ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT
Adatvédelmi és Adatkezelési Szabályzat
az ADNEX-SYS Kft. (Cg.19-09-513995, székhely: 8248 Nemesvámos, Nagykút utca 14.
/ a továbbiakban: szervezet/)
A Szabályzat hatályba lépésének dátuma: 2018. május 24.
Jelen Szabályzat hatálya a www.galenosmed.hu és a www.violamed.hu címen elérhető weboldalhoz (a továbbiakban: „Weboldal”) kapcsolódó adatkezelésekre, valamint a szervezet pácienseinek és a szervezettel bármilyen formában kapcsolatba lépő személyek adatainak, különösen az adatok különleges kategóriáinak (pl. egészségi állapotra vonatkozó adatok) kezelésére is kiterjed.
A szervezet tevékenysége során kiemelten ügyel a személyes és különleges adatok védelmére, az ezzel kapcsolatos jogszabályok maradéktalan betartására, a biztonságos adatkezelésre.
A szervezet a rendelkezésére bocsátott, illetve tudomására jutott adatokat minden esetben a hatályos magyar- és európai uniós jogszabályoknak és etikai elvárásoknak eleget téve kezeli, minden esetben megteszi a biztonságos adatkezeléshez szükséges szervezési és technikai intézkedéseket.
Adatkezelés célja:
Jelen szabályzat célja, hogy az Európai Parlament és a Tanács 2016/679. számú Rendelete (továbbiakban: GDPR) és az Információs és Önrendelkezési Jogról szóló 2011.évi CXII. törvény (továbbiakban: Info tv.), az Egészségügyről szóló 1997. évi CLIV. törvény, az Egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (EÜAV tv.), a Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.), továbbá a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény (Grtv.), a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény vonatkozó rendelkezései alapján rögzítse a fent megjelölt szervezet által alkalmazott adatvédelmi elveket, a szervezet adatvédelmi politikáját, a szervezet által nyújtott szolgáltatás minden területén a vele jogviszonyba kerülők, így a páciensek, az őket kezelő orvosok és asszisztensek, velük előfizetői jogviszonyba kerülő személyek (Érintettek) számára biztosítva legyen jogaik védelme, az adataiknak kezelésével kapcsolatos tájékoztatás.
A szervezet törekszik arra, hogy csak olyan személyes és különleges adat kezelésére kerüljön sor, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes és különleges adat csak a cél megvalósulásához szükséges mértékben és a jogszabályban meghatározott ideig kezelhető.
Az adatkezelés célja a fentiek alapján: a páciens/érintett részére egészségügyi ellátás biztosítása, gyógyászati eszköz és segédeszköz, termék, gyógyszer értékesítése, az érintett igénybe kívánja venni a Weboldalon felsorolt szolgáltatásokat, a páciens/ érintett azonosítása, kapcsolattartás; reklámozás, kutatás, elemzések, statisztikák készítése, a szolgáltatások fejlesztése – ezen célból az adatkezelő csak anonimizált adatokat, személyazonosításra alkalmatlan összesítéseket használ fel.
AZ EÜAV tv. szerint:
„Az adatkezelés célja
§ (1) Az egészségügyi és személyazonosító adat kezelésének célja:
a) az egészség megőrzésének, javításának, fenntartásának előmozdítása,
- b) a betegellátó eredményes gyógykezelési tevékenységének elősegítése, ideértve a szakfelügyeleti tevékenységet is,
- c) az érintett egészségi állapotának nyomon követése,
- d) a népegészségügyi [16. §], közegészségügyi és járványügyi érdekből szükségessé váló intézkedések megtétele,
- e) a betegjogok érvényesítése.
(2) Egészségügyi és személyazonosító adatot az (1) bekezdésben meghatározottakon túl – törvényben meghatározott esetekben – az alábbi célból lehet kezelni:
- a) egészségügyi szakember-képzés,
- b) orvos-szakmai és epidemiológiai vizsgálat, elemzés, az egészségügyi ellátás tervezése, szervezése, költségek tervezése,
- c) statisztikai vizsgálat,
- d) hatásvizsgálati célú anonimizálás és tudományos kutatás,
- e) az egészségügyi adatot kezelő szerv vagy személy hatósági vagy törvényességi ellenőrzését, szakmai vagy törvényességi felügyeletét végző szervezetek munkájának elősegítése, ha az ellenőrzés célja más módon nem érhető el, valamint az egészségügyi ellátásokat finanszírozó szervezetek feladatainak ellátása,
- f) a társadalombiztosítási, illetve szociális ellátások megállapítása, amennyiben az az egészségi állapot alapján történik, valamint a rendvédelmi feladatokat ellátó szervek hivatásos állományának szolgálati jogviszonyáról szóló törvény szerinti rendvédelmi egészségkárosodási ellátás megállapítása,
- g) az egészségügyi ellátásokra jogosultak részére a kötelező egészségbiztosítás terhére igénybe vehető szolgáltatások rendelésének és nyújtásának, valamint a gazdaságos gyógyszer-, gyógyászati segédeszköz- és gyógyászati ellátás rendelési szabályai betartásának a vizsgálata, továbbá a külön jogszabály szerinti szerződés alapján a jogosultak részére nyújtott ellátások finanszírozása, illetve az ártámogatás elszámolása, valamint a társadalombiztosítási ellátások megállapítása, kifizetése és a kifizetett ellátások visszafizetése, megtérítése érdekében,
- h) bűnüldözés, továbbá a rendőrségről szóló 1994. évi XXXIV. törvényben meghatározott feladatok ellátására kapott felhatalmazás körében bűnmegelőzés,
- i) a nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvényben meghatározott feladatok ellátása, az abban kapott felhatalmazás körében,
- j) közigazgatási hatósági eljárás,
- k) szabálysértési eljárás,
- l) ügyészségi eljárás,
- m) bírósági eljárás,
- n) az érintettnek nem egészségügyi intézményben történő elhelyezése, gondozása,
- o) a munkavégzésre való alkalmasság megállapítása függetlenül attól, hogy ezen tevékenység munkaviszony, közalkalmazotti, kormányzati szolgálati, közszolgálati vagy állami szolgálati jogviszony, hivatásos szolgálati viszony vagy egyéb jogviszony keretében történik,
- p) közoktatás, felsőoktatás és szakképzés céljából az oktatásra, illetve képzésre való alkalmasság megállapítása,
- q) a katonai szolgálatra, illetve a személyes honvédelmi kötelezettség teljesítésére való alkalmasság megállapítása,
- r) munkanélküli ellátás, foglalkoztatás elősegítése, valamint az ezzel összefüggő ellenőrzés,
- s) az egészségügyi ellátásokra jogosultak részére vényen rendelt gyógyszer, gyógyászati segédeszköz és gyógyászati ellátás folyamatos és biztonságos kiszolgáltatása, illetve nyújtása érdekében,
- t) a munkabalesetek, foglalkozási megbetegedések – ideértve a fokozott expozíciós eseteket is – kivizsgálása, nyilvántartása és a szükséges munkavédelmi intézkedések megtétele,
- u) az egészségügyi dolgozókkal szemben lefolytatott etikai eljárás,
- v) eredményesség alapú támogatásban részesülő gyógyszerek, gyógyászati segédeszközök eredményességének, támogatásának megállapítása, és ezen gyógyszerekkel kezelt kórképek finanszírozási eljárásrendjének alkotása,
- w) betegút-szervezés,
- x) az egészségügyi szolgáltatások minőségének értékelése és fejlesztése, az egészségügyi szolgáltatások értékelési szempontjainak rendszeres felülvizsgálata és fejlesztése,
- y) az egészségügyi rendszer teljesítményének ellenőrzése, mérése és értékelése,
- z) az egészségügyi ellátásokra jogosult részére a hatásos és biztonságos gyógyszerelés elősegítése, valamint a költséghatékony gyógyszeres terápia kialakítása érdekében,
- zs) az Európai Unión belüli határon átnyúló egészségügyi ellátáshoz kapcsolódó jogok érvényesítése.
3) Az (1)-(2) bekezdésekben meghatározott céloktól eltérő célra is lehet az érintett, illetve törvényes vagy meghatalmazott képviselője (a továbbiakban együtt: törvényes képviselő) – megfelelő tájékoztatáson alapuló – írásbeli hozzájárulásával egészségügyi és személyazonosító adatot kezelni.
(4) Az (1)-(2) bekezdések szerinti adatkezelési célokra csak annyi és olyan egészségügyi, illetve személyazonosító adat kezelhető, amely az adatkezelési cél megvalósításához elengedhetetlenül szükséges.”
A Szabályzat Hatálya:
A Szabályzat hatálya kiterjed a Szervezettel bármilyen formában kapcsolatot létesítő minden személy személyes és különleges adatainak védelmére.
Adatvédelmi szervezet:
- adatkezelő
- adatfeldolgozó
FOGALOMMEGHATÁROZÁSOK A GDPR 4. cikk szerint:
„1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
- „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
3. „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
4. „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
- „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
- „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
- „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
- „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
- „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy 2016.5.4. HU Az Európai Unió Hivatalos Lapja L 119/33 egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
- „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
- „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
- „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
- „genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;
- „biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
- „egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
- „tevékenységi központ”:
- a) az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni;
- b) az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak;
- „képviselő”: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában;
- „vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;
- „vállalkozáscsoport”: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások;
- „kötelező erejű vállalati szabályok”: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ;
- „felügyeleti hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv; L 119/34 HU Az Európai Unió Hivatalos Lapja 2016.5.4.
- „érintett felügyeleti hatóság”: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:
- a) az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel;
- b) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy
- c) panaszt nyújtottak be az említett felügyeleti hatósághoz;
- „személyes adatok határokon átnyúló adatkezelése”:
- a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
- b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;
- „releváns és megalapozott kifogás”: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására
jelentett kockázatok jelentőségét;
- „az információs társadalommal összefüggő szolgáltatás”: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv ( 1) 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás;
- „nemzetközi szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre.”
