Adatvédelmi szabályzat

ADATVÉDELMI SZABÁLYZAT ÉS BELSŐ ADATVÉDELMI ELJÁRÁSREND

az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény, az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény valamint az Európai Parlament és a Tanács (EU) 2016/679 számú Rendelete (Általános Adatvédelmi Rendelet – GDPR) alapján

Sportkontroll Korlátolt Felelősségű Társaság
1124 Budapest, Apor Vilmos tér 11. I. emelet

I. Előszó; alanyi és tárgyi hatály
II. Adatvédelmi alapfogalmak
III. Adatvédelmi alapelvek
IV. A Társaság adatkezelői tevékenysége, az adatkezelés belső eljárási szabályai
V. Az adatalanyok (érintettek) jogosultságai és tájékoztatásuk
VI. Adatvédelmi nyilvántartás; bejelentési kötelezettség; adatkezelési nyilvántartás
VII. Ellenőrzés; felelősség; adatmegőrzési kötelezettség; adatvédelmi incidensek kezelése; adatvédelmi felelős; adatvédelmi tisztviselő; adatvédelmi hatásvizsgálat és előzetes konzultáció
VII. Egyéb

2018.május 25.

I. Előszód

Magyarország Alaptörvénye VI. cikkének (2) és (3) bekezdése szerint:

„Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez.

A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi.”

Az Országgyűlés az Alaptörvény fent idézett előírásaihoz igazodva megalkotta az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényt (a továbbiakban: Infotv.), amely részletes szabályozást tartalmaz a személyes adatokra, a különleges adatokra, a közérdekű adatokra, valamint a közérdekből nyilvános adatokra vonatkozóan, ide értve elsősorban a személyes és különleges adatokkal összefüggő – automatizált eszközzel vagy manuális módon végzett – adatkezelésre és adatfeldolgozásra vonatkozó előírásokat.

Az Alaptörvény ugyanezen előírásaihoz igazodik az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (a továbbiakban: Eatv.), amely – az Infotv. szabályaival összhangban – szabályozza az egészségügyi ellátással összefüggő adatkezelést.

Tevékenysége során a Sportkontroll Kft. (a továbbiakban: Társaság) is végez az Infotv. 3. §-ának 10. pontja és az Eatv. szerinti adatkezelést, így a Társaság az Infotv. 3. §-ának 9. pontja szerinti adatkezelőnek minősül.

Adatkezelőként a Társaság köteles maradéktalanul betartani és munkavállalóival, valamint a vele egyéb szerződéses vagy egyéb jogviszonyban álló harmadik személyekkel is betartatni az Infotv. és az Eatv. adatkezelésre (és az esetleges adatfeldolgozásra vagy adattovábbításra) vonatkozó előírásait.

E körben az Infotv. 7. §-a az alábbiakat írja elő:

„Az adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az e törvény és az adatkezelésre vonatkozó más szabályok alkalmazása során biztosítsa az érintettek magánszférájának védelmét.

Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.

Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok – kivéve ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.

A személyes adatok automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel biztosítja

  1. a) a jogosulatlan adatbevitel megakadályozását;
  1. b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
  1. c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
  1. d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
  1. e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
  1. f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

Az adatkezelőnek és az adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek.”

Fentiekhez igazodva az Eatv. 1. és 6. §-ai az alábbiakat rögzítik:

„E törvény célja, hogy meghatározza az egészségi állapotra vonatkozó különleges személyes adatok és az azokhoz kapcsolódó személyes adatok kezelésének feltételeit és céljait. Személyes adatot csak törvényes cél eléréséhez szükséges esetekben és mértékben lehet kezelni.

Az egészségügyi és személyazonosító adatok kezelése és feldolgozása során biztosítani kell az adatok biztonságát véletlen vagy szándékos megsemmisítéssel, megsemmisüléssel, megváltoztatással, károsodással, nyilvánosságra kerüléssel szemben, továbbá, hogy azokhoz illetéktelen személy ne férjen hozzá.”

2016. április 27-én az Európai Parlament és a Tanács (EU) elfogadta a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 számú rendeletet (Általános Adatvédelmi Rendelet – a továbbiakban: GDPR).

A GDPR XI. Fejezet 99. cikkének (2) bekezdése értelmében a rendeletet 2018. május 25-től kell alkalmazni. A GDPR 99. cikkének (3) bekezdése akként rendelkezik, hogy a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

A Társaság ügyvezetése a fentiekre tekintettel úgy határozott, hogy bár a Társaság nem tartozik az Infotv. 24. §-ában felsorolt adatkezelők körébe, azonban a 2018. május 25-től kötelezően és közvetlenül alkalmazandó GDPR előírásainak való megfelelés, valamint a fentebb is részletezett célok elérése érdekében a Társaság adatkezelői tevékenységére vonatkozóan adatvédelmi szabályzatot/belső adatvédelmi eljárásrendet alkot, amelynek részletes szabályait a jelen okiratba foglaltan kívánja rögzíteni.

A jelen szabályzat/eljárásrend célja a fentiekkel összhangban mindazon belső eljárási szabályok kialakítása, amelyek révén biztosítható a Társaság adatkezelői tevékenységének maradéktalan jogszabályi megfelelősége, az adatvédelem Alaptörvényben is rögzített elvének és az adatbiztonság követelményeinek érvényesülése, továbbá megakadályozható a személyes adatokhoz (egészségügyi és személyazonosító adatokhoz) való jogosulatlan hozzáférés, illetőleg az adatok megváltoztatása és jogosulatlan nyilvánosságra hozatala.

A jelen szabályzat/eljárásrend alanyi hatálya kiterjed elsősorban a Társaság valamennyi munkavállalójára és a Társaság által egyéb jogviszonyban foglalkoztatott személyekre, akik a Társaság tevékenysége körében adatkezelést végeznek vagy tevékenységük az adatkezeléssel összefüggésbe hozható. Kiterjed továbbá a Társasággal bármely szerződéses vagy egyéb jogviszonyban álló harmadik személyekre és azok munkavállalóira, alkalmazottaira és egyéb közreműködőire, akiknek tevékenysége az adatkezelést és/vagy adatfeldolgozást vagy adattovábbítást bármilyen formában érinti vagy azzal összefüggésbe hozható.

A szabályzat/eljárásrend tárgyi hatálya kiterjed a Társaság valamennyi szervezeti egységében, valamint a Társasággal bármely szerződéses vagy egyéb jogviszonyba kerülő harmadik személyeknél folytatott, az Infotv. és az Eatv. szerinti személyes vagy különleges adatokkal (egészségügyi és személyazonosító adatokkal) kapcsolatos adatkezelésre és/vagy adatfeldolgozásra, adattovábbításra.

A Társaság a jelen szabályzatban/eljárásrendben rögzített előírások betartását szerződéses partnerei tekintetében akként biztosítja, hogy az általa megkötendő szerződések létrejöttét megelőzően a szerződő partnereket (a szabályzat/eljárásrend előírásainak ismertetésével vagy a szabályzat/eljárásrend egy példányának átadásával) tájékoztatja az itt leírtakról, és a jelen okiratban rögzítetteket lehetőségeihez mérten, illetőleg legalább a mindenkor hatályos és alkalmazandó jogszabályi előírásoknak való megfeleléshez szükséges mértékben a megkötésre kerülő szerződések részévé teszi.

II. Adatvédelmi alapfogalmak

Személyes adat

Bármely meghatározott (azonosított vagy – közvetlenül vagy közvetve – azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel a kapcsolat akkor állítható helyre, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.

A személy különösen akkor tekinthető azonosíthatónak, ha őt – közvetlenül vagy közvetve – név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet.

Az érintett egyediesítésére az ún. természetes vagy mesterséges személyazonosító adatok szolgálnak.

a) Természetes személyazonosító adatok

Természetes azonosító adat különösen az érintett:

  • családi és utóneve, születési családi és utóneve, leánykori neve
  • neme
  • anyja születési családi és utóneve,
  • születési helye és ideje,
  • lakóhelyének, illetve tartózkodási helyének címe.

b) Mesterséges személyazonosító adatok

Mesterséges személyazonosító adatok a matematikai vagy más algoritmus szerint generált adatok, így különösen:

  • a személyi azonosító kód,
  • a társadalombiztosítási azonosító jel (TAJ szám),
  • az adóazonosító jel,
  • a személyi igazolvány száma,
  • az útlevél száma.

