Adatkezelési szabályzat * Adatkezelési keretszabályzat:
A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló 2016. április 27-i (EU) 2016/679. sz. Európai Parlament és a Tanács Rendelet (a továbbiakban: GDPR), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.), alapján a Magyarországi Református Egyház Bethesda Gyermekkórháza, mint Adatkezelő a személyes adatok kezelése körében az alábbi szabályzatot fogadja el.
Az Adatkezelő azonosítása:
Magyarországi Református Egyház Bethesda Gyermekkórháza
1146 Budapest, Bethesda utca 3.
Főigazgató: Dr. Velkey György János
e-mail: bethesda@bethesda.hu
PREAMBULUM
Jelen Adatkezelési Keretszabályzat (a továbbiakban: Keretszabályzat) a személyes adatok kezelésének GDPR, Infotv., a Nemzeti Adatvédelmi és Információszabadság Hatóság által közzétett ajánlások, állásfoglalásokban, továbbá bíróságok, egyéb illetékes szervek által meghatározott általános jellegű szabályokat és elveket tartalmazza. A személyes adatok kezelésének speciális, és/vagy ágazati külön szabályait a Keretszabályzatra épülő egyedi szabályzatok tartalmazzák.
1.) FOGALMAK
„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
„álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
„anonimizálás”: olyan személyes adatok, amelyeket olyan módon tettek azonosításra alkalmatlanná, amelynek következtében az érintett nem vagy többé nem azonosítható.
„nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
„adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
„címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
„harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
„adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését,
megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
„felügyeleti hatóság”: A GDPR 51. cikknek megfelelően létrehozott független közhatalmi szerv, mely Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság.
“törvényes képviselő”: szülői felügyeletet gyakorló mindkét szülő, szülő felügyeletet egyedül gyakorló egyik szülő, gyám, gondnok, közokiratban, vagy teljes bizonyító erejű magánokiratban meghatalmazott személy.
A szülői felügyeleti jog fennállását ellenkező bizonyításig az adatkezelő vélelmezi.
2.) A KERETSZABÁLYZAT HATÁLYA, AZ ÉRINTETTEK KÖRE
Tárgyi hatály
Kiterjed valamennyi azonosított vagy azonosítható természetes személyre vonatkozó bármely információra, beleértve
– a gyógykezelés során a betegellátó tudomására jutott egészségügyi és személyazonosító adatokat tartalmazó feljegyzésre, nyilvántartásra vagy bármilyen módon rögzített adatra, függetlenül annak hordozójától vagy formájától.
– az elhunyt személyes Eüak.-ban meghatározott személyes adatára
– az Adatkezelővel gazdasági kapcsolatban álló szervek, személyek által megismertetett személyes adatra,
– kép-, hangfelvétel útján megismert személyes adatra
– az Adatkezelő tudomására hozott fenti körbe nem tartozó személyes adatokra, azok formájától, hordozójától függetlenül.
Területi hatály
Kiterjed az Adatkezelő székhelyére, valamennyi telephelyére, továbbá az Adatkezelő nevében végzett adatkezelés, illetve adatfeldolgozás esetén az adott adatkezelés, illetve adatfeldolgozás helyére.
Személyi hatály, Érintettek
Kiterjed
• Adatkezelő nevében adatkezelést, illetve adatfeldolgozást végző személyekre;
• Érintettekre (az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható)
• Az Adatkezelő szék-, illetve telephelyén megforduló, továbbá az egészségügyi ellátásban közvetlenül, közvetetten részt vevő valamennyi személyre, látogatóra.
Jelen rendelkezés értelmezése során közeli hozzátartozónak minősül: a házastárs, az egyeneságbeli rokon, az örökbe fogadott, a mostoha- és nevelt gyermek, az örökbe fogadó, a mostoha- és nevelőszülő, valamint a testvér és az élettárs.
Törvényes képviselőnek minősül tehát a 1.) Fogalmak részben meghatározottak szerint: szülői felügyeletet gyakorló mindkét szülő, szülő felügyeletet egyedül gyakorló egyik szülő, gyám, gondnok, közokiratban, vagy teljes bizonyító erejű magánokiratban meghatalmazott személy. A szülői felügyeleti jog fennállását ellenkező bizonyításig az adatkezelő vélelmezi.
3.) AZ ADATKEZELÉS ELVEI
A személyes adatok:
– kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
– gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon („célhoz kötöttség”);
– az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
– pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
– tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; („korlátozott tárolhatóság”);
– kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
4.) AZ ADATKEZELÉS JOGALAPJAI
a. Hozzájárulás
Az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli -ideértve az elektronikus úton tett -, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez.
