Adatvédelmi szabályzat

AllDent Klinik Szolgáltató Korlátolt Felelősségű Társaság

(székhely: 9111 Tényő, Honfoglalás utca 4.)

A szabályzat kelt: 2018. május 25. napján

Bevezető rész

Az AllDent Klinik Szolgáltató Korlátolt Felelősségű Társaság (a továbbiakban: Társaság) belső adatkezelési folyamatai jogszerűségének és az érintettek jogainak biztosítása, valamint az érintettek tájékoztatása céljából az alábbi adatvédelmi szabályzatot alkotja.

Adatkezelő elnevezése: AllDent Klinik Szolgáltató Korlátolt Felelősségű Társaság
Cégjegyzékszáma:

Nyilvántartó hatóság:

Cg. 08-09-019389

Győri Törvényszék Cégbírósága

Adatkezelő székhelye:

Adatkezelő fióktelepe:

9111 Tényő, Honfoglalás utca 4.

9028 Győr, Zichy Ottó utca 7.

Adatkezelő elektronikus címe: praxis@alldentklinik.hu
Adatkezelő képviselője: Dr. Kretz István ügyvezető

Jelen rendelkezéseket a társaság többi szabályzatának előírásaival összhangban kell értelmezni. Amennyiben a személyes adatok védelmével kapcsolatosan ellentmondás áll fent jelen rendelkezések és a bármely más, jelen szabályzat hatálybalépése előtt hatályba lépett szabályzat előírásai között, abban az esetben jelen rendelkezések az irányadóak.

1. Jelen szabályzat készítése során figyelembe vett jogszabályok

1.1. A szabályzat elsősorban az alábbi jogszabályok figyelembe vételével készült:

  • az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.),
  • a Munka törvénykönyvéről szóló 2012. évi I. törvény (továbbiakban: Mt.),
  • a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (továbbiakban: Szvtv.),
  • az Európai Parlament és a Tanács (EU) 2016/679 rendelete (továbbiakban: Rendelet),
  • egyéb személyes adatok kezelésére vonatkozó jogszabályok.

2. A szabályzat célja

2.1. A társaság jelen szabályzat megalkotásával és elérhetővé tételével biztosítani kívánja a személyes adatok kezelésére, továbbítására, feldolgozására és védelmére vonatkozó jogszabályok érvényesülését a működése során.

2.2. Jelen szabályzat célja egyrészt, hogy az érintettek megfelelő tájékoztatást kaphassanak a társaság, illetve a társaság által megbízott adatfeldolgozók által kezelt adatokról, valamint az adatkezelés, illetve adatfeldolgozás szabályairól, jellemzőiről. Jelen szabályzat célja továbbá, hogy meghatározza a társaság adatkezelési műveleteire, tevékenységeire vonatkozó szabályokat és irányt mutasson a munkavállalók részére a személyes adatok kezelése során.

2.3. Jelen szabályzattal a társaság biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, és azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.

3. A szabályzat hatálya

3.1. Jelen szabályzat tárgyi hatálya kiterjed a társaság minden szervezeti egységénél folytatott valamennyi olyan folyamatra, amely során személyes adat kezelése megvalósul.

3.2. Jelen szabályzat személyi hatálya kiterjed a társaság minden munkavállalójára, valamint a társasággal megbízási vagy munkavégzésre irányuló egyéb jogviszonyban álló olyan személyekre, akik személyes adatokat kezelnek.

3.3. A szabályzat hatálya kiterjed a munkavállalók, valamint egyéb természetes személyek személyes adatainak kezelésére.

3.4. Jelen szabályzat 2018. május 25. napján lép hatályba.

4. Fogalmak

4.1. A jelen szabályzat fogalmi rendszere megfelel a Rendelet 4. cikkében meghatározott értelmező fogalommagyarázatoknak, így különösen:

személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

adattovábbítás”: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;

biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;

egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

üzleti partner”: azon gazdasági szereplő, amellyel a társaság szerződéses jogviszonyban áll.

4.2. Amennyiben a mindenkori hatályos adatvédelmi jogszabály fogalommagyarázatai eltérnek jelen szabályzat fogalommagyarázataitól, akkor a jogszabály által meghatározott fogalmak az irányadóak.

4.3. Amennyiben a jelen szabályzat, vagy a Társaság egyéb, személyes adatok kezelését szabályozó dokumentuma adatkezelésre, vagy adatokra hivatkozik, azon személyes adat kezelését, illetve személyes adatokat kell érteni.

5. Az adatkezelés elvei

5.1. Adatkezelés célhoz kötöttsége

5.1.1. Személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történik, és azokat a társaság jogalap hiányában nem kezeli ezekkel a célokkal össze nem egyeztethető módon. A társaság által kezelt személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.

5.1.2. A meghatározott célból kezelt személyes adatot a társaság egyéb célból csak megfelelő jogalap esetén kezeli.

5.1.3. Személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történik, és kezelésük ezekkel a célokkal össze nem egyeztethető módon nem történik.

5.1.4. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható, tehát bármely közvetlen vagy közvetett módon a személyes adatból az érintett személye azonosítható.

5.1.5. A társaság gondoskodik arról, hogy a személyes adatokhoz csak olyan munkavállalói, illetve adatfeldolgozói férhessenek hozzá, akik, vagy amelyek adatkezelése, adatfeldolgozása vonatkozásában a célhoz kötöttség elve megvalósultnak tekinthető. A célhoz kötöttség elvének megvalósulása biztosítása minden esetben a társaság mindenkori ügyvezetőjének felelőssége.

5.1.6. Az adatkezelési cél megvalósulását, vagy az adatkezelési időtartam lejártát követően a kezelt személyes adatok törlésre kerülnek. Az adott adatkezelési célhoz kapcsolódóan a Társaság az adatkezelés megkezdésekor megállapítja az adatkezelés időtartamát. Amennyiben a cél megvalósult, vagy az adatkezelési időtartam lejárt, a Társaság nem törli azon személyes adatokat, amelyek kezelésére más célból is sor kerül, és azon cél tekintetében a jogszerű adatkezelés feltételei fennállnak.

5.2.Személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni

A társaság nem él vissza helyzetével, és az adatokat nem kezeli a jogszabályban meghatározottakkal ellentétesen, vagy rosszhiszeműen. Az átláthatóság elvének érvényesítése során a társaság tájékoztatja az érintettet az adatkezelés lényeges jellemzőiről és rögzíti is ezen jellemzőket. A társaság a személyes adatok kezelését kizárólag ezen tájékoztatóban írtak szerint végzi.

5.3. Adattakarékosság elve

5.3.1. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához megfelelő, releváns és szükséges. Személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

5.3.2. A meghatározott adatkezelési cél eléréséhez szükséges személyes adatok körét, valamint azok kezelésének idejét minden esetben az ügyvezető határozza meg.

5.4. Pontosság

5.4.1. A társaság által kezelt személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük. A társaság minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse.

5.4.2. A társaság az érintettet minden esetben tájékoztatja arról, hogy köteles a személyes adatai megváltozását késedelem nélkül bejelenteni.

5.4.3. A társaságnak, amikor van lehetősége, így különösen az érintettel történő személyes kapcsolatteremtés során, egyezteti a kezelt személyes adatait az adatok pontosságának biztosítása érdekében.

5.5. Korlátozott tárolhatóság elve

5.5.1. A személyes adatok tárolása olyan formában történik, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.

5.5.2. A személyes adatok 5.5.1. pontban írtnál hosszabb ideig történő kezelésére (tárolására) csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor.

5.5.3. Az adatkezelés időtartamát a cél eléréséhez szükséges mértékben az ügyvezető állapítja meg minden adatkezelési cél esetében.

5.5.4. A Társaság a korlátozott tárolhatóság elvének maradéktalan érvényesítése érdekében minden év december hónapjában ellenőrzést végez annak biztosítása érdekében, hogy a törlendő személyes adatok törlése valóban megtörtént-e. Az ellenőrzésről jegyzőkönyv készül, melyben rögzíti, hogy hány és milyen típusú személyes adat törlésére került sor az ellenőrzés során, valamint a törlés okát.

5.6. Elszámoltathatóság elve

5.6.1. A társaság a személyes adatok kezelése során a rendeletben foglaltaknak történő megfelelést biztosítja. A társaság a megfelelést, valamint az ehhez szükséges és általa megtett intézkedéseket oly módon hajtja végre, hogy azt minden esetben igazolni tudja a későbbiekben az érintett, valamint az illetékes hatóságok felé.

5.6.2. A társaság a személyes adatok jogszerű kezelésével kapcsolatos minden lényeges körülményt, a különböző előírásoknak történő megfelelés érdekében tett intézkedéseket, az elvégzett hatásvizsgálatokat, érdekmérlegeléseket, az adatkezeléssel kapcsolatos döntéseinek a jogi indokát, valamint minden egyéb olyan körülményt, mely a Rendeletben foglaltak teljesítése érdekében szükséges, írásban rögzíti.