A GDPR I. Fejezet 4. cikkének 1. pontja szerint:

  1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
  2. Különleges adat

 

Különleges adatok az alábbiak: 

  1. a) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,
  2. b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat.

 

Egészségügyi adat

Az érintett testi, értelmi és lelki állapotára, kóros szenvedélyére, valamint a megbetegedés, illetve az elhalálozás körülményeire, a halál okára vonatkozó, általa vagy róla más személy által közölt, illetve az egészségügyi ellátóhálózat által észlelt, vizsgált, mért, leképzett vagy származtatott adat; továbbá az előzőekkel kapcsolatba hozható, az azokat befolyásoló mindennemű adat (pl. magatartás, környezet, foglalkozás).

A GDPR I. Fejezet 4. cikkének 15. pontja szerint:

15. „egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról.

 

Adatkezelés

Az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.

A GDPR I. Fejezet 4. cikkének 2. pontja szerint:

2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

 

Adatkezelő

Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.

Az Eatv. alkalmazásában az Eatv. 3. §-ának i) pontjában rögzítettek (így többek között a betegellátó, az intézményvezető és az adatvédelmi felelős, az egészségügyi dokumentációt kezelő szerv) minősülnek adatkezelőnek.

A GDPR I. Fejezet 4. cikkének 7. pontja szerint:

7. „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja

 

Adatfeldolgozás

Az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik.

 

Adatfeldolgozó

Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján – beleértve a jogszabály rendelkezése alapján történő szerződéskötést is – adatok feldolgozását végzi.

A GDPR I. Fejezet 4. cikkének 7. pontja szerint:

8. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel

 

Adattovábbítás

Az a művelet, amelynek során az adatot meghatározott harmadik személy (az ügyfél eredeti céljától eltérő adatkezelő szakterület, cég vagy hatóság) számára hozzáférhetővé teszik. Az adatfeldolgozónak történő adatátadás a szó klasszikus értelmében nem adattovábbítás.

 

Adatalany

Minden olyan természetes személy, akinek személyes adatával kapcsolatban az adatkezelő adatkezelést végez.

 

Profilalkotás

A GDPR I. Fejezet 4. cikkének 4. pontja szerint:

4. „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.

 

Álnevesítés

A GDPR I. Fejezet 4. cikkének 5. pontja szerint:

5. „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni.

 

Adatvédelmi incidens

A GDPR I. Fejezet 4. cikkének 12. pontja szerint:

12. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

 

Egészségügyi dokumentáció

A gyógykezelés során a betegellátó tudomására jutott egészségügyi és személyazonosító adatokat tartalmazó feljegyzés, nyilvántartás vagy bármilyen más módon rögzített adat, függetlenül annak hordozójától vagy formájától.

 

III. Adatvédelmi alapelvek

Az Infotv. és az Eatv. az alábbi főbb adatvédelmi alapelvek betartását írja elő az adatkezelő számára:

Adatgyűjtés korlátozásának elve: 

Személyes adatok gyűjtése csak törvényes és tisztességes eszközökkel, az adatalany tudtával és beleegyezésével történhet.

Az adatminőség elve:

Az adatoknak az adatkezelés céljával összhangban:

  • pontosnak,
  • teljesnek és
  • naprakésznek kell lenniük.

A célhoz kötöttség elve: 

Személyes adatok csak előre meghatározott célból, csak a cél megvalósulásához szükséges mértékben és ideig kezelhetőek. Az ún. készletező adatgyűjtés tilos. Az egészségügyi és személyazonosító adatok kezelésének céljait az Eatv. 4. §-ának (1) és (2) bekezdései tételesen rögzítik. Ettől eltérő célra az érintett adatalany, illetőleg törvényes vagy meghatalmazott képviselője – megfelelő tájékoztatáson alapuló – hozzájárulásával lehet egészségügyi és személyazonosító adatot kezelni.

Az egészségügyi adatok statisztikai célú kezelésére az Eatv. 20. §-ában, a tudományos kutatás céljából történő adatkezelésre (betekintésre) pedig az Eatv. 21. §-ában előírtak az irányadóak.

A korlátozott felhasználás elve:

Az adatokat csak az adatalany hozzájárulásával vagy törvényi felhatalmazással lehet felhasználni

A biztonság elve:

Az adatokat a technika mindenkori állásának megfelelő ésszerű intézkedésekkel védeni kell a

  • jogosulatlan hozzáférés,
  • megváltoztatás,
  • nyilvánosságra hozás,
  • sérülés és
  • megsemmisülés ellen.

A nyíltság elve:

Az adatkezelés tényének, helyének és céljának, az adatkezelő személyének, valamint az adatkezelési politikának nyilvánosnak kell lennie.

A személyes részvétel elve:

Az adatalany megismerheti a reá vonatkozó adatokat, azokat (ha ez irányú igénye alapos) helyesbítheti, kiegészítheti, vagy töröltetheti.

Az önkéntesség és a kötelező adatszolgáltatás elve:

Az Eatv. 12. §-ának (1) bekezdése értelmében az egészségügyi és a személyazonosító adatoknak az érintett részéről történő szolgáltatása – az egészségügyi ellátás igénybevételéhez kötelezően előírt személyazonosító adatok és az Eatv. 13. §-ában foglaltak kivételével – önkéntes.

Amennyiben az érintett önként fordul az egészségügyi ellátóhálózathoz (a Társasághoz), az esetben a gyógykezeléssel összefüggő egészségügyi és személyazonosító adatainak kezelésére szolgáló hozzájárulását – ellenkező nyilatkozat hiányában – megadottnak kell tekinteni, és erről az érintettet (vagy törvényes képviselőjét) tájékoztatni kell.

Az érintett (vagy törvényes képviselője) köteles a betegellátó felhívására egészségügyi és személyazonosító adatait átadni,

  1. ha valószínűsíthető vagy beigazolódott, hogy az 1. számú mellékletben felsorolt valamely betegség kórokozója által fertőződött, vagy fertőzéses eredetű mérgezésben, illetve fertőző betegségben szenved, kivéve az Eatv. 15. § (6) bekezdése szerinti esetet,
  2. ha arra az Eatv. 2. számú mellékletében felsorolt szűrő- és alkalmassági vizsgálatok elvégzéséhez van szükség,
  3. heveny mérgezés esetén,
  4. ha valószínűsíthető, hogy az érintett az Eatv. 3. számú melléklete szerinti foglalkozási eredetű megbetegedésben szenved,
  5. ha az adatszolgáltatásra a magzat, illetve a kiskorú gyermek gyógykezelése, egészségi állapotának megőrzése vagy védelme érdekében van szükség,
  6. ha bűnüldözés, bűnmegelőzés céljából, továbbá ügyészségi, bírósági eljárás, illetve szabálysértési vagy közigazgatási hatósági eljárás során az illetékes szerv a vizsgálatot elrendelte,
  7. ha az adatszolgáltatásra a nemzetbiztonsági szolgálatokról szóló törvény szerinti ellenőrzés céljából van szükség.

A felelősség elve:

Az adatkezelő felelős a fenti elvek betartásáért, szükség esetén pedig alkalmasnak kell lennie arra, hogy bizonyítsa az adatkezelés jogszerűségét.

A fentebb részletezett alapelvek figyelembevételével az adatkezelő az adatkezeléssel összefüggésben elsősorban az alábbi jogszabályi előírásokat köteles betartani:

Az adatkezelés feltételei

Az Infotv. szabályai szerint személyes adat akkor kezelhető, ha:

  • a) ahhoz az érintett hozzájárul, vagy
  • b) azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (kötelező adatkezelés).

