Adatkezelési keretszabályzat

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen
adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános
adatvédelmi rendelet) szóló 2016. április 27-i (EU) 2016/679. sz. Európai Parlament és a Tanács
Rendelet (a továbbiakban: GDPR), valamint az információs önrendelkezési jogról és az
információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.), alapján a
Magyarországi Református Egyház Bethesda Gyermekkórháza, mint Adatkezelő a személyes adatok
kezelése körében az alábbi szabályzatot fogadja el.

Az Adatkezelő azonosítása:
Magyarországi Református Egyház Bethesda Gyermekkórháza
1146 Budapest, Bethesda utca 3.
Főigazgató: Dr. Velkey György János
e-mail: bethesda@bethesda.hu

PREAMBULUM
Jelen Adatkezelési Keretszabályzat (a továbbiakban: Keretszabályzat) a személyes adatok kezelésének
GDPR, Infotv., a Nemzeti Adatvédelmi és Információszabadság Hatóság által közzétett ajánlások,
állásfoglalásokban, továbbá bíróságok, egyéb illetékes szervek által meghatározott általános jellegű
szabályokat és elveket tartalmazza. A személyes adatok kezelésének speciális, és/vagy ágazati külön
szabályait a Keretszabályzatra épülő egyedi szabályzatok tartalmazzák.

1.) FOGALMAK

„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely
információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen
valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes
személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára
vonatkozó egy vagy több tényező alapján azonosítható;

„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált
módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés,
tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás,
terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás,
korlátozás, törlés, illetve megsemmisítés;

„álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további
információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét
természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai
és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes
személyekhez ezt a személyes adatot nem lehet kapcsolni;

„anonimizálás”: olyan személyes adatok, amelyeket olyan módon tettek azonosításra alkalmatlanná,
amelynek következtében az érintett nem vagy többé nem azonosítható.

„nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy
funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek
alapján hozzáférhető;

„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb
szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt
meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az
adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami
jog is meghatározhatja;

„adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely
egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

„címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv,
akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi
szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek
hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi
kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi
szabályoknak;

„harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb
szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a
személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok
kezelésére felhatalmazást kaptak;

„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson
alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést
félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok
kezeléséhez;

„adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt
személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan
közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

„felügyeleti hatóság”: A GDPR 51. cikknek megfelelően létrehozott független közhatalmi szerv, mely
Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság.

„törvényes képviselő”: szülői felügyeletet gyakorló mindkét szülő, szülő felügyeletet egyedül gyakorló
egyik szülő, gyám, gondnok, közokiratban, vagy teljes bizonyító erejű magánokiratban meghatalmazott
személy.
A szülői felügyeleti jog fennállását ellenkező bizonyításig az adatkezelő vélelmezi.

2.) A KERETSZABÁLYZAT HATÁLYA, AZ ÉRINTETTEK KÖRE
Tárgyi hatály

Kiterjed valamennyi azonosított vagy azonosítható természetes személyre vonatkozó bármely
információra, beleértve
– a gyógykezelés során a betegellátó tudomására jutott egészségügyi és személyazonosító
adatokat tartalmazó feljegyzésre, nyilvántartásra vagy bármilyen módon rögzített adatra, függetlenül
annak hordozójától vagy formájától.
– az elhunyt személyes Eüak.-ban meghatározott személyes adatára
– az Adatkezelővel gazdasági kapcsolatban álló szervek, személyek által megismertetett
személyes adatra,
– kép-, hangfelvétel útján megismert személyes adatra
– az Adatkezelő tudomására hozott fenti körbe nem tartozó személyes adatokra, azok formájától,
hordozójától függetlenül.

Területi hatály

Kiterjed az Adatkezelő székhelyére, valamennyi telephelyére, továbbá az Adatkezelő nevében végzett
adatkezelés, illetve adatfeldolgozás esetén az adott adatkezelés, illetve adatfeldolgozás helyére.