FOGALOMMEGHATÁROZÁSOK AZ EÜATV 3. § szerint:
„a) egészségügyi adat: az érintett testi, értelmi és lelki állapotára, kóros szenvedélyére, valamint a megbetegedés, illetve az elhalálozás körülményeire, a halál okára vonatkozó, általa vagy róla más személy által közölt, illetve az egészségügyi ellátóhálózat által észlelt, vizsgált, mért, leképzett vagy származtatott adat; továbbá az előzőekkel kapcsolatba hozható, az azokat befolyásoló mindennemű adat (pl. magatartás, környezet, foglalkozás);
- b) személyazonosító adat: a családi és utónév, leánykori név, a nem, a születési hely és idő, az anya leánykori családi és utóneve, a lakóhely, a tartózkodási hely, a társadalombiztosítási azonosító jel (a továbbiakban: TAJ szám) együttesen vagy ezek közül bármelyik, amennyiben alkalmas vagy alkalmas lehet az érintett azonosítására;
- c) gyógykezelés: minden olyan tevékenység, amely az egészség megőrzésére, továbbá a megbetegedések megelőzése, korai felismerése, megállapítása, gyógyítása, a megbetegedés következtében kialakult állapotromlás szinten tartása vagy javítása céljából az érintett közvetlen vizsgálatára, kezelésére, ápolására, orvosi rehabilitációjára, illetve mindezek érdekében az érintett vizsgálati anyagainak feldolgozására irányul, ideértve a gyógyszerek, gyógyászati segédeszközök, gyógyászati ellátások kiszolgálását, a mentést és betegszállítást, valamint a szülészeti ellátást is;
- d) orvosi titok: a gyógykezelés során az adatkezelő tudomására jutott egészségügyi és személyazonosító adat, továbbá a szükséges vagy folyamatban lévő, illetve befejezett gyógykezelésre vonatkozó, valamint a gyógykezeléssel kapcsolatban megismert egyéb adat;
- e) egészségügyi dokumentáció: a gyógykezelés során a betegellátó tudomására jutott egészségügyi és személyazonosító adatokat tartalmazó feljegyzés, nyilvántartás vagy bármilyen más módon rögzített adat, függetlenül annak hordozójától vagy formájától;
- f) kezelést végző orvos: az egészségügyről szóló 1997. évi CLIV. törvény 3. § b) pontja szerinti kezelőorvos;
- g) betegellátó: a kezelést végző orvos, az egészségügyi szakdolgozó, az érintett gyógykezelésével kapcsolatos tevékenységet végző egyéb személy, a gyógyszerész;
- h)
- i) adatkezelő: az a természetes vagy jogi személy, jogi személyiség nélküli szervezet, aki vagy amely az e törvény szerinti adatkezelési célból egészségügyi és a hozzá kapcsolódó személyes vagy személyazonosító adat kezelésére jogosult;
- j) közeli hozzátartozó: a házastárs, az egyeneságbeli rokon, az örökbe fogadott, a mostoha- és nevelt gyermek, az örökbe fogadó, a mostoha- és nevelőszülő, valamint a testvér és az élettárs;
- k) sürgős szükség: az egészségi állapotban hirtelen bekövetkezett olyan változás, amelynek következtében azonnali egészségügyi ellátás hiányában az érintett közvetlen életveszélybe kerülne, illetve súlyos vagy maradandó egészségkárosodást szenvedne;
- l)
- m) EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Közösség és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez;
- n) harmadik ország: minden olyan állam, amely nem EGT-állam;”
Adatkezelő:
az a természetes vagy jogi személy amely a személyes adatok kezelésének célját, jogalapját és eszközeit önállóan vagy másokkal együtt meghatározza.
A szervezet, mint adatkezelő megnevezése:
Név: ADNEX-SYS Kft.
Székhely: 8248 Nemesvámos, Nagykút utca 14.
E-mail cím: drvincze.gaborne@gmail.com
Az Adatkezelő üzemelteti a www.galenosmed.hu címen elérhető Weboldalt, amely a szervezet szolgáltatásainak ismertetésére, valamint ezen szolgáltatások igénybevételének (pl. online bejelentkezés / lelethez való hozzáférés/ információ kérés formájában) céljából jött létre.
A GDPR 24. cikk szerint:
„Az adatkezelő feladatai
(1) Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.
(2) Ha az az adatkezelési tevékenység vonatkozásában arányos, az (1) bekezdésben említett intézkedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat is alkalmaz.”
A GDPR 25. cikk szerint:
„Beépített és alapértelmezett adatvédelem
(1) Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.
(2) Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.”
Adatfeldolgozó:
az a természetes vagy jogi személy vagy bármely más szerv, amely az adatkezelő utasítására, annak nevében adatokat kezel, az adatkezeléshez kapcsolódó technikai feladatokat elvégzi.
Adatfeldolgozó megnevezése:
Adatfeldolgozónak minősül a szervezet képviselője, azzal munka-vagy megbízási jogviszonyban álló személy, aki a szervezet vezetőjének utasítása és felhatalmazása alapján az Érintettek személyes és különleges adatait kezeli és az adatkezeléshez kapcsolódó technikai feladatokat elvégzi.
A GDPR 28. cikk szerint:
„Az adatfeldolgozó
(1) Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
(2) Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.
(3) Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó –szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:
- a) a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;
- b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
- c) meghozza a 32. cikkben előírt intézkedéseket;
- d) tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan a (2) és (4) bekezdésben említett feltételeket;
- e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
- f) segíti az adatkezelőt a 32–36. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
- g) az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
- h) az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
2016.5.4. HU Az Európai Unió Hivatalos Lapja L 119/49
Az első albekezdés h) pontjával kapcsolatban az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.
(4) Ha az adatfeldolgozó bizonyos, az adatkezelő nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, uniós vagy tagállami jog alapján létrejött szerződés vagy más jogi aktus útján erre a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött, a (3) bekezdésben említett szerződésben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e rendelet követelményeinek.
Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.
(5) A 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható annak bizonyítása részeként, hogy az adatfeldolgozó biztosítja az (1) és (4) bekezdésben említett megfelelő garanciákat.
(6) Az adatkezelő és az adatfeldolgozó közötti egyedi szerződés sérelme nélkül az e cikk (3) és (4) bekezdésében említett szerződés vagy más jogi aktus teljes egészében vagy részben az e cikk (7) és (8) bekezdésében említett általános szerződési feltételeken alapulhat, beleértve azt is, amikor ezek a 42. és a 43. cikk alapján az adatkezelőnek vagy az adatfeldolgozónak megadott tanúsítvány részét képezik.
(7) A Bizottság – a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően – általános szerződési feltételeket határozhat meg az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.
(8) A felügyeleti hatóságok a 63. cikkben említett egységességi mechanizmusnak megfelelően általános szerződési feltételeket fogadhatnak el az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.
(9) A (3) és (4) bekezdésben említett szerződést vagy más jogi aktust írásba kell foglalni, ideértve az elektronikus formátumot is.
(10) A 82., 83. és 84. cikk sérelme nélkül, ha egy adatfeldolgozó e rendeletet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.”
Adatkezelés:
A személyes és különleges adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
GDPR 5. cikk szerint:
„A személyes adatok kezelésére vonatkozó elvek
- A személyes adatok:
- a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);
- c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
- d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
2016.5.4. HU Az Európai Unió Hivatalos Lapja L 119/35 ( 1) Az Európai Parlament és Tanács (EU) 2015/1535 irányelve (2015. szeptember 9.) a műszaki szabályokkal és az információs társadalom szolgáltatásaira vonatkozó szabályokkal kapcsolatos információszolgáltatási eljárás megállapításáról (HL L 241., 2015.9.17., 1. o.)
- e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);
- f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
- Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).”
GDPR 6. cikk szerint:
„Az adatkezelés jogszerűsége
(1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
- a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
- b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
- c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
- d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
- e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
- f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.
(2) Az e rendeletben foglalt, adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében, a tagállamok az (1) bekezdés c) és e) pontjának való megfelelés céljából fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket, amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzeteket is.
(3) Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:
- a) az uniós jog, vagy
- b) azon tagállami jog, amelynek hatálya alá az adatkezelő tartozik.
Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok
alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes L 119/36 HU Az Európai Unió Hivatalos Lapja 2016.5.4. adatkezelés biztosításához szükséges intézkedéseket is, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.
(4) Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:
- a) a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;
- b) a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti kapcsolatokra;
- c) a személyes adatok jellegét, különösen pedig azt, hogy a 9. cikk szerinti személyes adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a 10. cikk szerinti kezeléséről van-e szó;
- d) azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;
- e) megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.”
Az EÖAV tv. szerint:
„A gyógykezelés céljából történő adatkezelés
- § (1) Az adatkezelő – a (2) bekezdésben foglalt kivétellel -, továbbá az adatfeldolgozó az orvosi titkot köteles megtartani.
(2) Az adatkezelő mentesül a titoktartási kötelezettség alól, ha
- a) az egészségügyi és személyazonosító adat továbbítására az érintett, illetve törvényes képviselője írásban hozzájárult, az abban foglalt korlátozásokon belül, valamint
- b) az egészségügyi és személyazonosító adat továbbítása törvény előírásai szerint kötelező.
(3) Az érintett jogosult tájékoztatást kapni a gyógykezeléssel összefüggésben történő adatkezelésről, a rá vonatkozó egészségügyi és személyazonosító adatokat megismerheti, az egészségügyi dokumentációba betekinthet, valamint azokról – saját költségére – másolatot kaphat.
(4) A (3) bekezdés szerinti jog
- a) az érintett ellátásának időtartama alatt az általa írásban felhatalmazott személyt,
- b) az érintett ellátásának befejezését követően az általa teljes bizonyító erejű magánokiratban felhatalmazott személyt illeti meg.
(5) A beteg életében, illetőleg halálát követően az érintett házastársa, egyeneságbeli rokona, testvére, valamint élettársa – írásbeli kérelme alapján – akkor is jogosult a (3) bekezdés szerinti jog gyakorlására, ha
- a) az egészségügyi adatra
- aa) a házastárs, az egyeneságbeli rokon, a testvér, illetve az élettárs, valamint leszármazóik életét, egészségét befolyásoló ok feltárása, illetve
- ab) az aa) pont szerinti személyek egészségügyi ellátása céljából van szükség, és
- b) az egészségügyi adat más módon való megismerése, illetve az arra való következtetés nem lehetséges.
(6) Az (5) bekezdés szerinti esetben csak azoknak az egészségügyi adatoknak a megismerése lehetséges, amelyek az (5) bekezdés a) pontja szerinti okkal közvetlenül összefüggésbe hozhatóak.
