+36 1 377 6737 Online időpont foglalás

Adatkezelési tájékoztató

Az alábbi rövid tájékoztató azt a célt szolgálja, hogy Ön az egészségügyi ellátás során megadott egészégügyi és hozzájuk kapcsolódó személyes adatai kezelésével és védelmével kapcsolatos minden fontos információt megismerhessen, hiszen a személyes adatok kezelésének tisztességesnek, jogszerűnek és átláthatónak kell lennie.  

A természetes személyek (más szóhasználattal: az emberek, az érintettek) számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba, hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. 

Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint, hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett személyes adatainak tisztességes és átlátható kezelése, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról. 

A személyes adatokat olyan módon kezeljük, amely biztosítja azok kellő időben való rendelkezésre állását, a megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és a személyes adatok kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását. Tájékoztatjuk, hogy az adatvédelmi előírások megváltoztatásának jogát az adatkezelő fenntartja magának, a hatályos jogszabályok előírásaira tekintettel.

 

  1. Az Adatkezelő megnevezés

Név: Dr. Rose Magánkórház Kft.

Székhely: 1051 Budapest, Széchenyi tér 7-8.

E-mail: info(kukac)drrose.hu

Fax: +36 1 348 0486

Telefon: +36 1 377 6737 (munkanapokon 8.00-tól 20.00-ig hívható)

weboldal: www.drrose.hu/hu

  1. Az adatkezelés alapjául szolgáló jogszabályok

Az egészégügyi szolgáltatás igénybevételéhez kapcsolódó adatkezelésekre különösen az alábbi jogszabályok vonatkoznak:

  1. Az adatkezelés jogszerűsége

A személyes adatok kezelése akkor jogszerű, ha az alábbiak valamelyike teljesül:

  • az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
  • az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
  • az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  • az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  • az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
  • az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
  1. A hírlevél küldéssel kapcsolatos adatkezeléshez való hozzájárulásnak minősül:
  • ha az érintett személy az internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet (pl. hírlevél feliratkozás)
  • a hírlevélről bármikor ingyenesen leiratkozhat, legegyszerűbben a hírlevél végén olvasható leiratkozás menüpont használatával
  • ha nem kíván hírlevelet kapni erre vonatkozóan a marketing@drrose.hu címre küldött lemondó levélben hozzájárulását bármikor visszavonhatja
     
  1. A betegellátáshoz kapcsolódó adatkezelés

5.1. A kezelt adatok köre és az adatkezelés célja: A biztonságos és személyre szabott betegellátás érdekében történő azonosításhoz elengedhetetlenül szükséges a törvényben (Eüak.tv.) foglalt személyes adatokat és az ellátási eseményhez kapcsolódó célzattal az ismert egészségügyi adatokat felvenni.

5.2. Az adatkezelés jogalapja: Az adatkezelés jogalapja egyrészről a szolgáltatás igénybe vevőjeként az Ön hozzájárulása, továbbá szerződés, avagy a jogszabály kötelező előírása, pl. a finanszírozási ügyekben.

5.3. Az adatkezelés időtartama: A DR. ROSE Magánkórház Kft. mint egészségügyi szolgáltató az egészségügyi és hozzájuk kapcsolódó személyes adatokat törvényi előírás (Eüak.tv.) szerint köteles kezelni/tárolni. Az Ön hozzájárulása emiatt nem vonható vissza, a nálunk tárolt egészégügyi és hozzájuk kapcsolódó személyes adatai végleges törlésére vonatkozó esetleges kérelmét nem tudjuk teljesíteni. Az egészségügyi dokumentációt adatfelvételtől számított legalább 30 évig, a zárójelentést legalább 50 évig kell megőrizni. A képalkotó diagnosztikai eljárással készült felvételt az annak készítésétől számított 10 évig, a felvételről készített leletet a felvétel készítésétől számított 30 évig kell megőrizni. A vények megőrzési ideje 5 év.
 

  1. Egészségügyi és hozzá kapcsolódó személyes adat kezelésével kapcsolatos jogérvényesítés

Adatkezeléssel kapcsolatos kérdés esetén forduljon adatvédelmi felelősünkhöz.  Az adatvédelmi tisztviselő elérhetősége: Név: Dr. Tündik Henrietta ügyvéd, egészségügyi szakjogász, E-mail: iroda(kukac)tundikhenrietta.hu, adatvedelem(kukac)drrose.hu, Postai cím: 1051 Budapest, Széchenyi tér 7-8. 

Ön tájékoztatást kérhet arról, hogy mely személyes adatait kezeljük, ezt azonban – az adatkezelés jellegére tekintettel, éppen adatainak védelme érdekében – csak előzetes személyazonosítást követően tudjuk biztosítani. A fenti elérhetőségeken fogadjuk az adatkezelés jogszerűségével kapcsolatos panaszokat is. Ön emellett az Infotv. alapján személyes adatainak jogellenes kezelése, illetve az információs önrendelkezési jogához kapcsolódó jogainak sérelme miatt a Fővárosi Törvényszékhez (1055 Budapest, Markó u. 27. Levelezési cím: 1363 Bp. Pf. 16.) vagy az Ön lakóhelye szerint illetékes törvényszékhez keresetet nyújthat be, illetve a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (1135 Budapest, Szilágyi Erzsébet fasor 22c, www.naih.hu) fordulhat.
 

  1. Adatvédelmi szabályzat 

Tájékoztatjuk Önt, hogy adatvédelmi szabályzatunk részletesen tartalmazza az adatkezeléssel és betegjogokkal kapcsolatos további tájékoztatásokat (pl. honlaphasználattal kapcsolatos adatkezelés, betekintés a dokumentációba, ki férhet hozzá az adatokhoz, másolás kérés lehetősége, adathordozhatóság stb.). A szabályzat elérhető honlapunkon az alábbi linken: www.drrose.hu/hu, illetve a Dr. Rose Magánkórház valamennyi recepcióján papír alapon is, amelyről kérésre másolatot biztosítunk.
 

Budapest, 2018. december 1.       
                                                                            

Lancsalics Petra

ügyvezető igazgató                                         

Dr. Rose Magánkórház Kft.                                                         

 

 

 

 

Dr. ROSE Magánkórház Korlátolt Felelősségű Társaság Adatvédelmi és Adatkezelési Szabályzata 2018-2019

  

Az adatvédelmi és adatkezelési szabályzat alkalmazása

 

A szervezet, adatkezelő megnevezése: Dr. ROSE Magánkórház Korlátolt Felelősségű Társaság

Szakmai működési engedély dátuma: 2018. december 01. napja

Rövidített név: Dr. ROSE Magánkórház Kft.

A szervezet székhelye: 1051 Budapest, Széchenyi tér 7-8.

A szabályzat kiadásáért felelős személy: Lancsalics Petra ügyvezető

A szabályzat hatályba lépésének dátuma: 2018. év december hó 01. napján

 

Jelen szabályzatot kell alkalmazni a DR. ROSE Magánkórház Kft-vel személyes adatkezeléssel érintett kérdésekben kapcsolatba került természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó általános szabályaira és az egészségügyi ellátásban érintetett, illetve az egészségügyi szolgáltatóval kapcsolatba kerülő természetes személyek személyes adati kezelésének a rendjére. A szabályzatban foglaltakat kell alkalmazni a konkrét adatkezelési tevékenységek során, valamint az adatkezelést szabályozó utasítások és tájékoztatások kiadásakor.  Jelen szabályzatot kell továbbá alkalmazni az egészségügyi szolgáltatást jogutódlás nélkül befejező korábbi Dr. ROSE Egészségügyi Szolgáltató Kft. (valamennyi szakterületére, így ortopédia, plasztikai sebészet, egészségmegőrzés, stb) által 10 évre visszamenően az Eütv. 30. § (5) a) pont alapján az új szolgáltató, vagyis a dr. Rose Magánkórház Kft., mint az egészségügyi feladatot ellátó szerv részére átadott egészségügyi adatbázisra is.

 

Jelen szabályzatban a teljesség kedvéért, de kizárólag belső felhasználásra készült az V. sz. fejezet az ügyviteli jellegű és nyilvántartási célú adatkezelések tekintetében, mely a Dr. ROSE Kft-ben az egészségügyi szakdolgozóknak és az egészségügyben dolgozó további személyeknek, partner cégeknek a személyes adataikat érintő adatkezeléseinkre alkalmazunk, amíg a társaság Munkaügyi szabályzata elfogadásra nem kerül.

 

A Dr. ROSE Magánkórház Kft. elkötelezett a természetes személyek magánszférájának legteljesebb védelmének biztosítása és az egészségügyi szolgáltatás nyújtása során tudomására jutó különleges adatok és az azokhoz kapcsolódó személyes adatok védelmét illetően.

 

Főbb irányadó jogszabályok:

A személyes adatok kezelése tekintetében a szerteágazó szabályozásból kiemeljük a teljesség igénye nélkül a főbb irányadó jogszabályokat így: a természetes személyeknek, a személyes adatok kezeléséről szóló az Európai Parlament és a Tanács (EU) 2016/679 rendeletét (GDPR), Magyarország Alaptörvényét (2011. április 27.), a polgári törvénykönyvről szóló 2013. évi V. törvént (továbbiakban: Ptk.), egészségügyről szóló 1997. évi CLIV. törvényre (továbbiakban: Eütv.) az egészségügyi adatok és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (továbbiakban: Eüaktv.), az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Info.tv.), a számvitelről szóló 2000. évi C. törvény, a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (továbbiakban: Szvtv.), illetve a munka törvénykönyvéről szóló 2012. évi I. törvény (továbbiakban: Mt.).