Személyi hatály, Érintettek

Kiterjed
• Adatkezelő nevében adatkezelést, illetve adatfeldolgozást végző személyekre;
• Érintettekre (az a természetes személy, aki közvetlen vagy közvetett módon, különösen
valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes
személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára
vonatkozó egy vagy több tényező alapján azonosítható)
• Az Adatkezelő szék-, illetve telephelyén megforduló, továbbá az egészségügyi ellátásban
közvetlenül, közvetetten részt vevő valamennyi személyre, látogatóra.
Jelen rendelkezés értelmezése során közeli hozzátartozónak minősül: a házastárs, az egyeneságbeli
rokon, az örökbe fogadott, a mostoha- és nevelt gyermek, az örökbe fogadó, a mostoha- és nevelőszülő,
valamint a testvér és az élettárs.
Törvényes képviselőnek minősül tehát a 1.) Fogalmak részben meghatározottak szerint: szülői
felügyeletet gyakorló mindkét szülő, szülő felügyeletet egyedül gyakorló egyik szülő, gyám, gondnok,
közokiratban, vagy teljes bizonyító erejű magánokiratban meghatalmazott személy. A szülői felügyeleti
jog fennállását ellenkező bizonyításig az adatkezelő vélelmezi.

3.) AZ ADATKEZELÉS ELVEI

A személyes adatok:

– kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell
végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
– gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék
ezekkel a célokkal össze nem egyeztethető módon („célhoz kötöttség”);
– az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a
szükségesre kell korlátozódniuk („adattakarékosság”);
– pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell
tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat
haladéktalanul töröljék vagy helyesbítsék („pontosság”);
– tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes
adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; („korlátozott
tárolhatóság”);
– kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések
alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok
jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy
károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).

4.) AZ ADATKEZELÉS JOGALAPJAI

a.     Hozzájárulás

Az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például
írásbeli -ideértve az elektronikus úton tett -, vagy szóbeli nyilatkozattal önkéntes, konkrét,
tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok
kezeléséhez.
A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre
kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési
célra vonatkozóan meg kell adni.
Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem
érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása
előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell
lehetővé tenni, mint annak megadását.
Un. szenzitív személyes adatok (a továbbiakban: különleges adatok) esetén, melynek kezelése
hozzájáruláson alapul, csak és kizárólag az érintett írásbeli, egyértelműen kifejezett akaratot tartalmazó
nyilatkozatát fogadja el hozzájárulásként az Adatkezelő.
A mindennapi élet un. kisebb jelentőségű ügyleteiben, illetve az ügyintézés megkönnyítése és
meggyorsítása céljából az Adatkezelő az érintett kifejezett hozzájárulásának értékeli a személyes adatok
önként történő megadását. Ilyen pl: telefonszám, e-mail cím megadása kapcsolattartási adatként; vagy
a magánhasználatú e-mail címről történő kapcsolatfelvétel.
A gyermek hozzájárulására vonatkozó feltételek:
A közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások
vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét
betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak
akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti törvényes képviseleti jogkört
gyakorló személy adta meg, illetve engedélyezte.

b.     Szerződés teljesítéséhez szükséges adatkezelés

Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a
szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

c.     Jogi kötelezettség teljesítéséhez szükséges adatkezelés
Az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges.
Ha az adatkezelésre az Adatkezelőre vonatkozó jogi kötelezettség teljesítése keretében kerül sor, vagy
ha az közérdekű feladat végrehajtásához, illetve közhatalmi jogosítvány gyakorlásához szükséges, az adatkezelésnek az uniós jogban vagy valamely tagállam jogában foglalt jogalappal kell rendelkeznie. A
hatályos rendelkezések alapján elegendő azonban, ha egyetlen jogszabály szolgál jogalapul több olyan
adatkezelési művelethez is, amely az Adatkezelőre vonatkozó jogi kötelezettségen alapul, illetve
amelyre közérdekből végzett feladat ellátásához vagy közhatalmi jogosítvány gyakorlásához van
szükség.
Különleges adatok esetében az adatkezelés feltétele továbbá az is, hogy az Adatkezelőnek vagy az
érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi
előírásokból fakadó kötelezettségei teljesítése, konkrét jogai gyakorlása érdekében legyen szükséges,
úgy, hogy ezt az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós
vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi.

d.     Létfontosságú érdekből történő adatkezelés

A személyes adatok továbbítása jogszerűnek tekintendő, ha olyan érdek védelméhez szükséges, amely
az érintett vagy valamely más személy létfontosságú érdekeinek – köztük testi épségének vagy életének
– védelme szempontjából bír alapvető fontossággal, és az érintettnek nem áll módjában hozzájárulását
megadni.
Más természetes személy létfontosságú érdekeire hivatkozással személyes adatkezelésre csak akkor
kerülhet sor, ha a szóban forgó adatkezelés egyéb jogalapon nem végezhető. A személyes adatkezelés
néhány típusa szolgálhat egyszerre fontos közérdeket (Lsd. 3. e. pont) és az érintett létfontosságú
érdekeit is, például olyan esetben, amikor az adatkezelésre humanitárius okokból, ideértve, ha arra a
járványok és terjedéseik nyomon követéséhez, vagy humanitárius vészhelyzetben, különösen természeti
vagy ember által okozott katasztrófák esetében van szükség.

