben a Duna Medical Center Kft -t elhagyják, a számítógépek zárolására azonban nem kerül sor vizsgálat elvégzése közben.
A Duna Medical Center Kft a külső számítógépes behatolások megelőzése érdekében tűzfalat alkalmaz, valamint vírusvédelemmel látta el az informatikai rendszert.
6.7. Az adatkezelők jogosultságai
6.7.1. Az adatkezelő azonosítása, az adatkezelési rendszerbe történő belépés, illetve kilépés A Duna Medical Center Kft alkalmazottai egyedi belépési kóddal rendelkeznek az informatikai rendszer használatához, így pontosan azonosítható, hogy mikor ki lépett be az informatikai rendszerbe, abban mennyi ideig tartózkodott, illetve mikor lépett ki az i nformatikai rendszerből.
6.7.2. Az adatkezelők jogosultságának nyilvántartása
A Duna Medical Center Kft alkalmazottai / megbízottai egészségügyi adatokhoz való jogosultságát nyilvántartja. lsd Informatikai Szabályzat ide vonatkozó része.
Az egészségügyi dokumentációnak az adott adatkezelési rendszerben történő ellenőrizhetősége külön szabályzatban kerül rögzítésre az Egészségügyi dokumentációk kezelésének eljárásrendje szerint
6.8. Az adatkezelőkre vonatkozó szabályok
6.8.1. Az adatkezelők munkavégzésre irányuló jogviszonyával összefüggő adatvédelmi vonatkozású kérdések szabályozása
A Duna Medical Center Kft alkalmazottainak munkaszerződése, megbízottainak megbízási szerződése titoktartásra vonatkozó rendelkezést tartalmaz, amely kiterjed az egészségügyi adatokra és a személyes adatokra vonatkozó titoktartásra is.
A Duna Medical Center Kft az alkalmazottait, megbízottait részletesen tájékoztatja az alkalmazottak / megbízottak személyes adatainak kezeléséről, amire a munkáltatói tájékoztatóban (adatkezelési tájékoztató) kerül sor.
6.8.2. Az adatvédelmi képzés szabályozása
A Duna Medical Center Kft alkalmazottai folyamatosan tájékozódnak az egészségügyi és személyes adatok kezelésére vonatkozó jogszabályi előírásokról, az egészségügyi adatok kezelésére vonatkozó iránymutatásokról, valamint a megszerzett információt egymással minden esetben megosztják.
6.9. Adatvédelmi Incidens
Adatvédelmi Incidens történik, ha a személyes adatok biztonsága olyan sérülést szenved, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy a z azokhoz való jogosulatlan hozzáférést eredményezi.
6.9.1. Adatvédelmi Incidens bejelentése
A Duna Medical Center Kft az Adatvédelmi Incidenst indokolatlan késedelem nélkül, lehetőség szerint legkésőbb 72 órával azt követően, hogy az Adatvédelmi Incidensről tudomást szerzett, bejelenti a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, kivé ve, ha az Adatvédelmi Incidens nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
Ha a Duna Medical Center Kft az Adatvédelmi Incidenst, annak tudomására jutásától számított 72 órán belül nem jelenti be, akkor a későbbi bejelentéssel egyidejűleg igazolja a késedelem indokait.
A Duna Medical Center Kft a bejelentésben legalább az alábbiakat ismerteti:
• az Adatvédelmi Incidens jellegét, beleértve – ha lehetséges – az Érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és
hozzávetőleges számát;
• az Adatvédelmi Tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
• az Adatvédelmi Incidensből eredő, valószínűsíthető következményeket;
• az általa az Adatvédelmi Incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az Adatvédelmi Incidensből eredő esetleges hátrányos
következmények enyhítését célzó intézkedéseket.
6.9.2. Adatvédelmi Incidens nyilvántartása
A Duna Medical Center Kft nyilvántartja azokat az Adatvédelmi Incidenseket, amelyek olyan személyes adatokat érintenek, amelyek tekintetében a Duna Medical Center Kft Adatkezelőként jár el (BM.AD.0 4.00)
6.9.3. Érintettek tájékoztatása az Adatvédelmi Incidensről
A Duna Medical Center Kft indokolatlan késedelem nélkül tájékoztatja az Érintetteket valamennyi olyan Adatvédelmi Incidensről, ami olyan személyes adatokat érint, amely tekintetében a Duna Medical Center Kft Adatkezelőként jár el, és amely valószínűsíthető en magas kockázattal jár a természetes személye jogaira és szabadságaira nézve.