5.6.3. A Társaság az 5.6.1. pontban foglaltak biztosítása érdekében szervezési és technikai intézkedéseket tesz.

6. Adatbiztonság

6.1. A Társaság az adatkezelés során mindvégig gondoskodik a kezelt személyes adatok ésszerűen elvárható legmagasabb szintű biztonságáról. A Társaság az adatkezelési műveleteit oly módon végzi, hogy megfelelő technikai és szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve (integritás és bizalmi jelleg). A társaság továbbá a személyes adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. A társaság ennek biztosítása érdekében a 6.11. pontban írtak szerint biztonsági másolatokat készít.

6.2. A társaság az adatkezelési műveleteit úgy tervezi meg és hajtja végre, hogy az adatkezelésre vonatkozó jogszabályok alkalmazása során biztosítsa az érintettek magánszférájának védelmét.

6.3. A társaság a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Gondoskodik az adatok biztonságáról, megteszi továbbá azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek a Rendelet, valamint az egyéb személyes adatvédelmi szabályok érvényre juttatásához szükségesek.

6.4. A társaság az adatkezelés időtartama alatt az adatok biztonságos tárolása, az időtartam lejártával az adatállomány végleges és visszaállíthatatlan törlése, fizikai megsemmisítése érdekében megteszi a szükséges intézkedéseket.

6.5. Az ügyvezető ellenőrzi, hogy a kezelt adatok továbbításukat követően is olyan adatkezelőhöz, adatfeldolgozóhoz kerülnek, aki, vagy amely az adatok biztonságos kezeléséről megfelelően gondoskodik.

6.6. A személyes adatok kezelése során a Társaság biztosítja:

  • a jogosulatlan adatbevitel megakadályozását,
  • az adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását tűzfal alkalmazásával.

6.7. A papír alapon kezelt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket alkalmazza:

  • az adatokat csak az arra jogosultak ismerik meg, azokhoz más nem fér hozzá, más számára fel nem tárható;
  • a dokumentumokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben őrzi;
  • a folyamatos aktív kezelésben lévő iratokhoz csak az illetékeseknek biztosít hozzáférést;
  • az adatkezelést végző munkavállaló a nap folyamán csak úgy hagyja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja;
  • az adatkezelést végző munkatárs a munkavégzés befejeztével az általa használt papíralapú adathordozót elzárja;
  • amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza,
  • a személyes adatokat tartalmazó papír alapú dokumentumok megsemmisítése oly módon történik, hogy később semmilyen módszerrel ne lehessen azok adattartalmát visszaállítani (iratmegsemmisítés).

6.8. A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket és garanciális elemeket alkalmazza:

  1. az adatkezelés során a munkavállalók elsősorban olyan eszközöket vesznek igénybe, melyek a társaság tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír a társaság; ez alól kivételt a munkavállalók által használt mobiltelefonok, valamint az üzletkötők által használt számítástechnikai eszközök képeznek
  2. a társaság informatikai rendszerére kívülről történő rácsatlakozás biztonságosan, kizárólag felhasználónévvel és jelszóval lehetséges,
  3. a számítógépen található adatokhoz érvényes, személyre szóló, azonosítható jogosultsággal – legalább felhasználói névvel és jelszóval – lehet csak hozzáférni, a jelszavak cseréjéről a Társaság rendszeresen gondoskodik;
  4. a társaság munkavállalói munkavégzésükhöz kizárólag a Társaság által biztosított eszközöket jogosultak használni.
  5. amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adat visszaállíthatatlanul törlésre kerül;
  6. a társaság munkavállalói a munkavégzés céljából rendelkezésükre bocsátott eszközökön saját személyes adataikat a Társaság adataitól elkülönülten, külön erre létrehozott mappában kötelesek tárolni;
  7. a társaság munkavállalói munkavégzésükkel összefüggésben kizárólag a Társaság által biztosított e-mail címet jogosultak használni;
  8. a társaság a személyes adatokat kezelő hálózaton a vírusvédelemről és tűzfalvédelemről folyamatosan gondoskodik; a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését. Igen.

6.9. A társaság az adattovábbítások során különös figyelemmel jár el az adatbiztonság elvének biztosítása érdekében, és kizárólag olyan csatornánk végez adattovábbítást, mely megbízható. Ha ezzel kapcsolatban valamely munkavállalónak kétsége merül fel, köteles az ügyvezetőtől utasítást kérni.

6.10. A társaság az adatbiztonság biztosítása érdekében tett technikai és szervezési intézkedéseit 2 évente felülvizsgálja, ezzel biztosítva, hogy azok a technika mindenkori állásához igazodnak. A felülvizsgálat következő időpontja 2020. június 1. napja.

6.11. A társaság rendszeres biztonsági mentésekkel gondoskodik arról, hogy fizikai vagy műszaki incidens esetén a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza tudja állítani. Amennyiben a biztonsági mentésből visszaállítás történik, a társaság gondoskodik róla, hogy törölt, vagy helyesbített személyes adat ne kerülhessen visszaállításra. Amennyiben a személyes adatok törlésére vagy módosítására kerül sor, a Társaság az érintett számítógép(ek)ről a kérelem teljesítését követően új, a törölt vagy módosított adatokat nem tartalmazó új biztonsági mentést készít, a korábbi, elavult adatbázist tartalmazó biztonsági mentést pedig véglegesen törli. A Társaság a biztonsági mentések adatkezelési időtartamát 2 hónapban határozza meg.

6.12. A Társaság elektronikusan kezelt személyes adatokat kizárólag olyan esetben nyomtat ki, amikor ez kifejezetten szükséges valamilyen jog gyakorlásához, vagy kötelezettség teljesítéséhez.

7. Beépített és alapértelmezett adatvédelem

7.1. A társaság a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket hajt végre, amelyek célja egyrészt az adatvédelmi elvek, szabályok érvényesítése, másrészt a rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

7.2. A társaság megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések azt biztosítják, hogy a személyes adatok alapértelmezés szerint természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

7.3. A Társaság biztosítja, hogy a személyes adatok különböző kategóriáihoz kizárólag azokban a munkakörökben foglalkoztatott munkavállalók férnek hozzá, akiknek a munkaköri feladata az adott személyes adatok kezeléséhez közvetlenül kapcsolódik. A munkavállalók saját jelszóval és felhasználói fiókkal rendelkeznek a számítástechnikai rendszerekhez, ezzel biztosítva a jogosulatlan hozzáférés megelőzését. A személyes adatokat tartalmazó papír alapú iratok tárolása akként történik, hogy az iratokhoz csak azon munkavállalók férnek hozzá, akik jogosultak a személyes adatok kezelésére.

7.4. A Társaság biztosítja, hogy a személyes adatok különböző kategóriáit kizárólag olyan adatfeldolgozók részére kerüljenek továbbításra, akik az adatkezelést a 7.1. és 7.2. pontban írtak szerint végzik.

8. Érintettek jogai

8.1. Tájékoztatáshoz való jog

8.1.1. Amennyiben a személyes adatot a társaság az érintettől gyűjti, úgy a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információkat:

  • a társaság azonosító adatait és elérhetőségeit;
  • az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
  • a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja, hozzájáruláson alapuló adatkezelés esetén a hozzájárulás visszavonásának lehetősége;
  • a jogos érdeken alapuló adatkezelés esetén, a Társaság vagy harmadik fél jogos érdekei;
  • a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
  • adott esetben annak ténye, hogy a Társaság harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.

8.1.2. A társaság a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:

  • a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
  • az érintett azon jogáról, hogy kérelmezheti a társaságtól a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, az adatok hordozását, és tiltakozhat a személyes adatok kezelése ellen;
  • a hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
  • a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
  • arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
  • ha sor kerül automatizált döntéshozatalra, ennek tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról, tehát arról, hogy az ilyen adatkezelés milyen jelentőséggel és az érintettre nézve milyen várható következményekkel bír.

8.1.3. Ha és amilyen mértékben az érintett már rendelkezik a fenti információkkal, abban a körben a 8.1.1. és 8.1.2. pont szerinti tájékoztatása nem szükséges az adatkezelés jellemzőiről.

8.1.4. Ha a társaság a személyes adatokat nem az érintettől szerezte meg, az érintett rendelkezésére bocsátja a következő információkat:

  • a társaságnak a kiléte és elérhetőségei;
  • az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
  • a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
  • az érintett személyes adatok kategóriái;
  • a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
  • adott esetben annak ténye, hogy a társaság harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.