 

Az adatvédelmi tisztviselő (DPO) kötelező kijelölése:

 

A Dr. Rose Magánkórház Kft. a GDPR 37. (1) c) pontja alapján köteles adatvédelmi tisztviselőt alkalmazni (kijelölni) mivel a személyes adatok különleges kategóriáit nagy számban kezeli.

Tekintettel arra, hogy intézetünkben a fő tevékenységi körünkbe tartozó egészségügyi fekvő-, illetve járóbeteg szakszolgáltatás nyújtása során a páciensek által, vagy akár a gyermekgyógyászati ellátásban is, gyakran a legközelebbi hozzátartozó/törvényes képviselői által tudomásunkra hozott egészségügyi-, és hozzájuk kapcsolódó személyes adatokat ismerünk meg, illetve a manuális orvosi, képalkotó, illetve labor diagnosztikai vizsgálatok során további szenzitív adatok keletkeznek ezért intézetünkben a személyes adatok hatékony védelme érdekben és a hatékony elszámoltathatóság érdekében is az adatvédelmi hatósággal is kapcsolatban álló állandó adatvédelmi tisztviselőt jelöltünk ki.

 

Adatvédelmi tisztviselő:

Név:

Dr. Tündik Henrietta ügyvéd

Kompetencia:

egészségügyi szakjogász, adatvédelmi tisztviselő

Elérhetőségei:

+36308281020

iroda@tundikhenrietta.hu; adatvedelem@drrose.hu

 

 

A szabályzat hatálya

 

Jelen szabályzat visszavonásig érvényes, hatálya kiterjed a Dr. ROSE Magánkórház Kft. teljes szervezeti egységére, adatfeldolgozóira, foglalkoztatottakra, tisztségviselőire, alkalmazottakra.  Jelen szabályzatot évente, illetve jogszabályváltozás esetén felül kell vizsgálni. A szabályzatot csak az adatkezelő jogosult módosítani.

 

Kelt: Budapesten, 2018. december 01.-n

 Lancsalics Petra ügyvezető

 

Tartalomjegyzék

Az adatvédelmi és adatkezelési szabályzat alkalmazása. 2

  1. fejezet 6

I.1. A szabályzat célja. 6

I.1.1. Lényeges fogalmak, meghatározások a GDPR alapján. 6

I.1.2. Az Eüaktv. fogalommeghatározásai: 8

  1. fejezet Az adatkezelésre vonatkozó irányelvek. 9

II.1. Az adatkezelés irányelvei a GDPR megfogalmazásában: 9

II.2. Egészségügyi és hozzájuk kapcsolódó személyes adatok kezelésére vonatkozó irányelvek: 9

II.2.1. Az Eüaktv. kötelező alkalmazása az adatkezelés során. 9

II.2.2. Személyes adatot csak törvényes cél eléréséhez szükséges esetekben és mértékben lehet kezelni. 10

II.3. Az adatkezelésre jogosultak: 11

II.3.1. Az egészségügyi ellátó hálózaton belül az egészségügyi és személyazonosító adat kezelésére - amennyiben az Eüaktv. másként nem rendelkezik – jogosult: 11

II.4. Adatbiztonság. 12

III.       fejezet A gyógykezelés céljából történő adatkezelés szabályai 12

III. 1. Orvosi titok: 12

III.2. Mentesülés az orvosi titoktartási kötelezettség alól: 12

III.3. Az egészségügyi adatok megismerése az érintett által: 12

III.3.1. Adathordozhatósághoz való jog. 12

III.4. Az egészségügyi adatok megismerésének joga az érintetten kívüli más személyek által: 13

III.5. Írásbeli kérelem alapján megismerheti az egészségügyi adatokat: 13

III.6. Az érintett halála esetén az egészségügyi adatok megismerésére - írásos kérelme alapján - jogosult: 14

III.7. A titoktartás terjedelme más betegellátóval szemben: 14

III.8. Az egészségügyi adatok felvétele. 14

III.9. Adatok továbbítása és összekapcsolásának lehetősége: 15

III.10. Gyógykezelés érdekében történő adattovábbítás terjedelme, tiltakozás az adattovábbítás ellen: 15

III.11. Az alábbi esetekben azonban az érintett tiltása ellenére is továbbítani kell az egészségügyi és személyazonosító adatot az Eüaktv. szerint. 15

III.12. Sürgős szükség esetén történő adattovábbítás: 16

III. 13. Az adatszolgáltatás önkéntessége és az önkéntesség alóli kivételek. 16

III.13.1. Önkéntes adatszolgáltatás: 16

III.13. 2. Kivétel a fenti önkéntes alapon nyugvó szabály alól: 16

III.13.3. Megadottnak kell tekinteni az adatkezeléshez való hozzájárulást: 16

III.13.4. Az önkéntesség vélelmezése: 17

III.14.  Ki lehet jelen a gyógykezelésen: 17

III.14.1. Ezeken túlmenően az érintett hozzájárulása nélkül is jelen lehet: 17

III.15. A vényen szereplő adatok köre: 17

III. 16. Az egészségügyi és személyazonosító adatok nyilvántartása. 17

III. 16.1. Az egészségügyi dokumentáció kötelező megőrzésének ideje: 18

III.16.2. A kötelező nyilvántartási idő lejártát követően az alábbi szabályokat kell figyelembe venni: 18

III. 16.3. Technikai feltételek folyamatos biztosítása: 18

III.16.4. Egészségügyi adat kijavítása vagy törlése: 18

III.16.5. Hiteles másolat készítése: 19

III.17. Az intézményvezető felelőssége: 19

III.17.1. Az intézményvezető tevékenysége során. 19

III.18. Adatvédelmi tisztviselő: 19

  1. fejezet A GDPR előírásai az e-adatkezelésekre. 20

IV.1. Személyes e-adatok kezelése. 20

IV.2. Az érintett személy hozzájárulása, feltételek. 21

IV.3. Azonosítást nem igénylő adatkezelés. 21

IV.4. Az érintett személy tájékoztatása, jogai 22

IV.5. A személyes adatok felülvizsgálata. 22

IV.6. Az adatkezelő feladatai 23

IV.7. Az adatkezeléssel kapcsolatos jogok. 23

IV.8. Összefoglalóan az adatkezelő feladatai a megfelelő adatvédelem érdekében. 24

IV.9. Adatvédelmi tisztviselő. 26

IV.9.1. Az adatvédelmi tisztviselő jogállása. 26

IV.9.2. Az adatvédelmi tisztviselő feladatai 27

IV.10. Adatvédelmi incidens. 27

  1. fejezet Ügyviteli és nyilvántartás célú adatkezelés. 28

V.1. Az adatkezelés alapja: 28

V.2. Az ügyviteli és nyilvántartási célból történő adatkezelés az alábbi célokat szolgálja: 28

  1. fejezet Marketing célú adatkezelések. 29

VII.     fejezet Megfigyelőrendszer/kamera alkalmazására vonatkozó szabályok. 30

VIII.        fejezet Vegyes rendelkezések. 31

VIII.1. Egyéb célból történő adatkezelés. 31

VIII.2. Az adatkezelés alapjául szolgáló jogszabályok. 31

-         2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról. 31

 

 

 

I.                   fejezet

I.1. A szabályzat célja

Adatvédelmi szabályzatunk célja, hogy a Dr. Rose Magánkórház Kft. adatkezelő biztosítsa az adatkezelés jogszerűségét az adatkezelési tevékenységei tekintetében a természetes személyek (EMBEREK) alapvető jogainak és szabadságainak védelme érdekében, valamint biztosítsa a személyes adatok megfelelő kezelését. 

A szervezet tevékenysége során teljes mértékben meg kíván felelni a személyes adatok kezelésére vonatkozó jogszabályi előírásoknak, különösen a GDPR és a több esetben speciális hazai betegjogi előírásokat rögzítő Eüak. törvényben foglaltaknak. 

Mivel az egészségügyi és hozzájuk kapcsolódó adatok kezelése az egészségügyi ellátás során elengedhetetlenül szükségesek, ezért ezeket az adatokat bizalmi jellegük, valamint a számítástechnika széles körű elterjedése miatt fokozott oltalomban kell részesíteni. Ezért jelen szabályzat célja az is, hogy meghatározza az egészségi állapotra vonatkozó különleges személyes adatok és az azokhoz kapcsolódó személyes adatok kezelésének feltételeit és céljait. 

A szabályzat kiadásának fontos célja továbbá, hogy megismerésével és betartásával a szervezet alkalmazottai képesek legyenek a természetes személyek adatai kezelését jogszerűen végezni.