e.     Közérdekű adatkezelés

Lsd. 3. c. pont alatt is.
A népegészség területén közérdekből szükséges lehet a személyes adatok különleges kategóriáinak az
érintett hozzájárulása nélkül történő kezelése. A népegészség fogalmát az alábbiak szerit kell értelmezni:
valamennyi, az egészséggel kapcsolatos elem, nevezetesen az egészségi állapot -beleértve a morbiditást
és a fogyatékosságot -, az egészségi állapotot meghatározó tényezők, az egészségügyi ellátással
kapcsolatos igények, az egészségügyi ellátásra biztosított források, az egészségügyi ellátás nyújtása és
az ahhoz való általános hozzáférés, valamint az egészségügyi ellátással kapcsolatos kiadások és
finanszírozás, továbbá a halálokok.
Uniós vagy tagállami jogban megállapított fontos közérdek védelmében a személyes adatok továbbítása
szükséges. Ilyen fontos közérdek például: adó- és vámhatóságok, pénzügyi felügyeleti hatóságok vagy
a társadalombiztosítási ügyekért vagy a népegészségügyért felelős hivatalok közötti nemzetközi
adatcsere, a fertőző betegségek felmerülésének esetekor a fertőzöttekkel való érintkezések nyomon
követése érdekében szükséges adattovábbítások.
Adatkezelés közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai
célból is lehet szükséges uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal,
tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető
jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.

f.     Un. jogos érdek alapján végzett adatkezelés

Az Adatkezelő – ideértve azt az adatkezelőt is, akivel a személyes adatokat közölhetik – vagy valamely
harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve hogy az érintett érdekei, alapvető
jogai és szabadságai nem élveznek elsőbbséget, figyelembe véve az adatkezelővel való kapcsolata
alapján az érintett észszerű elvárásait. Az ilyen jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az Adatkezelő között, például olyan esetekben,
amikor az érintett az Adatkezelő alkalmazásában áll. Az Adatkezelő jogos érdekének tekintendő továbbá
az is, ha jelzi a lehetséges bűncselekményeket vagy a közbiztonságot fenyegető veszélyeket, és az
ugyanazon bűncselekményhez vagy közbiztonságot fenyegető veszélyhez kapcsolódó releváns
személyes adatokat egyedi esetekben vagy több különálló esetben továbbítja az illetékes hatóságnak.
Un. jogos érdek alapján végzett adatkezelés valamint, ha az adatkezelés jogi igények előterjesztéséhez,
érvényesítéséhez, illetve védelméhez legyen szükséges, vagy amikor a bíróságok igazságszolgáltatási
feladatkörükben járnak el.
Az emberi élet, testi épség, személyi szabadság védelme, a veszélyes anyagok őrzése, vagyonvédelem
céljából; jogi személyt megillető személyiségi jogok védelmében is adatkezelés valósulhat meg,
amennyiben az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez ez szükséges.
Az Adatkezelő szolgáltató tevékenysége során a működéséhez kapcsolódó be-, lejelentések
el(ő)készítése érdekében készített összesítések, táblázatok, kivonatok is tartalmazhatnak személyes
adatokat, melyek kezelésének jogalapját a jogos érdek adja.

 

5.) AZ ÉRINTETT JOGAI

a.     Az érintett hozzáférési joga

– Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy
személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van,
jogosult arra, hogy a személyes adatokhoz és kapcsolódó információkhoz hozzáférést kapjon.
– Az Adatkezelőnek az adatkezelés tárgyát képező személyes adatok másolatát az érintett
rendelkezésére kell bocsátania. Az érintett által kért további másolatokért az Adatkezelő az
adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel.

b.     A helyesbítéshez való jog

– Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá
vonatkozó pontatlan személyes adatokat.
– Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok
– egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését is.

c.     A törléshez való jog („az elfeledtetéshez való jog”)