8.1.5. A társaság annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:

  • a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
  • a jogos érdeken alapuló adatkezelés esetén, a társaság vagy harmadik fél jogos érdeke;
  • az érintett azon jogáról, hogy kérelmezheti a társaságtól a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
  • a hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
  • a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
  • a személyes adatok forrásáról,
  • ha sor kerül automatizált döntéshozatalra, ennek tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról, tehát arról, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

8.1.6. A társaság a 8.1.4. és 8.1.5. pontban írt tájékoztatásokat az alábbiak szerint adja meg:

  • személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
  • ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
  • ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.

8.1.7. A 8.1.4. és 8.1.5. pont szerinti tájékoztatást nem kell megadni, amennyiben

  • az érintett már rendelkezik az információkkal;
  • a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne. Ilyen esetekben a Társaságnak megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;
  • az adat megszerzését vagy közlését kifejezetten előírja a Társaságra alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
  • a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.

8.1.8. Ha a társaság a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és minden releváns kiegészítő információról.

8.1.9. A társaság az érintetteket minden alkalommal értesíti – a 8.1. pontban írtak szerint – a személyes adataik kezeléséről.

8.1.10. A társaság a tájékoztatást az érintett részére minden esetben olyan módon nyújtja, hogy az elszámoltathatóság elvének megfelelően később igazolható legyen, így elsősorban írásban. Szóbeli tájékoztatás nem megengedett.

8.1.11. A társaság minden tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújt.

8.1.12. A társaság az adatvédelmi incidens bekövetkezéséről az érintettet a 17. pontban írtak szerint tájékoztatja.

8.2. Hozzáférési jog

8.2.1. Az érintett kérelmére a társaság tájékoztatja, hogy a személyes adatainak kezelése folyamatban van-e és ha igen, akkor a személyes adatokhoz és a következő információkhoz hozzáférést biztosít a részére:

  • az adatkezelés céljai;
  • az érintett személyes adatok kategóriái;
  • azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölte vagy közölni fogja, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
  • a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
  • az érintett azon joga, hogy kérelmezheti a Társaságtól a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
  • a valamely felügyeleti hatósághoz címzett panasz benyújtásának, illetve bírósági eljárás megindításának joga;
  • ha az adatokat nem az érintettől gyűjtötte, a forrásukra vonatkozó minden elérhető információ;
  • ha sor kerül automatizált döntéshozatalra, ennek tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról, tehát arról, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

8.2.2. A társaság kérelemre az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért adminisztratív költségeken alapuló, ésszerű mértékű díj kerül felszámításra. A díj meghatározása az ügyvezető feladata. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információk széles körben használt elektronikus formátumban kerülnek a rendelkezésére bocsátásra, kivéve, ha az érintett másként kéri. A személyes adatok rendelkezésre bocsátása nem érintheti hátrányosan mások jogait és szabadságait.

8.3. Személyes adatok helyesbítéséhez való jog

8.3.1. Az érintett jogosult arra, hogy kérésére a társaság indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

8.3.2. A társaság – összhangban a pontosság elvével – az érintettel történő kapcsolatfelvétel során amennyiben van rá lehetősége, egyezteti az érintett személyes adatait és szükség esetén helyesbíti azokat. A személyes adatok egyeztetése kizárólag biztonságos kommunikációs csatornán keresztül történik.

8.4. Személyes adatok törléséhez való jog (elfeledtetéshez való jog)

8.4.1. Az érintett jogosult arra, hogy kérésére a társaság indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, a társaság pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

  1. a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
  2. az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
  3. az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett tiltakozik a közvetlen üzletszerzés céljából történő adatkezelés ellen;
  4. a személyes adatokat jogellenesen kezelték;
  5. a személyes adatokat a Társaságra alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
  6. a személyes adatok gyűjtésére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

8.4.2. Ha a társaság jogszerűen nyilvánosságra hozta a személyes adatot, és azt a 8.4.1. pont szerint törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőle a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

8.4.3. Az 8.4.1. és 8.4.2. bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:

  • a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
  • a személyes adatok kezelését előíró, a társaságra alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből végzett feladat végrehajtása céljából;
  • a népegészségügy területét érintő közérdek alapján;
  • a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törlés valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
  • jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

8.4.4. Az adatok törlése végelegesen és visszaállíthatatlanul történik. A törléssel érintett személyes adatok a társaság minden adatbázisából törlésre kerülnek. A társaság a törlést úgy hajtja végre, hogy a jelen szabályzatban foglaltak szerint azt később igazolni tudja. A papír alapú személyes adatok törlése iratmegsemmisítő gép alkalmazásával történik. Személyes adatot tartalmazó okirat, vagy tárgy megsemmisítésére kizárólag olyan módon kerül sor, amely lehetetlenné teszi, hogy bármilyen módszerrel a személyes adat az adathordozóból újból előállítható legyen.

8.5. Tiltakozási jog a személyes adatok kezelése ellen

8.5.1. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen amennyiben az adatkezelés:

  • a közérdekű, az adatkezelőre ruházott közhatalmi jogosítványon gyakorlásának keretében végzett feladat végrehajtásához szükséges,
  • az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges,

ideértve az említett rendelkezéseken alapuló profilalkotást is. Ilyen esetben a társaság a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

8.5.2. Ha a személyes adatokat a Társaság közvetlen üzletszerzés érdekében kezeli, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatai közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

8.6. Az adatkezelés korlátozásához való jog

8.6.1. Az érintett jogosult arra, hogy kérésére a társaság korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

  • az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
  • az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
  • a társaságnak már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
  • az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a Társaság jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

8.6.2. Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak

  • az érintett hozzájárulásával,
  • jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez,
  • más természetes vagy jogi személy jogainak védelme érdekében, vagy
  • az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

8.6.3. A Társaság az érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

8.7. Adathordozhatósághoz való jog

8.7.1. Az érintett jogosult arra, hogy a rá vonatkozó, általa a Társaság rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná a Társaság, ha

  • az adatkezelés hozzájáruláson, vagy szerződésen alapul és
  • az adatkezelés automatizált módon történik.

8.7.2. Az érintett jogosult kérni, hogy személyes adatait a Társaság közvetlenül egy másik adatkezelőnek küldje meg.

8.7.3. A társaság az adathordozhatósághoz való jog érintett általi gyakorlása esetén a személyes adatokat fogadó adatkezelő tevékenységéért felelősséggel nem tartozik.

8.8. Jogorvoslathoz való jog

8.8.1. Az érintettet a 16.3. pont szerint megilleti a jogorvoslathoz való jog, ha megítélése szerint az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatait a személyes adatok kezelésére vonatkozó jogszabályokban meghatározott előírások megsértésével kezeli.

9. Érintettek jogainak érvényesítése

9.1. Az érintettek a 8. pontban írt jogaik érvényesítése, az adatkezeléssel kapcsolatos észrevételeik megtétele érdekében, vagy bármilyen egyéb adatkezeléssel kapcsolatos témában a dalmasped2004@gyor.net e-mail címen, vagy személyesen és postai úton a mindenkori székhelyen vehetik fel a kapcsolatot a Társasággal.

9.2. Az érintettek jogainak gyakorlásával kapcsolatos tájékoztatások, illetve az egyéb érintettel folytatott kommunikáció tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően kerül megfogalmazásra.

9.3. Az érintetti jogok gyakorlása során a társaság indokolatlan késedelem nélkül, de legfeljebb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelme nyomán hozott intézkedésekről. A tájékoztatást ugyanazon csatornán szükséges megadni, amit az érintett használ a kérelem előterjesztésekor, kivéve, ha kifejezetten máshogy kéri. A tájékoztatásnak kiterjed az érintett jogorvoslati jogaira.

9.4. A társaság az érintett által előterjesztett kérelmet a beérkezésekor rögzíti a 3. számú melléklet szerinti nyilvántartásba, és a beérkezését követően legfeljebb 3 napon belül megkezdi annak teljesítését. A kérelem teljesítésére az ügyvezető jelöli ki az illetékest a munkaszervezeten belül a kérés jellege és az érintett személyes adatok figyelembe vételével. Mielőtt a társaság a kérelmet érdemben teljesítené, azonosítja a kérelmezőt. A kérelmet érdemben a társaság kizárólag a beazonosítást követően teljesíti. A társaság tájékoztatást nem ad, személyes adatot nem szolgáltat ki és érintetti jog gyakorlását nem teszi lehetővé, amíg az érintett azonosítása meg nem történt. Az érintett beazonosítását követően a kérelem teljesítésére kijelölt illetékes munkavállaló késedelem nélkül, de legkésőbb a kérelem beérkezését követő 15 napon belül előterjeszti az ügyvezetőnek a kérelem teljesítésére vonatkozó, jogi szempontból alátámasztott javaslatát. A kérelem teljesítéséről, és annak pontos tartamáról a végső döntést az ügyvezető hozza meg a javaslat előterjesztését követő 5 napon belül.

9.5. A társaság a jogszabályokban meghatározott időtartamon belül teljesíti a kérelemben, vagy egyéb megkeresésben foglaltak, illetve tájékoztatja az érintettet a teljesítés megtagadásának indokáról.