A Duna Medical Center Kft az Adatvédelmi Incidensre vonatkozó tájékoztatásban világosan és közérthetően nyújt tájékoztatást az alábbiakról:
• Adatvédelmi Incidens jellege;
• az Adatvédelmi Tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó neve és elérhetőségei;
• az Adatvédelmi Incidensből eredő, valószínűsíthető következmények;
• az általa az Adatvédelmi Incidens orvoslására tett vagy tervezett intézkedések, beleértve adott esetben az Adatvédelmi Incidensből eredő esetleges hátrányos
következmények enyhítését célzó intézkedéseket.
Nem kell azonban az Érintetteket tájékoztatni, ha
• a Duna Medical Center Kft megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az Adatvédelmi Incidens által érintett
adatok tekintetében alkalmazták;
• a Duna Medical Center Kft az Adatvédelmi Incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira
jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg; vagy
• a tájékoztatás aránytalan erőfeszítést tenne szükségessé.
Amennyiben a tájékoztatás aránytalan erőfeszítést tenne szükségessé, akkor a Duna Medical Center Kftnyilvánosan közzétett információk útján tájékoztatja az Érintetteket, vagy olyan hasonló intézkedést hoz, amely biztosítja az Érintettek hasonlóan hatékony tájékoztatását.
Az Adatvédelmi Tisztviselő feladata, hogy az az Adatvédelmi Incidens megtörténtét a Szabályzat részét képező nyilvántartásba felvegye, valamint gondoskodjék az illetékes adatvédelmi hatóság felé történő bejelentéséről a következő domain alatt elérhető form anyomtatvány segítségével: https://dbn - online.naih.hu/public/login
6.10. Adat tvédelmi hatásvizsgálat és előzetes konzultáció
6.10.1. Adatvédelmi hatásvizsgálat
Ha az Adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor a Duna Me dical Center Kft az Adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.
Nem kell azonban hatásvizsgálatot lefolytatni, ha a Duna Medical Center Kft olyan adatkezelési tevékenységet folytat, amely a felügyeleti hatóság által közzétett azon adatkezelési tevékenységek jegyzékében szerepel, amelyekre hatásvizsgálat lefolytatása ne m kötelező.
Olyan, egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.
A Duna Medical Center Kft az adatvédelmi hatásvizsgálat elvégzésekor az Adatvédelmi Tisztviselő szakmai tanácsát köteles kikérni, amennyiben a Duna Medical Center Kft Adatvédelmi Tisztviselőt jelölt ki.
Az adatvédelmi hatásvizsgálatot – többek között – az alábbi esetekben kell elvégezni:
• természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált Adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
• a személyes adatok különleges kategóriái, vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése; vagy
• nyilvános helyek nagymértékű, módszeres megfigyelése.
A Duna Medical Center Kft a következő esetekben mérlegeli az adatvédelmi hatásvizsgálat elvégzését:
• értékelés és pontozás esetén (például profilozás, hitelbírálat, pénzmosás elleni
adatkezelés, marketing, viselkedéselemzés);
• joghatással bíró vagy hasonló jelentős hatással járó automatizált döntéshozatal;
• módszeres megfigyelés és ellenőrzés (például munkahelyi hálózat, nyilvános helyek
megfigyelése);
• különleges adatok vagy fokozottan személyes jellegű adatok kezelése (például
egészségügyi adatok, pénzügyi adatok, elektronikus kommunikáció megfigyelése);
• nagy számban kezelt adatok (például nagymértékű adatkezelési műveletek – érintett
adatalanyok számossága, kezelt adatok mennyisége, változatossága, adatkezelés
időtartama, állandó jellege, földrajzi kiterjedtsége);
• összekapcsolt adatállományok (például eltérő célból vagy eltérő adatkezelő által kezelt
személyes adatok egy helyen történő kezelése);
• kiszolgáltatott személyek adatai (például munkavállalók);
• új technológia vagy innovatív alkalmazások (például dolgok internete);
• az Adatkezelés megnehezíti az Érintettek számára a jogaik gyakorlását (például
bankkártya csalás elleni referencia adatbázis).
