Anka Bt- Endopetz,dr Rácz István magánrendelése

9021 Győr, Árpád út 41 (gazdasági társaság elnevezése és székhelye)

Adatvédelmi és adatbiztonsági szabályzata

 

 

I. A szabályzat célja

 

1. § (1) Jelen szabályzat célja, hogy az Anka Bt- Endopetz,dr Rácz István magánrendelése

(továbbiakban: Szervezet) kifejtett adatvédelmi garanciák által biztosítsa az adatkezelő által végzett adatkezelések átláthatóságát, jogszerűségét, és biztosítsa az adatkezelésben érintett személyek személyes adatok védelméhez való jogát, és ezen keresztül magánszférájukhoz való jogukat.

(2) A jelen szabályzat kiemelten figyelembe veszi, hogy a Szervezet tagjainak különleges személyes adatait kezeli, melyek szükségesek a Szervezet céljainak megvalósítása céljából, azonban az érintett személyek magánszférájához, egészségügyi állapotuk területéhez tartoznak. Ezen adatok bár a Szervezeten belül viszonylag szélesebb körben ismertek, azonban jogosulatlan személyek azzal az érintett életét jelentősen befolyásolva visszaélhetnek. Ennek elkerülése jelen szabályzat kiemelt célja.

 

II. Jelen szabályzat kapcsolata már jogi normákkal

 

2. § Jelen szabályzat alkalmazása során elsődleges jogforrás a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2012. évi CXII. törvény.

 

III. Az érintettek köre, az adatkezelés céljai, és a célok szerint kezelt személyes adatok köre és formái

 

3. § A Szervezet által folytatott adatkezelésben érintett személyek: a Szervezet tagjai, a Szervezet tagjai közül választott tisztségviselői, valamint a Szervezet által foglalkoztatottak.

 

4. § A Szervezet által folytatott adatkezelések célja az általa kezelt beteg egészségügyi ellátásának biztosítása. Az adatkezelések a következő konkrét adatkezelési célok mentén különülnek el egymástól:

  1. a) a Szervezet tagjainak nyilvántartása,
  2. b) a Szervezet tisztviselőinek nyilvántartása,
  3. c) a Szervezet egészségügyi tevékenységével kapcsolatos iratkezelés,
  4. d) a Szervezet gazdasági és adminisztrációs működtetésével kapcsolatos adatkezelések. 

 

5. § (1) A személyes adatok köre az 5. § a) pont esetében: név, anyja neve, lakcím, telefonszám, e-mail elérhetőség.

(2) A személyes adatok köre az 5. § b) pont esetében: név, anyja neve, lakcím, telefonszám, e-mail elérhetőség.

(3) A személyes adatok köre az 5. § c) pont esetében: név, anyja neve, lakcím, telefonszám, e-mail elérhetőség, egészségügyi dokumentációban rögzített adatok nyilvántartása.

(4) A személyes adatok köre az 5. § d) pont esetében: név, anyja neve, adóazonosító, tb szám, lakcím, telefonszám, e-mail elérhetőség.

 

6. § A Szervezet által vezetett nyilvántartások köre és formái:

  1. a) orvosi dokumentáció
  2. b) munkaügyi nyilvántartás,
  3. c) adminisztrációs ügyek nyilvántartása.

 

IV. A kezelt adatok jellege, az adattovábbításra vonatkozó korlátozások

 

7. § A Szervezet által kezelt, a jelen szabályzat 4. § a)-d) pontban meghatározott, természetes személlyel kapcsolatos adatok az Adatvédelmi Rendelet értelmében különleges személyes adatok kategóriájába tartoznak. Az ilyen adatok kezelése, gyűjtése és nyilvántartása során fokozott figyelemmel kell lenni az adatok szenzitív jellegére, és kiemelten be kell tartani a jelen szabályzatban rögzített, adatbiztonságra vonatkozó szabályokat.

 

8. § (1) A jelen szabályzat 4. § a)-d) pontjában meghatározott személyes adatok kezelésének jogalapjai a következők:

a) az érintett kifejezett hozzájárulása személyes adatai kezeléséhez

b) az adatkezelés a Szervezet jogszerű tevékenysége keretében, a rá vonatkozó hatályos állami törvényi rendelkezések szerint meghatározott célból történnek.

(2) Amennyiben az adatkezelés jogalapja (1) bekezdés a) pontjában foglalt hozzájárulás, azt úgy kell megkérni, hogy annak megtörténte utóbb igazolható legyen.

 

9. § (1) A jelen szabályzat 4. § a)-d) pontjában meghatározott célból kezelt személyes adatok a Szervezet szervezetén kívüli személynek csak akkor továbbítható, ha ahhoz az érintett személy kifejezett, írásbeli hozzájárulását adta, vagy ha azt törvény elrendeli és az adatkezelés célja azt indokolja, illetőleg az más, nem személyes adatok kezelésével nem valósítható meg.