9.6. Ha a társaság nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett mely hatóságnál és milyen feltételek mellett élhet panasszal, vagy bírósági jogorvoslati jogával.

9.7. A 8.1. pont szerinti, az érintetti jogok gyakorlásával, valamint az adatvédelmi incidensekkel kapcsolatos tájékoztatást és intézkedést a társaság díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, a társaság, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre

  • észszerű összegű díjat számíthat fel, vagy
  • megtagadhatja a kérelem alapján történő intézkedést.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása a társaságot terheli. Az a) pont szerinti díj mértékét az ügyvezető határozza meg.

9.8. Amennyiben a társaságnak megalapozott kétségei vannak az érintetti jogok gyakorlására irányuló kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

9.9. Az érintettet nem érheti hátrányos megkülönböztetés a jelen szabályzatban, vagy valamely jogszabályban a személyes adatai kezelésével kapcsolatban biztosított joga gyakorlása miatt.

9.10. A társaság minden olyan címzettet tájékoztat az érintett személyes adatainak helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére a társaság tájékoztatja e címzettekről.

10. Adatvédelem rendszere, felelősség

10.1. Az ügyvezető

10.1.1. A Társaság vezetője az ügyvezető. Az ügyvezető felelős a társaság adatkezelésének jogszerűségéért. A társaság sajátosságainak figyelembe vételével meghatározza az adatvédelem szervezetét, az adatvédelemre valamint az azzal összefüggő tevékenységre vonatkozó feladat-és hatásköröket, és kijelöli az adatkezelés felügyeletét ellátó személyt.

10.1.2. Az ügyvezető az adatvédelemmel kapcsolatosan:

  • felelős az érintettek jogszabályokban meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért;
  • felelős a Társaság által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért;
  • felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;
  • felelős az érintetti kérelmek teljesítéséért;
  • képviseli a Társaságot a külső szervektől és személyektől érkező, a Társaság személyes adatokat érintő adatkezelésével összefüggő megkeresések tekintetében;
  • elkészítteti és biztosítja a naprakészségét a Társaság Adatvédelmi szabályzatának;
  • biztosítja, hogy a Társaság kizárólag olyan adatfeldolgozók szolgáltatásait vegye igénybe, amelyek a személyes adatok kezelését a hatályos jogszabályok tiszteletben tartásával végzik;
  • kijelöli az adatvédelmi tisztviselőt, és biztosítja számára a megfelelő forrásokat;
  • kialakítja a Társaság adatvédelemmel kapcsolatos belső szabályait.

10.1.3. Kijelöli a személyes adatok kezelésére vonatkozó jogosultságokat és ellenőrzi ezek betartását.

10.2. A Társaság munkatársai

10.2.1. Munkájuk során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy történjen, hogy jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.

10.2.2. Feladatkörükön belül felelősek az adatok jogszerű kezeléséért, feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, valamint az adatok pontos és követhető dokumentálásáért. Tevékenységük során amennyiben szükséges, az adatkezelési műveletet megelőzően egyeztetnek az adatvédelmi tisztviselővel.

10.2.3. Kezelik és megőrzik a feladataik, illetve munkakörük ellátása során birtokukba került adatokat.

10.2.4. Kötelesek részt venni a társaság által szervezett adatvédelmi oktatáson.

10.2.5. Az adatkezeléssel kapcsolatosan feltárt visszásságot kötelesek haladéktalanul jelenteni az ügyvezetőnek és szükség esetén részt venni a megszüntetésükben.

10.2.6. Munkájuk során betartják az adatkezelésre vonatkozó jogszabályokat, valamint jelen szabályzatot.

10.2.7. A személyes adatok kezelését a társaság által rendelkezésre bocsátott, vagy kijelölt technikai eszközökön és a társaság által meghatározott szoftverekkel kötelesek teljesíteni. Egyéb hard-, és szoftverek használata kizárólag az ügyvezető engedélyével lehetséges.

10.2.8. Személyes adatot tartalmazó adatállományt kizárólag biztonságos csatornán jogosultak továbbítani. Amennyiben a használni kívánt kommunikációs csatorna biztonságának megfelelősége felől kétségük merül fel, az adattovábbítást megelőzően kötelesek az ügyvezető utasítását kérni az ügyben.

10.2.9. Kizárólag a Társaság által biztosított e-mail fiókot jogosultak munkájuk során használni.

10.2.10. Ha lehetőségük nyílik rá, az érintettel történő kommunikáció során adategyeztetést végeznek, amennyiben a kommunikációs csatorna megfelelő biztonságú.

10.2.11. A jogszabályok és az adatvédelmi szabályzatban előírtak betartatásáért minden szervezeti egység vezetője a feladatkörében felelős az alábbiak szerint:

  • felelősek az irányításuk alá tartozó szervezeti egység adatkezeléseinek jogszabályoknak és jelen Szabályzatnak, vagy a kapcsolódó szabályzatoknak való megfelelőségéért;
  • ellenőrzik az adatvédelemmel kapcsolatos előírások, így különösen jelen Szabályzat rendelkezéseink betartását;

11. Adatkezelés jogalapja

11.1. A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

  • az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
  • az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
  • az adatkezelés a Társaságra vonatkozó uniós, vagy nemzeti jogi kötelezettség teljesítéséhez szükséges;
  • az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  • az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
  • az adatkezelés a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

11.2. Ha az adatgyűjtés céljától eltérő célból kezel személyes adatot a Társaság, és az adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a rendelet 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, a Társaság hatásvizsgálatot végez, és többek között figyelembe veszi:

  • a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;
  • a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az Társaság közötti kapcsolatokra;
  • a személyes adatok jellegét, különösen pedig azt, hogy a személyes adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a kezeléséről van-e szó;
  • azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;
  • megfelelő garanciák meglétét.

11.3. Ha az adatkezelés hozzájáruláson alapul, a Társaság a hozzájárulást úgy szerzi be, hogy később képes legyen annak igazolására, hogy az érintett a személyes adatainak kezeléséhez hozzájárult, és hozzájárulása az akaratának

  • önkéntes,
  • konkrét és megfelelő tájékoztatáson alapuló,
  • egyértelműen kinyilvánítása,
  • amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

11.4. Ha az érintett hozzájárulását olyan írásbeli szerződésben, vagy egyéb nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti a Rendeletet, kötelező erővel nem bír.

11.5. Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon teszi lehetővé a társaság, mint annak megadását.

11.6. Valamely szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül nem szabható olyan személyes adat kezeléséhez való hozzájárulást, amely nem szükséges a szerződés teljesítéséhez.

11.7. A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése kizárólag abban az esetben lehetséges, ha

  • az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez,
  • az adatkezelés a Társaságnak vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges,
  • az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
  • az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
  • az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;
  • az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy nemzeti jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
  • az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján;
  • az adatkezelés a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy nemzeti jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.

11.8. A munkáltatói adatkezelés a jogviszony természetéből eredő alá-, fölérendeltségi viszonyból következően hozzájáruláson kivételesen, kizárólag akkor alapulhat, ha az adatkezelési művelet természetéből következően a munkavállalónak valóban van lehetősége a hozzájárulás megtagadására.

11.9. Amennyiben az adatkezelés jogalapja a 11.1. c) pont szerint a Társaságra vonatkozó jogszabályi kötelezés, a Társaság köteles az érintett tájékoztatni a konkrét jogszabályhelyről, mely az adatkezelést előírja.

11.10. A 11.1. f) pont szerinti, az adatkezelő vagy harmadik személy jogos érdekén alapuló adatkezelés esetén adatkezelés megkezdése előtt a Társaság érdekmérlegelési tesztet végez. Az tesztben a Társaság:

  • megvizsgálja, hogy valóban szükséges-e az adatkezelés,
  • meghatározza a saját, vagy a harmadik személy jogos érdekét,
  • meghatározza az érintettek védendő érdekeit,
  • meghatározza az érintett érdekeinek védelme érdekében tett intézkedéseket, biztosítékokat
  • összeveti a saját maga és az érintettek jogos érdekeit.

11.11. Az érintett személyes adatok védelméhez fűződő jogát és személyiségi jogait – ha törvény kivételt nem tesz – az adatkezeléshez fűződő más érdekek – ideértve a közérdekű adatok nyilvánosságát is – nem sérthetik, illetve korlátozhatják.

11.12. A társaság a napi tevékenysége során elsősorban a fogorvosi járóbeteg-ellátás keretében kezel biometrikus, genetikai, valamint egészségügyi adatot is. Ezen adatkezelési tevékenységét a társaság lehetőség szerint az érintett hozzájárulásával, kifejezett felhatalmazásával végzi.