(7) Az érintett halála esetén törvényes képviselője, közeli hozzátartozója, valamint örököse – írásos kérelme alapján – jogosult a halál okával összefüggő vagy összefüggésbe hozható, továbbá a halál bekövetkezését megelőző gyógykezeléssel kapcsolatos egészségügyi adatokat megismerni, az egészségügyi dokumentációba betekinteni, valamint azokról – saját költségére – másolatot kapni.
- § A betegellátót – az érintett választott háziorvosa, valamint az igazságügyi szakértő kivételével – a titoktartási kötelezettség azzal a betegellátóval szemben is köti, aki az orvosi vizsgálatban, a kórisme megállapításában, illetve a gyógykezelésben vagy műtétnél nem működött közre, kivéve, ha az adatok közlése a kórisme megállapítása vagy az érintett további gyógykezelése érdekében szükséges.
- § (1) Az egészségügyi adatok felvétele a gyógykezelés része. A kezelést végző orvos, illetve a tisztiorvos dönti el, hogy a szakmai szabályoknak megfelelően – a kötelezően felveendő adatokon kívül – mely egészségügyi adat felvétele szükséges a 4. § (1) bekezdése szerinti célból.
(2) Az érintett gyógykezelésével kapcsolatos tevékenységet végző egyéb személy a kezelést végző orvos utasításának megfelelően, illetve a feladatai ellátásához szükséges mértékben vehet fel egészségügyi adatot.
- § (1) A 4. § (1)-(3) bekezdése szerinti célból történő adatkezelés és adatfeldolgozás esetén az egészségügyi ellátóhálózaton belül az egészségügyi és személyazonosító adatok továbbíthatók, illetve összekapcsolhatók. Az egészségbiztosítási szervnek a kötelező egészségbiztosítás ellátásairól szóló 1997. évi LXXXIII. törvény (a továbbiakban: Ebtv.) 81. §-ában meghatározott feladata ellátása érdekében egészségügyi adatok és TAJ-számok az egészségügyi ellátóhálózat és az egészségbiztosítási szerv között is továbbíthatók és összekapcsolhatók, a feladat ellátásához szükséges mértékben. A különböző forrásból származó egészségügyi és személyazonosító adatokat csak addig az időpontig és olyan mértékig lehet összekapcsolni, ameddig az a megelőzés, a gyógykezelés, a népegészségügyi, közegészségügyi-járványügyi intézkedések megtétele érdekében feltétlenül szükséges.
(1a) Az (1) bekezdés alkalmazásánál az egészségügyi ellátóhálózaton belüli egészségügyi és személyazonosító adatok továbbítására és összekapcsolására – a 4. § (1) és (3) bekezdésében foglaltakon túl – a 4. § (2) bekezdésében meghatározott célok esetén csak akkor kerülhet sor, ha azok az egészségügyi és betegellátó rendszer működésével közvetlenül összefüggnek.
(2) A 4. § (1) bekezdése szerinti adatkezelés és adatfeldolgozás esetén az érintett betegségével kapcsolatba hozható minden olyan egészségügyi adat továbbítható, amely a kezelőorvos vagy a háziorvos döntése alapján a gyógykezelés érdekében fontos, kivéve, ha ezt az érintett írásban vagy önrendelkezési nyilvántartásba vett nyilatkozatában megtiltja. Ennek lehetőségéről a továbbítás előtt az érintettet tájékoztatni kell. A 13. § szerinti esetekben az érintett tiltása ellenére is továbbítani kell az egészségügyi és személyazonosító adatot.
(3) A (2) bekezdés szerinti adattovábbítás esetén sem lehet – a 11. § (3) bekezdésében és a 13. §-ban foglaltak kivételével – az érintett hozzájárulása nélkül továbbítani a továbbítás idején fennálló betegséggel össze nem függő, korábbi betegségre vonatkozó egészségügyi adatokat.
(4) Sürgős szükség esetén a kezelést végző orvos által ismert, a gyógykezeléssel összefüggésbe hozható minden egészségügyi és személyazonosító adat továbbítható.
- § (1) A kezelést végző orvos az általa megállapított, az érintettre vonatkozó egészségügyi adatokról az érintettet közvetlenül tájékoztatja, és – amennyiben az érintett ezt kifejezetten nem tiltotta meg – azokat továbbítja az érintett választott háziorvosának.
(2) A háziorvos az érintettet – kérelmére – tájékoztatja a rendelkezésére álló egészségügyi adatokról.
(3) Az érintett háziorvosa és a kezelését végző orvos a 4. § (1) bekezdése szerinti cél érdekében – ha az érintett ezt írásban nem tiltotta meg – jogosult az érintett által a kötelező egészségbiztosítás terhére igénybevett egészségügyi ellátás adatairól tudomást szerezni úgy, hogy az adatokat az egészségbiztosítási szerv elektronikus lekérdezés formájában biztosítja számára. A háziorvos a hozzá bejelentkezett biztosított adatait ismerheti meg. Az érintettet a kezelést végző orvos írásban vagy szóban tájékoztatja a tiltakozás lehetőségéről. Az érintett a tiltakozását az egészségbiztosítási szerv részére személyesen, postai úton vagy elektronikus úton juttatja el.
(4) A (3) bekezdés szerinti egyedi adatbetekintésre, illetve adatkezelésre történő felhatalmazás nem jogosítja fel a kezelőorvost sem az adatok esetleges továbbadására, sem más célú felhasználására.
- § (1) Az egészségügyi és a személyazonosító adatoknak az érintett részéről történő szolgáltatása – az egészségügyi ellátás igénybevételéhez kötelezően előírt személyazonosító adatok és a 13. §-ban foglaltak kivételével – önkéntes.
(2) Abban az esetben, ha az érintett önként fordul az egészségügyi ellátóhálózathoz, a gyógykezeléssel összefüggő egészségügyi és személyazonosító adatainak kezelésére szolgáló hozzájárulását – ellenkező nyilatkozat hiányában – megadottnak kell tekinteni, és erről az érintettet (törvényes képviselőjét) tájékoztatni kell.
(3) Sürgős szükség, valamint az érintett belátási képességének hiánya esetén az önkéntességet vélelmezni kell.
- § Az érintett (törvényes képviselője) köteles a betegellátó felhívására egészségügyi és személyazonosító adatait átadni,
- a) ha valószínűsíthető vagy beigazolódott, hogy az 1. számú mellékletben felsorolt valamely betegség kórokozója által fertőződött, vagy fertőzéses eredetű mérgezésben, illetve fertőző betegségben szenved, kivéve a 15. § (6) bekezdése szerinti esetet,
- b) ha arra a 2. számú mellékletben felsorolt szűrő- és alkalmassági vizsgálatok elvégzéséhez van szükség,
- c) heveny mérgezés esetén,
- d) ha valószínűsíthető, hogy az érintett a 3. számú melléklet szerinti foglalkozási eredetű megbetegedésben szenved,
- e) ha az adatszolgáltatásra a magzat, illetve a kiskorú gyermek gyógykezelése, egészségi állapotának megőrzése vagy védelme érdekében van szükség,
- f) ha bűnüldözés, bűnmegelőzés céljából, továbbá ügyészségi, bírósági eljárás, illetve szabálysértési vagy közigazgatási hatósági eljárás során az illetékes szerv a vizsgálatot elrendelte,
- g) ha az adatszolgáltatásra a nemzetbiztonsági szolgálatokról szóló törvény szerinti ellenőrzés céljából van szükség.
- § (1) A gyógykezelés során a kezelést végző orvoson és az egyéb betegellátó személyeken kívül csak az lehet jelen, akinek jelenlétéhez az érintett hozzájárul. Az érintett hozzájárulása nélkül jelen lehet az érintett emberi jogainak és méltóságának tiszteletben tartásával
- a) más személy, ha a gyógykezelés rendje több beteg egyidejű ellátását igényli,
- b) a rendőrség hivatásos állományú tagja, amennyiben a gyógykezelésre fogvatartott személy esetében kerül sor,
- c) a büntetés-végrehajtási szervezet szolgálati jogviszonyban álló tagja, amennyiben a gyógykezelésre olyan személy esetében kerül sor, aki a büntetés-végrehajtási intézetben szabadságelvonással járó büntetését tölti, és a gyógykezelést végző betegellátó biztonsága, illetve szökés megakadályozása céljából erre szükség van,
- d) a b)-c) pontok szerinti személyek, ha bűnüldözési érdekből a beteg személyi biztonsága ezt indokolttá teszi, és a beteg nyilatkozattételre képtelen állapotban van.
(2) Az érintett hozzájárulása nélkül is jelen lehet a 17. § (2) bekezdésében meghatározott személyeken túl az,
- a) aki az érintettet az adott betegség miatt korábban gyógykezelte,
- b) akinek erre az intézményvezető vagy az adatvédelemért felelős személy szakmai-tudományos célból engedélyt adott,kivéve, ha ez ellen az érintett kifejezetten tiltakozott.”
Az EÜAV tv. szerint:
„Közegészségügyi, járványügyi és munka-egészségügyi célból történő adatkezelés
- § (1) A betegellátó haladéktalanul továbbítja az egészségügyi államigazgatási szervnek az adatfelvétel során tudomására jutott egészségügyi és személyazonosító adatot, ha
- a) az 1. számú melléklet A) pontjában szereplő fertőző betegséget észlel vagy annak gyanúja merül föl.
(2) Az 1. számú mellékletben nem szereplő fertőző, illetve az 1. számú melléklet B) pontjában felsorolt betegségek előfordulása esetén a betegellátó személyazonosító adatok nélkül csak az egészségügyi adatokat jelentheti az egészségügyi államigazgatási szervnek. Az egészségügyi államigazgatási szerv közegészségügyi vagy járványügyi közérdekre hivatkozva – az anonim szűrővizsgálat keretében vizsgált HIV fertőzött és AIDS beteg kivételével – kérheti az érintett személyazonosító adatait.
