PREAMBULUM

Alulírott dr. Csákány Tibor mint a SummaHosp Szolgáltató és Tanácsadó Kft. törvényes képviselője az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (a továbbiakban: általános adatvédelmi rendelet vagy GDPR) 24. cikk (2) bekezdésére, valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 25/A. § (3) bekezdésére tekintettel az alábbi szabályzatot adom ki.

1. Általános rész

1.1. A szabályzat célja

E szabályzat célja, hogy biztosítsa a személyes adatok védelméhez fűződő információs önrendelkezési jog érvényesülését, továbbá, hogy meghatározza a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági szabályokat.

1.2. A szabályzat hatálya

1.2.1 A szabályzat hatálya kiterjed a SummaHosp Szolgáltató és Tanácsadó Kft.-re, mint jogi személyiségű gazdasági társaságra (továbbiakban: Társaság), valamint kiterjed mindazokra, akik a Társaság birtokába jutott személyes adatot kezelnek függetlenül attól, hogy munkaviszonyban, illetve munkavégzésre irányuló egyéb jogviszonyban állnak a Társasággal, továbbá minden, a Társasággal kapcsolatba került vagy kerülő, illetve annak megbízásából adatot kezelő vagy azt feldolgozó személyre, szervezetre. Ahol a jelen szabályzat adatkezelőt említ de a Társaság adatfeldolgozóként közreműködik, ott értelemszerűen adatfeldolgozót kell érteni.

1.2.2. A szabályzat tárgyi hatálya a Társaságnál kezelt, valamennyi személyes adatra terjed ki.

2. Értelmező rendelkezések

E szabályzat alkalmazásában:
• személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy aki közvetlen vagy közvetett módon, különösen valamely azonosító, pl. név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
• különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi, azonosító biometrikus adatai, az egészségügyi adatok, és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok;
• genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az adott természetes személyből vett biológiai minta elemzéséből ered;
• biometrikus adat: egy természetes személy fizikai, fiziológiai vagy viselkedési jellemzőire vonatkozó olyan, sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, mint pl. az arckép vagy a daktiloszkópiai adat;
• egészségügyi adat: egy természetes személy – testi vagy szellemi – egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
• érintett: bármely információ alapján azonosított vagy azonosítható természetes személy;
• adatkezelő: az a természetes vagy jogi személy, ill. jogi személyiséggel nem rendelkező szervezet, aki vagy amely törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – önállóan vagy másokkal együtt az adatkezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja vagy az Adatfeldolgozóval végrehajttatja;
• adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS minta, íriszkép) rögzítése;
• adatfeldolgozó: az a természetes vagy jogi személy, ill. jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel – az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel;
• adatfeldolgozás: az Adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;
• az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
• adatkezeléssel megbízott személy: az egészségügyi szolgáltató azon foglalkoztatottja, akinek a munkaköri leírása szerint feladatainak ellátásához elengedhetetlenül szükséges egészségügyi és személyes adat megismerése;
• adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
• adatbiztonság: az adatok jogosultalan megismerése, megszerzése, továbbítása, módosulása és megsemmisülése elleni, illetve hitelességük, integritásuk, bizalmasságuk és rendelkezésre állásuk biztosítása érdekében tett intézkedések, műszaki és szervezési megoldások összessége;
• adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése;
• adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
• adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosultalan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
• álnevesítés: személyes adat olyan módon történő kezelése, amely – a személyes adattól elkülönítve tárolt – további információ felhasználása nélkül megállapíthatatlanná teszi, hogy a személyes adat mely érintettre vonatkozik, valamint műszaki és szervezési intézkedések megtételével biztosítja, hogy azt azonosított vagy azonosítható természetes személyhez ne lehessen kapcsolni;
• egészségügyi dokumentáció: a gyógykezelés során a betegellátó tudomására jutott egészségügyi és személyazonosító adatokat tartalmazó feljegyzés, nyilvántartás vagy bármely más módon rögzített adat, függetlenül annak hordozójától vagy formájától;
• orvosi titok: a gyógykezelés során az adatkezelő tudomására jutott egészségügyi és személyazonosító adat, továbbá a szükséges vagy folyamatban lévő, ill. befejezett gyógykezelésre vonatkozó, valamint a gyógykezeléssel kapcsolatban megismert egyéb adat;
• betegellátó: a kezelést végző orvos, az egészségügyi szakdolgozó, az érintett gyógykezelésével kapcsolatos tevékenységet végző egyéb személy, a gyógyszerész;
• Felügyeleti Hatóság: a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH);
• harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
• harmadik ország: minden olyan állam, amely nem EGT-állam;
• hozzájárulás: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
• közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret – függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől – így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenysége, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;
• közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli;
• nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;
• személyazonosító adat: a családi és utónév, születési név, a nem, a születési hely és idő, az anya születési családi és utóneve, a lakóhely, a tartózkodási hely, a társadalombiztosítási azonosító jel együttesen vagy ezek közül bármelyik, amennyiben alkalmas vagy alkalmas lehet az érintett azonosítására;