12. A Társaságnál megvalósuló egyes adatkezelési tevékenységek

12.1. Kamerarendszer üzemeltetése

12.1.1. Általános rendelkezések

12.1.1.1. A társaság telephelyén kamerás megfigyelést folytat, valamint a jelen szabályzatban írt időtartamban rögzíti a kamerák felvételét. A megfigyelés érinti a munkavállalókat és érinthet bármely egyéb személyt, aki a kamerák látószögében tartózkodik. A kamerarendszert a Társaság egyedül üzemelteti.

12.1.1.2. A társaság kizárólag magánterületet figyel meg, közterület megfigyelésére nem kerül sor.

12.1.1.3. A társaság nem alkalmaz kamerás megfigyelést olyan helyen, ahol a megfigyelés az emberi méltóságot sértheti, így különösen öltözőben, mosdóban, illemhelyen, a munkavállaló pihenőidejének, munkaközi szünetének eltöltésére szolgáló helyiségben. A munkavállaló magánélete nem ellenőrizhető.

12.1.1.4. A kamerás megfigyelés jellemzőinek meghatározás során a jelen szabályzatban foglaltakat a társaság tiszteletben tartja. A kamerás megfigyelés során a célhoz kötöttség elvének érvényesülése érdekében a kamerák látószögét a Társaság úgy állítja be, hogy kizárólag a megfigyelés céljával összhangban álló területre fokuszáljon.

12.1.1.5. Jelen szabályzat 7. számú melléklete tartalmazza a kamerák pontos helyét, a látószögét, valamint minden kamera vonatkozásában a rögzített képet szemléltető kamerás adatkezelési tájékoztatót.

12.1.1.6. A társaság nem alkalmaz olyan kamerát, amely valamely munkavállalót és az általa végzett tevékenységet figyeli meg. A társaságnak a kamerarendszer üzemeltetésével nem célja a munkavállalók munkahelyi viselkedésének a befolyásolása.

12.1.1.7. A Társaság élőképes megfigyelést állandó jelleggel nem végez, azonban a jelen szabályzatban meghatározott munkakörben foglalkoztatott munkavállalók hozzáféréssel rendelkeznek a kamerák élő képéhez, így felhasználónévvel és jelszóval történő azonosítást követően lehetőségük van bármikor betekinteni azokba.

12.1.1.8. A rögzített felvételek visszanézésére kizárólag nyilvántartásban dokumentáltan van lehetőség, indokolt esetben. A rögzített felvétel visszanézésére kizárólag jogsértés bekövetkezése esetén kerül sor, az elkövető személyének felderítése, valamint az eset körülményeinek tisztázása érdekében, melyről jegyzőkönyv készül. A jegyzőkönyvben rögzíteni kell a visszanézés célját, okát, idejét, a felvételt megtekintők személyét, és a megtekintés alapján tett intézkedéseket.

12.1.1.9. A kamerák működtetése folyamatosan történik. A kamerákat kikapcsolni, eltakarni vagy bármely módon a rögzítést akadályozni tilos.

12.1.1.10.A társaság az adatkezelés lényeges, jogszabályban meghatározott jellemzőiről tájékoztatja az érintetteket figyelemfelhívó táblák elhelyezésével, valamint részletes adatkezelési tájékoztató rendelkezésre bocsátásával.

12.1.1.11.A kamerák által megfigyelt terület kijelölése, valamint az alkalmazott kamerák típusa és mennyisége a személyes adatok kezelésére vonatkozó jogszabályok, és különösen a célhoz kötöttség, az adattakarékosság, a jogszerűség elvének figyelembe vételével kerül meghatározásra.

12.1.1.12.Az adatkezeléssel érintett személyes adat az érintettek képmása.

12.1.2. Kamerarendszer üzemeltetésének jogalapja

12.1.2.1.Az adatok kezelésének jogalapja a Rendelet 6. cikk (1) bekezdés f) pontja szerint a társaság jogos érdeke. A társaság jogos érdeke a vagyonvédelem. A társaság érdeke a vagyonvédelemhez kapcsolódóan elsősorban:

  • jogsértések megelőzése,
  • jogsértések, szabálysértések és bűncselekmények észlelése,
  • az elkövető tettenérése,
  • jogsértés elkövetése esetén az elkövető beazonosítása,
  • a kamerafelvétel felhasználása hatósági, és/vagy bírósági eljárásban.

12.1.2.2. A kamerarendszer üzemeltetése a vagyonvédelmet továbbá annyiban szolgálja, hogy a rendszer üzemeltetésének a ténye is jelentős visszatartó hatással bír.

12.1.2.3. A kamerarendszer alkalmazásához kapcsolódóan a társaság érdekmérlegelés tesztet készített, mely jelen szabályzat 12. számú mellékletét képezi.

12.1.3. Megfigyelés célja

12.1.3.1. A társaság célja a kamerarendszer üzemeltetésével a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény 31. § (1) bekezdése szerint a vagyonának, vagyontárgyainak védelme. A védelem körében a kamerarendszer üzemeltetésének további célja a jogsértések megelőzése és észlelése, az elkövető tettenérése, valamint azonosításának elősegítése, valamint hogy a felvételek ezekkel összefüggésben bizonyítékként kerüljenek hatósági eljárás keretében felhasználásra.

12.1.3.2. A kamerarendszer alkalmazásának célja továbbá a jogsértő cselekmények megelőzése a rendszer alkalmazásának preventív hatását kihasználva.

12.1.4. Felvétel tárolása, felhasználása

12.1.4.1. A felvételeket felhasználás hiányában a társaság legfeljebb 3 munkanapig őrzi. A felvétel törlése automatikusan és visszaállíthatatlanul történik.

12.1.4.2. A felvételek a társaság székhelyén található adattárolón kerülnek tárolásra.

12.1.4.3. Felhasználásnak az minősül, ha a rögzített felvételt bírósági vagy más hatósági eljárásban bizonyítékként felhasználják.

12.1.4.4. Az, akinek jogát vagy jogos érdekét a felvétel érinti, annak rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje. A kérelem elbírálására az ügyvezető jogosult.

12.1.4.5. Bíróság vagy más hatóság megkeresésére a rögzített felvételt a bíróságnak vagy a hatóságnak haladéktalanul meg kell küldeni. Amennyiben megkeresésre attól számított harminc napon belül, hogy a megsemmisítés mellőzését kérték, nem kerül sor, a rögzített felvételt meg kell semmisíteni.

12.1.5. Adatkezelési jogosultság

12.1.5.1. A kamerák képének élőben történő megtekintésére az ügyvezető jogosult.

12.1.5.2. A rögzített felvétel megtekintésére az ügyvezető jogosult.

12.1.5.3. Az élő kép megtekintésére kizárólag jogsértés gyanúja esetén kerül sor.

12.1.5.4. A rögzített felvétel megtekintésére kizárólag jogsértés gyanúja esetén kerül sor.

12.1.5.5. Kizárólag az ügyvezető jogosult dönteni a felvétel felhasználásáról, illetve továbbításáról.

12.1.6. Adatbiztonsági intézkedések

12.1.6.1. A társaság szervezési és technikai intézkedéseket hoz a felvételek biztonsága érdekében.

12.1.6.2. Az élő képhez, és a tárolt felvételekhez hozzáférés csak biztonságos módon és akként történik, hogy az adatkezelő személye azonosítható legyen. A rögzített felvételek visszanézését és a felvételekről készített mentést a Társaság dokumentálja (6. számú melléklet). A rögzített felvételek visszanézésére kizárólag indokolt és nyilvántartásban rögzített esetben kerül sor. A nyilvántartásban rögzítésre kerül a visszanézés célja, oka, ideje, a felvételt megtekintők pontos személye, és a visszanézés alapján végrehajtott cselekmények.

12.1.6.3. A felvétel továbbításáról a Társaság nyilvántartást vezet, mely tartalmazza az alábbiakat:

  • továbbítás címzettje,
  • ideje,
  • módja,
  • célja,
  • jogalapja.

12.1.6.4. A felvételekhez, illetve az élő képhez kizárólag az ügyvezető a saját felhasználói fiókjával, a jelszava megadását követően fér hozzá.

12.2. Munkáltatói adatkezelés

12.2.1. Munkára jelentkezők adatainak a kezelése

12.2.1.1. A Társaság a megüresedett állásait álláshirdetések feladása útján tölti be.

12.2.1.2. Az adatkezelés célja a társaság által meghirdetett állás betöltéséhez szükséges kiválasztási folyamat lebonyolítása, a kiválasztás során a jelentkezők szakmai és emberi jellemzőinek, iskolai végzettségének, korábbi munkatapasztalatának a megismerése, azért, hogy megtalálja a megüresedett pozíció betöltésére leginkább alkalmas személyt.

12.2.1.3. A társaság által kezelt személyes adatok: pályázók önéletrajza, motivációs levele, esetlegesen a végzettségét és képzettségét igazoló okmányok másolata.

12.2.1.4. A társaság jogalapja a személyes adatok kezelésére a rendelet 6. cikk (1) bekezdés b) pontja szerint a munkaszerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez, így a kiválasztási folyamatban történő részvételhez szükséges.