(2) Az adattovábbításokat elsődlegesen az érintett személyen keresztül kell megvalósítani, vagyis az adatokat, az azokat tartalmazó dokumentumot, elektronikus küldeményt az érintett számára kell továbbítani, aki az adatokat igénylő személy felé a tényleges adatátadást megteszi. E szabálytól csak konkrét törvényi rendelkezés esetében, vagy olyan adattovábbításokkor lehet eltekinteni.

(3) A Szervezet tisztviselőinek adatait munkaügyi és adóügyi célból a törvényben adatkezelésre felhatalmazott állami szervezetek részére, a törvényben rögzített adatkör elejéig továbbítani kell.

 

10. § Amennyiben a Szervezet harmadik személy részére személyes adatokat ad át, a nyilvántartást olyan formában kell vezetnie, hogy az érintett erről utóbb tájékoztatást kérhessen (adattovábbítási nyilvántartás). Az adatkezelést úgy kell megszervezni, hogy a tájékoztatást legalább …1…. évig meg kell tudni adni az érintett részére.

 

V. Az adatkezelő személye, felelőssége

 

11. § (1) A szervezet által végzett személyes adatok kezeléséért a Szervezet vezető tisztségviselője, az ügyvezető a felelős. A konkrét személyes adatok kezelésével kapcsolatos eljárási rendet és az adatkezelésben részt vevő tisztviselők kötelezettségeit a Szervezeten belül meghatározott iratkezelési rend szerint kell rögzíteni.

(2) A Szervezet valamennyi tisztségviselőjének, illetőleg az adatokhoz jogszerűen hozzáférő tagjának kötelessége, hogy az általa megismert, kezelt adatokhoz arra fel nem hatalmazott személy ne férhessen hozzá.

 

12. § A Szervezet ügyvezetőjének címe, elérhetősége: 9021 Győr, Árpád út 41

email: anka.bt@ t-online.hu

 

13. § Amennyiben a Szervezet tevékenysége során, a személyes adatok kezelésével kapcsolatosan olyan jogkérdés merül fel, melyet a jogszabály és jelen dokumentum nem szabályoz, az ügyvezető a jogkérdésben konzultációt kezdeményezhet harmadik személyekkel, így a Nemzeti Adatvédelmi és Információszabadság Hatósággal.

 

14. § Amennyiben a Szervezet új adatkezelési technológiát, eljárási rendet vezet be, adatvédelmi hatásvizsgálatot szükséges végezni annak vizsgálata céljából, hogy az újítás megfelelően biztosítja-e az adatkezelésben érintett személyek jogainak védelmét.

 

VI. Az érintettek jogai

 

15. § A Szervezet által kezelt adatok elsődleges forrása az érintett személy. Harmadik személytől csak akkor kérhető adat,

  1. a) ha azt törvény lehetővé teszi,
  2. b) az érintett ahhoz kifejezetten hozzájárult, illetőleg
  3. c) ha az adatkezelésben érintett személy 16. életévét még nem töltötte be és az adatkezeléshez a törvényes képviselő adja a hozzájárulást.

 

16. § (1) Az adatkezelésben érintett személyek saját adataikról tájékoztatást kérhetnek. A tájékoztatást indokolatlan késedelem nélkül, de legfeljebb egy hónapon belül kell az érintett részére megadni. A tájékoztatást az érintett számára az általa kért formában – szóban, írásban, a kezelt adatokról készült másolat útján, vagy elektronikusan kell megtenni. A tájékoztatás megadása ingyenes.

(2) Az érintett személy jogosult arra, hogy a következő információkról tájékoztatást kapjon a Szervezet ügyvezetésétől:

  1. a) az adatkezelés céljáról,
  2. b) amennyiben lehetséges, a személyes adatok tárolásának időpontjáról,
  3. c) a helyesbítés és amennyiben lehetséges a személyes adatok törlésének lehetőségéről és formájáról,
  4. d) amennyiben adatfeldolgozót vettek igénybe, annak személyéről,
  5. e) ha a személyes adatait továbbították, mely személyek részére történt és milyen jogalappal,
  6. f) ha adatvédelmi incidens történt, annak körülményeiről, hatásáról, az elhárításra tett intézkedésekről,
  7. g) arról, hogy esetleges panaszával mely hatósághoz nyújthat be panaszt, illetőleg
  8. h) amennyiben az adatokat nem az érintettől gyűjtötték, az adatok forrásáról minden elérhető információról.