[A GDPR 17. cikke (3) bekezdése alapján nem alkalmazható abban az esetben, ha az adatkezelés
jogalapját személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog
szerinti kötelezettség teljesítése írja elő, illetve jogi igények előterjesztéséhez, érvényesítéséhez, illetve
védelméhez esetén.]
– Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a
rá vonatkozó személyes adatokat,
– az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan
késedelem nélkül törölje, ha
– a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más
módon kezelték;
– az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs
más jogalapja;
– az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az
adatkezelésre,
– a személyes adatokat jogellenesen kezelték;
– a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi
kötelezettség teljesítéséhez törölni kell;
– a személyes adatok gyűjtésére közvetlenül gyermeknek kínált, információs társadalommal
összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

d.     Az adatkezelés korlátozásához való jog

Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak
valamelyike teljesül:
– az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra
vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok
pontosságát;
– az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok
felhasználásának korlátozását;
– az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett
igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra
vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget
élveznek-e az érintett jogos indokaival szemben.

e. Az adathordozhatósághoz való jog

[A GDPR 20. cikke (1) bekezdése alapján csak hozzájárulásos és szerződéses jogalap alapján
alkalmazható.]
– Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott
személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja,
továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül,
hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére
bocsátotta.
– Az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok
adatkezelők közötti közvetlen továbbítását.
– Ezen jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az
adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat
végrehajtásához szükséges

f.     A tiltakozáshoz való jog

– Az érintett saját helyzetével kapcsolatos okokból bármikor tiltakozhat személyes adatainak
közérdekű célból, vagy a jogos érdek érvényesítésén alapuló kezelése ellen.

g.     Az érintett tájékoztatása az adatvédelmi incidensről

– Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek
jogaira és szabadságaira nézve, az Adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia
kell az érintettet az adatvédelmi incidensről. E tájékoztatásban világosan és közérthetően
ismertetni kell az adatvédelmi incidens jellegét, és közölni kell a GDPR 34. cikk (1)-(2)
bekezdésében foglaltakat.
– Az érintettet nem kell az tájékoztatni, ha GDPR 34. cikk (3) bekezdésében foglalt feltételek
bármelyike teljesül.

h.     Visszavonási jog

– Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás
visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés
jogszerűségét.

i.     Felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)

– Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál. Az a felügyeleti
hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal
kapcsolatos eljárási szabályokról.
Nemzeti Adatvédelmi és Információszabadság Hatóság
székhely (ügyfélszolgálat): 1125 Budapest, Szilágyi Erzsébet fasor 22/C;
postacím: 1530 Budapest Pf. 5;
honlap: http://www.naih.hu;
telefon: (+36 1) 391 1400;
e-mail: ugyfelszolgalat@naih.hu

j.     Bírósághoz fordulás joga

– Az érintett a jogainak megsértése esetén az Adatkezelő ellen bírósághoz fordulhat. A bíróság az
ügyben soron kívül jár el.

 

6.) A JOGÉRVÉNYESÍTÉS MÓDJA, HATÁRIDŐK

Az Adatkezelő köteles:

– Az érintett részére nyújtandó bármely értesítést és tájékoztatást könnyen hozzáférhető és
olvasható formában, lényegre törő, világos és közérthetően megfogalmazott tartalommal
teljesíteni, továbbá
– Az érintett által benyújtott, az őt megillető jogosultságok érvényesítésére irányuló kérelmet
annak benyújtásától számított legrövidebb idő alatt, de legfeljebb huszonöt napon belül elbírálni
és döntéséről az érintettet írásban, vagy ha az érintett a kérelmet elektronikus úton nyújtotta be,
elektronikus úton értesíti. Szükség esetén, figyelembe véve a kérelem összetettségét és a
kérelmek számát, ez a határidő további két hónappal meghosszabbítható.
– Költségeinek megtérítését követelheti az érintettől, ha az érintett Infotv. 15. § (3) bek. a) és b)
pontban foglaltak szerinti ismételt és megalapozatlan kérelmének érvényesítésével
összefüggésben közvetlenül felmerült.

 