A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.
Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
Un. szenzitív személyes adatok (a továbbiakban: különleges adatok) esetén, melynek kezelése hozzájáruláson alapul, csak és kizárólag az érintett írásbeli, egyértelműen kifejezett akaratot tartalmazó nyilatkozatát fogadja el hozzájárulásként az Adatkezelő.
A mindennapi élet un. kisebb jelentőségű ügyleteiben, illetve az ügyintézés megkönnyítése és meggyorsítása céljából az Adatkezelő az érintett kifejezett hozzájárulásának értékeli a személyes adatok önként történő megadását. Ilyen pl: telefonszám, e-mail cím megadása kapcsolattartási adatként; vagy a magánhasználatú e-mail címről történő kapcsolatfelvétel.
A gyermek hozzájárulására vonatkozó feltételek:
A közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti törvényes képviseleti jogkört gyakorló személy adta meg, illetve engedélyezte.
b. Szerződés teljesítéséhez szükséges adatkezelés
Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
c. Jogi kötelezettség teljesítéséhez szükséges adatkezelés
Az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges.
Ha az adatkezelésre az Adatkezelőre vonatkozó jogi kötelezettség teljesítése keretében kerül sor, vagy ha az közérdekű feladat végrehajtásához, illetve közhatalmi jogosítvány gyakorlásához szükséges, az adatkezelésnek az uniós jogban vagy valamely tagállam jogában foglalt jogalappal kell rendelkeznie. A hatályos rendelkezések alapján elegendő azonban, ha egyetlen jogszabály szolgál jogalapul több olyan adatkezelési művelethez is, amely az Adatkezelőre vonatkozó jogi kötelezettségen alapul, illetve amelyre közérdekből végzett feladat ellátásához vagy közhatalmi jogosítvány gyakorlásához van szükség.
Különleges adatok esetében az adatkezelés feltétele továbbá az is, hogy az Adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése, konkrét jogai gyakorlása
érdekében legyen szükséges, úgy, hogy ezt az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi.
d. Létfontosságú érdekből történő adatkezelés
A személyes adatok továbbítása jogszerűnek tekintendő, ha olyan érdek védelméhez szükséges, amely az érintett vagy valamely más személy létfontosságú érdekeinek – köztük testi épségének vagy életének – védelme szempontjából bír alapvető fontossággal, és az érintettnek nem áll módjában hozzájárulását megadni.
Más természetes személy létfontosságú érdekeire hivatkozással személyes adatkezelésre csak akkor kerülhet sor, ha a szóban forgó adatkezelés egyéb jogalapon nem végezhető. A személyes adatkezelés néhány típusa szolgálhat egyszerre fontos közérdeket (Lsd. 3. e. pont) és az érintett létfontosságú érdekeit is, például olyan esetben, amikor az adatkezelésre humanitárius okokból, ideértve, ha arra a járványok és terjedéseik nyomon követéséhez, vagy humanitárius vészhelyzetben, különösen természeti vagy ember által okozott katasztrófák esetében van szükség.
e. Közérdekű adatkezelés
Lsd. 3. c. pont alatt is.
A népegészség területén közérdekből szükséges lehet a személyes adatok különleges kategóriáinak az érintett hozzájárulása nélkül történő kezelése. A népegészség fogalmát az alábbiak szerit kell értelmezni: valamennyi, az egészséggel kapcsolatos elem, nevezetesen az egészségi állapot -beleértve a morbiditást és a fogyatékosságot -, az egészségi állapotot meghatározó tényezők, az egészségügyi ellátással kapcsolatos igények, az egészségügyi ellátásra biztosított források, az egészségügyi ellátás nyújtása és az ahhoz való általános hozzáférés, valamint az egészségügyi ellátással kapcsolatos kiadások és finanszírozás, továbbá a halálokok.
Uniós vagy tagállami jogban megállapított fontos közérdek védelmében a személyes adatok továbbítása szükséges. Ilyen fontos közérdek például: adó- és vámhatóságok, pénzügyi felügyeleti hatóságok vagy a társadalombiztosítási ügyekért vagy a népegészségügyért felelős hivatalok közötti nemzetközi adatcsere, a fertőző betegségek felmerülésének esetekor a fertőzöttekkel való érintkezések nyomon követése érdekében szükséges adattovábbítások.