I.1.1. Lényeges fogalmak, meghatározások a GDPR alapján

  • adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
  • adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
  • adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
  • személyes adat: azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható; 

Az egészségügyi személyes adatok közé tartoznak az érintett egészségi állapotára vonatkozó olyan adatok, amelyek információt hordoznak az érintett múltbeli, jelenlegi vagy jövőbeli testi vagy pszichikai egészségi állapotáról. Ide tartoznak az alábbiak:

  • egészségügyi szolgáltatások céljából történő nyilvántartásba vétel;
  • a természetes személy egészségügyi célokból történő egyéni azonosítása érdekében hozzá rendelt szám, jel vagy adat;
  • valamely testrész vagy a testet alkotó anyag – beleértve a genetikai adatokat és a biológiai mintákat is – teszteléséből vagy vizsgálatából származó információk;
  • az érintett betegségével, fogyatékosságával, betegségkockázatával, kórtörténetével, klinikai kezelésével vagy fiziológiai vagy orvosbiológiai állapotával kapcsolatos információ, függetlenül annak forrásától, amely lehet például orvos vagy egyéb egészségügyi dolgozó, kórház, orvostechnikai eszköz vagy diagnosztikai teszt. 

A genetikai adatot olyan, a természetes személy örökölt vagy szerzett genetikai jellemzőivel összefüggő személyes adatként kell meghatározni, és amely az érintett személytől vett biológiai minta elemzésének – különösen kromoszómaelemzésnek, illetve a dezoxiribonukleinsav (DNS) vagy a ribonukleinsav (RNS) vizsgálatának, vagy az ezekből nyerhető információkkal megegyező információk kinyerését lehetővé tevő bármilyen más elem vizsgálatának – az eredménye.

  • harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
  • az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
  • az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
  • álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni; 
  • nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
  • adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

I.1.2. Az Eüaktv. fogalommeghatározásai:

  • egészségügyi adat: az érintett testi, értelmi és lelki állapotára, kóros szenvedélyére, valamint a megbetegedés, illetve az elhalálozás körülményeire, a halál okára vonatkozó, általa vagy róla más személy által közölt, illetve az egészségügyi ellátóhálózat által észlelt, vizsgált, mért, leképzett vagy származtatott adat; továbbá az előzőekkel kapcsolatba hozható, az azokat befolyásoló mindennemű adat (pl. magatartás, környezet, foglalkozás);
  • személyazonosító adat:a családi és utónév, leánykori név, a nem, a születési hely és idő, az anya leánykori családi és utóneve, a lakóhely, a tartózkodási hely, a társadalombiztosítási azonosító jel (a továbbiakban: TAJ szám) együttesen vagy ezek közül bármelyik, amennyiben alkalmas vagy alkalmas lehet az érintett azonosítására;
  • gyógykezelés: minden olyan tevékenység, amely az egészség megőrzésére, továbbá a megbetegedések megelőzése, korai felismerése, megállapítása, gyógyítása, a megbetegedés következtében kialakult állapotromlás szinten tartása vagy javítása céljából az érintett közvetlen vizsgálatára, kezelésére, ápolására, orvosi rehabilitációjára, illetve mindezek érdekében az érintett vizsgálati anyagainak feldolgozására irányul, ideértve a gyógyszerek, gyógyászati segédeszközök, gyógyászati ellátások kiszolgálását, a mentést és betegszállítást, valamint a szülészeti ellátást is;
  • orvosi titok: a gyógykezelés során az adatkezelő tudomására jutott egészségügyi és személyazonosító adat, továbbá a szükséges vagy folyamatban lévő, illetve befejezett gyógykezelésre vonatkozó, valamint a gyógykezeléssel kapcsolatban megismert egyéb adat;
  • egészségügyi dokumentáció: a gyógykezelés során a betegellátó tudomására jutott egészségügyi és személyazonosító adatokat tartalmazó feljegyzés, nyilvántartás vagy bármilyen más módon rögzített adat, függetlenül annak hordozójától vagy formájától;
  • kezelést végző orvos: az Eütv. 3. § b) pontja szerinti kezelőorvos;
  • betegellátó: a kezelést végző orvos, az egészségügyi szakdolgozó, az érintett gyógykezelésével kapcsolatos tevékenységet végző egyéb személy, a gyógyszerész;
  • adatkezelő: az a természetes vagy jogi személy, jogi személyiség nélküli szervezet, aki vagy amely az e törvény szerinti adatkezelési célból egészségügyi és a hozzá kapcsolódó személyes vagy személyazonosító adat kezelésére jogosult;
  • közeli hozzátartozó: a házastárs, az egyeneságbeli rokon, az örökbe fogadott, a mostoha- és nevelt gyermek, az örökbe fogadó, a mostoha- és nevelőszülő, valamint a testvér és az élettárs;
  • sürgős szükség: az egészségi állapotban hirtelen bekövetkezett olyan változás, amelynek következtében azonnali egészségügyi ellátás hiányában az érintett közvetlen életveszélybe kerülne, illetve súlyos vagy maradandó egészségkárosodást szenvedne;
  •  EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Közösség és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez;
  • harmadik ország: minden olyan állam, amely nem EGT-állam;

 

II.            fejezet Az adatkezelésre vonatkozó irányelvek

II.1. Az adatkezelés irányelvei a GDPR megfogalmazásában:

A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni. 

A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet. 

A személyes adatok kezelésének célja megfelelő és releváns legyen, és csak a szükséges mértékű lehet. 

A személyes adatoknak pontosnak és naprakésznek kell lenniük. A pontatlan személyes adatokat haladéktalanul törölni kell. 

A személyes adatok tárolásának olyan formában kell történnie, hogy az érintettek azonosítását csak szükséges ideig tegye lehetővé. A személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, ha a tárolás közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történik. 

A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve. 

Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. 

A szervezet adatkezelést végző alkalmazottja fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a személyes adatok jogszerű kezeléséért. Amennyiben az alkalmazott tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy időszerűtlen, köteles azt helyesbíteni, vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.

 

II.2. Egészségügyi és hozzájuk kapcsolódó személyes adatok kezelésére vonatkozó irányelvek:

II.2.1. Az Eüaktv. kötelező alkalmazása az adatkezelés során

Az Eüaktv. előírásait minden egészségügyi ellátást nyújtó, valamint annak szakmai felügyeletét, ellenőrzését végző szervezetre és természetes személyre (a továbbiakban: egészségügyi ellátóhálózat), valamint minden olyan jogi személyre, jogi személyiséggel nem rendelkező szervezetre és természetes személyre, amely vagy aki egészségügyi és személyazonosító adatot kezel (a továbbiakban: egyéb adatkezelő szerv) alkalmazni kell. 

Alkalmazni kell továbbá az Eüaktv. -t minden, az egészségügyi ellátóhálózattal, valamint az egyéb adatkezelő szervvel kapcsolatba került vagy kerülő, illetve annak szolgáltatásait igénybe vevő természetes személyre, függetlenül attól, hogy beteg-e vagy egészséges (a továbbiakban: érintett), valamint az Eüaktv. előírásai szerint kezelt, az érintettre vonatkozó egészségügyi és személyazonosító adatra.

II.2.2. Személyes adatot csak törvényes cél eléréséhez szükséges esetekben és mértékben lehet kezelni.

Az alábbi A)-B) pontokban foglaltak  szerinti adatkezelési célokra csak annyi és olyan egészségügyi, illetve személyazonosító adat kezelhető, amely az adatkezelési cél megvalósításához elengedhetetlenül szükséges.

  1. Az egészségügyi és személyazonosító adat kezelésének célja: 
  • az egészség megőrzésének, javításának, fenntartásának előmozdítása,
  • a betegellátó eredményes gyógykezelési tevékenységének elősegítése, ideértve a szakfelügyeleti tevékenységet is,
  • az érintett egészségi állapotának nyomon követése,
  • a népegészségügyi, közegészségügyi és járványügyi érdekből szükségessé váló intézkedések megtétele,
  • a betegjogok érvényesítése. 
  1. Ezen túlmenően egészségügyi és személyazonosító adatot - törvényben meghatározott esetekben - az alábbi célból a törvény engedélyezi az adatkezelést: 
  • egészségügyi szakember-képzés,
  • orvos-szakmai és epidemiológiai vizsgálat, elemzés, az egészségügyi ellátás tervezése, szervezése, költségek tervezése,
  • statisztikai vizsgálat,
  • hatásvizsgálati célú anonimizálás és tudományos kutatás,
  • az egészségügyi adatot kezelő szerv vagy személy hatósági vagy törvényességi ellenőrzését, szakmai vagy törvényességi felügyeletét végző szervezetek munkájának elősegítése, ha az ellenőrzés célja más módon nem érhető el, valamint az egészségügyi ellátásokat finanszírozó szervezetek feladatainak ellátása,
  • a társadalombiztosítási, illetve szociális ellátások megállapítása, amennyiben az az egészségi állapot alapján történik,
  • bűnüldözés, továbbá a rendőrségről szóló 1994. évi XXXIV. törvényben meghatározott feladatok ellátására kapott felhatalmazás körében bűnmegelőzés,
  • a nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvényben meghatározott feladatok ellátása, az abban kapott felhatalmazás körében,
  • közigazgatási hatósági eljárás,
  • szabálysértési eljárás,
  • ügyészségi eljárás,
  • bírósági eljárás,
  • az érintettnek nem egészségügyi intézményben történő elhelyezése, gondozása,
  • a munkavégzésre való alkalmasság megállapítása függetlenül attól, hogy ezen tevékenység munkaviszony, közalkalmazotti, kormányzati szolgálati, közszolgálati vagy állami szolgálati jogviszony, hivatásos szolgálati viszony vagy egyéb jogviszony keretében történik,
  • munkanélküli ellátás, foglalkoztatás elősegítése, valamint az ezzel összefüggő ellenőrzés,
  • az egészségügyi ellátásokra jogosultak részére vényen rendelt gyógyszer, gyógyászati segédeszköz és gyógyászati ellátás folyamatos és biztonságos kiszolgáltatása, illetve nyújtása érdekében,
  • a munkabalesetek, foglalkozási megbetegedések - ideértve a fokozott expozíciós eseteket is - kivizsgálása, nyilvántartása és a szükséges munkavédelmi intézkedések megtétele,
  • az egészségügyi dolgozókkal szemben lefolytatott etikai eljárás,
  • eredményesség alapú támogatásban részesülő gyógyszerek, gyógyászati segédeszközök eredményességének, támogatásának megállapítása, és ezen gyógyszerekkel kezelt kórképek finanszírozási eljárásrendjének alkotása,
  • betegút-szervezés,
  • az egészségügyi szolgáltatások minőségének értékelése és fejlesztése, az egészségügyi szolgáltatások értékelési szempontjainak rendszeres felülvizsgálata és fejlesztése,
  • az egészségügyi rendszer teljesítményének ellenőrzése, mérése és értékelése,
  • az egészségügyi ellátásokra jogosult részére a hatásos és biztonságos gyógyszerelés elősegítése, valamint a költséghatékony gyógyszeres terápia kialakítása érdekében,
  • az Európai Unión belüli határon átnyúló egészségügyi ellátáshoz kapcsolódó jogok érvényesítése. 
  1. Eltérő célú adatkezelés:

A személyes adatoknak a gyűjtésük eredeti céljától eltérő egyéb célból történő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető az adatkezelés eredeti céljaival, amelyekre a személyes adatokat eredetileg gyűjtötték (pl betegelégedettségi nyilatkozat). Ebben az esetben nincs szükség attól a jogalaptól eltérő, külön jogalapra, mint amely lehetővé tette a személyes adatok gyűjtését.

Az fent felsorolt A)-B) pontokban meghatározott céloktól eltérő célra is engedélyezett a jogalkotó által (pl. hírlevél küldés, telemarketing, honlap regisztráció, stb.) az érintett, illetve törvényes vagy meghatalmazott képviselője (a továbbiakban együtt: törvényes képviselő) - megfelelő tájékoztatáson alapuló - írásbeli hozzájárulásával egészségügyi és személyazonosító adatot kezelni. 

II.3. Az adatkezelésre jogosultak:

II.3.1. Az egészségügyi ellátó hálózaton belül az egészségügyi és személyazonosító adat kezelésére - amennyiben az Eüaktv. másként nem rendelkezik – jogosult:

  • a betegellátó,
  • az intézményvezető, valamint
  • az adatvédelmi tisztviselő.

 

II.4. Adatbiztonság

Az egészségügyi és személyazonosító adatok kezelése és feldolgozása során biztosítani kell az adatok biztonságát véletlen vagy szándékos megsemmisítéssel, megsemmisüléssel, megváltoztatással, károsodással, nyilvánosságra kerüléssel szemben, továbbá, hogy azokhoz illetéktelen személy ne férjen hozzá.

Az adatkezelőnek garantálnia kell, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő védelmét a jogosulatlan vagy jogellenes kezeléssel, véletlen elvesztéssel, megsemmisítéssel vagy károsodásával szemben.

 

III.       fejezet A gyógykezelés céljából történő adatkezelés szabályai

III. 1. Orvosi titok:

  • Az adatkezelő - a III.2. pontban foglalt kivétellel -, továbbá az adatfeldolgozó az orvosi titkot köteles megtartani.

III.2. Mentesülés az orvosi titoktartási kötelezettség alól:

Az adatkezelő mentesül a titoktartási kötelezettség alól, ha

  • a) az egészségügyi és személyazonosító adat továbbítására az érintett, illetve törvényes képviselője írásban hozzájárult, az abban foglalt korlátozásokon belül, valamint
  • b) az egészségügyi és személyazonosító adat továbbítása törvény előírásai szerint kötelező.

III.3. Az egészségügyi adatok megismerése az érintett által:

  • Az érintett jogosult tájékoztatást kapni a gyógykezeléssel összefüggésben történő adatkezelésről,
  • a rá vonatkozó egészségügyi és személyazonosító adatokat megismerheti,
  • az egészségügyi dokumentációba betekinthet,
  • valamint azokról - saját költségére - másolatot kaphat. Az első másolatot ingyenesen kell biztosítani. A másolási díjak nem lehetnek eltúlzottak és nem akadályozhatják meg, ill. nehezíthetik el az érintettek hozzáférési jogát.

III.3.1. Adathordozhatósághoz való jog

Az általános adatvédelmi rendelet (GDPR) 20. cikke új jogként határozza meg az adathordozhatósághoz való jogot. Ez a jog lehetővé teszi az érintett számára, hogy az általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, és hogy ezeket az adatokat egy másik adatkezelőnek akadálytalanul továbbítsa. Ez a jog, amely bizonyos feltételekkel alkalmazható, ha az adatkezelőnél lehetőség van erre technikailag, támogatja a felhasználó választását, rendelkezését és tudatos magatartását.

 

Az érintett olyan adatokkal kapcsolatban élhet adathordozási jogával, amelyek

  1. az érintettre vonatkoznak (azaz anonim adat nem lehet) és
  2. amelyet az érintett bocsátott a Társaság rendelkezésére, illetve
  3. ezen joggyakorlás nem érintheti hátrányosan mások jogait és szabadságát.

Az adatkezelő felel minden olyan biztonsági intézkedés meghozataláért, amely szükséges annak garantáláshoz, hogy a személyes adatokat biztonságosan továbbítsák a megfelelő címzettnek (az információ titkosításával, erős hitelesítési intézkedésekkel). 

Az adatkezelőAz adatkezelő megtagadja a kérés teljesítését, amennyiben az adathordozhatóságot jogszabály korlátozza, illetve annak az érintett részéről gyakorlása hátrányosan érintheti mások jogait és szabadságait. Az elutasításról az érintettet a kérelem beérkezésétől számított egy hónapon belül értesíti a Társaság. Amennyiben az adatkezelőnek megalapozott kétségei vannak a kérelmező kilétével kapcsolatban, a személyazonosság megállapítása érdekében kiegészítő információkat kérhet.

Az adatkezelő nem kérhet ellenszolgáltatást a személyes adatok rendelkezésre bocsátásáért kivéve akkor, ha a kérelem egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó.

A adatkezelő nem felelős az érintett vagy a személyes adatot fogadó más társaság általi adatkezelésért.

Amennyiben az adatkezelőt kéri fel az érintett – adathordozhatósági joga alapján – adatok befogadására, a cég jogosult eldönteni, hogy azt befogadja-e vagy sem.

III.4. Az egészségügyi adatok megismerésének joga az érintetten kívüli más személyek által:

Jogosult az adatok megismerésére:

  • az érintett ellátásának időtartama alatt az általa írásban felhatalmazott személy,
  • az érintett ellátásának befejezését követően az általa teljes bizonyító erejű magánokiratban felhatalmazott személy.

III.5. Írásbeli kérelem alapján megismerheti az egészségügyi adatokat:

A beteg életében, illetőleg halálát követően

  • az érintett házastársa,
  • egyeneságbeli rokona,
  • testvére,
  • valamint élettársa

 A III. 5. pontban felsorolt személyek akkor is jogosultak az egészségügyi dokumentáció megismerésének jogát gyakorolni, ha az egészségügyi adatra

  • a) a házastárs, az egyeneságbeli rokon, a testvér, illetve az élettárs, valamint leszármazóik életét, egészségét befolyásoló ok feltárása, illetve
  • aa) ezen személyek egészségügyi ellátása céljából van szükség,

és

  • az egészségügyi adat más módon való megismerése, illetve az arra való következtetés nem lehetséges.

 

A III.5. szerinti esetben csak azoknak az egészségügyi adatoknak a megismerése lehetséges, amelyek az a) és az aa) pontok szerinti okkal közvetlenül összefüggésbe hozhatóak.

III.6. Az érintett halála esetén az egészségügyi adatok megismerésére - írásos kérelme alapján - jogosult:

  • törvényes képviselője,
  • közeli hozzátartozója,
  • valamint örököse.

A III.6. pontban felsorolt személyek:

  • a halál okával összefüggő vagy összefüggésbe hozható,
  • továbbá a halál bekövetkezését megelőző gyógykezeléssel kapcsolatos egészségügyi adatokat megismerhetik,
  • az egészségügyi dokumentációba betekinthetnek,
  • valamint azokról - saját költségükre - másolatot kaphatnak.

 

III.7. A titoktartás terjedelme más betegellátóval szemben:

A betegellátót - az érintett választott háziorvosa, valamint az igazságügyi szakértő kivételével – a titoktartási kötelezettség azzal a betegellátóval szemben is köti:

 

  • aki az orvosi vizsgálatban,
  • a kórisme megállapításában, illetve
  • a gyógykezelésben vagy műtétnél nem működött közre.

 

Kivétel a III.7. pont alól:

  • ha az adatok közlése a kórisme megállapítása vagy
  • az érintett további gyógykezelése érdekében szükséges.