3. Az adatkezelés alapelvei, jogalapja és célja

3.1. Az adatkezelés alapelvei

3.1.1. Az adatkezelés elvei iránymutatásként szolgálnak a Társaság adatkezelése során annak érdekében, hogy a személyes adatok kezelése a jogszabályi előírásoknak maradéktalanul megfeleljen.

3.1.2. A Társaság a) a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi („jogszerűség, tisztességes eljárás és átláthatóság”); b) csak meghatározott, egyértelmű és jogszerű célból gyújt személyes adatokat, és nem kezeli azokat ezekkel a célokkal össze nem egyeztethető módon („célhoz kötöttség”); c) biztosítja, hogy a kezelésében lévő személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak legyenek, és az adatkezelés a szükségesre korlátozódjon („adattakarékosság”);
d) biztosítja a kezelésében lévő személyes adatok pontosságát és szükség esetén naprakészségét; és intézkedik annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatok haladéktalanul törlésre vagy helyesbítésre kerüljenek („pontosság”);
e) kezelésében lévő személyes adatok tárolása olyan formában történik, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az általános adatvédelmi rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedése végrehajtására is figyelemmel („korlátozott tárolhatóság”);
f) kezelésében lévő személyes adatok kezelését oly módon végzi, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).

3.1.3. Az adatkezelő felelős a 3.1.2. pontban foglaltaknak való megfelelésért, továbbá e megfelelés szükségképpeni igazolására képes („elszámoltathatóság”).

3.2. Az adatkezelés jogalapja

3.2.1. Személyes adat akkor kezelhető, ha
a) az érintett hozzájárulását adta a személyes adat egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére/jóváhagyása mellett történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

3.2.2. a személyes adatok különleges kategóriájába tartozó adat akkor kezelhető, ha
a) az érintett kifejezett hozzájárulását adta az egészségügyi adat egy vagy több konkrét célból történő kezeléséhez, amennyiben az uniós vagy tagállami jog eltérően nem rendelkezik;
b) az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;
c) az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megtagadni;
d) az adatkezelés olyan adatra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
e) az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;
f) az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
g) az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózisa felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá szakmai feltételek és titoktartási kötelezettség mellett;
h) az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;
i) közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.