A hatásvizsgálat kiterjed legalább az alábbi pontokra:
• a tervezett adatkezelési műveletek módszeres leírására és az Adatkezelés céljainak ismertetésére, beleértve adott esetben a Duna Medical Center Kft által érvényesíteni kívánt jogos érdeket;
• az Adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
• az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és
• a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és a Rendelettel való összhang igazolását szolgáló, az Érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.
A hatásvizsgálatot nem kell lefolytatni, ha
• az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges vagy közérdekű, vagy a Duna Medical Center Kftra mint Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges Adatkezelés jogalapjá t uniós vagy az adatkezelőre alkalmazandó tagállami jog írja elő, és
• e jog a szóban forgó konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint
• e jogalap elfogadása során egy általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot,
kivéve, ha a tagállamok az adatkezelési tevékenységet megelőzően ilyen hatásvizsgálat elvégzését szükségesnek tartják.
A hatásvizsgálat lefolytatásához használható hatásvizsgálat mintát jelen Szabályzat 6. sz. Melléklete tartalmazza.
6.11. Adatvédelmi tisztviselő
Az adatvédelmi tisztviselő kijelölése
Az Adatkezelő és az Adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor
• az Adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
• az Adatkezelő vagy az Adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
• az Adatkezelő vagy az Adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak és a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.
Az adatvédelmi tisztviselő az Adatkezelő vagy az Adatfeldolgozó alkalmazottja lehet, vagy megbízási szerződés keretében láthatja el a feladatait.
A Duna Medical Center Kft közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a felügyeleti hatósággal közli.
6.11.1. Az adatvédelmi tisztviselő jogállása
A Duna Medical Center Kft biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon. A Duna Medical Center Kft támogatja az adatvédelmi tisztviselőt feladatai ellátásában azá ltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.
A Duna Medical Center Kft biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. A Duna Medical Center Kft az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el é s szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül a Duna Medical Center Kft legfelső vezetésének tartozik felelősséggel.
Az Érintettek a személyes Adataik kezeléséhez és a Rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.
Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.
Az adatvédelmi tisztviselő más feladatokat is elláthat. A Duna Medical Center Kft biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség az adatvédelmi tisztviselői feladataival.
6.11.2. Az adatvédelmi tisztviselő feladatai
Az adatvédelmi tisztviselő legalább a következő feladatokat látja el:
• tájékoztat és szakmai tanácsot ad a Duna Medical Center Kft, továbbá az Adatkezelést végző alkalmazottak részére a Rendelet, valamint az egyéb uniós vagy tagállami
adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
• ellenőrzi a Rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi , továbbá a Duna Medical Center Kft személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelés i műveletekben részt vevő személyzet tudatosság -növelését és képzését, valamint a kapcsolódó auditokat is;
• kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
• együttműködik a felügyeleti hatósággal; és
• az Adatkezeléssel összefüggő ügyekben – ideértve az előzetes konzultációt is – kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben
bármely egyéb kérdésben konzultációt folytat vele.
Az adatvédelmi tisztviselő feladatait – az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével – az Adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.
A Duna Medical Center Kft az adatvédelmi tisztviselő kinevezésével kapcsolatban az alábbi szempontokat mérlegelte és az alábbi szempontok alapján hozta meg az adatvédelmi tisztviselő kinevezésével kapcsolatos döntést:
A Duna Medical Center Kft a közfeladat ellátására, illetve az egészségügyi adatok nagy számban történő kezelésére tekintettel adatvédelmi tisztviselőt nevez ki. Az adatvédelmi tisztviselő neve és elérhetőségei: a Duna Medical Center internetes honlapján ta lálható a jogi nyilatkozatban.
6.11.3. Kártérítéshez való jog
Minden olyan személy, aki a Rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az Adatkezelőtől vagy az Adatfeldolgozótól kártérítésre jogosult.
Az Adatkezelésben érintett valamennyi Adatkezelő felelősséggel tartozik minden olyan kárért, amelyet a Rendeletet sértő Adatkezelés okozott.