7.) ADATFELDOLGOZÓK IGÉNYBEVÉTELE

Az adatfeldolgozó az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely
egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
Az Adatkezelő olyan adatfeldolgozókat vehet igénybe, amelyek megfelelő garanciákat nyújtanak –
különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében – arra vonatkozóan, hogy a
jogszabályokban meghatározott követelmények teljesülését biztosító technikai és szervezési
intézkedéseket végrehajtják, ideértve az adatkezelés biztonságát is.
Az adatkezelés adatfeldolgozó általi elvégzését uniós vagy tagállami jog alapján létrejött szerződés vagy
egyéb jogi aktus szabályozza, amely köti adatfeldolgozót az Adatkezelővel szemben, meghatározza az
adatkezelés tárgyát és időtartamát, az adatkezelés jellegét és céljait, a személyes adatok típusát és az
érintettek kategóriáit, figyelembe véve az adatfeldolgozóra az elvégzendő adatkezelés kapcsán háruló
konkrét feladatokat és felelősségeket, valamint az érintettek jogait és szabadságait érintő kockázatot is.
Az adatkezelésnek az Adatkezelő nevében való elvégzését követően az adatfeldolgozó az Adatkezelő
választása szerint visszaszolgáltatja vagy törli a személyes adatokat, kivéve, ha az adatfeldolgozóra
alkalmazandó uniós vagy tagállami jog előírja azok tárolását.

 

8.) KÖZÖS ADATKEZELÉSEK

Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös
adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött
megállapodásban határozzák meg a kötelezettségeik teljesítéséért fennálló, különösen az érintett
jogainak gyakorlásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve azt az
esetet és annyiban, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk
alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásnak megfelelően tükröznie kell
a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás
lényegét az érintett rendelkezésére kell bocsátani.

 

9.) AZ ADATKEZELÉS IDŐTARTAMA

A személyes adatok tárolása
– uniós, vagy tagállami jogban meghatározott időtartamig, vagy
– személyes adatok kezelése céljainak eléréséhez szükséges ideig, vagy
– a személyes adatok kezeléséhez adott hozzájárulás visszavonásáig, vagy
– a személyes adatok megsemmisüléséig, felismerhetetlenné válásáig, vagy
– irányadó jogszabályokban meghatározott feltétel esetén bekövetkező törlési időpontjáig tart.

 

10.) ADATVÉDELMI INCIDENS

a.     Az adatvédelmi incidens fogalma

Az adatvédelmi incidens az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon
kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, módosítását,
jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

b.     Az adatvédelmi incidensek fajtái
I. „titoksértés”: személyes adatok jogosulatlan vagy véletlen közlése vagy az ilyen adatokhoz való
jogosulatlan vagy véletlen hozzáférés;
II. „sértetlenségi adatsértés”: személyes adatok jogosulatlan vagy véletlen módosítása;
III. „hozzáférhetőségi adatsértés”: a személyes adatokhoz való hozzáférés véletlen vagy
jogosulatlan elvesztése, vagy a személyes adatok véletlen vagy jogosulatlan megsemmisítése. Ezen kör
alá nem tartoznak azon esetek, amikor a személyes adatok tervezett rendszerkarbantartás miatt nem
hozzáférhetőek.

c.     Az adatvédelmi incidensek lehetséges következményei

Hátrányos hatásai lehetnek az egyénekre, ezek a hatások pedig fizikai, vagyoni vagy nem vagyoni
károkhoz vezethetnek. Ilyen kár lehet többek között a személyes adataik feletti rendelkezés elvesztése
vagy a jogaik korlátozása, a hátrányos megkülönböztetés, a személyazonosság-lopás vagy a
személyazonossággal való visszaélés, a pénzügyi veszteség, az álnevesítés engedély nélküli feloldása,
a jó hírnév sérelme, valamint a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas
jellegének sérülése. E körbe tartozik még az egyéneket sújtó egyéb jelentős gazdasági vagy szociális
hátrány is.

d.     Az Adatkezelő felelőssége

– nyilvántartás vezetési kötelezettség
– indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi
incidens a tudomására jutott, bejelenti azt az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi
incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve
– tájékoztatja az érintettet az adatvédelmi incidensről, ha az adatvédelmi incidens valószínűsíthetően
magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, kivéve a GDPR 34, cikk
(3) bekezdése szerinti esetekben
– megfelelő technológiai védelmi és szervezési intézkedéseket tesz meg.

 

11.) BIZTONSÁGI RENDELKEZÉSEK

Az Adatkezelő köteles megfelelő technikai és szervezési intézkedéseket végrehajtani annak biztosítása
és bizonyítása céljából, hogy a személyes adatok kezelése a vonatkozó jogszabályokkal összhangban
történjen. A megfelelő intézkedések körét a tudomány és a technológia állása, a megvalósítás költségei,
az adatkezelés jellege, hatóköre és körülményei, valamint a kapcsolódó kockázatok köre, és az adott
szervezet sajátosságai határozzák meg. Az személyes adatok biztonságának biztosítására vonatkozó
részletes szabályokat az Adatkezelő adatbiztonságra vonatkozó szabályzata, illetve eljárásrendjei
határozzák meg.