3.3. Az adatkezelés célja

3.3.1. A Társaság egészségügyi és személyazonosító adatot – törvényben meghatározott esetekben – az alábbi célból kezel:
a) orvos-szakmai és epidemiológiai vizsgálat, elemzés, az egészségügyi ellátás tervezése, szervezése, költségek tervezése;
b) betegút-szervezés;
c) statisztikai vizsgálat;
d) hatásvizsgálati célú anonimizálás és tudományos kutatás;
e) az egészségügyi adatot kezelő szerv vagy személy hatósági vagy törvényességi ellenőrzését, szakmai vagy törvényességi felügyeletét végző szervezetek munkájának elősegítése, ha az ellenőrzés célja más módon nem érhető el, valamint az egészségügyi ellátásokat finanszírozó szervezetek feladatainak ellátása;
f) az egészségügyi ellátásokra jogosultak részére a kötelező egészségbiztosítás terhére igénybe vehető szolgáltatások rendelésének és nyújtásának, valamint a gazdaságos gyógyszer-, gyógyászati segédeszköz- és gyógyászati ellátás rendelési szabályai betartásának a vizsgálata, továbbá a külön jogszabály szerinti szerződés alapján a jogosultak részére nyújtott ellátások finanszírozása, illetve az ártámogatás elszámolása;
g) közigazgatási hatósági eljárás;
h) az egészségügyi ellátásokra jogosultak részére vényen rendelt gyógyszer, gyógyászati segédeszköz és gyógyászati ellátás folyamatos és biztonságos kiszolgáltatása, illetve nyújtása érdekében;
i) az egészségügyi ellátásokra jogosult részére a hatásos és biztonságos gyógyszerelés elősegítése, valamint a költséghatékony gyógyszeres terápia kialakítása érdekében.

3.3.2. A 3.3.1. pontban meghatározott céloktól eltérő célra is lehet az érintett, illetve törvényes vagy meghatalmazott képviselője megfelelő tájékoztatáson alapuló írásbeli hozzájárulásával egészségügyi és személyazonosító adatot kezelni.

3.3.3. A 3.3.1. és a 3.3.2. pontok szerinti adatkezelési célból csak annyi és olyan egészségügyi, illetve személyazonosító adat kezelhető, amely az adatkezelési cél megvalósításához elengedhetetlenül szükséges.

4. Adatkezelés és adattovábbítás

4.1. Az adatkezeléssel megbízott személy:
a) kezeli és megőrzi a munkaköréhez, feladatellátásához tartozó adatokat;
b) gondoskodik arról, hogy az általa vezetett nyilvántartások adataihoz illetéktelen személy ne férhessen hozzá, ügyel a nyilvántartások biztonságos kezelésére és tárolására;
c) betartja a személyes adatok kezelésére vonatkozó jogszabályi rendelkezéseket, belső utasításokat és előírásokat.

4.2. A személyes adatkezeléssel megbízott személy a vonatkozó szabályok szerint köteles megtagadni minden olyan utasítás végrehajtását, amely ellentétes az adatkezelésre, adatvédelemre vonatkozó jogszabályokkal vagy a Társaság belső szabályozó eszközeivel.

4.3. Az egészségbiztosítási szerv által kezelt személyes adatok csak jogszabályban meghatározott esetekben és módon, azaz vagy az érintett hozzájárulásával, vagy jogszabály felhatalmazásával, (amennyiben az adatkezelés feltételei minden egyes adatra nézve teljesülnek) továbbíthatók, vagy kapcsolhatók össze más, külső nyilvántartással. Ezek a feltételek szükségesek a személyes adatok helyesbítése és törlése esetén is, amennyiben azt nem maga az érintett kéri.

4.4. A jogszabályi előíráson alapuló adatszolgáltatási kötelezettségen kívül adattovábbítás kizárólag írásbeli megkeresés alapján történhet.

4.5. Az adattovábbítás írásban vagy elektronikus úton történhet. Abban az esetben, ha az adattovábbítás elektronikus adatfeldolgozással hatékonyabban teljesíthető, akkor is biztosítani kell, hogy az adatkérésben érintett személyre vonatkozóan mind az adatkérés, mind pedig a megtett intézkedések visszakereshetők legyenek (dokumentálás).

4.6. Az adattovábbításokról az általános adatvédelmi rendeletben foglalt érintetti jogok gyakorlásához szükséges tartalommal szükséges nyilvántartást vezetni annak érdekében, hogy megállapítható legyen milyen adat, kinek, milyen jogalapra hivatkozással, mely időpontban került továbbításra vagy kiszolgáltatásra (pl. megkeresés, stb.).

4.7. A személyes adatok harmadik országba vagy nemzetközi szervezetek részére történő továbbítása.

4.8.1. Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására akkor kerülhet sor, ha az Európai Bizottság megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít (megfelelőségi határozat). Az ilyen adattovábbításhoz nem szükséges külön engedély.