Az Adatfeldolgozó csak abban az esetben tartozik felelősséggel az Adatkezelés által okozott károkért, ha nem tartotta be a Rendeletben meghatározott, kifejezetten az
Adatfeldolgozókat terhelő kötelezettségeket, vagy, ha az Adatkezelő jogszerű utasításait f igyelmen kívül hagyta vagy azokkal ellentétesen járt el.
Az Adatkezelő, illetve az Adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.
Ha több Adatkezelő vagy több Adatfeldolgozó, vagy mind az Adatkezelő, mind az Adatfeldolgozó érintett ugyanabban az Adatkezelésben, és egyaránt felelősséggel tartozik az Adatkezelés által okozott károkért, minden egyes Adatkezelő vagy Adatfeldolgozó az éri ntett tényleges kártérítésének biztosítása érdekében egyetemleges felelősséggel tartozik a teljes kárért.
Ha valamely Adatkezelő vagy Adatfeldolgozó teljes kártérítést fizetett az elszenvedett kárért, jogosult arra, hogy az ugyanazon Adatkezelésben érintett többi Adatkezelőtől vagy Adatfeldolgozótól követelje a kártérítésnek azt a részét, amely tekintetében a kárt a többi Adatkezelő vagy Adatfeldolgozó okozta.
7. KAPCSOLÓDÓ DOKUMENTUMOK:
1) AZ EURÓPAI PARLAMENT ÉS TANÁCS (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről
2) 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
3) az egészségügyről szóló 1997. CLIV. törvény (a továbbiakban: Eütv.),
4) az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről védelméről szóló 1997. évi XLVII. törvény (a továbbiakban: Eüak.),
5) Informatikai Szabályzat – SZAB03 -IT
6) Iratkezelési Szabályzat – SZAB02 -IRAT
7) Egészségügyi dokumentációk kezelésének eljárásrendje - ER-EUDOKUMENTACIO
8) Információbiztonsági Szabályzat – SZAB31 -INFORMACIOBIZT
9) További jogszabályi háttér:
10) Jogszabály/hivatkozás száma, címe
11) Magyarország Alaptörvénye
12) 1996. évi XXXI törvény a tűz elleni védekezésről, a műszaki mentésről és a tűzoltóságról
13) 1998. évi XXVI törvény a fogyatékos személyek jogairól és esélyegyenlőségük biztosításáról
14) 1999. évi XLII törvény a nemdohányzók védelméről és a dohánytermékek fogyasztásának, forgalmazásának egyes szabályairól
15) 2005. évi XCV. törvény az emberi alkalmazásra kerülő gyógyszerekről és egyéb, a gyógyszerpiacot szabályozó törvények módosításáról
16) 2000. évi XXV törvény a kémiai biztonságról
17) 96/2003. (VII. 15.) Korm. rendelet az egészségügyi szolgáltatás gyakorlásának általános feltételeiről, valamint a működési engedélyezési eljárásról
18) 44/2000(XII.27) EüM. rendelet A veszélyes anyagokkal és veszélyes készítményekkel kapcsolatos egyes eljárásokról, illetve tevékenységek részletes szabályairól
19) 117/1998. (VI.3.) Kormányrendelet egyes egészségügyi ellátások visszautasításának részletes szabályairól
20) 28/2000. (X.11.) EüM rendelet a tűzvédelem és a műszaki mentés egészségügyi ágazatra vonatkozó különös szabályairól
21) 2006. évi XCVII. törvény az egészségügyben működő szakmai kamarákról
22) 60/2003. (X.20)ESzCsM . rendelet az egészségügyi szolgáltatások nyújtásához szükséges Szakmai minimumfeltételekről
23) 2003. évi LXXXIV. törvény az egészségügyi tevékenység végzésének egyes kérdéseiről
24) 64/2011. (XI. 29.) NEFMI rendelet az orvosok, fogorvosok, gyógyszerészek és az egészségügyi felsőfokú szakirányú szakképesítéssel rendelkezők folyamatos továbbképzéséről
25) 210/2009. (IX. 29.) Korm. rendelet a kereskedelmi tevékenységek végzésének feltételeiről
26) 42/1995. (XI.14.) NM rendelet a betegségek Nemzetközi Osztályozása X. Revíziója bevezetéséről
27) 27/1996. (VIII.28.) NM rendelet a foglalkozási betegségek és fokozott expozíciós esetek bejelentéséről és kivizsgálásáról