Adatkezelés közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból is lehet szükséges uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.
f. Un. jogos érdek alapján végzett adatkezelés
Az Adatkezelő – ideértve azt az adatkezelőt is, akivel a személyes adatokat közölhetik – vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, figyelembe véve az adatkezelővel való kapcsolata alapján az érintett észszerű elvárásait. Az ilyen jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az Adatkezelő között, például olyan esetekben, amikor az érintett az Adatkezelő alkalmazásában áll. Az Adatkezelő jogos érdekének tekintendő továbbá az is, ha jelzi a lehetséges bűncselekményeket vagy a közbiztonságot fenyegető veszélyeket, és az ugyanazon bűncselekményhez vagy közbiztonságot fenyegető veszélyhez kapcsolódó releváns személyes adatokat egyedi esetekben vagy több különálló esetben továbbítja az illetékes hatóságnak.
Un. jogos érdek alapján végzett adatkezelés valamint, ha az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez legyen szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el.
Az emberi élet, testi épség, személyi szabadság védelme, a veszélyes anyagok őrzése, vagyonvédelem céljából; jogi személyt megillető személyiségi jogok védelmében is adatkezelés valósulhat meg, amennyiben az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez ez szükséges.
Az Adatkezelő szolgáltató tevékenysége során a működéséhez kapcsolódó be-, lejelentések el(ő)készítése érdekében készített összesítések, táblázatok, kivonatok is tartalmazhatnak személyes adatokat, melyek kezelésének jogalapját a jogos érdek adja.
5.) AZ ÉRINTETT JOGAI
a. Az érintett hozzáférési joga
– Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és kapcsolódó információkhoz hozzáférést kapjon.
– Az Adatkezelőnek az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére kell bocsátania. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel.
b. A helyesbítéshez való jog
– Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.
– Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését is.
c. A törléshez való jog („az elfeledtetéshez való jog”)
[A GDPR 17. cikke (3) bekezdése alapján nem alkalmazható abban az esetben, ha az adatkezelés jogalapját személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése írja elő, illetve jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez esetén.]
– Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat,
– az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha
• a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
• az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
• az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
• a személyes adatokat jogellenesen kezelték;
• a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
• a személyes adatok gyűjtésére közvetlenül gyermeknek kínált, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
d. Az adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
• az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
• az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
• az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
• az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
e. Az adathordozhatósághoz való jog
[A GDPR 20. cikke (1) bekezdése alapján csak hozzájárulásos és szerződéses jogalap alapján alkalmazható.]
– Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.
– Az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
– Ezen jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges
f. A tiltakozáshoz való jog
– Az érintett saját helyzetével kapcsolatos okokból bármikor tiltakozhat személyes adatainak közérdekű célból, vagy a jogos érdek érvényesítésén alapuló kezelése ellen.
g. Az érintett tájékoztatása az adatvédelmi incidensről
– Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintettet az adatvédelmi incidensről. E tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell a GDPR 34. cikk (1)-(2) bekezdésében foglaltakat.
– Az érintettet nem kell az tájékoztatni, ha GDPR 34. cikk (3) bekezdésében foglalt feltételek bármelyike teljesül.
h. Visszavonási jog
– Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.
i. Felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)
– Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál. Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási szabályokról.
Nemzeti Adatvédelmi és Információszabadság Hatóság
székhely (ügyfélszolgálat): 1125 Budapest, Szilágyi Erzsébet fasor 22/C;
postacím: 1530 Budapest Pf. 5;
honlap: http://www.naih.hu;
telefon: (+36 1) 391 1400;
e-mail: ugyfelszolgalat@naih.hu
j. Bírósághoz fordulás joga
– Az érintett a jogainak megsértése esetén az Adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el.
6.) A JOGÉRVÉNYESÍTÉS MÓDJA, HATÁRIDŐK
Az Adatkezelő köteles:
• Az érintett részére nyújtandó bármely értesítést és tájékoztatást könnyen hozzáférhető és olvasható formában, lényegre törő, világos és közérthetően megfogalmazott tartalommal teljesíteni, továbbá
• Az érintett által benyújtott, az őt megillető jogosultságok érvényesítésére irányuló kérelmet annak benyújtásától számított legrövidebb idő alatt, de legfeljebb huszonöt napon belül elbírálni és döntéséről az érintettet írásban, vagy ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton értesíti. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható.
• Költségeinek megtérítését követelheti az érintettől, ha az érintett Infotv. 15. § (3) bek. a) és b) pontban foglaltak szerinti ismételt és megalapozatlan kérelmének érvényesítésével összefüggésben közvetlenül felmerült.