4.8.2. Amennyiben az 4.8.1. pontban foglaltak nem teljesülnek, csak abban az esetben továbbítható személyes adat harmadik országba vagy nemzetközi szervezet részére, ha az adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújtott, és csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.

4.8.3. A felügyeleti hatóság külön engedélye nélkül az 4.8.2. pont szerinti megfelelő garanciákat az alábbiak jelenthetik:
a) közhatalmi vagy egyéb, közfeladatot ellátó szervek közötti, jogilag kötelező erejű, kikényszeríthető jogi eszköz;
b) az általános adatvédelmi rendelet szerinti, illetékes felügyeleti hatóság által jóváhagyott kötelező erejű vállalati szabályok;
c) az Európai Bizottság által elfogadott általános adatvédelmi kikötések;
d) a felügyeleti hatóság által elfogadott és az Európai Bizottság által jóváhagyott általános adatvédelmi kikötések;
e) az általános adatvédelmi rendeletben meghatározottak szerinti, jóváhagyott magatartási kódex a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő – ideértve az érintettek jogaira vonatkozó- garanciákat vagy
f) az általános adatvédelmi rendelet szerinti, jóváhagyott tanúsítási mechanizmus a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő garanciákat, ideértve az érintettek jogait illetően is.

4.8.4. Az illetékes felügyeleti hatóság engedélyével az 4.8.3. pontja szerinti megfelelő garanciákként különösen az alábbiak is szolgálhatnak:
a) az adatkezelő vagy adatfeldolgozó és a harmadik országbeli vagy a nemzetközi szervezeten belüli adatkezelő, adatfeldolgozó vagy a személyes adatok címzettje között létrejött szerződéses rendelkezések; vagy
b) közhatalmi vagy egyéb, közfeladatot ellátó szervek között létrejött, közigazgatási megállapodásba beillesztendő rendelkezések, köztük az érintettek érvényesíthető és tényleges jogaira vonatkozó rendelkezések.

4.8.5. A megfelelőségi határozat, illetve a fent leírt megfelelő garanciák hiányában a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására vagy többszöri továbbítására csak az alábbi feltételek legalább egyikének teljesülése esetén kerülhet sor;
a) az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról;
b) az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;
c) az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;
d) az adattovábbítás fontos közérdekből szükséges;
e) az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
f) az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;
g) a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető, de csak ha az uniós vagy tagállami jog által a betekintésre megállapított feltételek az adott különleges esetben teljesülnek.

4.8.6. Ha az adattovábbítás nem alapulhat megfelelőségi határozaton, illetve a megfelelő garanciák sem biztosítottak, továbbá az 4.8.5. pontban foglaltak sem alkalmazhatóak, harmadik országok és nemzetközi szervezetek részére történő adattovábbítás csak akkor történhet, ha az adattovábbítás nem ismétlődő, csak korlátozott számú érintettre vonatkozik, az adatkezelő olyan kényszerítő erejű jogos érdekében szükséges, amely érdekhez képest nem élveznek elsőbbséget az érintett érdekei, jogai és szabadságai, és az adatkezelő az adattovábbítás minden körülményét megvizsgálta, és e vizsgálat alapján megfelelő garanciákat nyújtott a személyes adatok védelme tekintetében. Az adatkezelőnek tájékoztatnia kell mind a felügyeleti hatóságot, mind az érintettet az adattovábbításról, valamint az adatkezelő kényszerítő erejű jogos érdekéről.

5. Adat XXXXXX

5.1. Az adatkezelő az érintett részére a személyes adatok kezelésére vonatkozó valamennyi információt és minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtja. az adatkezelő elősegíti az érintett jogainak a gyakorlását.

5.2.1. Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet kérelmével összefüggésben hozott intézkedéseiről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelem számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

5.2.2. Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be a felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

5.2.3. Az adatkezelő az érintett részére a személyes adatok kezelésére vonatkozó valamennyi információt és tájékoztatást valamint intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt - túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:
a) ésszerű összegű díjat számíthat fel, vagy
b) megtagadhatja a kérelem alapján történő intézkedést.