28) 1/2014. (I. 16.) EMMI rendelet a fertőző betegségek jelentésének rendjéről
29) 335/2005. (XII. 29.) Korm. rendelet a közfeladatot ellátó szervek iratkezelésének általános követelményeiről – iránymutatási szinten, mivel a hatálya nem terjed ki magánszolgáltatóra
30) 50/1999. (XI.3.) EüM rendelet a képernyő előtti munkavégzés minimális egészségügyi és biztonsági követelményeiről
31) 63/2006. (III. 27.) Korm. rendelet a pénzbeli és természetbeni szociális ellátások igénylésének és megállapításának, valamint folyósításának részletes szabályairól
32) a Polgári Törvénykönyvről szóló 2013. évi V. törvény
33) 2011. évi CLXXV. törvény az egyesülési jogról, a közhasznú jogállásról, valamint a civil szervezetek működéséről és támogatásáról
34) 2003. évi LXXXIV törvény az egészségügyi tevékenység végzésének egyes kérdéseiről
35) 12/2017. (VI.12.) EMMI rendelet az egészségügyi szolgáltatónál képződő hulladékkal kapcsolatos hulladékgazdálkodási tevékenységekről
36) 16/2002 (XII. 12) ESzCsM. rendelet az egynapos sebészeti és kúraszerűen végezhető ellátások szakmai feltételeiről
37) Járóbeteg Ellátási Standardok Kézikönyv
38) Magyar Egészségügyi Ellátási Standardok 2.0
39) 2/2004. (XI. 17.) EüM rendelet az egészségügyi szolgáltatók és működési engedélyük nyilvántartásáról, valamint az egészségügyi szakmai jegyzékről
40) 16/2019 (VII.30) EMMI rendelet az egészségügyi szolgáltatók szakfelügyeletéről
41) 2012. évi LXXVI. törvény egyes törvényeknek és törvényi rendelkezéseknek a jogrendszer túlszabályozottságának megszüntetése érdekében szükséges technikai deregulációjáról
42) 46/2012 (III. 28.) Korm. rendelet A fekvőbeteg szakellátást nyújtó intézmények részére történő gyógyszer -, orvostechnikai eszköz és fertőtlenítőszer beszerzésének országos központosított rendszeréről
43) 235/2009. (X. 20.) Korm. rendelet Az emberen végzett orvostudományi kutatások, az emberi felhasználásra kerülő vizsgálati készítmények klinikai vizsgálata, valamint az emberen történő
44) alkalmazásra szolgáló, klinikai vizsgálatra szánt orvostechnikai eszközök klinikai vizsgálata engedélyezési eljárásának szabályairól
45) 337/2008 (XII. 30.) Korm. rendelet Az egészségügyi ellátórendszer fejlesztéséről szóló 2006. évi CXXXII. törvény végrehajtásáról
46) 41/2007 (IX. 19.) EüM rendelet A közforgalmú, fiók - és kézigyógyszertárak, továbbá intézeti gyógyszertárak működési, szolgálati és nyilvántartási rendjéről
47) 63/2011. (XI. 29.) NEFMI rendelet Az egészségügyi szakdolgozók továbbképzésének szabályairól
48) 66/2011. (XII. 13.) NEFMI rendelet Az egészségügyi szakdolgozó által, orvosi elrendelésre önállóan is ellátható tevékenységek felelősségi, szakmai, szakképesítési és szakképzettségi feltételeiről
49) 44/2004. (IV. 28.) ESzCsM rendelet az emberi felhasználásra kerülő gyógyszerek rendeléséről és kiadásáról
50) 301/2016. (IX. 30.) Korm. rendelet a közérdekű adat iránti igény teljesítéséért megállapítható költségtérítés mértékéről
51) 26/2014. (IV. 8.) EMMI rendelet a várandósgondozásról
52) 66/2012. (IV. 2.) Korm. rendelet a kábítószerekkel és pszichotróp anyagokkal, valamint az új
53) pszichoaktív anyagokkal végezhető tevékenységekről, valamint ezen anyagok jegyzékre vételéről és jegyzékeinek módosításáról
54) 43/2005. (X. 15.) EüM rendelet a fokozottan ellenőrzött szernek minősülő gyógyszerek orvosi rendelésének, gyógyszertári forgalmazásának, egészségügyi szolgáltatóknál történő felhasználásának, nyilvántartásának és tárolásának rendjéről 55) 33/1998. (VI. 24.) NM rendelet a munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről (alkalmasság)