(2a) A betegellátó továbbítja az egészségügyi államigazgatási szervnek azon személyek egészségügyi és személyazonosító adatait, akiknél a mikrobiológiai laboratóriumi vizsgálati eredmény az 1. számú melléklet A) pontja szerinti fertőzések, fertőzéses eredetű betegségek, mérgezések fennállását, illetve kórokozóik jelenlétét valószínűsíti vagy igazolja. A betegellátó továbbítja az egészségügyi államigazgatási szervnek az 1. számú melléklet A) pontja szerinti fertőzések, fertőzéses eredetű betegségek, mérgezések közül a miniszteri rendeletben meghatározott betegségekre vonatkozó azon vizsgálati eredményt is, amely a korábbi valószínűsítés ellenére nem igazolja az adott betegség fennállását. Az egészségügyi államigazgatási szerv a 4. § (1) bekezdés d) pontjában meghatározott célból, a népegészségügyi, közegészségügyi vagy járványügyi feladat ellátásához szükséges ideig és mértékben kezelheti a személyazonosító és egészségügyi adatokat, azzal, hogy azon vizsgálati eredmény esetében, amely az adott betegség fennállását a korábbi valószínűsítés ellenére nem igazolta, a vonatkozó személyazonosító adatokat haladéktalanul törölni kell.
(2b) Amennyiben a mikrobiológiai laboratóriumi vizsgálati eredmény az 1. számú melléklet B) pontja szerinti betegségek, illetve kórokozóik előfordulását valószínűsíti vagy igazolja, a mikrobiológiai vizsgálatot végző betegellátó az egészségügyi adatokat személyazonosításra alkalmatlan módon jelenti az egészségügyi államigazgatási szervnek.
(2c) A betegellátó a miniszteri rendeletben meghatározott, felügyelet alá vont kórokozók kimutatása esetén az egészségügyi adatokat személyazonosításra alkalmatlan módon továbbítja az egészségügyi államigazgatási szervnek.
(3) Az egészségügyi államigazgatási szerv az (1)-(2c) bekezdés alapján tudomására jutott egészségügyi, illetve személyazonosító adatot – a szükséges közegészségügyi-járványügyi intézkedések megtétele céljából – átadja a hatáskörrel és az érintett adatok tekintetében adatkezelési jogosultsággal rendelkező államigazgatási szervnek.
(3a) A betegellátó a 4. § (1) bekezdés d) pontjában meghatározott célból, miniszteri rendeletben meghatározott időszakonként, formában és tartalommal sürgősségi ellátás
- a) keretében a fekvőbeteg-gyógyintézetbe felvett betegekről,
- b) érdekében a mentés keretében történt ellátási eseményekről, amelyek esetében nem került sor fekvőbeteg-gyógyintézet általi átvételre, személyazonosításra alkalmatlan módon egészségügyi adatokat szolgáltat az egészségügyi államigazgatási szervnek.
(3b) A jogszabályban meghatározott adatkezelő szerv a 4. § (1) bekezdés d) pontjában meghatározott célból továbbítja az egészségügyi államigazgatási szervnek a jogszabályban meghatározott formában és tartalommal az anyakönyvi hivatalok elektronikus nyilvántartási rendszerébe rögzített halálesetekre vonatkozó egészségügyi adatokat személyazonosításra alkalmatlan módon.
(4) A tüdőgondozó intézetek a tuberkulózis, illetve a bőr- és nemibeteg ellátás intézményei az 1. számú mellékletben szereplő nemi betegségek előfordulása esetén – további személyek veszélyeztetésére tekintettel – a 4. § (1) bekezdése szerinti célból egymás között továbbíthatják az érintett kontaktusaira vonatkozó személyazonosító adatok közül a családi és utónevet, a leánykori nevet, valamint a lakó- és tartózkodási helyet.
(5)
(6) Amennyiben az érintett annak megállapítása érdekében, hogy HIV vírusával fertőződött-e – személyazonosságának előzetes felfedése nélkül – szűrővizsgálaton kíván részt venni, személyazonosító adatait a betegellátó részére nem köteles átadni.
(7) Amennyiben az érintett az alábbi betegségek valamelyikében szenved vagy a betegség gyanúja merül föl, és fertőződése házi- vagy haszonállattal, illetve vadon élő állattal történt kontaktus révén jöhetett létre, az egészségügyi államigazgatási szerv haladéktalanul továbbítja az érintett személyazonosító és egészségügyi adatait az érintett lakóhelye (tartózkodási helye) szerint illetékes élelmiszerlánc-felügyeleti szerv részére a szükséges járványügyi intézkedések megtétele céljából:
- a) anthrax (lépfene), b) brucellosis, c) lyssa (veszettség, d) lyssa fertőzésre gyanús sérülés, e) madárinfluenza,
- f) malleus (takonykór), g) nyugat-nílusi láz, h) trichinellosis, i) tuberkulozis, j) tularaemia.”
„Népegészségügyi célból történő adatkezelés
- § (1) Amennyiben az érintett beteg (ide értve a magzatot is) a miniszteri rendeletben meghatározott veleszületett rendellenességben szenved, a 4. § (1) bekezdés b) és c) pontja és a 4. § (2) bekezdés b) pontja szerinti célból a rendellenességet észlelő orvos a rendellenesség észlelésétől számított 30 napon belül az érintett személyazonosító és egészségügyi adatait, valamint – kiskorú esetén – törvényes képviselője nevét és lakcímét – miniszteri rendeletben meghatározott módon – továbbítja a Veleszületett Rendellenességek Országos Nyilvántartása részére.
(2) Az (1) bekezdés szerinti bejelentést megelőzően az észlelő orvos ellenőrzi, hogy az érintett beteg (1) bekezdés szerinti adatai szerepelnek-e a Veleszületett Rendellenességek Országos Nyilvántartásában. Ha az adatok még nem kerültek bejelentésre, az orvos az (1) bekezdésben foglaltak szerint jár el. Ha az ellenőrzés során megállapításra kerül, hogy a beteg nyilvántartott adatai nem teljes körűek, a bejelentő orvos azokat kiegészíti.
(3) Amennyiben a magzatnál – ide értve a spontán vagy indukált magzati halálozás, illetve halvaszületés esetét is – olyan elváltozást észlelnek, amely veleszületett rendellenességet eredményezhet, az (1) bekezdés szerint kell eljárni, azzal, hogy az érintett személyazonosító adatain a várandós nő adatait kell érteni.
(4) Az (1) bekezdés szerinti bejelentő orvos és az érintett gondozását végző védőnő együttműködik a Veleszületett Rendellenességek Országos Nyilvántartását vezető szervvel a veleszületett fejlődési rendellenességek okainak feltárása céljából, azok megelőzése, a betegek gyógykezelésének nyomon követése érdekében.
(4a) Az egészségügyi ellátóhálózat szervei a Veleszületett Rendellenességek Országos Nyilvántartását vezető szerv megkeresésére a 4. § (1) bekezdés b) és c) pontja és a 4. § (2) bekezdés b) pontja szerinti célból továbbítják a kezelésükben lévő, veleszületett rendellenességekkel kapcsolatos egészségügyi és hozzájuk kapcsolódó személyazonosító adatokat a Veleszületett Rendellenességek Országos Nyilvántartását vezető szerv részére. A Veleszületett Rendellenességek Országos Nyilvántartását vezető szerv az (1) bekezdés szerinti adatokat az érintettre vonatkozó utolsó adattovábbítástól számított ötven évig kezelheti.
(4b) A Veleszületett Rendellenességek Országos Nyilvántartását vezető szerv végzi a veleszületett rendellenességekkel kapcsolatos nemzetközi adatszolgáltatást.
(5) A 4. § (1) bekezdés b)-c) pontjai és a 4. § (2) bekezdés b) pontja szerinti célból daganatos eredetű betegség észlelése esetén a betegellátó továbbítja az érintett egészségügyi és személyazonosító adatait a külön jogszabály szerint vezetett Nemzeti Rákregiszternek.
(6) Az egészségbiztosítási szerv a kezelésében lévő, daganatos eredetű betegséggel diagnosztizált betegek személyazonosító és a daganatos eredetű betegségre vonatkozó egészségügyi adatait – a 4. § (1) bekezdés b) és c) pontja, valamint a 4. § (2) bekezdés b) pontja szerinti célból – továbbítja az (5) és (7) bekezdés szerinti, daganatos eredetű megbetegedéseket nyilvántartó regiszterek részére.
(7) A 4. § (1) bekezdés b)-c) pontjai és a 4. § (2) bekezdés b) pontja szerinti célból, a gyermekek daganatos eredetű megbetegedéseinek nyilvántartása érdekében a külön jogszabály szerint vezetett, az érintett egészségügyi és személyazonosító adatait tartalmazó Gyermekonkológiai Regiszter működik.
(8) A 4. § (1) bekezdés b)-c) pontjai és a 4. § (2) bekezdés b) pontja szerinti célból a Központi Statisztikai Hivatal az elhunytak személyazonosításra alkalmas halálozási adatait a külön törvény szerint meghatározott adattartalommal az adatok teljessége és összefüggése ellenőrzésének befejezését követő 5 napon belül továbbítja az (5) és a (7) bekezdés szerinti, daganatos eredetű megbetegedéseket nyilvántartó regiszterek részére. Az (5)-(7) bekezdés szerinti regiszterek az adatfeldolgozás befejezésétől számított 8 napon belül a regiszterekben nem nyilvántartott, illetve az adatfeldolgozás során nyilvántartásba nem vett elhunytak adatait kötelesek megsemmisíteni.
(9) A betegellátó szívinfarktussal diagnosztizált betegség észlelése esetén továbbítja az érintett személyazonosító és a szívinfarktus megbetegedésre vonatkozó egészségügyi adatait a 4. § (1) bekezdés b) és c) pontja és a 4. § (2) bekezdés b) pontja szerinti célból működő, a miniszteri rendeletben meghatározott Nemzeti Szívinfarktus Regiszter részére.
(10) Az egészségbiztosítási szerv a kezelésében lévő, a szívinfarktussal diagnosztizált beteg személyazonosító és a szívinfarktus megbetegedésre vonatkozó egészségügyi adatait a 4. § (2) bekezdés b) pontja szerinti célból továbbítja a Nemzeti Szívinfarktus Regiszter részére.
(11) A 4. § (2) bekezdés b) pontja szerinti célból a Központi Statisztikai Hivatal az elhunytak halálozással kapcsolatos egészségügyi adatait és az ahhoz kapcsolódó TAJ számot, nemet, születési helyet és időt, valamint a lakóhelyet és tartózkodási helyet az adatok teljessége és összefüggése ellenőrzésének befejezését követő 5 napon belül továbbítja a Nemzeti Szívinfarktus Regiszter részére. A Nemzeti Szívinfarktus Regiszter az adatfeldolgozás befejezésétől számított 8 napon belül a regiszterben nem nyilvántartott, illetve az adatfeldolgozás során nyilvántartásba nem vett elhunytak adatait törli.