Különleges adat az Infotv. 5. §-ának (2) bekezdésében, valamint az Infotv. 6. §-ában rögzített esetekben kezelhető, tehát akkor, ha:

  • a) ahhoz az érintett írásban hozzájárul, vagy
  • b) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adatok esetében az törvényben kihirdetett nemzetközi szerződés végrehajtásához szükséges, vagy azt az Alaptörvényben biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése érdekében vagy honvédelmi érdekből törvény elrendeli, vagy
  • c) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adatok esetében törvény közérdeken alapuló célból elrendeli,
  • d) az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése:
    • da) az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy
    • db) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll,
  • e) az érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az érintett személyes adatai kezelhetőek,
  • f) a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában:
    • fa) a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy
    • fb) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.

 

Az adatkezelés célhoz kötöttsége; az érintett előzetes tájékoztatásának követelménye

Az Infotv. az adatkezelés célhoz kötöttsége tekintetében előírja, hogy:

  • a) Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak.
  • b) Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, mégpedig kizárólag a cél megvalósulásához szükséges mértékben és ideig.

Az Infotv. az előzetes tájékoztatás körében előírja, hogy:

  • a) Az érintettel az adat felvétele előtt közölni kell, hogy az adatszolgáltatás önkéntes vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is.
  • b) Az érintettet az adatkezelés megkezdése előtt – egyértelműen és részletesen – tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, az Infotv. 6. § (5) bekezdése szerinti adatkezelésről, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.

A gyógykezelés során a kezelést végző orvoson és az egyéb betegellátó személyeken kívül csak az lehet jelen, akinek jelenlétéhez az érintett hozzájárul. Az érintett hozzájárulása nélkül is jelen lehetnek a gyógykezelés során az Eatv. 14. § (1) bekezdés a)-d) pontjaiban, valamint az Eatv. 14. § (2) bekezdésében felsorolt személyek.

 

Az adatok minősége

Az adatkezelés során kezelt személyes adatoknak az alábbi jogszabályi (minőségi) követelményeknek kell megfelelniük:

  • a) felvételük és kezelésük tisztességes és törvényes,
  • b) pontosak, teljesek és – ha ez az adatkezelés céljára tekintettel szükséges – naprakészek,
  • c) tárolásuk módja alkalmas arra, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani.

 

Adatbiztonság

Az Infotv. és az Eatv. az adatok biztonsága tekintetében – az I. fejezetben már említettek szerint – többek között az alábbi kötelezettségeket írja elő:

  • a) Az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
  • b) Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik.

A GDPR a fentieken túl az alábbi főbb adatvédelmi alapelveket rögzíti:

  • „jogszerűség, tisztességes eljárás és átláthatóság”
  • „célhoz kötöttség”
  • „adattakarékosság”
  • „pontosság”
  • „korlátozott tárolhatóság”
  • „integritás és bizalmas jelleg”
  • „elszámoltathatóság”

 

IV. A Társaság adatkezelői tevékenysége, az adatkezelés belső eljárási szabályai

Tevékenysége során a Társaság is végez az Infotv. 3. §-ának 10. pontja és az Eatv. 9. §-a szerinti (gyógykezeléssel összefüggő) adatkezelést, így a Társaság az Infotv. 3. §-ának 9. pontja és az Eatv. 3. § i) pontja, valamint a GDPR I. Fejezet 4. cikkének 7. pontja szerinti adatkezelőnek minősül.

A Társaság a fenti adatkezelési tevékenysége keretében – figyelemmel főtevékenységének jellegére –az Infotv. 3. § 2. pontja és az Eatv. 3. § b) pontja szerinti személyes adatokat, valamint az Infotv. 3. § 3. pontja és az Eatv. 3. § a) pontja, illetőleg a GDPR I. Fejezet 4. cikkének 15. pontja szerinti különleges adatokat (az egészségi állapotra vonatkozó ún. egészségügyi adatokat) is kezel.

A Társaság ún. közös adatkezelői tevékenységet (GDPR IV. Fejezet 26. cikke) nem végez.

A jelen szabályzat/eljárásrend alanyi hatálya alá tartozó személyek (ld.: I. pont) kötelesek – az alábbiakban részletezett egyedi előírásokat is figyelembe véve – betartani és másokkal is betartatni a III. pontban részletezett előírásokat.

 

Az adatkezelés terjedelme

A Társaság adatkezelési tevékenysége az alábbi adatokat érinti:

  • b) a Társasággal kapcsolatba kerülő betegek (páciensek) alább felsorolt személyes adatait, az azonosításukhoz, a gyógyászati kezelésükhöz, valamint a velük való kapcsolattartáshoz szükséges mértékben:
    • (születési) családi és utónév, leánykori név
    • esetleges törvényes képviselő családi és utóneve,
    • neme,
    • anyja születési családi és utóneve,
    • születési hely és idő,
    • TAJ szám,
    • lakcím,
    • telefonszám,
    • e-mail cím,
    • egészségpénztári tagság és tagi azonosítószám.
  • c) a Társasággal kapcsolatba kerülő betegek (páciensek) gyógykezelésével összefüggésben keletkezett/keletkező, alább felsorolt különleges/egészségügyi adatokat:
    • anamnézis,
    • előző betegségekre vonatkozó adatok,
    • családi anamnézis,
    • az adott gyógykezelés alapját képező panaszok,
    • korábbi orvosi leletek,
    • aktuális státusz és annak leírása,
    • étkezési napló,
    • kezelőorvos által javasolt vizsgálatok,
    • kivizsgálási terv,
    • kezelőorvos/ dietetikus által javasolt kontroll időpontok,
    • gyógyszerszedéssel és kezeléssel kapcsolatos javaslatok

 

Az adatkezelés terjedelme

A Társaság az alábbiak szerint végez adatkezelési tevékenységet:

A Páciensnek az egészségügyi szolgáltatások első alkalommal történő igénybevételét megelőzően a Társaság hivatalos internetes oldalán (//sportkontroll.hu/) az időpont-foglalással egyidejűleg kell regisztrálnia, az alábbi személyes adatok megadásával:

  • név
  • e-mail cím
  • jelszó (kétszer szükséges megadni)
  • telefonszám
  • TAJ szám
  • lakcím (irányítószám, város, cím)
  • születési dátum

Bizonyos szolgáltatások igénybe vétele esetén:

  • dietetikai konzultáció
  • csomag megrendelés
  • távkonzultáció
  • online receptigénylés

külön regisztrációra van szükség a Sportkontroll weboldalára. Ezt a páciens a Belépés menüpontra kattintva tudja megtenni.

A weboldali regisztrációval egyidejűleg a Páciens a Sportkontroll online rendszerében saját internetes felhasználói fiókot kap, amelybe – a fiók aktiválását követően – a továbbiakban az e-mail címének és jelszavának megadásával van lehetősége belépni.

A regisztrációt követően a Sportkontroll elektronikus levélben ún. aktiváló linket küld a Páciens által a regisztráció során megadott e-mail címre. A Páciens az aktiváló linkre történő kattintással tudja saját internetes felhasználói fiókját aktiválni.

A Páciensnek a Társaság rendelőjében történő első személyes megjelenése során ki kell töltenie és alá kell írnia az erre a célra rendszeresített Beleegyező nyilatkozatot, amelyen a regisztráció során megadott személyes adatain túl az alábbi személyes adatokat kell feltüntetnie:

  • születési hely
  • anyja neve
  • egészségpénztári kód

A Páciensnek a Társaság rendelőjében történő első személyes megjelenése alkalmával kerül megnyitásra a Társaság által használt DokiRex SQL orvosi adminisztrációs és páciens-nyilvántartó rendszerben a Páciens vizsgálati lapja/táplálkozási anamnézise, amely dátum szerint rögzíti a személyes konzultáció/vizsgálat időpontját (orvosi vizsgálat és dietetikai konzultáció esetén egyaránt).

A Társaság a Páciens fentebb felsorolt személyes adatait papíralapon a Beleegyező nyilatkozaton tárolja el, amely dokumentumot a Társaság munkatársa tárolás céljából lefűz.