12.2.1.5.A társaság akár az általa feladott álláshirdetésre történő jelentkezés, akár az álláshirdetés hiányában önkéntesen megküldött jelentkezés esetén a személyes adatokat a jelen szabályzat, illetve a vonatkozó jogszabályok előírásai szerint kezeli. A társaság amennyiben bármilyen módon állásjelentkezést kap, a pályázó érintettet a jelen szabályzat 9. számú mellékletében található adatkezelési tájékoztató útján tájékoztatja az adatkezelés jellemzőiről.

12.2.1.6. A társaság a részére megküldött jelentkezéseket és pályázatokat a meghirdetett pozíció betöltéséhez szükséges ideig, legfeljebb azonban a személyes adatok rendelkezésére bocsátásától számított 1 évig kezeli.

12.2.1.7. Amennyiben valamely érintett álláshirdetés hiányában jelentkezik a Társasághoz azzal a céllal, hogy őt a társaság alkalmazza, a személyes adatai kezelésére legfeljebb a jelentkezése elbírálásához szükséges ideig kerül sor.

12.2.2. Munkaviszony létesítéséhez, teljesítéséhez, módosításához, megszüntetéséhez kapcsolódó személyes adatkezelés

12.2.2.1. A munkaviszonnyal kapcsolatos adatkezelés célja elsősorban a munkaviszony létesítése, teljesítése, módosítása és megszüntetése, és az ehhez kapcsolódó jogszabályi és egyéb kötelezettségek teljesítése.

12.2.2.2. A társaság adatkezelésének jogalapja általánosságban a Rendelet 6. cikk (1) bekezdés c) pontja alapján az Mt. 10. § (1) és (3) bekezdése, mely lehetővé teszi a munkavállalói adatok 12.2.2. pont céljából történő kezelését. A Társaság a jelen pont szerinti általános felhatalmazást adó jogszabályhelyeken felül a konkrét adatkezelési műveletet előíró jogszabályhelyet is megjelöli az adatkezelés jogalapjaként az adatvagyon-leltárában. A társaság a munkavállalók személyes adatait hozzájárulás alapján kizárólag olyan esetben jogosult kezelni, amikor a munkavállalónak valóban van lehetősége arra, hogy szabad belátása szerint döntsön a hozzájárulás megadásáról.

12.2.2.3. A társaság ehhez kapcsolódóan a munkavállalóknak elsősorban az alábbi személyes adatait kezeli:

  1. neve, születési neve,
  2. születési helye és ideje,
  3. állampolgársága,
  4. anyja születési neve,
  5. lakóhelyének, tartózkodási helyének címe,
  6. magán-nyugdíjpénztári
    • tagság ténye,
    • belépés ideje (év, hó, nap),
    • bank neve és kódja,
  1. adóazonosító és társadalombiztosítási azonosító jele,
  2. bankszámla száma,
  3. munkaviszony kezdő napja, valamint a foglalkoztatás időtartamával kapcsolatos további adatok,
  4. biztosítási jogviszony típusa,
  5. heti munkaórák száma, jelenléti ív,
  6. rendes és rendkívüli munkaidő, készenlét, szabadság, pótszabadság, rendkívüli szabadság, táppénz, baleseti táppénz, betegszabadság időtartama,
  7. telefonszáma, e-mail címe,
  8. családi állapota,
  9. végzettséget igazoló okmány másolati példánya,
  10. munka-alkalmassági egészségügyi igazolás, orvosi alkalmasság ténye,
  11. munkaköre,
  12. főálláson kívüli munkavégzés esetén
    • jogviszony jellege,
    • munkáltató neve és székhelye,
    • a főálláson kívüli munkahelyen teljesített havi átlagos munkaidő,
    • elvégzendő tevékenység,
  1. az elszámolást követően a munkaköri alkalmassági záró orvosi vizsgálat elvégzésének ténye,
  2. az Mt. 120. § alapján járó pótszabadság igénybevételével kapcsolatosan:
    • a rehabilitációs szakértői szerv egészségkárosodás megállapítását igazoló okmánya,
    • fogyatékossági támogatásra jogosultságot igazoló okmány fénymásolata,
    • vakok személyi járadékára jogosultságot igazoló okmány fénymásolata,
  1. pótszabadság, családi adókedvezmény, adómentes iskolakezdési támogatás igény bevétele céljából a munkavállaló hozzátartozójának
    • születési helye és ideje,
    • lakcíme,
    • anyja neve,
    • társadalombiztosítási azonosító jele (TAJ szám),
    • adóazonosító jele,
    • érvényes diákigazolvány meglétének ténye,
  1. első házasok adókedvezményének igénybevétele esetén a házastárs vagy bejegyzett élettárs
    • neve,
    • adóazonosító jele,
    • házasságkötés időpontja.

12.2.2.3. A Társaság munkavállalói harmadik személyek (hozzátartozó, eltartott, élettárs, házastárs) személyes adatait kizárólag az érintet előzetes felhatalmazása alapján jogosultak átadni. A személyes adatok átadásával a munkavállalók szavatolják, hogy felhatalmazással rendelkeztek az átadásra, és az adatok a valóságnak megfelelnek.

12.2.2.4. A Társaság kezelheti továbbá

  1. végrehajtói letiltás esetén az ehhez kapcsolódó személyes adatokat,
  2. a céges gépkocsi használata kapcsán a menetlevélen szereplő információkat,
  3. fegyelmi eljárások lefolytatása esetén az ezzel kapcsolatos személyes és egyéb adatokat,
  4. munkaruha biztosítása esetén a munkaruha méretével, típusával, valamint az átadásával kapcsolatos adatokat,
  5. munkabaleset bekövetkezése esetén a balesettel kapcsolatos törvényben meghatározott adatokat, mely magában foglalja a Társaság döntését a baleset minősítésével kapcsolatban,
  6. a Társaság által gyermek születése, vagy közeli hozzátartozó halála esetén nyújtott támogatás folyósításával kapcsolatos személyes adatokat,
  7. céges telefon, SIM kártya, gépjármű rendelkezésre bocsátása esetén az ezzel kapcsolatos adatokat,
  8. vásárlási, fizetési előleg igénylése esetén az ezzel kapcsolatos adatokat,
  9. a munkavállaló támogatás vagy pályázat keretében történő alkalmazásakor az ezzel kapcsolatos adatokat.

12.2.2.5. A társaság jogszabályi kötelezés alapján a munkavállalók személyes adatait továbbíthatja a jogszabályban meghatározott címzettek felé elsősorban, de nem kizárólagosan az alábbiak szerint:

  1. NAV részére a munkavállalók bejelentése és kijelentése kapcsán megküldendő nyomtatvány (T1041),
  2. NAV részére havonta megküldendő adóbevallási nyomtatvány (T1808),
  3. táppénz, gyermekgondozási díj, csecsemőgondozási díj, gyermek ápolás címén igényelt táppénz, baleseti táppénz igénylése esetén a nyomtatványban meghatározott személyes adatok továbbítása a NEAK felé,
  4. letiltás foganatosítása esetén az ehhez kapcsolódó adatok megküldése a végrehajtó felé,
  5. munkabaleset bekövetkezése esetén a jegyzőkönyv és a munkáltató által hozott határozat megküldése a NEAK-nak, valamint a jegyzőkönyv a munkavédelmi hatóság részére,
  6. cafetéria juttatás esetén a cafetéria szolgáltató felé a juttatáshoz szükséges személyes adatok,
  7. támogatás, vagy pályázat útján foglalkoztatott munkavállalók esetén a foglalkoztatással kapcsolatos, jogszabályokban meghatározott személyes adatok továbbítása a folyósító felé,
  8. a nyugdíjbiztosítási szerv megkeresése alapján a munkavállalók korábbi foglalkoztatására vonatkozó személyes adatok.

12.2.2.6. A személyes adatok továbbítására általánosságban a rendelet 6. cikk (1) bekezdés c) pontja alapján az Mt. 10. § (3) bekezdése ad jogalapot a Társaságnak. A Társaság az egyes adattovábbításokat a jelen pontban foglaltakon túl a konkrét adattovábbítást előíró jogszabályok felhatalmazása alapján végzi.

12.2.2.7. A társaság a 12.2.2. pontban írt célból az adatkezelést az adó, társadalombiztosítási, nyugdíjbiztosítási, egészségbiztosítási, munka, munkavédelmi, számviteli, a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló, és valamennyi egyéb, az egyes iratok őrzési idejére vonatkozó jogszabály előírásai szerint végzi.

12.2.3. Munkavállalók ellenőrzésével kapcsolatos adatkezelés

12.2.3.1. A társaság a munkaviszonnyal összefüggő magatartása körében ellenőrizheti a munkavállalókat. Az ellenőrzésre általánosságban az Mt. 11. § (1)-(2) bekezdése ad jogalapot.