(12) A Nemzeti Szívinfarktus Regiszter adategyeztetést folytat a (9)-(11) bekezdés szerinti adatszolgáltatókkal a megküldött adatok tekintetében. A Nemzeti Szívinfarktus Regiszter a nyilvántartott adatokat az érintettre vonatkozó utolsó adattovábbítástól számított ötven évig kezelheti személyazonosításra alkalmas módon.”
EÜAV Tv. szerint:
„Az egészségügyi és személyazonosító adatok nyilvántartása
- § (1) Az érintettről felvett, a gyógykezelés érdekében szükséges egészségügyi és személyazonosító adatot, valamint azok továbbítását nyilván kell tartani. Az adattovábbításról szóló feljegyzésnek tartalmaznia kell az adattovábbítás címzettjét, módját, időpontját, valamint a továbbított adatok körét.
(2) A nyilvántartás eszköze lehet minden olyan adattároló eszköz vagy módszer, amely biztosítja az adatok 6. § szerinti védelmét.
(3) A kezelést végző orvos az általa vagy az egyéb betegellátó által felvett egészségügyi adatokról, valamint az azzal összefüggő saját tevékenységéről és intézkedéseiről feljegyzést készít. A feljegyzés a nyilvántartás részét képezi.
- § (1) A betegellátó nyilvántartja
- a) azokat az érintetteket, akikről bebizonyosodott vagy valószínűsíthető, hogy az 1. számú melléklet szerinti fertőző betegségben szenvednek. Ezzel összefüggésben nyilván kell tartani a megelőző gyógyszeres kezelésre, a szűrővizsgálatra, a járványügyi megfigyelésre, a járványügyi ellenőrzésre, a járványügyi zárlatra kötelezett személyeket,
- b) a védőoltásra kötelezett személyeket,
- c) azokat, akik kábítószer-élvezők, gyógyszert kóros mértékben fogyasztók, illetve egyéb, hasonló jellegű függőséget okozó anyagot használnak.
(2) Az (1) bekezdés a) pontja szerinti, továbbá a védőoltásban részesített személyeket a tisztiorvos is nyilvántartja.
(3) Az (1) bekezdés c) pontja szerinti személyekre vonatkozó egészségügyi és személyazonosító adatokat egymástól elkülönítetten kell tárolni.
(4) A háziorvos a hozzá bejelentkezett érintett kórtörténetében tartja nyilván annak – általa ismert – valamennyi egészségügyi adatát.
(5) A gyógyszerész nyilvántartást vezet az orvosi rendelvényre kábítószert igénybe vett érintettekről.
- § (1) Az egészségügyi dokumentációt – a képalkotó diagnosztikai eljárással készült felvételek, az arról készített leletek, valamint a (7) bekezdés kivételével – az adatfelvételtől számított legalább 30 évig, a zárójelentést legalább 50 évig kell megőrizni. A kötelező nyilvántartási időt követően gyógykezelés vagy tudományos kutatás érdekében – amennyiben indokolt – az adatok továbbra is nyilvántarthatók. Ha a további nyilvántartás nem indokolt – a (3) bekezdés kivételével – a nyilvántartást meg kell semmisíteni.
(2)Képalkotó diagnosztikai eljárással készült felvételt az annak készítésétől számított 10 évig, a felvételről készített leletet a felvétel készítésétől számított 30 évig kell megőrizni.
(3) Amennyiben az egészségügyi dokumentációnak tudományos jelentősége van, a kötelező nyilvántartási időt követően át kell adni az illetékes levéltár részére.
(4) A dokumentációt kezelő jogutód nélküli megszűnése esetén – az (5) bekezdés kivételével –
- a) a tudományos jelentőségű egészségügyi dokumentációt a (3) bekezdés szerinti levéltárnak,
- b) az egyéb egészségügyi dokumentációt a Kormány által kijelölt szervnek kell átadni.
(5) Amennyiben a dokumentációt kezelő jogutód nélkül szűnik meg, de az általa korábban ellátott feladatokat más szerv látja el,
- a) a dokumentációt kezelő megszűnésének időpontját megelőző tíz évben keletkezett egészségügyi dokumentációt a feladatot ellátó szerv,
- b) az a) pont alapján átadásra nem kerülő egészségügyi dokumentációt a 30. § (4) bekezdés b) pontja szerinti adatkezelő részére kell átadni.
(6) A meg nem semmisített, illetve a (2) bekezdés szerinti levéltárnak átadott egészségügyi dokumentációra e törvény előírásai értelemszerűen vonatkoznak.
(6a) A betegjogi, ellátottjogi és gyermekjogi képviselő eljárása során keletkezett – egészségügyi és személyazonosító adatot is tartalmazó – dokumentációt az eljárás befejezését követően át kell adni a (4) bekezdés b) pontja szerinti szervnek.
(7) A gyógyszer, gyógyászati segédeszköz és gyógyászati ellátás kiszolgáltatója vagy nyújtója a papíralapú vényeket, illetve elektronikus vény kiváltásakor az emberi felhasználásra kerülő gyógyszerek rendeléséről és kiadásáról szóló rendelet szerint nyomtatott kiadási igazolást 5 évig őrzi meg, azzal, hogy ha a működési nyilvántartásban nem szereplő, de valamely államban gyógyszer rendelésére jogosult személy által rendelt vényköteles gyógyszer kiadásának alapjául szolgáló külföldi vény visszaadásra kerül, a vény másolatát kell megőrizni és az expediálás tényét a vény eredeti példányán fel kell tüntetni. Gyógyászati segédeszköz szaküzletben kiszolgáltatott olyan gyógyászati segédeszköz esetén, amelynek kihordási ideje 5 évnél hosszabb, a papíralapú vény, valamint a kiadási igazolás megőrzési ideje a kihordási idővel azonos. A kötelező őrzési időt követően a papíralapú vényeket és a kiadási igazolásokat meg kell semmisíteni.
(7a) A gyógyszer, a gyógyszertárban forgalmazható gyógyászati segédeszköz 35/B. § szerint csatlakozott kiszolgálója, az EESZT-ben rögzíti a papíralapon kiállított és felhasznált vény adatait. Az EESZT működtetője az egyes vényekre vonatkozó adatokat a vény visszavonásától, felhasználásától vagy felhasználási idejének lejártától számított 30 év elteltével törli.
(7b) A gyógyszer, gyógyászati segédeszköz kiszolgálója a megőrzési időn belül jogosult adatot igényelni az EESZT útján kiállított és általa kiszolgált vényekről.
(8) Az adatmegőrzés érdekében folyamatosan biztosítani kell, hogy az adathordozó az adott technikai feltételek mellett olvasható maradjon, vagy olvasható állapotba kerüljön.
(9) A (4) bekezdés b) pontjában meghatározott szerv adatfeldolgozási szerződést köt a Kormány által rendeletben kijelölt szervvel a) a (4) bekezdés b) pontjában, b) az (5) bekezdés b) pontjában, c) a (6a) bekezdésben, valamint d) kormányrendeletben meghatározott egészségügyi dokumentáció elhelyezéséről, illetve feldolgozásáról.
- § (1) Az egészségügyi dokumentációban szereplő hibás egészségügyi adatot – az adatfelvételt követően – úgy kell kijavítani vagy törölni, hogy az eredetileg felvett adat megállapítható legyen.
(2) A nyilvántartott adatokról, az egészségügyi dokumentációról az adatkezelő hiteles másolatot készít, ha ezt az adatbiztonság vagy a tárolt adatok fizikai védelme, illetve az e törvényben előírt adatközlési kötelezettség szükségessé teszi. A hiteles másolat adattartalmára vonatkozóan a 6. §-ban foglalt rendelkezések az irányadók.”
Kezelt adatok köre:
- páciensek, orvosok, asszisztensek, szerződött előfizetők kapcsolattartóinak személyes adatai
- páciensek különleges adatai
- technikai adatok
- Cookie
- telefonos adatkezelés
Személyes adatok: GDPR 4. cikk.
Az azonosított vagy azonosítható természetes személyre („érintett”/”páciens”) vonatkozó bármely olyan adat, információ, tényező amely alapján az adott természetes személy beazonosítható. Ezek különösen: név, szám, helymeghatározó adat, online azonosító, természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális, szociális azonosságára utaló adat. Személyes adatkezelésnek minősül továbbá a fénykép, hang-, képfelvétel készítése, valamint személyazonosításra alkalmas fizikai jellemzők gyűjtése.
Különleges adat: GDPR 9. cikk.
Személyes adatok körén belül különleges adat a faji etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, szakszervezeti tagságra utaló adat, valamint a természetes személyek egyedi azonosítására alkalmas genetikai, biometrikus adatok, egészségügyi adatok, természetes személyek szexuális életére, szexuális beállítottságára utaló adatok.
Ezeknek az adatoknak a kezelése csak az érintett természetes személy kizárólagos hozzájárulása esetén lehetséges. Amennyiben az érintett a hozzájárulást megtagadja, akkor a fent megjelölt különleges adatok kezelése tilos.
Technikai adatok:
A rendszer működtetése során technikailag rögzítésre kerülő adatok: az Érintett számítógépének azon adatai, melyek a szolgáltatás igénybevétele során generálódnak és melyeket a szervezet rendszere a technikai folyamatok automatikus eredményeként rögzít. Az automatikusan rögzítésre kerülő adatokat a rendszer az Érintett külön nyilatkozata vagy cselekménye nélkül a belépéskor, illetve kilépéskor automatikusan naplózza. Ezen adatok egyéb személyes felhasználói adatokkal össze nem kapcsolhatók. Az adatokhoz kizárólag a szervezet fér hozzá.
Cookie:
A Weboldalon tett látogatások során egy vagy több cookie-t – azaz egy-egy karaktersorozatot tartalmazó kis fájlt – küld a szervezet a látogató számítógépére, amelyek révén annak böngészője egyedileg azonosítható lesz. Ezek a Cookie-k részben a Google által biztosítottak, melyek felhasználása a Google Analytics rendszerén keresztül történik. Egyes Cookiekat a szervezet maga állít elő. Ezeket a Cookie-kat csak egyes al-oldalak látogatása esetén küldjük el a látogató számítógépére, tehát ezekben csak az adott al-oldal meglátogatásának tényét és idejét tároljuk semmilyen más információt, adatot nem.