 

12.) FELELŐSSÉGI SZABÁLYOK

Az Adatkezelő feladatai, kötelezettségei:
– a személyes adatokat tartalmazó információk bizalmasságának, sértetlenségének és
rendelkezésre állásának megőrzése;
– megfelelő technikai és szervezési intézkedések végrehajtása, amelyek célja egyrészt az
adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az irányadó
szabályozásokban foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges
garanciák beépítése az adatkezelés folyamatába;
– az elszámoltathatóság elvének történő megfelelés,
– adatkezelési tevékenységekről nyilvántartás vezetése
– adatkezelési incidensek bejelentése, nyilvántartásának vezetése
– nyilvántartás vezetése az érintett hozzáférési jogával kapcsolatos intézkedésekről
– adatvédelmi hatásvizsgálat a GDPR 35. cikke alapján
– biztosítani az adatkezeléssel és adatfeldolgozással foglalkozó személyek adatkezelési oktatását;
– adatvédelmi tisztviselőt kijelölni, továbbá biztosítani köteles számára azokat az forrásokat,
amelyek az adatvédelmi tisztviselő feladatai végrehajtásához, a személyes adatokhoz és az adatkezelési
műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek
fenntartásához szükségesek.

 

13.) ADATVÉDELMI TISZTVISELŐ

Az adatvédelmi tisztviselő elősegíti az Adatkezelő – a személyes adatok kezelésére vonatkozó jogi
előírásokban meghatározott – kötelezettségeinek teljesítését, így különösen
– a személyes adatok kezelésére vonatkozó jogi előírásokról naprakész tájékoztatást nyújt és azok
érvényesítésének módjaival kapcsolatban tanácsot ad az adatkezelő, az adatfeldolgozó és az azok által
foglalkoztatott, az adatkezelési műveleteket végző személyek részére;
– folyamatosan figyelemmel kíséri és ellenőrzi a személyes adatok kezelésére vonatkozó jogi
előírások, így különösen a jogszabályok és belső adatvédelmi és adatbiztonsági szabályzatok
érvényesülését, ennek keretei között az egyes adatkezelési műveletekhez kapcsolódó
egyértelmű feladatmeghatározás, az adatkezelési műveletekben közreműködő foglalkoztatottak
adatvédelmi ismereteinek bővítése és tudatosságnövelése, valamint a rendszeres időközönként
lefolytatandó vizsgálatok megvalósulását;
– elősegíti az érintettet megillető jogok gyakorlását, így különösen kivizsgálja az érintettek
panaszait és kezdeményezi az adatkezelőnél, illetve az adatfeldolgozónál a panasz orvoslásához
szükséges intézkedések megtételét,
– szakmai tanácsadással elősegíti és figyelemmel kíséri az adatvédelmi hatásvizsgálat
lefolytatását,
– együttműködik az adatkezelés jogszerűségével kapcsolatos eljárások lefolytatására jogosult
szervekkel és személyekkel, így különösen kapcsolatot tart a Hatósággal az előzetes konzultáció
és a Hatóság által lefolytatott eljárások elősegítése érdekében,
– közreműködik a belső adatvédelmi és adatbiztonsági szabályzat megalkotásában.

Az adatvédelmi tisztviselő jogviszonyának fennállása alatt és annak megszűnését követően is titokként
megőrzi a tevékenységével, annak ellátásával kapcsolatban tudomására jutott személyes adatot,
minősített adatot, illetve törvény által védett titoknak és hivatás gyakorlásához kötött titoknak minősülő
adatot, valamint minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó Adatkezelő nem
köteles törvény előírásai szerint a nyilvánosság számára hozzáférhetővé tenni.

Az adatvédelmi tisztviselő feladatai ellátásával kapcsolatban utasításokat senkitől nem fogadhat el. Az
Adatkezelő az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és
szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az Adatkezelő legfelső vezetésének
tartozik felelősséggel.

Az Adatkezelő adatvédelmi tisztviselője mindenkor elérhető: 1146 Budapest, Bethesda utca 3.,
illetve a dpo@bethesda.hu e-mail címen.

Jelen Adatkezelési Keretszabályzat hatályos a https://www.bethesda.hu/ weboldalon történő
közzétételétől.
Az Adatkezelési Keretszabályzat és a ráépülő kapcsolódó speciális, és/vagy ágazati külön szabályokat
tartalmazó szabályzatok, eljárásrendek hatályba lépésével valamennyi korábbi adatvédelmi rendelkezés
hatályát veszti.