12.2.3.2. A társaság előzetesen tájékoztatja a munkavállalót azoknak a technikai eszközöknek az alkalmazásáról, amelyek az ellenőrzésükre szolgálnak.

12.2.3.3. A társaság munkavégzés céljából céges e-mail címet biztosít.

12.2.3.4. A társaság céges e-mailt biztosít a munkavállalói részére, mely a Társaság kizárólagos tulajdonát képezi. A munkavállalók a munkavégzéshez kapcsolódó elektronikus levelezésüket kötelesek a Társaság által biztosított e-mail címen keresztül bonyolítani. A munkavállalók személyes üzeneteket a céges e-mail fiókon keresztül nem küldhetnek, vagy fogadhatnak.

12.2.3.5. A társaság jogosult a munkavállalók munkára képes állapotát a munkavédelemről szóló 1993. évi XCIII. törvény 54. § (7) bekezdés b) pontja alapján ellenőrizni. Az ellenőrzés szabályait a Társaság vonatkozó szabályzatai tartalmazzák.

12.2.3.6. A társaság általánosságban az elévülés bekövetkezése évének utolsó munkanapjáig kezeli a munkavállalók ellenőrzése során keletkezett személyes adatokat.

12.2.4. Munkavállaló kijelölése szerződéses kapcsolattartónak, valamint a személyes adatainak (név, telefon, e-mail) átadása üzleti partnerek

12.2.4.1. A Társaság a fogorvosi járóbeteg-ellátási tevékenysége folytatása során szerződéses kapcsolatba kerül más jogi személyekkel. A szerződésben a szerződés tárgyához kapcsolódóan a szerződő felek kijelölnek kapcsolattartókat abból a célból, hogy a szerződés teljesítése során felmerülő kérdésekkel egymáshoz forduljanak tájékoztatásért, valamint, hogy a szerződés minél hatékonyabb és gyorsabb teljesítése, és a teljesítés közben fellépő problémák mielőbbi megoldása érdekében együtt működnek.

12.2.4.2. A társaság szerződéses kapcsolattartónak olyan személyt jelöl ki, akinek a munkaköréhez kapcsolódik a szerződés tárgya.

12.2.4.3. A társaság az érintett munkavállalót előzetesen tájékoztatja azon szándékáról, hogy kapcsolattartónak kívánja valamelyik szerződésben kijelölni, és lehetőséget biztosít a részére az azonnali tiltakozásra ezzel szemben.

12.2.4.4. A társaság által átadásra kerülő adatok az érintett neve, céges e-mail címe, és céges telefonszáma. A társaság a munkavállaló személyes e-mail címét, vagy telefonszámát semmilyen körülmények között nem adja át harmadik fél részére. Amennyiben a munkavállaló nem rendelkezik céges telefonnal, úgy a Társaság vonalas telefonszáma kerül átadásra, melyen az érintett munkavállaló elérhető.

12.2.4.5. A társaság jogalapja az adatok átadására a rendelet 6. cikk (1) bekezdés f) pontja szerint a jogos érdeke. A társaság jogos érdeke, hogy a szerződéses kapcsolatai zökkenőmentesek legyenek, és a jogi személyek képviselői bármikor késedelem nélkül kapcsolatba tudjanak lépni egymással. A Társaság elemi gazdasági érdeke továbbá a szerződéses partnerrel történő szoros, közvetlen, és állandó együttműködés biztosítása annak érdekében, hogy a vállalt kötelezettségeit minél gyorsabban teljesítse, és jogait minél hatékonyabban érvényesítse.

12.2.4.6. A szerződéses partner az érintett személyes adatait a szerződés teljesítéséhez szükséges időtartamban, valamint azt követően a szerződésből eredő igények elévülési idejének lejártáig kezeli.

12.2.4.7. A kapcsolattartói személyes adatok jogos érdekből történő kezeléséhez kapcsolódóan a Társaság érdekmérlegelés tesztet készített, mely jelen szabályzat 17. számú mellékletét képezi.

12.2.5. Munkáltatói adatkezelési tájékoztató

12.2.5.1. Jelen szabályzat 8. számú melléklete tartalmazza a Társaság részletes munkáltatói adatkezelési tájékoztatóját.

12.3. Számlakezelés

12.3.1. A Társaság abból a célból, hogy

  1. eleget tegyen az általános forgalmi adóról szóló 2007. évi CXXVII. törvény (Áfatv.) 159. § (1) bekezdésében foglalt kötelezettségnek, mely szerint az adóalany (jelen esetben a Társaság) köteles a termékértékesítéséről, szolgáltatásnyújtásáról a termék beszerzője, szolgáltatás igénybevevője részére számla kibocsátásáról gondoskodni, valamint hogy
  2. eleget tegyen a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdésében foglalt kötelezettségének, mely szerint a könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatot legalább 8 évig őriznie kell,

kezeli a számlákon szereplő személyes adatokat. Az adatkezelés célja tehát a számlák kiállítása a gazdasági tevékenysége folytatása során, valamint a Társaság által és a Társaság részére kiállított számlák őrzése a jogszabályi kötelezettségeknek megfelelően.

12.3.2. A számlákon szeplő adattartalom és ezáltal a kezelt személyes adatok lehetséges köre a törvény által pontosan meghatározásra került az Áfatv. 169. § -ban.

12.3.3. Az adatkezelés jogalapja a Rendelet 6. cikk (1) bekezdés c) pontja szerint jogszabályi kötelezettség teljesítése. A Társaság a számla kiállításával a 12.5.1. pont a) alpontja szerinti kötelezettségét teljesíti, a számlák őrzésével pedig a 12.5.1. pont b) alpont szerinti törvényi kötelezettségét teljesíti.

12.3.4. A kiállított számlákat a társaság a Számvitelről szóló 2000. évi C. törvény. 169. § (2) bekezdése szerinti ideig, a számla kiállításától számított 8. év utolsó munkanapjáig őrzi.

12.3.5. A Társaság törvényi kötelezettsége a számlák átadása ellenőrzés céljából az állami adóhatóság részére.

12. Szerződéses partnerek kapcsolattartói személyes adatainak a kezelése

12.4.1. A társaság az egyes szerződések teljesítése érdekében a 12.2.4.1. pont szerinti céllal kezeli a szerződéses partnerei által kijelölt kapcsolattartók meghatározott személyes adatait.

12.4.2. A társaság a személyes adatok kizárólag abban az esetben kezeli, ha a szerződő fél írásban szavatolt azért, hogy a személyes adatok átadására felhatalmazással rendelkezik.

12.4.3. A társaság kizárólag a szerződéses partner által megadott személyes adatokat kezeli, mely azonban nem terjeszkedik túl az érintett nevén, telefonszámán, és e-mail címén.

12.4.4. A társaság jogalapja a személyes adatok kezelésére a Rendelet 6. cikk (1) bekezdés f) pontja alapján a jogos érdeke. A Társaság jogos érdeke, hogy a szerződéses kapcsolatai zökkenőmentesek legyenek, és a jogi személyek képviselői bármikor késedelem nélkül kapcsolatba tudjanak lépni egymással. A Társaság elemi gazdasági érdeke továbbá a szerződéses partnerrel történő szoros, közvetlen, és állandó együttműködés biztosítása annak érdekében, hogy a vállalt kötelezettségeit minél gyorsabban teljesítse, és jogait minél hatékonyabban érvényesítse.

12.4.5. A társaság a személyes adatokat a szerződés teljesítését követően az elévülési idő lejártáig kezeli, mely általános esetben 5 év.

12.4.6. Szerződéses kapcsolattartó személyes adatai kezelése megkezdését követő 1 hónapon belül a társaság e-mailben megküldi az érintett részére a jelen szabályzat 12. számú melléklete szerinti adatkezelési tájékoztatóját.

12.4.7. A szerződéses partnerek kapcsolattartói személyes adatainak jogos érdek alapján történő kezeléséhez kapcsolódóan a társaság érdekmérlegelési tesztet készített, mely jelen szabályzat 13. számú mellékletét képezi.

12.5. Új személyes adatkezelési folyamat bevezetését, vagy meglévő adatkezelési folyamat megváltoztatását megelőzően követendő eljárásrend

12.5.1. Új adatkezelési folyamat bevezetését, vagy meglévő adatkezelési folyamat megváltoztatását kizárólag az ügyvezető rendelheti el.

12.5.2. Azon munkavállaló, akinek a munkakörét érintő feladat teljesítéséhez kapcsolódóan új adatkezelési folyamat bevezetésére vonatkozó igény merül fel, köteles ezt jelezni az ügyvezetőnek.

12.5.3. Azon munkavállaló, akinek a munkakörét érintő adatkezelési folyamat megváltoztatására vonatkozó igény merül fel, köteles ezt jelezni az ügyvezetőnek.

12.5.4. Új adatkezelési folyamat bevezetésére vagy adatkezelés folyamatok megváltoztatására akkor kerül sor, ha az nem ütközik a jelen szabályzat előírásaiba.