A Társaság a páciens adatait elektronikus úton a fent említett DokiRex SQL orvosi adminisztrációs és páciens-nyilvántartó rendszerben, valamint egyes esetekben a Páciens által a Társaság online rendszerében létrehozott saját internetes felhasználói fiókban tárolja el.

A Társaság az érintettek különleges adatait/egészségügyi adatait ugyancsak a DokiRex SQL orvosi adminisztrációs és páciens-nyilvántartó rendszerben, valamint egyes esetekben a Páciens által a Társaság online rendszerében létrehozott saját internetes felhasználói fiókban tárolja el.

A Társaság az érintettnek a személyes adatok, valamint a különleges adatok/egészségügyi adatok kezelésére vonatkozó hozzájárulását (Infotv. 5. § (1) bekezdésének a) pontja, valamint Infotv. 5. § (2) bekezdésének a) pontja) az első kapcsolatfelvételkor, elsőként a Páciensnek a Társaság hivatalos honlapján történő regisztrációja során (az online formában megadott elfogadó nyilatkozatok útján), a Páciensnek a Társaság rendelőjében történő első megjelenése alkalmával pedig külön okiratba foglaltan (ún. Beleegyező nyilatkozatban [tartalmát tekintve adatkezelési hozzájáruló nyilatkozatban]) szerzi be.

A dietetikai tanácsadással/szakrendeléssel kapcsolatos szolgáltatások és adatkezelés egyedi szabályai:

Dietetikai tanácsadás – és az ezt magában foglaló csomag szolgáltatások esetén –  a Páciens már a Társaság internetes oldalán történt regisztrációt követően köteles – saját internetes felhasználói fiókján keresztül – megadni a dietetikus szakemberek részére az alábbiakat:

  • köteles közölni az egészségügyi állapotára vonatkozó adatokat
  • köteles megküldeni mindenkori leleteit
  • köteles minden személyes konzultációt megelőzően kitölteni és megküldeni az ún. állapotfelmérő ívet, amely táplálkozási és életmódbeli állapotfelmérő adatokat (pl.: gyógyszer és táplálék-kiegészítők szedésére, napirendre, sportolási szokásokra vonatkozó információkat) tartalmaz
  • köteles megküldeni a számára előjegyzett személyes konzultáció időpontjára automatikusan generált 3 napos táplálkozási naplót.

A fentiek szerint megadott adatokhoz kizárólag a Páciens, valamint az érintett dietetikus szakember fér hozzá (a Páciens a saját internetes felhasználói fiókján keresztül).

A Páciens saját internetes felhasználói fiókja a fentiek szerint egy kifelé zárt, harmadik személyek által nem hozzáférhető felületet biztosít a Páciens és a dietetikus szakember közötti – az egészségügyi szolgáltatások nyújtásához elengedhetetlen – kommunikációhoz.

Az első személyes konzultáció, valamint az egy éven túli kontroll alkalmával a Páciens és a dietetikus szakember közösen is ellenőrzik a Páciens saját internetes felhasználói fiókjában korábban rögzített állapotfelmérő kérdőívet. Ennek során szükség szerint helyesbítik és kiegészítik az ott szereplő adatokat, valamint rögzítik a tanácsadás során felmerült egyéb lényeges körülményeket (pl.: a napirendre, táplálkozásra, életkörülményekre vonatkozó adatokat).

Az első személyes konzultáció alkalmával kerül megnyitásra a Társaság által használt Dokirex SQL orvosi adminisztrációs és páciens-nyilvántartó rendszerben a Páciens vizsgálati lapja (táplálkozási anamnézise), amely dátum szerint rögzíti a személyes konzultáció időpontját.

A személyes konzultációt követően kerül elvégzésre az ún. testösszetétel mérés, amelynek során – a szükséges személyes adatoknak (pl.: név, TAJ szám, életkor, nem és antropometriai adatok [magasság]) az erre a célra használt Inbody készülék és az azzal összeköttetésben lévő Lookin’Body program részére történő megadását követően – a mérési eredmény a Páciens saját internetes felhasználói fiókjában kerül rögzítésre, így az a Páciens számára a továbbiakban bármikor hozzáférhető lesz.

Az aktuális állapotfelmérő kérdőívben rögzített adatok és a testösszetétel mérési eredményei, valamint a terápiás javaslatok (kontroll alkalmak esetén pedig a táplálkozási napló alapján elkészített ún. étrendi struktúra értékelés) a DokiRex SQL programban, a Páciens számára korábban megnyitott vizsgálati lapon kerülnek rögzítésre.

A fentiek szerint elkészült vizsgálati lap a DokiRex SQL rendszeren keresztül, a Páciens által a regisztráció során megadott e-mail címre megküldésre kerül (automatikusan formázott „rtf” fájlformátumban).

A Páciens végleges egészségügyi dokumentációja jellemzően az alábbi adatokat és információkat tartalmazza:

  • a korábbi és aktuális egészségügyi állapotra vonatkozó adatokat
  • aktuális panaszokat
  • táplálékallergiákat-érzékenységeket, étkezéssel kapcsolatos panaszokat
  • emésztési állapotra vonatkozó adatokat
  • aktuális és korábban tartott diétákat
  • étel-preferenciákat (kedvelt-nem kedvelt, panaszt okozó ételek), fogyasztási szokásokra vonatkozó adatokat
  • napi ritmusra vonatkozó adatokat
  • étkezési ritmusra vonatkozó adatokat
  • folyadékfogyasztási szokások felmérését
  • testmozgásra, annak rendszerességére és az azzal összefüggő táplálkozásra vonatkozó adatokat
  • szomatometriai adatokat
  • kontroll esetén az étkezési struktúra értékelését
  • étrendi terápiás célokat, javaslatokat.

A Páciens és a dietetikus szakember közötti kommunikációra a Társaság által használt ún. TOPDESK központi levelezési rendszeren keresztül is lehetőség van.

Amennyiben a Páciens mintaétrend tervezését is igényli, azt a Társaság a személyes konzultációt és vizsgálatot követő 1 (egy) héten belül, a Páciens saját internetes felhasználói fiókján keresztül (a „Mintaétrendek” menüpont alá történő feltöltéssel), ennek bármely akadálya esetén pedig a TOPDESK levelezési rendszeren keresztül küldi meg a Páciens részére.

Az Eatv. 9. §-ának (1) bekezdése szerint az egészségügyi adatok felvétele a gyógykezelés része. A gyógykezelés során a kezelést végző orvos dönti el, hogy a szakmai szabályoknak megfelelően – a kötelezően felveendő adatokon kívül – mely egészségügyi adatok felvétele szükséges az Eatv. 4. §-ának (1) bekezdésében meghatározott célokból.

Az érintett gyógykezelésével kapcsolatos tevékenységet végző egyéb személy a kezelést végző orvos utasításának megfelelően, illetve a feladatai ellátásához szükséges mértékben vehet fel egészségügyi adatot.

A kezelést végző orvos az általa vagy az egyéb betegellátó által felvett egészségügyi adatokról, valamint az azzal összefüggő saját tevékenységéről és intézkedéseiről feljegyzést készít. A feljegyzés a nyilvántartás részét képezi.

Az Eatv. 4. § (1)-(3) bekezdései szerinti célból történő adatkezelés és adatfeldolgozás esetén az egészségügyi ellátóhálózaton belül az egészségügyi és személyazonosító adatok továbbíthatók, illetve összekapcsolhatóak. Az adattovábbításra és az adatok összekapcsolására egyebekben az Eatv. 10. §-ának előírásai irányadóak.

 

Az adatkezelés célja(i); a célhoz kötöttség megszűnése:

A Társaság által kezelt adatok kezelésének céljai az Eatv. 4. §-ának (1) és (2) bekezdése alapján a következőek:

I.

  • a) az egészség megőrzésének, javításának, fenntartásának előmozdítása,
  • b) a betegellátó eredményes gyógykezelési tevékenységének elősegítése, ideértve a szakfelügyeleti tevékenységet is,
  • c) az érintett egészségi állapotának nyomon követése,
  • d) a népegészségügyi [Eatv. 16. §], közegészségügyi és járványügyi érdekből szükségessé váló intézkedések megtétele,
  • e) a betegjogok érvényesítése.