(3) Az (2) bekezdés e) pontjában foglalt panasszal az érintett döntésétől függően fordulhat:

  1. a) a Szervezet ügyvezetőjéhez,
  2. b) a Nemzeti Adatvédelmi és Információszabadság Hatósághoz, valamint
  3. c) az érintett lakóhelye szerint illetékes törvényszékhez.

 

17. § Ha az érintett észleli, hogy a kezelt személyes adata hibás, helyesbítését kérheti a Szervezet ügyvezetésétől. Az érintett kérését, amennyiben az szükséges, indokolatlan késedelem nélkül át kell vezetni. A kérés elbírálásáig a személyes adatok kezelését korlátozni kell.

 

18. § (1) Amennyiben az érintett úgy látja, hogy a személyes adatok kezelése jogellenes, kérheti személyes adatainak törlését.

(2) Amennyiben az érintett személyes adatainak kezelése kizárólag a hozzájárulásán alapszik, és az adatok törlése a Szervezet egészségügyi feladatainak ellátását nem korlátozza, kérheti személyes adatainak törlését.

(3) Törlés helyett zárolni kell azokat a személyes adatokat, amelyek kezelésének megszűntetése az érintett személy személyiségi jogait sértik.

 

19. § Amennyiben a személyes adatok kezelését korlátozni kell, azokat felhasználni csak az érintett személy hozzájárulásával lehet.

 

VII. Adatbiztonságra vonatkozó szabályok

 

20. § (1) A Szervezetnek az általa kezelt személyes adatokat, azok szenzitív jellegére tekintettel megfelelő technikai és szervezési intézkedések érvényesítésével kell védelemben részesíteni.

(2) A technikai intézkedések során a következő követelményeket kell érvényesíteni:

  1. a) biztosítani kell, hogy az adatok – papír alapú, vagy digitális – hordozója megfelelő védelemben részesüljön. Így papír alapú nyilvántartás esetén, a papírokat elzárt helyiségben, zárható szekrényben kell elhelyezni. Digitális nyilvántartás esetén a számítógépet megfelelő jelszóval kell ellátni, és amennyiben lehetséges, a számítógépet nem lehet összekötni az internettel. 
  2. b) Fokozottan kell felügyelni, hogy a kezelt adatok ne vesszenek el, vagy jogellenesen ne módosuljanak.
  3. c) Kiemelten biztosítani kell, hogy a kezelt személyes adatok ne kerülhessenek arra fel nem jogosított személy(ek) birtokába.
  4. d) Biztosítani kell, hogy amennyiben az eredeti adathordozó megsérül, az adatok eredeti tartalmukban rekonstruálhatóak legyenek. Így digitális nyilvántartás esetén a nyilvántartásról heti vagy havi rendszerességgel kell másolatot készíteni.

(3) Szervezési intézkedéseken keresztül biztosítani kell, hogy az adatokhoz a Szervezet tisztviselői és dolgozói közül is csak az arra jogosult személy férhessen hozzá.

 

21. § Amennyiben külső személy kér személyes adatot a Szervezet, akkor a jelen szabályzat 9. §-át kell alkalmazni. Ha az adatokat közvetlenül az azokat igénylő személynek továbbítanák, előtte meg kell győződni arról, hogy az adatok kezelésére valóban jogosult. Így az adatigénylését írásban kell megkérni, és abban az adatigénylés célját és jogalapját közérthető formában ki kell fejtenie. Ezt a követelményt állami szervek esetén is fokozottan érvényesíteni kell. Amennyiben kétség merülne fel az adatigénylés jogszerűségéről, azt meg kell tagadni.

 

22. § (1) Amennyiben az adatbiztonsági követelmények sérelmével a kezelt személyes adatok sérültek, megsemmisültek, elvesztek, megváltoztak, vagy jogosulatlan személy ahhoz hozzáfért, adatvédelmi incidens történt.

(2) Ha az adatvédelmi incidens nem jelent magas kockázatot az érintett jogaira nézve, a megtörtént eseményt nyilván kell tartania. Ennek keretében rögzíteni kell a keletkezett eseményt, és a megtett intézkedéseket.

(3) Amennyiben az adatvédelmi incidens magas kockázattal járt az érintett személy jogaira nézve, annak tudomására jutásától számított 72 órán belül be kell jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatósághoz. A bejelentés tartalmi követelményeit az Adatvédelmi rendelet 33. cikke és a nemzeti jogszabályok rendezik.

 

XII. Záró rendelkezések

 

23. § Jelen szabályzat az elfogadásának napján lép hatályba. A szabályzat a helyben szokásos módon kerül közzétételre.

 

Budapest, 2018. május 25. 

 

Az adatvédelmi és biztonsági szabályzatunkat PDF-ben is letöltheti, ide kattintva.