 

III.8. Az egészségügyi adatok felvétele

  • Az egészségügyi adatok felvétele a gyógykezelés része.
  • A kezelést végző orvos, illetve a tisztiorvos dönti el, hogy a szakmai szabályoknak megfelelően - a kötelezően felveendő adatokon kívül Eüaktv. 13.§-a - mely egészségügyi adat felvétele szükséges a jelen szabályzat II.2.2.A) pontjában felsorolt szerinti célból.
  • Az érintett gyógykezelésével kapcsolatos tevékenységet végző egyéb személy a kezelést végző orvos utasításának megfelelően, illetve a feladatai ellátásához szükséges mértékben vehet fel egészségügyi adatot.

III.9. Adatok továbbítása és összekapcsolásának lehetősége:

  • A jelen szabályzat II.2.2. pont alatti A)-C) alpontokban részletesen felsorolt célokból történő adatkezelés és adatfeldolgozás esetén az egészségügyi ellátóhálózaton belül az egészségügyi és személyazonosító adatok továbbíthatók, illetve összekapcsolhatók.
  • A különböző forrásból származó egészségügyi és személyazonosító adatokat csak addig az időpontig és olyan mértékig lehet összekapcsolni, ameddig az a megelőzés, a gyógykezelés, a népegészségügyi, közegészségügyi-járványügyi intézkedések megtétele érdekében feltétlenül szükséges.
  • További megszorítást jelent, hogy az egészségügyi ellátóhálózaton belüli egészségügyi és személyazonosító adatok továbbítására és összekapcsolására a II.2.2. B) alpontban meghatározott célok esetén csak akkor kerülhet sor, ha azok az egészségügyi és betegellátó rendszer működésével közvetlenül összefüggnek (pl. EESZT, ami intézetünkben egyelőre kialakítás alatt van).

 

III.10. Gyógykezelés érdekében történő adattovábbítás terjedelme, tiltakozás az adattovábbítás ellen: 

A II.2.2. A) pont szerinti adatkezelés és adatfeldolgozás esetén az érintett betegségével kapcsolatba hozható minden olyan egészségügyi adat továbbítható:

 

  • a) amely a kezelőorvos vagy a háziorvos döntése alapján a gyógykezelés érdekében fontos.

 

  • b) Kivételt jelent ez alól:
    • ha ezt az érintett írásban
    • vagy önrendelkezési nyilvántartásba vett nyilatkozatában megtiltja.

 

A tiltakozás lehetőségéről a továbbítás előtt az érintettet tájékoztatni kell. 

  1. c) A fennálló betegséggel össze nem függő, korábbi betegségre vonatkozó egészségügyi adatok továbbítására vonatkozó speciális előírások: 
  • Még a III.10. a) pont szerinti esetben sem lehet – az Eüaktv. 11. § (3) bekezdésében és a 13. §-ban foglaltak kivételével –
  • az érintett hozzájárulása nélkül továbbítani
  • a továbbítás idején fennálló betegséggel össze nem függő,
  • korábbi betegségre vonatkozó egészségügyi adatokat.

 

III.11. Az alábbi esetekben azonban az érintett tiltása ellenére is továbbítani kell az egészségügyi és személyazonosító adatot az Eüaktv. szerint.

Az érintett (törvényes képviselője) köteles a betegellátó felhívására egészségügyi és személyazonosító adatait átadni: 

  • ha valószínűsíthető vagy beigazolódott, hogy a tv. 1. számú mellékletben felsorolt valamely betegség kórokozója által fertőződött, vagy fertőzéses eredetű mérgezésben, illetve fertőző betegségben szenved, kivéve a 15. § (6) bekezdése szerinti esetet, /15. § (6) Amennyiben az érintett annak megállapítása érdekében, hogy HIV vírusával fertőződött-e - személyazonosságának előzetes felfedése nélkül - szűrővizsgálaton kíván részt venni, személyazonosító adatait a betegellátó részére nem köteles átadni./
  • ha arra a 2. számú mellékletben felsorolt szűrő- és alkalmassági vizsgálatok elvégzéséhez van szükség,
  • heveny mérgezés esetén,
  • ha valószínűsíthető, hogy az érintett a 3. számú melléklet szerinti foglalkozási eredetű megbetegedésben szenved,
  • ha az adatszolgáltatásra a magzat, illetve a kiskorú gyermek gyógykezelése, egészségi állapotának megőrzése vagy védelme érdekében van szükség,
  •  ha bűnüldözés, bűnmegelőzés céljából, továbbá ügyészségi, bírósági eljárás, illetve szabálysértési vagy közigazgatási hatósági eljárás során az illetékes szerv a vizsgálatot elrendelte,
  •  ha az adatszolgáltatásra a nemzetbiztonsági szolgálatokról szóló törvény szerinti ellenőrzés céljából van szükség.” 

 III.12. Sürgős szükség esetén történő adattovábbítás:

  • sürgős szükség esetén a kezelést végző orvos által ismert,
  • a gyógykezeléssel összefüggésbe hozható minden egészségügyi és személyazonosító adat továbbítható. 

III. 13. Az adatszolgáltatás önkéntessége és az önkéntesség alóli kivételek

III.13.1. Önkéntes adatszolgáltatás:

  • Az egészségügyi és a személyazonosító adatoknak az érintett részéről történő szolgáltatása önkéntes.

III.13. 2. Kivétel a fenti önkéntes alapon nyugvó szabály alól:

  • az egészségügyi ellátás igénybevételéhez kötelezően előírt személyazonosító adatok (lásd fogalommeghatározás) szolgáltatása során és
  • az Eüaktv. 13. §-ban foglalt esetekben (pl. fertőzés, mérgezés, stb) áll fenn kötelező jelleggel adatszolgáltatási kötelezettség (az Eüaktv. 13. §-ában foglalt esetek jelen szabályzat III.11. pontjában kerültek részletezésre.)

III.13.3. Megadottnak kell tekinteni az adatkezeléshez való hozzájárulást:

  • abban az esetben, ha az érintett önként fordul az egészségügyi ellátóhálózathoz,
  • a gyógykezeléssel összefüggő egészségügyi és személyazonosító adatainak kezelésére szolgáló hozzájárulását - ellenkező nyilatkozat hiányában –
  • megadottnak kell tekinteni, és erről az érintettet (törvényes képviselőjét) tájékoztatni kell.

III.13.4. Az önkéntesség vélelmezése:

  • Sürgős szükség,
  • valamint az érintett belátási képességének hiánya esetén az önkéntességet az adatkezeléshez való hozzájárulás vonatkozásában vélelmezni kell. 

III.13.5. A személyazonosításra alkalmatlan egészségügyi adat időbeli és területi korlát nélküli továbbítása engedélyezett.

 

III.14.  Ki lehet jelen a gyógykezelésen:

  • a kezelést végző orvoson és az egyéb betegellátó személyeken kívül csak az lehet jelen, akinek jelenlétéhez az érintett hozzájárul.

III.14.1. Ezeken túlmenően az érintett hozzájárulása nélkül is jelen lehet:

  • a z Eüaktv. 17. § (2) bekezdésében meghatározott személyeken (egészségügyi ellátóhálózat egészségügyi szakember-képzésre kijelölt intézményeiben pl. orvostanhallgató, stb) túl az:
  1. a) aki az érintettet az adott betegség miatt korábban gyógykezelte,
  2. b) akinek erre az intézményvezető vagy az adatvédelemért felelős személy szakmai-tudományos célból engedélyt adott,

kivéve, ha ez ellen az érintett kifejezetten tiltakozott.

III.15. A vényen szereplő adatok köre:

Tekintettel arra, hogy a Dr. ROSE Magánkórház Kft. által üzemeltetett járó és fekvő beteg szakrendeléseken kizárólag privát finanszírozott betegek ellátása történik, ezért a jelen pontban foglalt tájékoztatás nem terjed ki a TB támogatással történő rendelés esetén kezelt adatkörre és egyéb a közfinanszírozott esetekben szükséges adatkezelésekre sem.

Fontosnak tartjuk jelen pontban rögzíteni, hogy a gyógyszer, gyógyászati segédeszköz és gyógyászati ellátás rendelése esetén a vényen fel kell tüntetni:

  • az érintett nevét,
  • lakcímét,
  • születési dátumát.

III. 16. Az egészségügyi és személyazonosító adatok nyilvántartása

Az érintettről felvett, a gyógykezelés érdekében szükséges egészségügyi és személyazonosító adatot, valamint azok továbbítását nyilván kell tartani. 

Az adattovábbításról szóló feljegyzésnek tartalmaznia kell az adattovábbítás címzettjét, módját, időpontját, valamint a továbbított adatok körét. 

A nyilvántartás eszköze lehet minden olyan adattároló eszköz vagy módszer, amely biztosítja az adatok Eüaktv. 6. § szerinti védelmét. 

A kezelést végző orvos az általa vagy az egyéb betegellátó által felvett egészségügyi adatokról, valamint az azzal összefüggő saját tevékenységéről és intézkedéseiről feljegyzést készít. A feljegyzés a nyilvántartás részét képezi.

III. 16.1. Az egészségügyi dokumentáció kötelező megőrzésének ideje:

  • az egészségügyi dokumentációt adatfelvételtől számított legalább 30 évig,
  • zárójelentést legalább 50 évig kell megőrizni.
  • képalkotó diagnosztikai eljárással készült felvételt az annak készítésétől számított 10 évig, a felvételről készített leletet a felvétel készítésétől számított 30 évig kell megőrizni.
  • a vények megőrzési ideje 5 év.