Alkalmazott Cookie-k:
1./ átmeneti cookie: az érintett látogatása után automatikusan törlődik. Ezek a cookie-k arra szolgálnak, hogy a szervezet honlapja hatékonyabban és biztonságosabban tudjon működni, tehát elengedhetetlenek ahhoz, hogy a honlap egyes funkciói vagy egyes alkalmazások megfelelően tudjanak működni.
2./ állandó cookie: állandó cookie-t is használ a szervezet a jobb felhasználói élmény érdekében (pl. optimalizált navigáció nyújtása). Ezek a cookie-k hosszabb ideig kerülnek tárolásra a böngésző cookie file-jában. Ennek időtartama attól függ, hogy az Érintett az internetes böngészőjében milyen beállítást alkalmaz.
3./ jelszóval védett munkamenethez használt cookie.
4./Biztonsági cookie: Külső szerverek segítik a Honlap látogatottsági és egyéb webanalitikai adatainak független mérését és auditálását (Google Analytics). A mérési adatok kezeléséről az adatkezelők tudnak részletes felvilágosítást nyújtani az Érintett részére.
Elérhetőségük: www.google.com/analytics
Amennyiben az Érintett nem szeretné, hogy a Google Analytics a fenti adatokat az ismertetett módon és céllal mérje, telepítse böngészőjébe az ezt blokkoló kiegészítőt.
5./A legtöbb böngésző menüsorában található „Segítség” funkció tájékoztatást nyújt arra vonatkozóan, hogy a böngészőben hogyan lehet letiltani a cookie-kat, hogyan fogadjon el új cookie-kat, vagy hogyan adjon utasítást böngészőjének arra, hogy új cookie-t állítson be, vagy hogyan kapcsoljon ki egyéb cookie-kat.
Telefonos adatkezelés:
A szervezet telefonos ügyfélszolgálatot tart fenn, melynek során az ügyfélszolgálattal folytatott beszélgetések rögzítésére kerülhet sor, melynek célja hogy a szervezet az esetleges jogvita esetén hitelt érdemlően rekonstruálni tudja az eseményeket.
Érintett a hívás kezdeményezésével az Infotv. alapján, önkéntesen hozzájárul ahhoz, hogy amennyiben bármilyen jellegű ügyben a szervezethez fordul a telefonos ügyfélszolgálatán keresztül, akkor jelen adatkezelési szabályzattal kapcsolatos tájékoztatást követően a szervezet az ügyfélszolgálattal folytatott telefonbeszélgetést rögzítse.
Szervezet a hívást kezdeményezőt illetve egyéb Érintettet a beszélgetés előtt tájékoztatja arról, hogy a beszélgetést rögzíti. A telefonon nyújtott rövid tájékoztatással a szervezet annak lehetőségét teremteni meg, hogy a Felhasználó eldönthesse hozzájárul-e ahhoz, hogy az ügyfélszolgálattal folytatott beszélgetése rögzítésre kerüljön, illetve hozzájárul-e ahhoz, hogy a telefonon történő megbeszélés során, az Érintett által bemondott, Érintettre vonatkozó személyes és különleges adatokat a szervezet rögzítse, tárolja, az érintett kifejezett kérésére esetlegesen kezelje.
Amennyiben az Érintett nem szeretné, hogy a telefonbeszélgetés rögzítése megtörténjen, illetve a szervezet az adatait kezelje, akkor rendelkezésére áll az a lehetőség, hogy a hívást megszakítsa és emailben vagy postai úton keresse meg a szervezetet.
Szervezet a felvételt a telefonbeszélgetés rögzítésétől számított 30 napig tárolja.
Abban az esetben, ha az Érintett durván beszél, obszcén kifejezéseket használ, sértegeti az ügyfélszolgálati munkatársat vagy a szervezetet, a szervezet jogosult a hívás megszakítására.
Adatok kezelésének jogalapja:
- Különleges adat esetén az Érintett kizárólagos hozzájárulása
- Jogi kötelezettség teljesítése
- Szervezet, Páciens, egyéb Érintett, harmadik személy jogos érdeke
Érintettek hozzájárulása:
A GDPR rendelet alapján az Érintettek hozzájárulásának önkéntesnek, konkrétnak, megfelelő tájékoztatáson alapulónak és egyértelműnek kell lennie.
A személyes adatok különleges kategóriái esetén – egészségügyi adatok, biometrikus adatok, stb. – a hozzájárulásnak a fentieken kívül még kifejezettnek kell lennie.
Figyelemmel a szervezet tevékenységének jellegére, az adatkezelés jogalapja az Érintett önkéntes, megfelelő tájékoztatáson alapuló kifejezett hozzájárulása (Infotv. 5. § (1) bek. a) pont), továbbá profilalkotás esetén a páciens megfelelő, a GDPR rendelkezéseinek megfelelő tájékoztatása, továbbá a GDPR 6. cikk (1) bekezdés f) pontja. Az Érintettek önként lépnek kapcsolatba a szervezettel, önként regisztrálnak, önként veszik igénybe a szervezet szolgáltatását. A szervezet az Érintett hozzájárulásának a hiányában csak akkor kezel adatot, ha erre törvény egyértelműen felhatalmazza.
Jogi kötelezettség teljesítése:
A szervezet rendszerében rögzítésre került és tárolt személyes és különleges adatok kezelése más, a szervezetre, mint Adatkezelőre vonatkozó Uniós és hazai jogszabályban foglalt kötelezettségek teljesítése miatt szükséges.
Szervezet, Érintett, harmadik személy jogos érdeke:
Személyes és a különleges adatok kezelésének jogalapja a szervezet, Érintett, harmadik személy jogos érdeke, mivel a szervezet működési területén elektronikus kamerarendszer működhet, amely kép és hangfelvétel készítésére, tárolására alkalmas. A kamera rendszer működtetésének célja a személy- és vagyon védelem, üzleti titok védelme, vitás tényállás felmerülése esetén a tényállás tisztázása. Ettől független biometrikus azonosító rendszer alkalmazásával az egészségügyi szolgáltatás igénybe vételéhez az érintett azonosítása céljából személyes adatai túlmenően arcképe és ujjlenyomata is rögzítésre, illetve ellenőrzésre kerül. Ezek mellett az egészségügyi ellátás, szakorvosi ellátás nyújtása körében, a páciens állapotának felmérése, rögzítése, diagnózis felállítása érdekében kép és hangfelvétel készülhet.
GDPR 7. cikk szerint:
„A hozzájárulás feltételei
(1) Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.
(2) Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti e rendeletet, kötelező erővel nem bír.
(3) Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
(4) Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez.”
GDPR 8. cikk szerint:
„A gyermek hozzájárulására vonatkozó feltételek az információs társadalommal összefüggő szolgáltatások vonatkozásában
(1) Ha a 6. cikk (1) bekezdésének a) pontja alkalmazandó, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.
A tagállamok e célokból jogszabályban ennél alacsonyabb, de a 13. életévnél nem alacsonyabb életkort is megállapíthatnak. 2016.5.4. HU Az Európai Unió Hivatalos Lapja L 119/37
(2) Az adatkezelő – figyelembe véve az elérhető technológiát – észszerű erőfeszítéseket tesz, hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.
- Az (1) bekezdés nem érinti a tagállamok általános szerződési jogát, például a gyermek által kötött szerződések érvényességére, formájára vagy hatályára vonatkozó szabályokat.”
GDPR 9. cikk szerint:
„A személyes adatok különleges kategóriáinak kezelése
(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.
(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha:
- a) az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával;
- b) az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;
- c) az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
- d) az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;
- e) az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
- f) az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;
- g) az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosításra megfelelő és konkrét intézkedéseket ír elő;
- h) az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben említett feltételekre és garanciákra figyelemmel;
- i) az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan; L 119/38 HU Az Európai Unió Hivatalos Lapja 2016.5.4.
- j) az adatkezelés a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
(3) Az (1) bekezdésben említett személyes adatokat abban az esetben lehet a (2) bekezdés h) pontjában említett célokból kezelni, ha ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll.
(4) A tagállamok további feltételeket – köztük korlátozásokat – tarthatnak hatályban, illetve vezethetnek be a genetikai adatok, a biometrikus adatok és az egészségügyi adatok kezelésére vonatkozóan.”
Adatkezelés időtartama:
A GDPR rendelet 17. cikk (1) bekezdése alapján: az Adatkezelő (Intézmény) által kezelt adatot az Érintett (Páciens) kérésére – amennyiben az adatkezelésnek más jogalapja nincsen, csak az Érintett hozzájárulása – a rá vonatkozó személyes adatokat indokolatlan késedelem nélkül törölni kell az adatkezelő adatbázisából.
A rendelet 17. cikk (3) bekezdése alapján amennyiben a kezelt személyes adat jogérvényesítéshez vagy hatóság felé történő elszámoláshoz szükséges akkor az adatkezelés – az Érintett kérelme ellenére – jogi kötelezettség teljesítése vagy jogos érdek alapján folytatható.
A fentiek szerint a szervezet a jogi kötelezettség teljesítése mint jogalap alapján, tekintettel az Eü. , illetve EÜAV törvény Páciens adatok megőrzésére vonatkozó rendelkezéseire, szervezet az általa kezelt, tárolt személyes és különleges adatokat az adatok rögzítésének időpontjától számított 10, illetve 30 évig köteles megőrizni!
Szervezet, Páciens, harmadik személy jogos érdeke mint jogalap alapján:
- a telefonos beszélgetések a beszélgetések rögzítésétől számított 30. napon kerülnek törlésre.
- az elektronikus megfigyelő rendszerrel történő adatrögzítés esetén a rögzített adatok a rögzítés időpontjától számított 30. napon kerülnek törlésre.
Adatokat megismerő személyek köre, adattovábbítás
Az adatokat elsődlegesen a szervezet képviselői, azzal munka-, vagy megbízási jogviszonyban álló személyek, mint belső munkatársak jogosultak megismerni. A Páciens gyógykezelésével kapcsolatos adatok szükséges mértékben, gyógyintézetek és hatóságok felé továbbításra kerülnek. Az adattovábbítás jogalapja a szervezet jogszabályon alapuló jogi kötelezettségének teljesítése.