5.3.1. Az érintett jogosult arra, hogy az adatkezelőtől tájékoztatást kapjon arra vonatkozóan, hogy személyes adatinak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen
f) a felügyeleti hatósághoz címzett panasz benyújtásának joga;
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az estekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár;
i) adatvédelmi tisztviselő elérhetőségei;
j) személyes adatok tervezett kezelésének célja, az adatkezelés jogalapja.

5.3.1.2. Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az adatkezelő az információkat széles körben használt elektronikus formátumban bocsátja rendelkezésére, kivéve, ha az érintett ezt másként kéri.

5.3.2. Az érintett kérheti a rá vonatkozó pontatlan személyes adatok helyesbítését. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

5.3.2.1. Az adatok helyesbítésére irányuló kérelemben meg kell jelölni a helyesbíteni kért adatot, a helyesbítés indokát és csatolni kell az ezt alátámasztó dokumentumokat.

5.3.3. Az érintett kérésére az adatkezelő az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törli, ha az alábbi indokok valamelyike fennáll: a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték; b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja; c) az érintett jogos érdeken, vagy közhatalmi érdeken alapuló adatkezelés során tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre; d) a személyes adatokat jogellenesen kezelték; e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell; f) a személyes adatok gyűjtésére 16 évet be nem töltött gyermektől, szülői felügyeleti jogot gyakorló hozzájárulása nélkül, az információs társadalommal összefüggő szolgáltatás kínálásával kapcsolatosan került sor.

5.3.3.1. Az érintett kérésére sem törölhetők az adatok, ha az adatkezelés szükséges:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából; b) a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából; c) egészségügyi vagy munkahelyi egészségügyi célból, valamint népegészségügy területét érintő közérdek alapján; d) a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az érintett törléséhez való joga valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

5.3.3.2. Az adatok helyesbítésére, illetve törlésére irányuló kérelmet, továbbá az adatok hivatalból történő helyesbítésére, törlésére irányuló javaslatot az adatvédelemért felelős tisztviselő megvizsgálja. Amennyiben a kérelem, javaslat megalapozott, úgy az adatkezelő elvégzi az adat helyesbítését, törlését vagy zárolását. Az adatkezelő minden olyan címzettet (másodlagos adatkezelő) tájékoztat a személyes adatok helyesbítéséről, törléséről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről. Az adatok helyesbítésével, törlésével, zárolásával kapcsolatban az jár el, aki az adatot kezeli, nyilvántartja.

5.3.4. Az érintett kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbi feltételek valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és e helyett kéri azok felhasználásának korlátozását;
c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztésérhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

5.3.4.1. Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy Uniós, illetve valamely tagállam fontos közérdekéből lehet kezelni.

5.3.5. Az érintett tiltakozhat személyes adatainak jogos érdeken, vagy közhatalmi érdeken alapuló kezelése ellen. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszírtő erejű jogos okok indokolják, amelyek elsőbbséget élveznek a érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. Az érintett tiltakozhat a rá vonatkozó személyes adatok kezelése ellen akkor is, ha a személyes adatok kezelésére tudományos kutatási vagy statisztikai célból kerül sor, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

6. Adatbiztonság

6.1. Az adatbiztonság követelménye

6.1.1. Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról. Köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az Infotv. rendelkezéseinek, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Ennek érdekében a kezelt személyes adtok megfelelő színtű biztonságának biztosítása érdekében az érintettek alapvető jogainak érvényesülését az adatkezelés által fenyegető kockázatok mértékéhez igazodó műszaki és szervezési intézkedéseket tesz.

6.1.2. Az adatokat védeni kell különösen a jogosulatlan:
• hozzáférés;
• megváltoztatás;
• továbbítás;
• nyilvánosságra hozatal;
• törlés vagy megsemmisítés,
valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

6.1.3. Az adatok kezelésére jogosult személy részére biztosítani kell a munkavégzéshez szükséges mértékben és időben az adatokhoz történő hozzáférést.