A fenti célok között a Társaság a receptek felírása, a leleteknek a páciens részére történő megküldése és a távkonzultációk érdekében is kezeli a páciens előzőekben meghatározott adatait.

II.

A fentebb I. pont alatt rögzítetteken túl, törvényben meghatározott esetekben, az Eatv. 4. §-ának (2) bekezdésében felsorolt esetekben.

Ha a kezelt adat célhoz kötöttsége megszűnik, és annak további tárolását a vonatkozó hatályos törvények nem írják elő, az adatalany adatait törölni kell. A törlésről jegyzőkönyvet kell készíteni.

 

Az adatbiztonság érdekében tett intézkedések:

A Társaság az általa kezelt adatok biztonsága érdekében (a papíralapon és elektronikus úton tárolt adatokra nézve egyaránt) az adatkezelés teljes időtartama alatt az alábbi intézkedéseket foganatosítja:

  Számítógépen tárolt adatok Manuális kezelésű adatok
A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében az IT területnek különösen az alábbi intézkedéseket kell foganatosítania:

 

A manuális kezelésű személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani, minden, adatbiztonsági szempontból érintett területnek:
Tűz- és vagyonvédelem:

 

Az adatokat és adatbázisokat tűz- és vagyonvédelmi berendezésekkel ellátott helyiségben kell elhelyezni. Az irattári kezelésbe vett iratokat jól zárható, száraz, tűz- és vagyonvédelmi berendezéssel ellátott helyiségben kell elhelyezni.
Hozzáférés-védelem:

 

Az adathozzáféréshez csak érvényes, személyre szóló, azonosítható jogosultsággal – legalább felhasználói névvel és jelszóval – lehet hozzáférni. A jelszavak cseréjéről rendszeresen gondoskodni kell. A folyamatos aktív kezelésben lévő, illetve archivált iratokhoz csak az illetékes ügyintézők férhetnek hozzá

 

Archiválás:

 

A személyes adatokat tartalmazó adatbázisok passzív hányadát – a további kezelést már nem igénylő, változatlanul maradó adatokat – el kell választani az aktív résztől, majd a passzív adatokat  időtálló adathordozón kell rögzíteni. Az adatkezelések archiválását évente egyszer kell elvégezni. Az archivált adatokat tartalmazó adathordozót tűzbiztos fémkazettában/szekrényben kell őrizni.

 

Az adatkezelések iratainak archiválását évente egyszer el kell végezni. Az archivált iratokat a Társaság iratkezelési és selejtezési szabályzatának, valamint a irattári terveknek megfelelően kell szétválogatni és irattári kezelésbe venni.

 

Vírusvédelem:

 

A Társaság minden munkaállomásán, de kiemelten a személyes adatokat kezelő ügyintézők számítógépein gondoskodni kell a valósidejű vírusmentesítésről.
Hálózati védelem: A mindenkor rendelkezésre álló számítástechnikai eszközök felhasználásával meg kell akadályozni, hogy adatokat tároló, hálózaton keresztül elérhető szerverekhez illetéktelen személy hozzáférjen.
Tükrözés: A szervereken a személyes adatok elvesztésének elkerülésére folyamatos tükrözéssel biztosítandó egy tőle fizikailag különálló (másik épületben lévő) adathordozón.
Biztonsági mentés: A személyes adatokat tartalmazó adatbázisok aktív adataiból rendszeresen (napi rendszerességgel) külön adathordozóra biztonsági mentést kell készíteni. A biztonsági mentést tartalmazó adathordozót tűzbiztos fémkazettában/szekrényben kell őrizni.

 

A Társaság – mint adatkezelő – a GDPR IV. Fejezet 24. cikkének (1) bekezdése értelmében az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.

A Társaság a fent említett intézkedések részeként alkotta meg a jelen szabályzatot/eljárásrendet is.

A Társaság fenntartja a jogát arra nézve, hogy a későbbiekben a GDPR 40. cikke szerinti jóváhagyott magatartási kódexhez vagy a GDPR 42. cikke szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozással igazolja a fentebb részletezett kötelezettségek teljesítését.

A Társaság a GDPR IV. Fejezet 25. cikkének (2) bekezdése szerint megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. A Társaság ennek keretében biztosítja, hogy a személyes adatok természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

A Társaság az adatkezelési tevékenységével együtt járó kockázatok mértékének megfelelő szintű adatbiztonság garantálása érdekében – a szükséges módon és mértékben – végrehajtja a GDPR IV. Fejezet 32. cikkében rögzített technikai és szervezési intézkedéseket, ide értve indokolt esetben többek között az alábbiakat:

  • a) a személyes adatok álnevesítését és titkosítását;
  • b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
  • c) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
  • d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

A Társaság fenntartja a jogát arra nézve, hogy a későbbiekben a GDPR 40. cikke szerinti jóváhagyott magatartási kódexhez vagy a GDPR 42. cikke szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozással igazolja ez utóbbi kötelezettségek teljesítését is.

A Társaság megfelelő intézkedéseket hoz annak biztosítása érdekében is, hogy az irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag a Társaság (mint adatkezelő) utasításainak megfelelően kezelhessék az érintett adatokat.

 

Titoktartás

A Társaság szervezeti egységeinél adatkezelést végző munkatársak, valamint a jelen szabályzat/eljárásrend alanyi hatálya alá tartozó egyéb személyek kötelesek az általuk megismert személyes adatokat személyes, illetve egyben a Ptk. 2:47. §-a szerinti üzleti tikokként – időbeli korlátozás nélkül, azaz a jogviszony megszűnését követően is – megőrizni.

Az adatkezelők – az Eatv. 7. § (2) bekezdésében meghatározott kivételekkel – kötelesek az orvosi titkot megtartani.

A betegellátót – az érintett választott háziorvosa, valamint az igazságügyi szakértő kivételével – a titoktartási kötelezettség azzal a betegellátóval szemben is köti, aki az orvosi vizsgálatban, a kórisme megállapításában, illetve a gyógykezelésben vagy műtétnél nem működött közre, kivéve, ha az adatok közlése a kórisme megállapítása vagy az érintett további gyógykezelése érdekében szükséges.

A Társaság ilyen munkakörben foglalkoztatott munkavállalói, valamint a Társaság által munkavégzésre irányuló egyéb jogviszonyban foglalkoztatott személyek a munkaviszonyuk vagy munkavégzésre irányuló egyéb jogviszonyuk létesítésével egyidejűleg (a már fennálló jogviszonyok esetében a jelen szabályzat/eljárásrend hatályba lépésével egyidejűleg) külön okiratba foglalt titoktartási nyilatkozatot kötelesek aláírni.

A Társaság a vele a fentieken kívül eső szerződéses jogviszonyba kerülő harmadik személyekkel a fenti titoktartási előírások betartását akként biztosítja, hogy a harmadik személyekkel megkötendő szerződésekben ezen előírásokat kifejezetten (írásban) rögzíti, és azok esetleges megsértéséhez a szerződésben olyan jogkövetkezményeket (pl.: kötbérszankciót) társít, amelyek megfelelően kompenzálják a másik fél jogsértéséből (szerződésszegő magatartásából) eredően a Társaság oldalán felmerülő károkat és egyéb hátrányokat.

A Társaság külön szerződésmintát dolgozott ki, amelynek lényegi rendelkezéseit az újonnan megkötendő szerződések részévé teszi, a már meglévő (korábban megkötött, jelenleg is hatályban lévő) szerződések kapcsán pedig egyeztetéseket kezdeményez a szerződő partnerekkel a hatályos szerződések megfelelő tartalmú módosítása érdekében.

Ez utóbbi szerződéses rendelkezések, illetve szerződésmódosítások útján a Társaság biztosítja többek között azt is, hogy a vele szerződéses jogviszonyban álló adatfeldolgozók a Társaság megbízásából végzett adatfeldolgozói tevékenységük során alkalmazzák és biztosítsák ugyanazon adatvédelmi intézkedéseket, amelyeket a Társaság is alkalmaz és garantál.