A szervezet adatot csak akkor továbbít harmadik személy részére, ha ahhoz az Érintett egyértelműen – a továbbított adatkör és az adattovábbítás címzettje ismeretében – hozzájárult, vagy az adattovábbításra törvény felhatalmazást ad.
A szervezet jogosult és köteles minden olyan rendelkezésére álló és általa szabályszerűen tárolt Személyes adatot az illetékes hatóságoknak továbbítani, amely Személyes adat továbbítására őt jogszabály vagy jogerős hatósági kötelezés kötelezi. Ilyen Adattovábbítás, valamint az ebből származó következmények miatt a szervezet nem tehető felelőssé.
Adatfeldolgozás
Az Érintettek személyes adatai szerződés teljesítése, mint jogalap alapján, míg a Páciensek egészségügyi (különleges) adatai a Páciensek kifejezett hozzájárulásával kerülnek feldolgozásra és tárolásra. Az adatok feldolgozását elsősorban a szervezet belső munkatársai végzik. Az adatok harmadik illetéktelen személy részéről hozzá nem férhető módon, számítógépen titkosított rendszerben, papíralapon elzártan kerülnek tárolásra.
A Weboldal üzemeltetése során a szervezet Külső szolgáltatót vesz igénybe, amely Külső szolgáltatóval a szervezet együttműködik.
A Külső szolgáltató rendszerében kezelt adatok tekintetében a Külső szolgáltató saját adatvédelmi szabályzatában foglaltak az irányadók. A szervezet minden tőle telhetőt megtesz annak érdekében, hogy a Külső szolgáltató a részére továbbított Személyes adatokat a jogszabályoknak megfelelőn kezelje, és azokat kizárólag az Érintett által meghatározott vagy a jelen Tájékoztatóban rögzített célra használja fel.
A szervezet a Külső szolgáltató számára végzett adattovábbításról a jelen Tájékoztató keretében tájékoztatja a Felhasználókat.
A szervezet a tevékenysége ellátásához jogosult adatfeldolgozót igénybe venni. Az adatfeldolgozók önálló döntést nem hoznak, kizárólag a szervezettel kötött szerződés, és a kapott utasítások szerint jogosultak eljárni. A szervezet ellenőrzi az adatfeldolgozók munkáját. Az adatfeldolgozók további adatfeldolgozó igénybe vételére nem jogosultak.
Adatbiztonság
A szervezet gondoskodik az adatok biztonságáról, megteszi azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek az irányadó jogszabályok, adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. A szervezet az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
A szervezet az általa kezelt adatokat az irányadó jogszabályoknak megfelelően tartja nyilván, biztosítva, hogy az adatokat csak azok a munkavállalók, és egyéb az Adatkezelő érdekkörében eljáró személyek (adatfeldolgozók) ismerhessék meg, akiknek erre munkakörük, feladatuk ellátása érdekében szükségük van.
A szervezet az elektronikus nyilvántartást informatikai program útján üzemelteti, amely megfelel az adatbiztonság követelményeinek. A program biztosítja, hogy az adatokhoz csak célhoz kötötten, ellenőrzött körülmények között csak azon személyek férjenek hozzá, akiknek a feladataik ellátása érdekében erre szükségük van.
GDPR 32. cikk szerint:
„Az adatkezelés biztonsága
(1) Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:
- a) a személyes adatok álnevesítését és titkosítását; 2016.5.4. HU Az Európai Unió Hivatalos Lapja L 119/51
- b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
- c) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
- d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
(2) A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
(3) Az adatkezelő, illetve az adatfeldolgozó 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozását felhasználhatja annak bizonyítása részeként, hogy az e cikk (1) bekezdésében meghatározott követelményeket teljesíti.
(4) Az adatkezelő és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.”
Reklámozási célú adatkezelés, hírlevelek küldése
Amennyiben a Páciens a www.galenosmed.hu oldalon regisztrál, a regisztrációval hozzájárul, a szervezet a megadott elérhetőségeken felvegye vele a kapcsolatot és számára a közvetlen megkeresés módszerével reklámot küldjön e-mailben. A Páciens a hozzájárulását bármikor, indokolás nélkül visszavonhatja.
Érintettek (Páciensek) jogai
Átlátható tájékoztatás joga:
Az Érintett alapvető joga a megfelelő, átlátható tájékoztatáshoz való jog, mely kötelezettségként a szervezetet terheli. A tájékoztatást közérthető módon, ingyenesen kell megadni az Érintett részére.
Amennyiben az Érintett tájékoztatást kér, azt számára indokolatlan késedelem nélkül, de legfeljebb 30 napon belül meg kell adni.
Hozzáférés joga:
A hozzáférés joga alapján az Adatkezelő (szervezet) az Érintett kérésére az adatkezelés tárgyát képező adatok másolatát az Érintett rendelkezésére kell bocsátania.
Az adathordozhatósághoz való jog:
Az adathordozhatósághoz való jog alapján az Érintett jogosult arra, hogy a rá vonatkozó, a szervezet, mint Adatkezelő rendelkezésére bocsátott adatokat, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra is, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa anélkül, hogy ezt a szervezet megakadályozná.
Helyesbítéshez való jog:
Ezen jog alapján az Érintett jogosult arra, hogy kérésére a szervezet indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes és különleges adatokat.
Elfeledtetéshez (törléshez) való jog:
Alapján az Érintett, amennyiben az adatkezelésnek más jogalapja nincsen, kérheti a szervezet által kezelt személyes és különleges adatainak törlését, továbbá az adatok kezelése nyomainak eltüntetését.
Tiltakozás joga:
Jogos érdeken alapuló adatkezelés esetén az Érintett írásban tiltakozhat személyes adatainak törlésére irányuló kérelme ellenére történő további adatkezelése ellen. Ebben az esetben a szervezetnek kell bizonyítani, hogy az Érintett adatainak további kezeléséhez jogos érdeke fűződik.
Adatkezelés korlátozásához való jog (Zároláshoz való jog):
Az Érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést ha az alábbi feltételek közül bármelyik teljesül:
- érintett vitatja a személyes adatok pontosságát
- adatkezelés jogellenes, de az érintett ellenzi az adatok törlését
- az adatkezelőnek már nincsen szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igény előterjesztéséhez, érvényesítéséhez, védelméhez
- az érintett tiltakozott a jogos érdeken alapuló adatkezelés ellen, ez esetben a korlátozás addig tart, amíg megállapításra nem kerül, hogy az adatkezelő jogos érdeke elsőbbséget élvez.
GDPR III. fejezet szerint:
„Az érintett jogai
- szakasz
Átláthatóság és intézkedések
- cikk
Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések
(1) Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát. 2016.5.4. HU Az Európai Unió Hivatalos Lapja L 119/39
(2) Az adatkezelő elősegíti az érintett 15–22. cikk szerinti jogainak a gyakorlását. A 11. cikk (2) bekezdésében említett esetekben az adatkezelő az érintett 15–22. cikk szerinti jogai gyakorlására irányuló kérelmének a teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.
(3) Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a 15–22. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
(4) Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
(5) A 13. és 14. cikk szerinti információkat és a 15–22. és 34. cikk szerinti tájékoztatást és intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:
- a) észszerű összegű díjat számíthat fel, vagy
- b) megtagadhatja a kérelem alapján történő intézkedést.
A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.
(6) A 11. cikk sérelme nélkül, ha az adatkezelőnek megalapozott kétségei vannak a 15–21. cikk szerinti kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
(7) Az érintett részére a 13. és 14. cikk alapján nyújtandó információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy a tervezett adatkezelésről az érintett jól látható, könnyen érthető és jól olvasható formában kapjon általános tájékoztatást. Az elektronikusan megjelenített ikonoknak géppel olvashatónak kell lenniük.
- szakasz
Tájékoztatás és a személyes adatokhoz való hozzáférés
- cikk
Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik
(1) Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:
- a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
- b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
- c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja; L 119/40 HU Az Európai Unió Hivatalos Lapja 2016.5.4.
- d) a 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;
- e) adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
- f) adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.
(2) Az (1) bekezdésben említett információk mellett az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:
- a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
- b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
- c) a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
- d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
- e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
- f) a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
(3) Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.
(4) Az (1), (2) és (3) bekezdés nem alkalmazandó, ha és amilyen mértékben az érintett már rendelkezik az információkkal.”
„14. cikk
Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg
(1) Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:
- a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
- b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
- c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
- d) az érintett személyes adatok kategóriái;
- e) a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
2016.5.4. HU Az Európai Unió Hivatalos Lapja L 119/41
- f) adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás.
(2) Az (1) bekezdésben említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:
- a) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
- b) ha az adatkezelés a 6. cikk (1) bekezdésének f) pontján alapul, az adatkezelő vagy harmadik fél jogos érdekeiről;
- c) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
- d) a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
- e) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
- f) a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és
- g) a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
(3) Az adatkezelő az (1) és (2) bekezdés szerinti tájékoztatást az alábbiak szerint adja meg:
- a) a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
- b) ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
- c) ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.
(4) Ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.
(5) Az (1)–(4) bekezdést nem kell alkalmazni, ha és amilyen mértékben:
- a) az érintett már rendelkezik az információkkal;
- b) a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a 89. cikk (1) bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben az e cikk (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;
- c) az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
- d) a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.
L 119/42 HU Az Európai Unió Hivatalos Lapja 2016.5.4.
- cikk
Az érintett hozzáférési joga
(1) Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
- a) az adatkezelés céljai;
- b) az érintett személyes adatok kategóriái;
- c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
- d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
- e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
- f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
- g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
- h) a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
(2) Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a 46. cikk szerinti megfelelő garanciákról.
(3) Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
(4) A (3) bekezdésben említett, másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.
- szakasz
Helyesbítés és törlés
- cikk
A helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.”
„17. cikk
A törléshez való jog („az elfeledtetéshez való jog”)
(1) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
- a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
2016.5.4. HU Az Európai Unió Hivatalos Lapja L 119/43
- b) az érintett visszavonja a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
- c) az érintett a 21. cikk (1) bekezdése alapján tiltakozik az adatkezeléseó ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
- d) a személyes adatokat jogellenesen kezelték;
- e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
- f) a személyes adatok gyűjtésére a 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
(2) Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
(3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:
- a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
- b) a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
- c) a 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;
- d) a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
- e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.”