7.) ADATFELDOLGOZÓK IGÉNYBEVÉTELE
Az adatfeldolgozó az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
Az Adatkezelő olyan adatfeldolgozókat vehet igénybe, amelyek megfelelő garanciákat nyújtanak – különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében – arra vonatkozóan, hogy a jogszabályokban meghatározott követelmények teljesülését biztosító technikai és szervezési intézkedéseket végrehajtják, ideértve az adatkezelés biztonságát is.
Az adatkezelés adatfeldolgozó általi elvégzését uniós vagy tagállami jog alapján létrejött szerződés vagy egyéb jogi aktus szabályozza, amely köti adatfeldolgozót az Adatkezelővel szemben, meghatározza az adatkezelés tárgyát és időtartamát, az adatkezelés jellegét és céljait, a személyes adatok típusát és az érintettek kategóriáit, figyelembe véve az adatfeldolgozóra az elvégzendő adatkezelés kapcsán háruló konkrét feladatokat és felelősségeket, valamint az érintettek jogait és szabadságait érintő kockázatot is.
Az adatkezelésnek az Adatkezelő nevében való elvégzését követően az adatfeldolgozó az Adatkezelő választása szerint visszaszolgáltatja vagy törli a személyes adatokat, kivéve, ha az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog előírja azok tárolását.
8.) KÖZÖS ADATKEZELÉSEK
Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg a kötelezettségeik teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve azt az esetet és annyiban, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásnak megfelelően tükröznie kell a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás lényegét az érintett rendelkezésére kell bocsátani.
9.) AZ ADATKEZELÉS IDŐTARTAMA
A személyes adatok tárolása
• uniós, vagy tagállami jogban meghatározott időtartamig, vagy
• személyes adatok kezelése céljainak eléréséhez szükséges ideig, vagy
• a személyes adatok kezeléséhez adott hozzájárulás visszavonásáig, vagy
• a személyes adatok megsemmisüléséig, felismerhetetlenné válásáig, vagy
• irányadó jogszabályokban meghatározott feltétel esetén bekövetkező törlési időpontjáig
tart.
10.) ADATVÉDELMI INCIDENS
a. Az adatvédelmi incidens fogalma
Az adatvédelmi incidens az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, módosítását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
b. Az adatvédelmi incidensek fajtái
I. „titoksértés”: személyes adatok jogosulatlan vagy véletlen közlése vagy az ilyen adatokhoz való jogosulatlan vagy véletlen hozzáférés;
II. „sértetlenségi adatsértés”: személyes adatok jogosulatlan vagy véletlen módosítása;
III. „hozzáférhetőségi adatsértés”: a személyes adatokhoz való hozzáférés véletlen vagy jogosulatlan elvesztése, vagy a személyes adatok véletlen vagy jogosulatlan megsemmisítése. Ezen kör alá nem tartoznak azon esetek, amikor a személyes adatok tervezett rendszerkarbantartás miatt nem hozzáférhetőek.
c. Az adatvédelmi incidensek lehetséges következményei
Hátrányos hatásai lehetnek az egyénekre, ezek a hatások pedig fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek. Ilyen kár lehet többek között a személyes adataik feletti rendelkezés elvesztése vagy a jogaik korlátozása, a hátrányos megkülönböztetés, a személyazonosság-lopás vagy a személyazonossággal való visszaélés, a pénzügyi veszteség, az álnevesítés engedély nélküli feloldása, a jó hírnév sérelme, valamint a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése. E körbe tartozik még az egyéneket sújtó egyéb jelentős gazdasági vagy szociális hátrány is.
d. Az Adatkezelő felelőssége
– nyilvántartás vezetési kötelezettség
– indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti azt az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve
– tájékoztatja az érintettet az adatvédelmi incidensről, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, kivéve a GDPR 34, cikk (3) bekezdése szerinti esetekben
– megfelelő technológiai védelmi és szervezési intézkedéseket tesz meg.
11.) BIZTONSÁGI RENDELKEZÉSEK
Az Adatkezelő köteles megfelelő technikai és szervezési intézkedéseket végrehajtani annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a vonatkozó jogszabályokkal összhangban történjen. A megfelelő intézkedések körét a tudomány és a technológia állása, a megvalósítás költségei, az adatkezelés jellege, hatóköre és körülményei, valamint a kapcsolódó kockázatok köre, és az adott szervezet sajátosságai határozzák meg. Az személyes adatok biztonságának biztosítására vonatkozó részletes szabályokat az Adatkezelő adatbiztonságra vonatkozó szabályzata, illetve eljárásrendjei határozzák meg.