 

Az adatkezelési szabályok megsértésének jogkövetkezményei:

A Társaság tájékoztatja a jelen szabályzat/eljárásrend alanyi hatálya alá tartozó személyeket, hogy az adatkezeléssel érintett adatokkal összefüggésben végzett bármely olyan művelet, amely a jelen szabályzatban/eljárásrendben rögzített céloknak és előírásoknak nem felel meg (így különösen, de nem kizárólagosan az adatok jogellenes másolása, terjesztése, illetéktelen személyek részére történő átadása vagy az azokról történő jogosulatlan információszolgáltatás stb.), súlyosan jogsértő és visszaélésszerű magatartásnak minősül.

A fenti adatokkal összefüggő feladatok nem megfelelő körültekintéssel történő ellátása (pl.: az adatok illetéktelen személyek részére történő gondatlan továbbítása) ugyancsak súlyosan jogsértő és felróható magatartásnak minősül.

Az adatok megőrzése és jogszabályszerű kezelésének/feldolgozásának maradéktalan betartása és betartatása, továbbá a IV.5. pontban részletezett titoktartási kötelezettség betartása/betartatása a Társaság kiemelt érdeke, amelyhez az Infotv. szerinti jogszabályi felelősség társul. A Társaság ennek érdekében – a jelen szabályzatban/eljárásrendben részletezettek szerint – megtett minden olyan biztonsági és egyéb intézkedést, amelyek révén az adatkezelés/adatfeldolgozás szabályszerűsége teljes körűen biztosítható.

A jelen szabályzat/eljárásrend alanyi hatálya alá tartozó személyek a Társasággal fennálló/fennállt jogviszonyuk keretében tudomásukra jutott adatokkal összefüggésben kizárólag a jogviszonyt létrehozó szerződésben rögzített célok érdekében és kizárólag ezen céloknak megfelelő módon és mértékben, a Társaság mindenkori ügyvezetésének utasításainak megfelelően végezhetnek bármilyen műveletet. Az ezen adatokkal összefüggő feladataik ellátása (pl.: az adatok nyilvántartása, valamint a jogosultak felé történő továbbítása) során kötelesek továbbá kiemelt gondossággal és körültekintéssel eljárni.

A fentebb részletezett szigorú jogszabályi előírásokra is figyelemmel a jelen szabályzatban/eljárásrendben rögzített adatkezelési szabályok és titoktartási kötelezettség bármely formában történő megszegése – a jogsértés jellegétől és súlyától függetlenül – a jelen szabályzat/eljárásrend alanyi hatálya alá tartozó fél részéről súlyos szerződésszegésnek és jogszabálysértésnek minősül, amely alapot ad a Társaság oldalán a jogviszony (munkaviszony, munkavégzésre irányuló egyéb jogviszony, egyéb szerződés stb.) azonnali hatállyal történő (egyoldalú) megszüntetésére, valamint az ezzel kapcsolatos jogkövetkezmények (pl.: kötbérszankció) alkalmazására.

Amennyiben az adott jogsértés/szerződésszegés kapcsán fennáll a bűncselekmény elkövetésének megalapozott gyanúja, a Társaság fenntartja a jogát arra nézve is, hogy megindítsa az illetékes hatóságok előtt az érintett személy büntetőjogi felelősségre vonására irányuló eljárást is.

 

V. Az adatalanyok (érintettek) jogosultságai és tájékoztatásuk

Az Infotv. és az Eatv. az adatalanyok (érintettek) számára az alábbi jogosultságokat biztosítja személyes adataik kezelésével összefüggésben:

Tájékoztatás kérése

Az adatalany tájékoztatást kérhet az adatai kezelésével kapcsolatos minden tényről, így különösen az adatok forrásáról, az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.

Az adatalany a Társaság illetékes ügykezelőjétől tájékoztatást kérhet a róla szóló adatkezelésről és abba bele is tekinthet. A betekintést úgy kell biztosítani, hogy ez alatt az adatalany más személy adatait ne ismerhesse meg.

Az érintett adatalany az Eatv. 7. § (3) bekezdése szerint:

  • a) jogosult tájékoztatást kapni a gyógykezeléssel összefüggésben történő adatkezelésről,
  • b) a rá vonatkozó egészségügyi és személyazonosító adatokat megismerheti,
  • c) az egészségügyi dokumentációba betekinthet, valamint azokról – saját költségére – másolatot kaphat.

A fenti jogosultságok az Eatv. 7. § (4)-(7) bekezdéseiben felsorolt esetekben az ott meghatározott személyeket is megilletik.

A betekintési igények teljesítését megelőzően az erre irányuló kérelmeket a Társaság mindenkori ügyvezetőjével kötelező (előzetesen) jóváhagyatni.

A Társaság és a kezelést végző orvos tájékoztatási kötelezettsége

A kezelést végző orvos az általa megállapított, az érintettre vonatkozó egészségügyi adatokról köteles az érintettet közvetlenül tájékoztatni (Eatv. 11. § (1) bekezdése).

Az Infotv. értelmében az adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, de legfeljebb 30 napon belül írásban, közérthető formában megadni a tájékoztatást az érintettnek. A tájékoztatást valamennyi esetben kötelező a Társaság mindenkori ügyvezetőjével (előzetesen) jóváhagyatni.

A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozó tájékoztatási kérelmet a Társaság felé még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.

Az adatalany tájékoztatása, illetve a betekintés biztosítása csak az Infotv. 9. §-ában előírt esetekben, továbbá akkor tagadható meg (az Eatv. előírásainak betartásával), ha azt a törvény az állam külső és belső biztonsága, a honvédelem, a nemzetbiztonság, a bűnmegelőzés vagy bűnüldözés érdekében, továbbá állami vagy helyi önkormányzati gazdasági vagy pénzügyi érdekből, illetve az EU jelentős  gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából, továbbá az adatalany (érintett) vagy mások jogainak védelme érdekében lehetővé teszi.

A Társaság köteles az adatalannyal (érintettel) a felvilágosítás megtagadásának indokát közölni.

Adatváltozás/téves rögzítés

Adatváltozás vagy téves adatrögzítés észlelése esetén az adatalany (érintett) kérheti kezelt adatainak helyesbítését, illetve azok kijavítását. A téves adatot a Társaság legkésőbb 72 órán belül köteles helyesbíteni.

Nem kötelező adatszolgáltatáson alapuló adatkezelés esetén az adatalany (érintett) indokolás nélkül kérheti kezelt adatainak törlését. A törlést a Társaság legkésőbb 72 órán belül köteles elvégezni. Az adatkezelés törlésével, megszüntetésével kapcsolatos tényeket jegyzőkönyvbe kell venni.

A helyesbítésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.

Az egészségügyi dokumentációban szereplő hibás egészségügyi adatot – az adatfelvételt követően – úgy kell kijavítani vagy törölni, hogy az eredetileg felvett adat megállapítható legyen.

A nyilvántartott adatokról, valamint az egészségügyi dokumentációról az adatkezelő hiteles másolatot készít, ha ezt az adatbiztonság vagy a tárolt adatok fizikai védelme, illetve az Eatv-ben előírt adatközlési kötelezettség szükségessé teszi. A hiteles másolat adattartalmára vonatkozóan az Eatv. 6. §-ában, valamint a jelen szabályzat/eljárásrend IV.4. pontjában rögzítettek az irányadóak.

Panaszkezelés, jogorvoslat

Adatkezeléssel kapcsolatos jogainak megsértése esetén az adatalany (érintett) a Társasághoz, valamint bírósághoz fordulhat. A Társaság az egyes panaszok kezelését saját külön panaszkezelési szabályzata alapján, a jelen szabályzatban/eljárásrendben rögzítettek figyelembevételével végzi.

Tiltakozás

Az adatalany tiltakozhat személyes adatának kezelése ellen, s kérheti az adatkezelés megszüntetését, illetve a kezelt adatok törlését.