6.1.3.1. A Társaság által kezelt adatokat csak azon személyek – és csak olyan mértékben – ismerhetik meg, akiknek a munkaköri leírásukban meghatározott feladataik elvégzéséhez ez elengedhetetlenül szükséges.

6.1.4. A Társaság számára még elfogadható minimális kockázati színtű, a rendszer minden elemére kiterjedő, a potenciális kárértékkel arányos biztonságot kell megteremteni és fenntartani.

6.1.5. A foglalkoztatott köteles a személyes adatokat tartalmazó iratokat munkaidőn túl – és amelyeket lehetséges munkaidőben is - zárt szekrényben tartani. Az asztalon és az irodában egyéb helyen hivatalos iratok csak a munkavégzés céljából és annak tartama alatt tárolhatók.

6.1.6. Az iratok elzárásáért azon ügyintéző felelős, akinél azok a munkaidő befejezésekor találhatók.

6.1.7. Az egyéb szempontokon túl, adatvédelmi megfontolásból azokat a helyiségeket, ahol közös használatú informatikai eszköz (pl. nyomtató, másoló) üzemel, az adatbiztonsági követelmények figyelembevételével kell használni.

6.1.8. Az egyéb szempontokon túl, adatvédelmi megfontolásból azokat a szobákat, helyiségeket, ahol informatikai eszköz (pl. számítógép munkaállomás) üzemel, úgy kell használni, hogy az megfeleljen az adatvédelmi, tűzrendészeti és informatikai biztonsági követelményeknek.

6.1.9. A foglalkoztatott köteles a számítógépet és az ahhoz alkalmazott adathordozókat úgy kezelni, tárolni, hogy a védelmet igénylő adatokat illetéktelen személy ne ismerhesse meg. Köteles továbbá a munkaidő végeztével a munkaállomást kikapcsolni.

6.2. Adatbiztonsági célok

6.2.1. Az adatok kezelése során biztosítani kell a bizalmasság, sérthetetlenség, letagadhatatlanság, hitelesség és rendelkezésre állás adatbiztonsági célok megvalósítását.

6.2.2. Az adatbiztonsági célok elérését a kezelt adatok körének pontos meghatározásával, az azokat kezelő elektronikus információs rendszerek biztonsági osztályába sorolásával, a biztonsági osztályokhoz tartozó védelmi követelmények meghatározásával, az adatkezelés, az adatfeldolgozás részletes szabályainak érvényre juttatásán keresztül kell megvalósítani.

7. Adatfeldolgozás

7.1. A Társaság tevékenységéhez kapcsolódó és az általa kezelt személyes adatok feldolgozását – különösen indokolt esetben – a Társaság megbízásából külső szervezet, személy is végezheti. Különösen indokolt esetnek minősül, ha a Társaság az adatfeldolgozási tevékenységet a szükséges különleges szakmai és technikai feltételek hiányában nem tudja ellátni, és a feltételek megteremtésére csak így van lehetőség.

7.2. Adatfeldolgozást kizárólag erre a tevékenységre a Társasággal kötött szerződésben felhatalmazott adatfeldolgozó végezhet.

7.3. A szerződés az alábbiakról rendelkezik különösen:

Az adatfeldolgozó:
a) a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is, – kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;
b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
c) meghozza az adatkezelés biztonsága érdekében szükséges intézkedéseket;
d) tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozó, valamint az egyéb adatkezelő által tett utasításokat;
e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintettek jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
f) segíti az adatkezelőt kötelezettségeinek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
g) az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog a személyes adatok tárolását írja elő;
h) az adatkezelő rendelkezésére bocsát minden olyan információt, amely az adatkezelő kötelezettségei teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

7.4. Külső szervezet, személy adatfeldolgozói tevékenységére megállapodás csak írásban köthető. A megállapodás megkötése előtt a szerződés tervezetét az adatvédelmi tisztviselő az adatvédelmi szabályok tekintetében megvizsgálja és véleményezi.