„18. cikk
Az adatkezelés korlátozásához való jog
(1) Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
- a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
- b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
- d) az érintett a 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
(2) Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
L 119/44 HU Az Európai Unió Hivatalos Lapja 2016.5.4.
(3) Az adatkezelő az érintettet, akinek a kérésére az (1) bekezdés alapján korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.”
„19. cikk
A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az adatkezelő minden olyan címzettet tájékoztat a 16. cikk, a 17. cikk (1) bekezdése, illetve a 18. cikk szerinti valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.”
„20. cikk
Az adathordozhatósághoz való jog
(1) Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:
- a) az adatkezelés a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és
- b) az adatkezelés automatizált módon történik.
(2) Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
(3) Az e cikk (1) bekezdésében említett jog gyakorlása nem sértheti a 17. cikket. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.
(4) Az (1) bekezdésben említett jog nem érintheti hátrányosan mások jogait és szabadságait.
- szakasz
A tiltakozáshoz való jog és automatizált döntéshozatal egyedi ügyekben
- cikk
A tiltakozáshoz való jog
(1) Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
(2) Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.
(3) Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők. 2016.5.4. HU Az Európai Unió Hivatalos Lapja L 119/45
(4) Az (1) és (2) bekezdésben említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
(5) Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
(6) Ha a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.”
Az egészségügyről szóló 1997. évi CLIV. törvény szerint:
„Az egészségügyi dokumentáció megismerésének joga
- § (1) A beteg jogosult megismerni a róla készült egészségügyi dokumentációban szereplő adatait, illetve joga van ahhoz, hogy – a 135. §-ban foglaltak figyelembevételével – egészségügyi adatairól tájékoztatást kérjen.
(2) Az egészségügyi dokumentációval az egészségügyi szolgáltató, az abban szereplő adattal a beteg rendelkezik.
(3) A beteg jogosult
- a) a gyógykezeléssel összefüggő adatainak kezeléséről tájékoztatást kapni,
- b) a rá vonatkozó egészségügyi adatokat megismerni,
- c) az egészségügyi dokumentációba betekinteni, valamint azokról kivonatot vagy másolatot készíteni vagy saját költségére másolatot kapni,
- d) a fekvőbeteg-gyógyintézetből történő elbocsátásakor a 137. § a) pontja szerinti zárójelentést kapni,
- e) a 137. § b) pontjában foglaltak szerint a járóbeteg-szakellátási tevékenység befejezésekor ambuláns ellátási lapot kapni,
- f) egészségügyi adatairól – saját költségére – összefoglaló vagy kivonatos írásos véleményt kapni.
(4) A beteg jogosult az általa pontatlannak vagy hiányosnak vélt – rá vonatkozó – egészségügyi dokumentáció kiegészítését, kijavítását kezdeményezni, amelyet a kezelőorvos, illetve más adatkezelő a dokumentációra saját szakmai véleményének feltüntetésével jegyez rá. A hibás egészségügyi adatot az adatfelvételt követően törölni nem lehet, azt úgy kell kijavítani, hogy az eredetileg felvett adat megállapítható legyen.
(5) Amennyiben a betegről készült egészségügyi dokumentáció más személy magántitokhoz való jogát érintő adatokat is tartalmaz, annak csak a betegre vonatkozó része tekintetében gyakorolható a betekintési, illetve a (3) bekezdésben említett egyéb jogosultság.
(6) Cselekvőképtelen beteg dokumentációjába való betekintési jog a 16. § (1) és (2) bekezdése szerinti személyt, korlátozottan cselekvőképes kiskorú és cselekvőképességében az egészségügyi ellátással összefüggő jogok gyakorlása tekintetében részlegesen korlátozott személy dokumentációjába való betekintési jog a beteget, a 16. § (1) bekezdés a) pontja szerint megnevezett személyt, ilyen személy hiányában a törvényes képviselőt illeti meg.
(7) A beteg jogosult az adott betegségével kapcsolatos egészségügyi ellátásának ideje alatt az általa meghatározott személyt írásban felhatalmazni a rá vonatkozó egészségügyi dokumentációba való betekintésre, illetve arra, hogy azokról másolatot készíttessen.
(8) A beteg egészségügyi ellátásának befejezését követően csak a beteg által adott teljes bizonyító erővel rendelkező magánokiratban felhatalmazott személy jogosult az egészségügyi dokumentációba való betekintésre, és arról másolat készítésére.
(9) A beteg életében, illetőleg halálát követően házastársa, egyeneságbeli rokona, testvére, valamint élettársa – írásos kérelme alapján – akkor is jogosult az egészségügyi adat megismerésére, ha
- a) az egészségügyi adatra
- aa) a házastárs, az egyeneságbeli rokon, a testvér, illetve az élettárs, valamint leszármazóik életét, egészségét befolyásoló ok feltárása, illetve
- ab) az aa) pont szerinti személyek egészségügyi ellátása céljából van szükség; és
- b) az egészségügyi adat más módon való megismerése, illetve az arra való következtetés nem lehetséges.
(10) A (9) bekezdés szerinti esetben csak azoknak az egészségügyi adatoknak a megismerése lehetséges, amelyek a (9) bekezdés a) pontja szerinti okkal közvetlenül összefüggésbe hozhatók. Az egészségügyi adatokra vonatkozó tájékoztatást a beteg kezelőorvosa, illetve az egészségügyi szolgáltató orvosszakmai vezetője adja meg, az orvosi tájékoztatásra vonatkozó előírásoknak megfelelően, – szükség esetén – a kérelmező kezelőorvosával való szakmai konzultáció alapján.
(11) A beteg halála esetén törvényes képviselője, közeli hozzátartozója, valamint örököse – írásos kérelme alapján – jogosult a halál okával összefüggő vagy összefüggésbe hozható, továbbá a halál bekövetkezését megelőző gyógykezeléssel kapcsolatos egészségügyi adatokat megismerni, az egészségügyi dokumentációba betekinteni, valamint azokról kivonatot, másolatot készíteni vagy saját költségére másolatot kapni.
(12) Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésének és védelmének részletes szabályait külön törvény állapítja meg.
(13) Az egészségügyi dokumentációt nyilvántartó szervet a Kormány rendeletben jelöli ki.”
Adatvédelmi incidens kezelése:
Adatvédelmi incidens:
Adatvédelmi incidensnek minősül a személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés vagy sérülés.
Eljárási rend adatvédelmi incidens esetén:
Az adatvédelmi incidenskezelés mindig az adatkezelő feladata.
- az incidens természetes személyek jogára és szabadságára vonatkozó kockázat alapján történő kategorizálása
- az incidens 72 órán belül történő bejelentése a felügyeleti hatóság felé
- intézkedések megtétele az incidens megszűntetésére, orvoslására
- felelősök megállapítása
- érintettek tájékoztatása
GDPR 33. cikk szerint:
„Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak
(1) Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
(2) Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
(3) Az (1) bekezdésben említett bejelentésben legalább:
- a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
- b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
- c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
- d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
(4) Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
(5) Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést.”
GDPR 34. cikk szerint:
„Az érintett tájékoztatása az adatvédelmi incidensről
(1) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. L 119/52 HU Az Európai Unió Hivatalos Lapja 2016.5.4.
(2) Az (1) bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.
(3) Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül: a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
- b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
- c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
(4) Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését.”
Jogorvoslati lehetőségek:
Panasz jog:
Ha az Érintett természetes személy úgy ítéli meg, hogy a rá vonatkozó személyes adatkezelés nem felel meg a jogszabályi követelményeknek panaszt nyújthat be Nemzeti Adatvédelmi és Információszabadság Hatósághoz a NAIH-hoz. A NAIH döntése ellen a panaszos bírósági jogorvoslattal élhet.
Kártérítési igény:
Minden olyan személy, aki az Info törvényben és a Rendeletben foglaltak megsértése következtében kárt szenved, jogosult arra, hogy követelje a vagyoni és nem vagyoni kárának megtérítését az adatkezelőtől, illetve az adatfeldolgozótól.
Az adatkezelő és az adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmiféle módon nem terheli felelősség.
Egyéb rendelkezések:
A szervezet kötelezettséget vállal arra, hogy ha a szolgáltatott adatokat a szervezet az eredeti adatfelvétel céljától eltérő célra kívánja felhasználni, erről az Érintettet tájékoztatja és ehhez előzetes, kifejezett hozzájárulását megszerzi, illetőleg lehetőséget biztosít számára, hogy a felhasználást megtiltsa.
A szervezet kötelezi magát, hogy gondoskodik az adatok biztonságáról, megteszi továbbá azokat a technikai intézkedéseket amelyek biztosítják, hogy a felvett, tárolt, illetve kezelt adatok védettek legyenek, illetőleg mindent megtesz annak érdekében, hogy megakadályozza azok megsemmisülését, jogosulatlan felhasználását és jogosulatlan megváltoztatását. Kötelezi magát arra is, hogy minden olyan harmadik felet, akinek az adatokat esetlegesen átadja vagy továbbítja, ugyancsak felhívja ez irányú kötelezettségeinek teljesítésére.
A Szervezet fenntartja a jogot, hogy jelen szabályzatot az Érintettek Honlap felületén történő előzetes értesítése mellett egyoldalúan módosítsa. A módosítás hatálybalépését követően az Érintetteknek a Honlap további használatához el kel fogadnia a módosításokat, a szervezet által honlapon biztosított módon.
Ellenkező tájékoztatás hiányában a Szabályzat hatálya nem terjed ki olyan weboldalak, szolgáltatók szolgáltatásaira és adatkezeléseire, melyekre a Weboldalakon található hivatkozás vezet. A Tájékoztató hatálya nem terjed ki azon szervezetek, cégek adatkezeléseire, amelyek tájékoztatásából, hírleveléből, reklámleveléből a Felhasználó a Weboldalról értesült.
Jelen Szabályzat és a GDPR rendelkezéseinek, illetve azok értelmezésének eltérése esetén a GDPR irányadó azzal, hogy az ellentétes nem lehet a hatályos egészségügyi jogi szabályozással.
Nemesvámos, 2018. május 24.
………………………………………….
ADNEX-SYS Kft. (Szervezet)
Képv.: Dr. Vincze Gáborné ügyvezető