A Társaság az erre irányuló kérelmet – az adatkezelés egyidejű felfüggesztésével – köteles a kérelem benyújtásától számított legfeljebb 15 napon belül megvizsgálni, annak megalapozottsága kérdésében döntést hozni, és döntése eredményéről a kérelmezőt írásban tájékoztatni.

Amennyiben a tiltakozás indokolt, a Társaság köteles az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszüntetni és az adatokat zárolni, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

A Társaság az adatalany (érintett) adatát nem törölheti, ha az adatkezelést törvény rendelte el. Az adat azonban nem továbbítható az adatátvevő részére, ha a Társaság egyetértett a tiltakozással, illetőleg bíróság a tiltakozás jogosságát megállapította.

A GDPR a fentieken túl az alábbi jogosultságokat biztosítja az adatalanyok (érintettek) számára:

  • a) a személyes adatok kezelésével összefüggő (a GDPR 13. és 14. cikkében rögzített) valamennyi információhoz és a GDPR 15-22., valamint 34. cikkében rögzített tájékoztatáshoz való jog, tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva;
  • b) az érintett GDPR 15-22. cikkei szerinti jogainak elősegítésére vonatkozó kötelezettségek biztosítása;
  • c) a kérelem beérkezésétől számított 1 (egy) hónapon belüli tájékoztatásra vonatkozó jogosultság a GDPR 15-22. cikkei szerinti kérelem nyomán hozott intézkedésekről (amely határidő indokolt esetben további 2 (két) hónappal meghosszabítható);
  • d) a GDPR 13. és 14. cikkei szerinti információk, valamint a 15-22. és 34. cikkek szerinti tájékoztatás és intézkedés díjmentes biztosítása;

A Társaság a GDPR 15-22. cikkeivel összhangban, az alábbi jogosultságokat biztosítja az adatalanyok (érintettek) számára:

  • hozzáférési jog a GDPR 15. cikk (1) és (2) bekezdéseiben részletezett információkhoz, valamint a személyes adatok másolatának rendelkezésre bocsátása;
  • helyesbítéshez való jog (GDPR 16. cikk);
  • törléshez (elfeledtetéshez) való jog (GDPR 17. cikk);
  • az adatkezelés korlátozásához való jog (GDPR 18. cikk);
  • a személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség (GDPR 19. cikk);
  • az adathordozhatósághoz való jog (GDPR 20. cikk);
  • tiltakozáshoz való jog (GDPR 21. cikk);
  • azon jogosultság, hogy az érintettre ne terjedjen ki az olyan, kizárólag automatizált adatkezelésen alapuló döntés hatálya (ide értve a profilalkotást is), amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené (automatizált döntéshozatal egyedi ügyekben).

 

Adatvédelmi nyilvántartás; bejelentési kötelezettség; adatkezelési nyilvántartás

Az Infotv. 65. § (3) bekezdésének c) pontja az alábbiak szerint rendelkezik:

Nem vezet adatvédelmi nyilvántartást a Hatóság arról az adatkezelésről, amely az egészségügyi ellátásban kezelt személy betegségével, egészségi állapotával kapcsolatos személyes adatokra vonatkozik gyógykezelés vagy az egészség megőrzése, társadalombiztosítási igény érvényesítése céljából.

A Társaság tevékenységével összefüggésben kizárólag olyan adatokat kezel, amelyek az Infotv. 65. § (3) bekezdésének c) pontjában megjelölt körbe tartoznak, így a fent idézett jogszabályi előírásokra tekintettel nem köteles bejelentkezni az adatvédelmi nyilvántartásba.

A GDPR IV. Fejezet 30. cikkének (5) bekezdése értelmében ugyanakkor, tekintettel arra, hogy a Társaság a GDPR 9. cikk (1) bekezdésében rögzített különleges (egészségügyi) személyes adatokat kezel, az adatkezelési tevékenységek nyilvántartásának vezetése alóli kivétel nem vonatkozik a Társaságra.

Fentiekre tekintettel a Társaság – a GDPR 30. cikkének (1) bekezdése szerint – az általa végzett adatkezelési tevékenységről nyilvántartást vezet, amely az alábbi információkat tartalmazza:

  • a) az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
  • b) az adatkezelés céljai;
  • c) az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
  • d) olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
  • e) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;
  • f) ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
  • g) ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.

A Társaság a fenti adatkezelési nyilvántartást írásban vezeti (értve ez alatt az elektronikus formátumot).

Az illetékes felügyeleti hatóság erre irányuló megkeresése esetén a Társaság a nyilvántartást a felügyeleti hatóság rendelkezésére bocsátja.

A Társaság – a GDPR 30. cikkének (2) bekezdésében előírtakkal összhangban – az adatfeldolgozóival megkötendő szerződésekben rögzítésre kerülő kötelezettségek útján biztosítja, hogy a vele szerződéses jogviszonyban lévő adatfeldolgozók a Társaság nevében végzett adatkezelési tevékenységekkel összefüggésben a GDPR 30. cikk (2) bekezdésében részletezett tartalommal ugyancsak nyilvántartást vezessenek.

 

VII. Ellenőrzés; felelősség; adatmegőrzési kötelezettség; adatvédelmi incidensek kezelése; adatvédelmi felelős; adatvédelmi tisztviselő; adatvédelmi hatásvizsgálat és előzetes konzultáció

A Társaság ügyvezetése által foganatosított ellenőrzés

Az adatvédelemmel kapcsolatos előírások, így különösen jelen szabályzat/eljárásrend rendelkezéseinek betartását a Társaság ügyvezetése által erre kijelölt személy folyamatosan, megfelelő rendszerességgel ellenőrzi.

Az ellenőrzéssel megbízott személy a kapcsolódó szabályzatok, szabályok, jegyzőkönyvek és a nyilvántartás áttekintésével gondoskodik az adatkezelés törvényes rendjének megtartásáról.

Az egyes adatkezelések ellenőrzését az ellenőrzéssel megbízott személy szükség szerint köteles elvégezni. Az ellenőrzés tapasztalatairól 6 hónap rendszerességgel köteles a Társaság mindenkori ügyvezetését írásban tájékoztatni. Az ellenőrzéssel megbízott személy fenti kötelezettségeinek elmulasztása súlyos mulasztásnak/szerződésszegésnek minősül.

A Társaság mindenkori ügyvezetése bármikor jogosult saját maga is ellenőrzést folytatni.

A jelen szabályzatban/eljárásrendben rögzített előírások maradéktalan be nem tartása a szabályzat/eljárásrend alanyi hatálya alá tartozó személyek részéről súlyos és vétkes kötelezettségszegésnek minősül, amelynek alapján a Társaság jogosult a mulasztó személlyel szemben alkalmazni a IV.6. pontban rögzített jogkövetkezményeket.

 

Felelősség az adatok védelméért és a nyilvántartások vezetéséért

Az Eatv. 32. §-ának (1) bekezdése alapján a Társaságnál – mint egészségügyi intézménynél – az egészségügyi és személyazonosító adatok védelméért, valamint a nyilvántartások vezetéséért és megőrzéséért a Társaság mindenkori ügyvezetője/ügyvezetői, valamint az alábbi 5. és 6. pontban említett adatvédelmi felelős és/vagy adatvédelmi tisztviselő tartoznak felelősséggel.

Az ügyvezető a fentiekre is tekintettel tevékenysége során:

  • gondoskodik az adatvédelmi szabályok betartásáról,
  • ellenőrzi az adatkezelők és adatfeldolgozók adatkezeléssel, illetve adatfeldolgozással összefüggő tevékenységét,
  • kezdeményezi az adatvédelem, illetve az adatbiztonság területén kifejlesztett új technológiák és eszközök alkalmazását,
  • biztosítja az adatkezeléssel és adatfeldolgozással foglalkozó személyek adatkezelési oktatását,
  • tudományos kutatás esetén [21. § (1) bekezdés] engedélyezi az egészségügyi dokumentációba való betekintést,
  • kijelöli az adatvédelmi felelőst (felelősöket),
  • ellenőrzi az adatvédelmi felelős (felelősök) tevékenységét,
  • gondoskodik az intézmény adatvédelmi szabályzatának elkészítéséről,
  • dönt a kötelező nyilvántartási időt követően a nyilvántartott adatok további tárolásáról vagy megsemmisítéséről.