7.5. Az adatkezelő kizárólag olyan adatfeldolgozót vehet igénybe, aki vagy amely megfelelő garanciákat nyújt az adatkezelés általános adatvédelmi rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

7.6. Megbízási szerződéssel foglalkoztatott adatfeldolgozók esetében a megbízási szerződésnek tartalmazni kell az utalást és a kötelezést az adatvédelmi szabályok betartására.

7.7. A szerződő féllel ismertetni kell e szabályzatot és ennek tényét a megbízási szerződésben rögzíteni kell.

7.8. Az adatkör védelmére meghatározott követelmények betartásáért bármely adatkezelési műveletben az általa végzett adatfeldolgozási tevékenység során az adatfeldolgozó személyesen felelős.

7.9. Mindezek végrehajtásáért a Társaság felelős.

8. Az adatvédelem szervezetrendszere

8.1. A Társaság adatvédelmi tisztviselője: Markovics Balázs

8.2.1. Az adatvédelmi tisztviselő postai címe: 1027 Budapest, Ganz u. 5.

8.2.2. Az adatvédelmi tisztviselő elektronikus levél címe: markovics.balazs@summahosp.hu

8.3. Az adatvédelmi tisztviselő feladatai különösen az alábbiak:
a) a személyes adatok kezelésére vonatkozó jogi előírásokról naprakész tájékoztatást nyújt és azok érvényesítésének módjaival kapcsolatban tanácsot ad,
b) folyamatosan figyelemmel kíséri és ellenőrzi a személyes adatok kezelésére vonatkozó jogi előírások, így különösen a jogszabályok és belső adatvédelmi és adatbiztonsági szabályzatok érvényesülését, ennek keretei között az egyes adatkezelési műveletekhez kapcsolódó egyértelmű feladat meghatározás, az adatkezelési műveletekben közreműködő foglalkoztatottak adatvédelmi ismereteinek bővítése és tudatosság növelése, valamint a rendszeres időközönként lefolytatandó vizsgálatok megvalósulását,
c) elősegíti az érintettet megillető jogok gyakorlását, igy különösen kivizsgálja az érintettek panaszait és kezdeményezi az adatkezelőnél, ill. adatfeldolgozónál a panasz orvoslásához szükséges intézkedések megtételét
d) szakmai tanácsadással elősegíti és figyelemmel kíséri az adatvédelmi hatásvizsgálat lefolytatását,
e) együttműködik az adatkezelés jogszerűségével kapcsolatos eljárások lefolytatására jogosult szervekkel és személyekkel, így különösen kapcsolatot tart a Hatósággal az előzetes konzultáció és a Hatóság által lefolytatott eljárások elősegítése érdekében,
f) közreműködik a belső adatvédelmi és adatbiztonsági szabályzat megalkotásában

8.4. Az adatvédelmi tisztviselő jogviszonyának fennállása alatt és annak megszűnését követően is megőrzi a tevékenységével, annak ellátásával kapcsolatban tudomására jutott személyes adatot, minősített adatot.

9. Adattovábbítási nyilvántartás

9.1. Az adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az érintetti jogok gyakorlása céljából központi adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

9.2. Az adatkezelő nyilvántartja, és – amennyiben az valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve – indokolatlan késedelem nélkül, de a tudomására jutástól számítva legkésőbb 72 órával azután bejelenti a NAIH-nak és szükség szerint az érintett(ek)nek az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

9.3. A 9.1 és 9.2. pontok szerinti nyilvántartások megőrzésére irányuló kötelezettség időtartamát az adatkezelést előíró jogszabály korlátozhatja. E korlátozás körében személyes adatok esetében öt évnél rövidebb időtartam nem állapítható meg.

10. Záró rendelkezések

10.1. Ez a szabályzat az aláírást követő napon lép hatályba, és a helyben szokásos módon, továbbá a Társaság honlapján kerül közzétételre.

10.2. E szabályzatot a Társaság valamennyi szervezeti egységének vezetője köteles az adatkezeléssel megbízott személyekkel megismertetni.


Budapest 2020.01.01.