III.16.2. A kötelező nyilvántartási idő lejártát követően az alábbi szabályokat kell figyelembe venni:

  • a) gyógykezelés vagy tudományos kutatás érdekében - amennyiben indokolt - az adatok továbbra is nyilvántarthatók.
  • b) ha a további nyilvántartás nem indokolt - a c) alpont kivételével - a nyilvántartást meg kell semmisíteni.
  • c) amennyiben az egészségügyi dokumentációnak tudományos jelentősége van, a kötelező nyilvántartási időt követően át kell adni az illetékes levéltár részére.
  • e) a dokumentációt kezelő jogutód nélküli megszűnése esetén – az f) alpont kivételével -
    • ea) a tudományos jelentőségű egészségügyi dokumentációt az illetékes levéltárnak,
    • eb) az egyéb egészségügyi dokumentációt a Kormány által kijelölt szervnek kell átadni.
  • f) Amennyiben a dokumentációt kezelő jogutód nélkül szűnik meg, de az általa korábban ellátott feladatokat más szerv látja el:
    • fa) a dokumentációt kezelő megszűnésének időpontját megelőző tíz évben keletkezett egészségügyi dokumentációt a feladatot ellátó szerv,
    • fb) az a) pont alapján átadásra nem kerülő egészségügyi dokumentációt a Kormány által kijelölt más szervnek, adatkezelőnek részére kell átadni.

III. 16.3. Technikai feltételek folyamatos biztosítása:

Az adatmegőrzés érdekében folyamatosan biztosítani kell, hogy az adathordozó az adott technikai feltételek mellett olvasható maradjon, vagy olvasható állapotba kerüljön. 

III.16.4. Egészségügyi adat kijavítása vagy törlése:

Az egészségügyi dokumentációban szereplő hibás egészségügyi adatot - az adatfelvételt követően - úgy kell kijavítani vagy törölni, hogy az eredetileg felvett adat megállapítható legyen.

III.16.5. Hiteles másolat készítése:

A nyilvántartott adatokról, az egészségügyi dokumentációról az adatkezelő hiteles másolatot készít, ha ezt az adatbiztonság vagy a tárolt adatok fizikai védelme, illetve az Eüaktv.-ben előírt adatközlési kötelezettség szükségessé teszi. A hiteles másolat adattartalmára vonatkozóan az Eüaktv. 6. §-ban foglalt rendelkezések az irányadók.

III.17. Az intézményvezető felelőssége:

Az egészségügyi intézményen belül az egészségügyi és személyazonosító adatok védelméért, a nyilvántartás megőrzéséért az adatot kezelő intézmény vezetője felelős.

III.17.1. Az intézményvezető tevékenysége során

  1. gondoskodik az adatvédelmi szabályok betartásáról,
  2. ellenőrzi az adatkezelők és adatfeldolgozók adatkezeléssel, illetve adatfeldolgozással összefüggő tevékenységét,
  3. kezdeményezi az adatvédelem, illetve az adatbiztonság területén kifejlesztett új technológiák és eszközök alkalmazását,
  4. biztosítja az adatkezeléssel és adatfeldolgozással foglalkozó személyek adatkezelési oktatását,
  5. tudományos kutatás esetén [Eüaktv. 21. § (1) bekezdés] engedélyezi az egészségügyi dokumentációba való betekintést,
  6. megbízza az adatvédelmi tisztviselőt (adatvédelmi felelősöket),
  7. ellenőrzi az adatvédelmi tisztviselő, felelős (felelősök) tevékenységét,
  8. gondoskodik az intézmény adatvédelmi szabályzatának elkészítéséről,
  9. dönt a kötelező nyilvántartási időt követően a nyilvántartott adatok további tárolásáról vagy megsemmisítéséről.

III.18. Adatvédelmi tisztviselő:

  • A III.17.1. pontban részletezett 1-4 alpontok szerinti tevékenységet az adatvédelmi felelős is elláthatja.
  • A szervezeti egységenként 20 főnél több adatkezelőt foglalkoztató munkáltató esetén az intézményvezető - szervezeti egységenként - adatvédelmi felelőst jelöl ki.
  • Adatvédelmi felelősnek
  1. a) szakorvos szakképesítéssel rendelkező orvos, vagy
  2. b) legalább 2 év joggyakorlattal rendelkező jogi egyetemi végzettségű személy, vagy
  3. c) felsőfokú végzettségű, az egészségügyi adatkezelésben legalább 2 év gyakorlatot szerzett személy jelölhető ki.

IV.        fejezet A GDPR előírásai az e-adatkezelésekre

IV.1. Személyes e-adatok kezelése

                                                                                      

Mivel az érintett természetes személyek összefüggésbe hozhatók az általuk használt készülékek, alkalmazások, eszközök és protokollok által rendelkezésre bocsátott online azonosítókkal, például IP-címekkel és cookie-azonosítókkal, ezért ezek az adatok egyéb információkkal összekapcsolva alkalmasak és felhasználhatók a természetes személyek profiljának létrehozására és az adott személy azonosítására. A Dr. Rose Magánkórház Kft. az egészségügyi és hozzájuk kapcsolódó személyes adatok kezelése során profilalkotást nem végez.

 

Az adatkezelésre csak akkor kerülhet sor,

  • ha az érintett személy egyértelmű megerősítő cselekedettel, például írásbeli - ideértve az elektronikus úton tett - vagy
  • szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja az adatok kezeléséhez.

 

Az adatkezeléshez való hozzájárulásnak minősül az is,

  • ha az érintett személy az internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet (pl. hírlevél feliratkozás). 

A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés nem minősül hozzájárulásnak.

 

Hozzájárulásnak minősül az is:

  • ha valamely felhasználó az elektronikus szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre,
  • vagy olyan nyilatkozatot tesz, illetve cselekvésével az adott összefüggésben az érintett személy hozzájárulását személyes adatainak kezeléséhez egyértelműen jelzi.

 

A személyes adatokat olyan módon kell kezelni:

  • amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében,
  • hogy megakadályozza a személyes adatokhoz és a személyes adatok kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést,
  • illetve azok jogosulatlan felhasználását.

 

A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal.

Ezt a különös védelmet főként

  • a gyermekek személyes adatainak olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja.

 

A pontatlan személyes adatok

  • helyesbítése
  • vagy törlése érdekében minden ésszerű lépést meg kell tenni.

 

IV.2. Az érintett személy hozzájárulása, feltételek

  • Amennyiben az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult. 
  • Ha az érintett a hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell közölni. 
  • Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását. 
  • Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez. 
  • Közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.

 

IV.3. Azonosítást nem igénylő adatkezelés

Ha azok a célok, amelyekből az adatkezelő a személyes adatokat kezeli, nem vagy már nem teszik szükségessé az érintettnek az adatkezelő általi azonosítását, az adatkezelő nem köteles kiegészítő információkat megőrizni. 

Ha az adatkezelő bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintettet, erről lehetőség szerint őt megfelelő módon tájékoztatja.

IV.4. Az érintett személy tájékoztatása, jogai

A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól. 

Ha a személyes adatokat az érintettől gyűjtik, az érintettet arról is tájékoztatni kell, hogy köteles-e a személyes adatokat közölni, valamint hogy az adatszolgáltatás elmaradása milyen következményekkel jár.

Az érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell az érintett részére megadni, illetve ha az adatokat nem az érintettől, hanem más forrásból gyűjtötték, az ügy körülményeit figyelembe véve, ésszerű határidőn belül kell rendelkezésre bocsátani. 

Az érintett jogosult, hogy hozzáférjen a rá vonatkozóan gyűjtött adatokhoz, valamint arra, hogy egyszerűen és ésszerű időközönként, az adatkezelés jogszerűségének megállapítása és ellenőrzése érdekében gyakorolja e jogát. Minden érintett számára biztosítani kell a jogot arra, hogy megismerje különösen a személyes adatok kezelésének céljait, továbbá ha lehetséges, azt, hogy a személyes adatok kezelése milyen időtartamra vonatkozik.

Az érintett jogosult különösen arra, hogy személyes adatait töröljék és a továbbiakban ne kezeljék, ha a személyes adatok gyűjtésére vagy más módon való kezelésére az adatkezelés eredeti céljaival összefüggésben már nincs szükség, vagy ha az érintettek visszavonták az adatok kezeléséhez adott hozzájárulásukat. Az egészségügyi és hozzájuk kapcsolódó személyes adatok ilyen címen nem törölhetők, mivel a törvény szerint az adatkezelő köteles megőrizni ezeket az adatokat. 

Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett számára biztosítani kell a jogot arra, hogy bármikor díjmentesen tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen.

IV.5. A személyes adatok felülvizsgálata

Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg. 

A szervezet vezetője által megállapított rendszeres felülvizsgálati határidő: 1 év.

IV.6. Az adatkezelő feladatai

Az adatkezelő a jogszerű adatkezelés érdekében megfelelő belső adatvédelmi szabályokat alkalmaz. Ez a szabályozás kiterjed az adatkezelő hatáskörére és felelősségére. 