 

Adatmegőrzési kötelezettség

Az egészségügyi dokumentációt – a képalkotó diagnosztikai eljárással készült felvételek, az arról készített leletek, valamint a gyógyszertári vények kivételével – az adatfelvételtől számított legalább 30 évig, a zárójelentést legalább 50 évig kell megőrizni. A kötelező nyilvántartási időt követően gyógykezelés vagy tudományos kutatás érdekében – amennyiben indokolt – az adatok továbbra is nyilvántarthatók. Ha a további nyilvántartás nem indokolt – a tudományos jelentőségű egészségügyi dokumentáció kivételével – a nyilvántartást meg kell semmisíteni.

Képalkotó diagnosztikai eljárással készült felvételt az annak készítésétől számított 10 évig, a felvételről készített leletet a felvétel készítésétől számított 30 évig kell megőrizni.

A tudományos kutatás céljából történő adatkezelés során a tárolt adatokba betekintett személyekről, a betekintés céljáról és időpontjáról vezetett nyilvántartás kötelező megőrzési ideje 10 év.

A Társaság jogutód nélküli megszűnése esetén – kivéve azt az esetet, ha a Társaság által korábban ellátott feladatokat más szerv látja el – a tudományos jelentőségű egészségügyi dokumentációt a Semmelweis Orvostörténeti Múzeum, Könyvtár és Levéltárának, az egyéb egészségügyi dokumentációt a Kormány által kijelölt szervnek kell átadni.

Amennyiben a Társaság jogutód nélkül szűnik meg, de az általa korábban ellátott feladatokat más szerv látja el, a Társaság megszűnésének időpontját megelőző tíz évben keletkezett egészségügyi dokumentációt a feladatot ellátó szerv részére, az ennek alapján átadásra nem kerülő egészségügyi dokumentációt pedig az Eatv. 30. § (4) bekezdés b) pontja szerinti adatkezelő részére kell átadni.

A betegjogi, ellátottjogi és gyermekjogi képviselő eljárása során keletkezett – egészségügyi és személyazonosító adatot is tartalmazó – dokumentációt az eljárás befejezését követően a Kormány által kijelölt szervnek kell átadni.

Az adatmegőrzés érdekében folyamatosan biztosítani kell, hogy az adathordozó az adott technikai feltételek mellett olvasható maradjon, vagy olvasható állapotba kerüljön.

 

Adatvédelmi incidensek kezelése

A Társaság a GDPR IV. Fejezet 33. cikke értelmében a jelen szabályzat/eljárásrend I.12. pontja szerinti (a GDPR I. Fejezet 4. cikkének 12. pontja szerinti) ún. adatvédelmi incidenseket késedelem nélkül, és ha lehetséges, a tudomásszerzésétől számított legkésőbb 72 órán belül bejelenti a felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

A bejelentésben legalább:

  • ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  • ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

A Társaság az adatvédelmi incidensekről nyilvántartást vezet, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. Erre irányuló felhívás vagy megkeresés esetén a Társaság a nyilvántartást a felügyeleti hatóság rendelkezésére bocsátja.

A Társaság egyébként is minden szükséges esetben és módon együttműködik a felügyeleti hatósággal (GDPR IV. Fejezet 31. cikke).

 

Adatvédelmi felelős

A szervezeti egységenként 20 főnél több adatkezelőt foglalkoztató munkáltató esetén a Társaság ügyvezetése – szervezeti egységenként – adatvédelmi felelőst jelöl ki.

Adatvédelmi felelősnek

  • szakorvos szakképesítéssel rendelkező orvos, vagy
  • legalább 2 év joggyakorlattal rendelkező jogi egyetemi végzettségű személy, vagy
  • felsőfokú végzettségű, az egészségügyi adatkezelésben legalább 2 év gyakorlatot szerzett személy jelölhető ki.

A jelen szabályzat/eljárásrend VII.3. pontjának a)-e) alpontjaiban felsorolt tevékenységeket az adatvédelmi felelős is elláthatja.

 

Adatvédelmi tisztviselő

A GDPR IV. Fejezet 37. cikk (1) bekezdésének c) pontjában rögzítettekre tekintettel, mivel a Társaság a GDPR 9. cikke szerinti különleges (egészségügyi) adatokat kezel, a Társaság köteles adatvédelmi tisztviselőt kijelölni.

A Társaság az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a GDPR. 39. cikkében felsorolt feladatok ellátására való alkalmasság alapján jelöli ki.

Az adatvédelmi tisztviselő a Társaság alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el ezen feladatait.

A Társaság – a GDPR. 37. cikkének (7) bekezdésében előírtakra tekintettel – az adatvédelmi tisztviselő nevét és elérhetőségeit közzéteszi, és azokat a felügyeleti hatósággal is közli.

A Társaság adatvédelmi tisztviselőjének neve és elérhetőségei:

  • Név: Draskovichné Temesfői Angela
  • Levelezési cím: 1124 Budapest Apor Vilmos tér 11. I.em.(irodaszint)
  • Telefonszám: +36 20 293 3929
  • E-mail cím: temesfoi.angela@sportkontroll.hu

A GDPR 39. cikke értelmében az adatvédelmi tisztviselő az alábbi feladatokat látja el:

  • tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
  • ellenőrzi az e rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
  • kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat 35. cikk szerinti elvégzését;
  • együttműködik a felügyeleti hatósággal;
  • az adatkezeléssel összefüggő ügyekben – ideértve a GDPR 36. cikkében említett előzetes konzultációt is – kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

 

Adatvédelmi hatásvizsgálat és előzetes konzultáció

A Társaság a GDPR IV. Fejezet 35. cikke szerinti adatvédelmi hatásvizsgálat és a GDPR 36. cikke szerinti előzetes konzultáció lefolytatására nem köteles, tekintettel arra, hogy az általa végzett adatkezelés – figyelemmel annak jellegére, hatókörére, körülményeire és céljaira – valószínűsíthetően nem jár magas kockázattal a természetes személyek jogaira és szabadságaira nézve.

A Társaság adatkezelési tevékenysége nem tartozik a GDPR 35. cikkének (3) bekezdésében felsorolt esetkörökbe.

 

VIII.   Egyéb

Jelen szabályzat/eljárásrend 2018. május 25. napján lép hatályba, és az I. pontban meghatározott alanyi és tárgyi körre nézve a jövőben kötelezően alkalmazandó.

A Társaság a 2018. május 25. napját megelőzően megkezdett adatkezelést a jogszabályban rögzített határidőn belül összhangba hozza/hozta a GDPR előírásaival, azzal, hogy amennyiben az adatkezelés a 95/46/EK irányelv szerinti hozzájáruláson alapul és az érintett a GDPR-ban rögzített feltételekkel összhangban adta meg hozzájárulását, nem kell ismételten az érintett engedélyét kérni ahhoz, hogy az adatkezelő a GDPR alkalmazási időpontját követően is folytathassa az adatkezelést (GDPR I. Fejezet (171) bekezdése).

A Társaság mindenkori ügyvezetése jogosult a jelen szabályzat/eljárásrend bármely rendelkezését a jövőre nézve egyoldalúan – a mindenkor hatályos jogszabályi előírások keretei között – módosítani.

A Társaság az adatkezelési tevékenységéhez kapcsolódó valamennyi releváns nyilvántartásra vonatkozóan külön mintát alkot, amelyeket a mindenkor hatályos jogszabályi követelményeknek való megfelelés érdekében időről időre felülvizsgál.

Amennyiben az adatkezelési tevékenységekre vonatkozóan akár az irányadó jogszabályokban, akár a Társaság jelen szabályzatában/eljárásrendjében változások történnek, azokról a Társaság mindenkori ügyvezetése haladéktalanul tájékoztatja az érintett személyeket.

 

Kelt Budapesten, 2018. május 25. napján