56) 2008. évi XXI. törvény a humángenetikai adatok védelméről, a humángenetikai vizsgálatok és kutatások, valamint a biobankok működésének szabályairól
57) 13/1992. (VI. 26.) NM rendelet a közúti járművezetők egészségi alkalmasságának megállapításáról
58) 21/2002. (XI. 8.) GKM -ESzCsM együttes rendelet a hajózási egészségi alkalmasság feltételeiről és vizsgálati rendjéről
59) 22/ 1991. (XI. 15.) NM rendelet a kézilőfegyverek, lőszerek, gáz - és riasztófegyverek megszerzésének és tartásának egészségi alkalmassági feltételeiről és vizsgálatáról
60) 2139/2016 (XII.21) EMMI rendelet az EESZT -vel kapcsolatos részletes szabályokról
61) 76/2004. (VIII. 19.) ESZCSM rendelet az egyes személyazonosításra alkalmatlan ágazati (egészségügyi, szakmai) adatok körének meghatározására, gyűjtésére, feldolgozására vonatkozó részletes szabályokról
62) 49/2018. (XII. 28.) EMMI rendelet a népegészségügyi szempontból kiemelt jelentőségű vagy egyébként jelentős költségteherrel járó megbetegedések köréről, a megbetegedéseket nyilvántartó betegségregisztert vezető szerv kijelöléséről, valamint ezen megbeteged ések bejelentésére és nyilvántartására vonatkozó részletes szabályokról
63) 2012. évi I. törvény a munka törvénykönyvéről
64) 2000. évi C. törvény a számvitelről
65) 2023. évi XC. törvény a harmadik országbeli állampolgárok beutazására és tartózkodására vonatkozó általános szabályokról
66) 445/2013. (XI. 28.) Korm. rendelet a harmadik országbeli állampolgárok magyarországi foglalkoztatásának nem összevont kérelmezési eljárás alapján történő engedélyezéséről, az engedélyezési kötelezettség alóli mentességről, a fővárosi és megyei kormányhivat al munkaügyi központjának az összevont kérelmezési eljárásban való szakhatósági közreműködéséről, valamint a Magyarországon engedélymentesen foglalkoztatható harmadik országbeli állampolgárok magyarországi foglalkoztatásának bejelentéséről, és a munkabér m egtérítéséről
67) 2017. évi CL. törvény az adózás rendjéről
68) 2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól
69) 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről
70) 2007. évi CXXVII. törvény az általános forgalmi adóról
71) 2000. évi CXVI. törvény az egészségügyi közvetítői eljárásról
72) 1999. évi XLII. törvény a nemdohányzók védelméről és a dohánytermékek fogyasztásának, forgalmazásának egyes szabályairól (2. § (1) e) e) az egészségügyről szóló 1997. évi CLIV. törvény (a továbbiakban: Eütv.) 3. § f) pontja szerinti egészségügyi szolgáltató közforgalom számára nyitva álló bejáratától számított 10 méteren belül )
73) 1998. évi XXVI. törvény a fogyatékos személyek jogairól és esélyegyenlőségük biztosításáról (12. § (1) A fogyatékos személy egészségügyi ellátása során – az 1997. évi CLIV. törvénnyel összhangban – figyelemmel kell lenni a fogyatékosságából adódó szükségleteire)
74) 1995. évi LXVI. törvény a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről
75) 1995. évi CXVII. törvény a személyi jövedelemadóról
1. sz. melléklet: A Duna Medical Center Kft adatvédelemmel kapcsolatos szabályzói
2. sz. melléklet: Adatkezelési nyilvántartás sablon
3. sz. melléklet: Adatfeldolgozók nyilvántartása sablon
4. sz. melléklet: Adatkezelési tájékoztató sablon
5. sz. melléklet: Adatvédelmi incidensek nyilvántartása sablon
6. sz. melléklet: Adatvédelmi hatásvizsgálat sablon
7. sz. melléklet: Kérelem egészségügyi dokumentációba vagy egyéb személyes adatokba
való betekintésre és/vagy másolat készítésére
8. sz. melléklet: Adatvédelmi kérések nyilvántartása