Az adatkezelő kötelessége, hogy megfelelő és hatékony intézkedéseket hajtson végre, valamint, hogy képes legyen igazolni azt, hogy az adatkezelési tevékenységek a hatályos jogszabályoknak megfelelnek. (elszámoltathatóság) 

Ezt a szabályozást az adatkezelés jellegének, hatókörének, körülményeinek és céljainak, valamint a természetes személyek jogait és szabadságait érintő kockázatnak a figyelembevételével kell meghozni. 

Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre. E szabályzat alapján az egyéb belső szabályzatokat felülvizsgálja és szükség esetén naprakésszé teszi. 

Az adatkezelő vagy az adatfeldolgozó megfelelő nyilvántartást vezet a hatásköre alapján végzett adatkezelési tevékenységekről

Minden adatkezelő és adatfeldolgozó köteles a felügyeleti hatósággal együttműködni és ezeket a nyilvántartásokat kérésre hozzáférhetővé tenni az érintett adatkezelési műveletek ellenőrzése érdekében.

 

IV.7. Az adatkezeléssel kapcsolatos jogok

A tájékoztatás kéréshez való jog

Bármely személy a megadott elérhetőségeken keresztül tájékoztatást kérhet arról, hogy a szervezet milyen adatait, milyen jogalapon, milyen adatkezelési cél miatt, milyen forrásból, mennyi ideig kezeli. A kérelmére haladéktalanul, de legfeljebb 30 napon belül, a megadott elérhetőségre tájékoztatást kell küldeni. 

A helyesbítéshez való jog

Bármely személy a megadott elérhetőségeken keresztül kérheti bármely adatának módosítását. Erről kérelmére haladéktalanul, de legfeljebb 30 napon belül intézkedni kell és a megadott elérhetőségre tájékoztatást kell küldeni. 

A törléshez való jog

Bármely személy a megadott elérhetőségeken keresztül kérheti adatának törlését. Kérelmére ezt haladéktalanul, de legfeljebb 30 napon belül meg kell tenni és a megadott elérhetőségre tájékoztatást kell küldeni. 

A zároláshoz, korlátozáshoz való jog

Bármely személy a megadott elérhetőségeken keresztül kérheti adatának zárolását. A zárolás addig tart, amíg a megjelölt indok szükségessé teszi az adatok tárolását. A kérelemre ezt haladéktalanul, de legfeljebb 30 napon belül meg kell tenni és a megadott elérhetőségre tájékoztatást kell küldeni. 

A tiltakozáshoz való jog

Bármely személy a megadott elérhetőségeken keresztül tiltakozhat az adatkezelés ellen. A tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül meg kell vizsgálni, annak megalapozottsága kérdésében döntést kell hozni és a döntésről a megadott elérhetőségre tájékoztatást kell küldeni. 

Az adatkezeléssel kapcsolatos jogérvényesítési lehetőség

Nemzeti Adatvédelmi és Információszabadság Hatóság

Postacím: 1530 Budapest, Pf.: 5.

Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c 
Telefon: +36 (1) 391-1400 
Fax: +36 (1) 391-1410 
E-mail: ugyfelszolgalat (kukac) naih.hu 
URL https://naih.hu 
koordináták: É 47°30'56''; K 18°59'57'' 

Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A pert az érintett - választása szerint - a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.

 

IV.8. Összefoglalóan az adatkezelő feladatai a megfelelő adatvédelem érdekében

  • Az adatvédelmi tudatosság tekintetében biztosítani kell a szakmai felkészültséget a jogszabályoknak való megfeleléshez. Elengedhetetlen a munkatársak szakmai felkészítése és a szabályzat megismerése.
  • Át kell tekinteni az adatkezelés célját, szempontrendszerét, a személyes adatkezelés koncepcióját. Az adatvédelmi és adatkezelési szabályzattal összhangban kell biztosítani a jogszerű adatkezelést és adatfeldolgozást. 
  • Az adatkezelésben érintett személy megfelelő tájékoztatása során figyelni kell arra, hogy - ha az adatkezelés az érintett hozzájárulásán alapul, - kétség esetén az adatkezelőnek kell bizonyítania, hogy az adatkezeléshez az érintett személy hozzájárult.
  •  Az érintett személynek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, ezért azt világos és közérthető nyelven kell megfogalmazni és megjeleníteni.
  • Az átlátható adatkezelés követelménye, hogy az érintett személy tájékoztatást kapjon az adatkezelés tényéről és céljairól. A tájékoztatást az adatkezelés megkezdése előtt kell megadni és a tájékoztatáshoz való jog az adatkezelés során annak megszűnéséig megilleti az érintettet.
  • Az adatkezelésben érintett személy főbb jogai összefoglalóan a következők:
  • a rá vonatkozó személyes adatokhoz való hozzáférés;
  • a személyes adatok helyesbítése;
  • a személyes adatok törlése;
  • a személyes adatok kezelésének korlátozása;
  • a profilalkotás és az automatizált adatkezelésen elleni tiltakozás;
  • az adathordozhatósághoz való jog.
  • Az adatkezelő indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A tájékoztatási kötelezettség során az orvosi titkot meg kell tartani. Különleges adat illetéktelenhez nem kerülhet.
  • Át kell tekinteni a szervezet által végzett adatkezeléseket, biztosítani kell az információs önrendelkezési jog érvényesülését. Az érintett személy kérésére adatait késedelem nélkül törölni kell, amennyiben az érintett személy visszavonja az adatkezelés alapját képező hozzájárulást (pl. hírlevél küldés esetén, mivel egészségügyi adat megőrzési ideje kötelezően 5 év, 10 év, 30 év, illetve 50 év is lehet, így ezeket értelemszerűen nem lehet törölni, még kérés esetén sem.)
  •  Az érintett személy hozzájárulásából félreérthetetlenül ki kell derülnie, hogy az érintett beleegyezik az adatkezelésbe. Ha az adatkezelés az érintett hozzájárulásán alapul, kétség esetén az adatkezelőnek kell bizonyítania, hogy az adatkezelési művelethez az érintett hozzájárult.
  • Gyermekek személyes adatkezelése esetén kiemelt figyelmet kell fordítani az adatkezelési szabályok betartására. Közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.
  •  A személyes adat jogellenes kezelése vagy feldolgozása esetén bejelentési kötelezettség keletkezik a felügyelő hatóság felé. Az adatkezelőnek indokolatlan késedelem nélkül – ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, –  meg kell tenni a bejelentést a felügyeleti hatóságnak, kivéve akkor, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személy jogait tekintve.
  • Bizonyos esetekben indokolt lehet az adatkezelőnek az adatkezelést megelőzően és annak során is adatvédelmi hatásvizsgálatot lefolytatni. A hatásvizsgálat során meg kell vizsgálni, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelőnek konzultálnia kell a felügyeleti hatósággal.
  • Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
  • A nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
  • Az adatbiztonság megtervezésekor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek.

 

IV.9. Adatvédelmi tisztviselő

Adatvédelmi tisztviselő kijelölésére vonatkozó szabályok: 

Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint az adatkezelés ellátására való alkalmasság alapján kell kijelölni. 

 Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja is lehet, de szolgáltatási szerződés keretében is elláthatja feladatait. 

Az adatkezelőnek vagy az adatfeldolgozónak kötelező közzétenni az adatvédelmi tisztviselő elérhetőségét, és azokat a felügyeleti hatósággal is közölni kell.

IV.9.1. Az adatvédelmi tisztviselő jogállása

Az adatkezelőnek biztosítania kell, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon. Biztosítani kell, hogy az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükséges források rendelkezésre álljanak. 

Az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől nem fogadhat el. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval sem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel. 

Az érintettek a személyes adataik kezeléséhez és jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak. 

Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti. 

Az adatvédelmi tisztviselő más feladatokat is elláthat, de a feladatokkal kapcsolatban összeférhetetlenség ne álljon fenn.

IV.9.2. Az adatvédelmi tisztviselő feladatai

  • Tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére; 
  • ellenőrzi az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést; 
  • kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését; 
  • együttműködik a felügyeleti hatósággal.

 

IV.10. Adatvédelmi incidens

Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. 

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést. 

Az adatvédelmi incidenst indokolatlan késedelem nélkül, legkésőbb 72 órán belül be kell jelenteni az illetékes felügyeleti hatóságnál, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani lehet, hogy az adatvédelmi incidens valószínűleg nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. 

Az érintett személyt késedelem nélkül tájékoztatni kell, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személy jogaira és szabadságára nézve, annak érdekében, hogy megtehesse a szükséges óvintézkedéseket. 

Az adatvédelmi incidenseket nyilván kell tartani.

 

V.             fejezet Ügyviteli és nyilvántartás célú adatkezelés

 

A szervezet a tevékenységéhez tartozó esetekben, illetve ügyviteli és nyilvántartási célból személyes adatokat is kezelhet.

V.1. Az adatkezelés alapja:

  • az érintett személy megfelelő tájékoztatásán alapuló önkéntes és határozott hozzájárulása.
  • A részletes tájékoztatás – amely kiterjed az adatkezelés céljára, jogalapjára és időtartamára, valamint az érintett személy jogaira - után az érintettet figyelmeztetni kell az adatkezelés önkéntes jellegére.
  • Az adatkezeléshez való hozzájárulást írásban rögzíteni kell.