12.) FELELŐSSÉGI SZABÁLYOK
Az Adatkezelő feladatai, kötelezettségei:
• a személyes adatokat tartalmazó információk bizalmasságának, sértetlenségének és rendelkezésre állásának megőrzése;
• megfelelő technikai és szervezési intézkedések végrehajtása, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az irányadó szabályozásokban foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába;
• az elszámoltathatóság elvének történő megfelelés,
• adatkezelési tevékenységekről nyilvántartás vezetése
• adatkezelési incidensek bejelentése, nyilvántartásának vezetése
• nyilvántartás vezetése az érintett hozzáférési jogával kapcsolatos intézkedésekről
• adatvédelmi hatásvizsgálat a GDPR 35. cikke alapján
• biztosítani az adatkezeléssel és adatfeldolgozással foglalkozó személyek adatkezelési oktatását;
• adatvédelmi tisztviselőt kijelölni, továbbá biztosítani köteles számára azokat az forrásokat, amelyek az adatvédelmi tisztviselő feladatai végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.
13.) ADATVÉDELMI TISZTVISELŐ
Az adatvédelmi tisztviselő elősegíti az Adatkezelő – a személyes adatok kezelésére vonatkozó jogi előírásokban meghatározott – kötelezettségeinek teljesítését, így különösen
– a személyes adatok kezelésére vonatkozó jogi előírásokról naprakész tájékoztatást nyújt és azok érvényesítésének módjaival kapcsolatban tanácsot ad az adatkezelő, az adatfeldolgozó és az azok által foglalkoztatott, az adatkezelési műveleteket végző személyek részére;
– folyamatosan figyelemmel kíséri és ellenőrzi a személyes adatok kezelésére vonatkozó jogi előírások, így különösen a jogszabályok és belső adatvédelmi és adatbiztonsági szabályzatok érvényesülését, ennek keretei között az egyes adatkezelési műveletekhez kapcsolódó egyértelmű feladatmeghatározás, az adatkezelési műveletekben közreműködő foglalkoztatottak adatvédelmi ismereteinek bővítése és tudatosságnövelése, valamint a rendszeres időközönként lefolytatandó vizsgálatok megvalósulását;
– elősegíti az érintettet megillető jogok gyakorlását, így különösen kivizsgálja az érintettek panaszait és kezdeményezi az adatkezelőnél, illetve az adatfeldolgozónál a panasz orvoslásához szükséges intézkedések megtételét,
– szakmai tanácsadással elősegíti és figyelemmel kíséri az adatvédelmi hatásvizsgálat lefolytatását,
– együttműködik az adatkezelés jogszerűségével kapcsolatos eljárások lefolytatására jogosult szervekkel és személyekkel, így különösen kapcsolatot tart a Hatósággal az előzetes konzultáció és a Hatóság által lefolytatott eljárások elősegítése érdekében,
– közreműködik a belső adatvédelmi és adatbiztonsági szabályzat megalkotásában.
Az adatvédelmi tisztviselő jogviszonyának fennállása alatt és annak megszűnését követően is titokként megőrzi a tevékenységével, annak ellátásával kapcsolatban tudomására jutott személyes adatot, minősített adatot, illetve törvény által védett titoknak és hivatás gyakorlásához kötött titoknak minősülő adatot, valamint minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó Adatkezelő nem köteles törvény előírásai szerint a nyilvánosság számára hozzáférhetővé tenni.
Az adatvédelmi tisztviselő feladatai ellátásával kapcsolatban utasításokat senkitől nem fogadhat el. Az Adatkezelő az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az Adatkezelő legfelső vezetésének tartozik felelősséggel.
Az Adatkezelő adatvédelmi tisztviselője: Dr. Gyarmati-Henzsel Annamária
Az Adatkezelő adatvédelmi tisztviselője mindenkor elérhető: 1146 Budapest, Bethesda utca 3., illetve a dpo@bethesda.hu e-mail címen.
Jelen Adatkezelési Keretszabályzat hatályos a https://www.bethesda.hu/ weboldalon történő közzétételétől.
Az Adatkezelési Keretszabályzat és a ráépülő kapcsolódó speciális, és/vagy ágazati külön szabályokat tartalmazó szabályzatok, eljárásrendek hatályba lépésével valamennyi korábbi adatvédelmi rendelkezés hatályát veszti.