V.2. Az ügyviteli és nyilvántartási célból történő adatkezelés az alábbi célokat szolgálja:

  • a szervezet tagjainak és munkavállalóinak adatkezelése, amely jogszabályi kötelezettségen alapul; 
  • a szervezettel megbízási jogviszonyban álló személyek adatkezelése kapcsolattartási, elszámolási és nyilvántartási célból; 
  • a szervezettel üzleti kapcsolatban álló más szervezetek, intézmények és vállalkozások kapcsolattartói adatai, amelyek természetes személyek elérhetőségi és azonosítási adatai is lehetnek;

 

A fentiek szerinti adatkezelés egyrészről jogszabályi kötelezettségen alapul, másrészről pedig az érintett személy kifejezetten hozzájárult adatai kezeléséhez (például munkaszerződés céljából vagy weboldalon partnerként regisztrált, stb.) 

A szervezethez írásos formában eljuttatott – személyes adatokat is tartalmazó – dokumentumok (például önéletrajz, álláskeresési jelentkezés, egyéb beadvány, stb.) esetében az érintett személy hozzájárulását vélelmezni kell. Az ügy lezárulta után – további felhasználásra vonatkozó hozzájárulás hiányában – az iratokat meg kell semmisíteni. A megsemmisítés tényét jegyzőkönyvben kell rögzíteni. 

Az ügyviteli célú adatkezelés esetében a személyes adatok kizárólag az adott ügy irataiban és a nyilvántartásokban szerepelnek. Ezen adatok kezelése a kezelés alapjául szolgáló irat selejtezéséig tart. 

Az ügyviteli és nyilvántartási célból történő adatkezelést - annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, - évente felül kell vizsgálni, a pontatlan személyes adatokat haladéktalanul törölni kell. 

Az ügyviteli és nyilvántartási célból történő adatkezelés esetében is biztosítani kell a jogszabályoknak való megfelelést.

VI.        fejezet Marketing célú adatkezelések

 

Hírlevél küldés és direktmarketing anyag küldés céljából történő adatkezelés

A Dr. ROSE Magánkórház Kft., mint adatkezelő külön-külön írásos és tájékoztatáson alapuló önkéntes hozzájárulást kér az érintettektől, hogy az általuk megadott személyes adataikat a hírlevélküldés, valamint a direktmarketing anyag küldés céljából adatkezelési tájékoztatóban foglaltak szerint kezelje.

A Dr. ROSE Magánkórház Kft. csak abban az esetben küld hírlevelet és/vagy direkt marketing anyagot, ha az érintett tudomásul vette, hogy írásos nyilatkozata alapján a Társaság számára ilyen megkereséseket küldhet. A hírlevél és direktmarketing szolgáltatásokra az adatkezelésekhez való előzetes hozzájárulásokkal iratkozhat fel.

A Dr. ROSE Magánkórház Kft. a hírlevélre és direktmarketingre vonatkozó adatkezelési nyilvántartásokban rögzített személyes adatokat csak a hozzájáruló nyilatkozatokban foglaltaknak megfelelően, azok visszavonásáig kezelheti és harmadik fél számára kizárólag az érintett előzetes hozzájárulásával adhatja át. 

A hírlevél és direktmarketing anyagküldésre vonatkozó hozzájáruló nyilatkozatokat az érintett bármikor korlátozás és indokolás nélkül, ingyenesen visszavonhatja. Ebben az esetben a hírlevél, illetve direktmarketing küldés céljából kezelt minden személyes adatot a Dr. ROSE Magánkórház Kft. nyilvántartásból haladéktalanul törölni kell, és az érintett részére a továbbiakban hírlevél, illetve egyéb direktmarketing nem küldhető. A visszavonó nyilatkozatot az érintett elküldheti a marketing@drrose.hu e-mail címre, illetve a 1051 Budapest, Széchenyi tér 7-8. szám alatti postai címre is, továbbá a hírlevél végén közvetlenül le is iratkozhat.

A hírlevél küldés során az adatkezelés célja az érdeklődőkkel, ügyfelekkel és partnerekkel való kapcsolattartás hírlevél útján.

A direktmarketing anyag küldés során az adatkezelés célja a szolgáltatáshoz hozzájárulóknak a Társaság személyre szabott marketing ajánlatokat készít és küld, őket üzletszerzési célból megkeresi, illetve a Társaság által forgalmazott termékekről és szolgáltatásokról tájékoztatókat küld.

Szintén meg kell határozni az adatkezelés jogalapját, mely mindkét esetben (hírlevél, direktmarketing) azonos: a GDPR 6. cikk (1) bekezdés a) pontja szerinti érintetti hozzájárulás személyes adatok meghatározott céljából kezeléséhez.

Az adattárolás határideje a hírlevél/direktmarketing szolgáltatás időtartama végéig, illetve a hozzájáruló nyilatkozat visszavonásáig tart.

Jelen szabályokat az átvett adatbázis tekintetében az orvosi titokra vonatkozó szigorú szabályok szerint akként kell alkalmazni, hogy a hírlevél küldéssel egy időben az új szolgáltató adatkezelési tájékoztatóját is mindig elérhetővé kell tenni. Amennyiben a páciens 2018. december 01. után vesz igénybe egészségügyi szolgáltatást, a regisztrációs lapot ki kell töltenie, ezen megerősítésre vagy visszavonásra kerül a 2018. december 01. előtt adott hírlevél küldéséhez való hozzájárulása. 

Az adatkezelés címzettjei a Társaságnál a páciens, ill. az érintett személy kiszolgálással foglalkozó munkatársai.

A Dr. ROSE Magánkórház Kft. adatkezelésében és/vagy adatfeldolgozásában részt vevő közreműködői és munkavállalói feladatuk, illetve munkakörük által indokolt mértékben – titoktartási kötelezettség terhe mellett – jogosultak hírlevél/direktmarketing szolgáltatásunkra feliratkozó személyek személyes adatait megismerni.

VII.   fejezet Megfigyelőrendszer/kamera alkalmazására vonatkozó szabályok

Elektronikus megfigyelőrendszer alkalmazása során az adatkezelés jogalapja a munkáltató jogos érdeke (a munkavállalók tekintetében) és az érintett hozzájárulása (látogatók, ügyfelek tekintetében), a megfigyelt területen pedig minden egyes kameránál jól látható helyen figyelemfelhívó tájékoztatást (jelzést) kell elhelyezni. Ezt a tájékoztatást minden egyes, a megfigyelt területen elhelyezett kamera esetében meg kell adni. Amennyiben a cég álkamerát helyez ki, a tájékoztatásnak ki kell terjednie arra a tényre, hogy a kamera nem készít felvételt.

A tájékoztató kötelező tartalma:

  1. az adatkezelés (felvételkészítés) jogalapja (GDPR 6. cikk (1) bekezdés f) pontja),
  2. az egyes kamerák elhelyezése és célja, az általuk megfigyelt terület és/vagy tárgy, valamint az, hogy a kamera közvetlenül vagy rögzítetten figyel-e,
  3. az üzemeltető (jogi vagy természetes) személy megnevezése, valamint az adatkezelő és az adatfeldolgozó személye,
  4. a felvétel tárolásának helye és időtartama, valamint a felvételek tárolásával kapcsolatos adatbiztonsági intézkedések,
  5. ki mikor és hogyan nézheti meg a felvételeket, hogyan használhatja fel azokat, illetve kinek, mikor, hogyan és milyen célból továbbíthatók a felvételek,
  6. melyek a munkavállalók jogai és hogyan tudják azokat gyakorolni, valamint hol tehetnek panaszt, illetve
  7. a munkavállalók információs önrendelkezési joguk megsértése esetén milyen jogérvényesítési eszközöket vehetnek igénybe.

Az ügyfelek, látogatók tájékoztatása céljából jól látható helyen és módon tájékoztatót kell kihelyezni és figyelmeztetni kell őket, hogy belépésükkel hozzájárulnak ahhoz, hogy a felvételeken szerepeljenek.

A külön szabályzatban részletesen kell szabályozni, hogy a felvételekhez ki férhet hozzá, ki milyen jogosítványokkal rendelkezik, a felvételek végletes törléséről ki győződik meg, azt ki felügyeli és azt is meg kell határozni, hogy milyen esetben nézhetőek vissza a felvételek akár a munkáltató, akár a munkavállaló részéről, erre kiadhat engedélyt, illetve az ehhez szükséges formanyomtatványt a szabályzathoz mellékelni kell.

VIII.                      fejezet Vegyes rendelkezések

VIII.1. Egyéb célból történő adatkezelés

Amennyiben a szervezet olyan adatkezelést kíván végezni, amely ebben a szabályzatban nem szerepel, előzetesen ezen belső szabályzatát kell megfelelően kiegészíteni, illetve az új adatkezelési célnak megfelelő rész-szabályokat hozzákapcsolni.

VIII.2. Az adatkezelés alapjául szolgáló jogszabályok

  • AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet).

 

-       2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról.

 

  • A köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény. 
  • évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről. 
  • Magyarország Alaptörvénye (2011. április 27.), 
  • a polgári törvénykönyvről szóló 2013. évi V. törvény, 
  • az egészségügyi adatok és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény, 
  • a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (továbbiakban: Szvtv.), 
  • a munka törvénykönyvéről szóló 2012. évi I. törvény (továbbiakban: Mt.).