12.5.5. Új adatkezelési folyamat bevezetése vagy adatkezelés folyamatok megváltoztatása előtt szükséges meghatározni az adatkezelés fontosabb jellemzői, így elsősorban

  • az adatkezelés célját,
  • az adott cél más adatkezelési művelettel elérhető-e,
  • az adatkezelés jogalapját,
  • az érintettek körét,
  • az érintettekre vonatkozó adatok leírását,
  • az adatok forrását,
  • az adatok kezelésének időtartamát,
  • a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, ideértve a harmadik országokba irányuló adattovábbításokat is,
  • az adatkezelő, valamint az adatfeldolgozó nevét és címét, a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét,
  • az alkalmazott adatfeldolgozási technológia jellegét.

12.5.6. Új adatkezelési folyamat bevezetésekor, vagy már meglévő adatkezelési folyamat megváltoztatásakor az ügyvezető gondoskodik a személyes adatok kezelésére vonatkozó szerződések, nyilvántartások, szabályzatok aktualizálásáról és arról, hogy a módosított, aktualizált adatvédelemmel kapcsolatos dokumentumokat az illetékes személyek megismerjék. Jelen pont szerinti tevékenységét az ügyvezető igazolható módon dokumentálja.

12.6. Egészségügyi adatok, biometrikus- genetikai adatok kezelése

12.5.1. A Társaság a fogorvosi tevékenysége során egészségügyi, biometrikus- és genetikai adatokat kezel.

12.5.2. Az adatkezelés célja a társaság által végzett fogorvosi ellátáshoz szükséges egészségügyi állapot megismerése, az elvégzendő egészségügyi beavatkozáshoz szükséges információk megismerése, a szakszerű és az orvosi szabályok szerint kezelés biztosítása.

12.5.3. A társaság jogalapja a személyes adatok kezelésére a rendelet 9. cikk (2) bekezdés a) pontja szerint az érintett kifejezett hozzájárulása. Az egészségügyi-, biometrikus- és genetikai adatok kezelését minden esetben az érintett páciens előzetes hozzájárulása alapján végzi.

12.5.4. A társaság elsősorban az alábbi egészségügyi, biometrikus és genetikai adatokat kezeli:

  1. Allergia, gyógyszer- érzékenység
  2. Véralvadásgátló használata
  3. Betegségekre vonatkozó adatok
  4. AB profilaxis
  5. Gyógyszerkezelés esetén, fájdalomcsillapító, antibiotikum, szájöblítő használata
  6. röntgen felvételek vonatkozásában, OP felvétel, intraorális felvétel, CT felvétel

g) rendszeresen és alkalmilag szedett gyógyszerek, fájdalomcsillapító, antibiotikum.

12.5.5. A társaság a betegek személyes adatairól ún. betegkartont vezet, amely a 12.5.4. pontban feltüntetett különleges adatokon túlmenően a páciensek alábbi adatait is tartalmazza:

  1. Név
  2. születési hely és idő
  3. Lakcím
  4. Telefonszám
  5. Társadalombiztosítási azonosító jel (TAJ szám)
  6. Egészségbiztosítási pénztár neve és száma

12.5.6. A társaság az érintettek hozzájárulása vonatkozásában űrlapot rendszeresít, amely jelen szabályzat 14. sz. alatti mellékletét képezi. Ezen hozzájárulási nyilatkozat érintett által történő aláírását követően kerülhet sor az adatok kezelésére.

13. Adattovábbítás

13.1. A társaság személyes adatot csak megfelelő jogalappal továbbít, a célhoz kötöttség elvének maradéktalan érvényesítésével. A társaság csak olyan személyes adatot továbbít, amelynek jogszerű adatkezelője.

13.2. Az adattovábbítás feltételeit az adott terület működéséért felelős vezető munkavállaló minden esetben ellenőrizni köteles.

13.3. Az adatfeldolgozásra irányuló adatátadás nem minősül adattovábbításnak.

13.4. Az adattovábbításokról jelen szabályzat 2. számú mellélete szerint a Társaság nyilvántartást vezet.

13.5. Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása – a törvényben kötelezően előírt adattovábbítás esetét kivéve – az ügyvezető hatáskörébe tartozik. Az adattovábbítási kérelem abban az esetben teljesíthető, ha az tartalmazza

  • az adattovábbítást kérő minden kétséget kizáró azonosításához szükséges adatokat,
  • az adattovábbítás célját, jogalapját (az alapul szolgáló törvényi rendelkezés pontos megjelölését),
  • a kért adatok körének pontos meghatározását,
  • az érintett személy azonosításához szükséges adatokat.

13.6. A Társaság az Európai Unión kívüli országba személyes adatot nem továbbít.

13.7. A társaság a 15.2. pont szerint nyilvántartást vezet az adattovábbításairól.

14. Adatfeldolgozók

14.1. A táraság kizárólag olyan adatfeldolgozóval köt adatfeldolgozásra irányuló szerződést, amely megfelelő garanciákat nyújt arra vonatkozóan, hogy az adatkezelés a rendelet követelményeinek megfelelően és az érintettek jogainak védelmét biztosítva történik.

14.2. Az adatfeldolgozás megkezdését megelőzően a társaság meggyőződik arról, hogy az adatfeldolgozó a mindennapi tevékenysége során az adatvédelem megfelelő szintjéhez szükséges technikai és szervezési intézkedéseket megtette.

14.3. Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit a társaság határozza meg. A társaság felel az általa adott utasítások jogszerűségéért.

14.4. Az adatfeldolgozó kizárólag a társaság előzetes írásos engedélye alapján vehet igénybe további adatfeldolgozót.

14.5. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag a társaság utasításai szerint dolgozhatja fel, saját céljára az adatokat nem kezelheti, továbbá a személyes adatokat a Társaság rendelkezései szerint köteles tárolni és megőrizni.

14.6. Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. Az adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.

14.7. A társaság nyilvántartást vezet az adatfeldolgozóiról, mely nyilvántartás tartalmazza az adatfeldolgozás alábbi jellemzőit:

  1. célja,
  2. jogalapja,
  3. adatfeldolgozó adatai,
  4. feldolgozásra kerülő adatok köre,
  5. adatok törlése kezelésének jellemzői,
  6. az adatfeldolgozó igénybe vesz-e további adatfeldolgozót, ha igen, ennek adatai.

14.8. A Társaság az igénybe vett adatfeldolgozókkal kötött adatfeldolgozói szerződésekben a jelen szabályzat 11. számú mellékletében szereplő szerződési feltételeket alkalmazza, valamint meggyőződik arról, hogy az adatfeldolgozó valóban a vonatkozó jogszabályok és jelen Szabályzat szerint kezeli a személyes adatokat.

15. Adatvagyon-leltár és egyéb nyilvántartások

15.1. Adatvagyon-leltár

15.1.1. A társaság a rendelet 30. cikkének történő megfelelés érdekében létrehozza az adatvagyon-leltárát, mely tartalmazza a társaság valamennyi adatkezelési célját és folyamatát, valamint azok legfontosabb jellemzőit.

15.1.2. Az adatvagyon leltár az egyes adatkezelési műveletek kapcsán az alábbiakat tartalmazza:

  1. adatkezelési cél,
  2. kezelt adatok köre,
  3. adatok forrása,
  4. érintett személye,
  5. adatkezelés jogalapja,
  6. a személyes adatokhoz hozzáférők meghatározása,
  7. adatfeldolgozók, valamint azok megjelölése, akik részére az adat továbbításra kerül,
  8. adatkezelés időtartama,
  9. adatkezelés helye,
  10. tartalmaz-e különleges adatokat,
  11. Rendelet szerinti jogalap,
  12. egyéb megjegyzések.

15.1.3. A Társaság minden munkavállalójának kötelessége a személyes adat kezelési tevékenysége során az adatvagyon-leltár naprakészen tartása.

15.1.4. Az adatvagyon-leltár tartalmazza a Társaság valamennyi adatkezelési folyamatát.

15.1.5. Az adatvagyon-leltár mintát jelen szabályzat 1. számú melléklete tartalmazza.

15.2. További nyilvántartások

15.2.1. A Társaság nyilvántartást vezet az adattovábbításairól, az igénybe vett adatfeldolgozókról (14.7. pont; 5. számú melléklet), az adatkezelési tevékenységeiről (adatvagyon-leltár 15.1. pont), és azok jellemzőiről (1. számú melléklet szerinti adattartalom), a 8. pont szerinti jogok gyakorlásáról (15.2.5. pont), valamint az adatvédelmi incidensekről (17.3. pont; 4. számú melléklet).

15.2.2. A személyes adatok 8.4. pont szerinti törlésekor a személyes adatokat a különböző adatvédelemmel kapcsolatos nyilvántartásokból is törli a társaság.

15.2.3. A társaság az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza

  1. az általa kezelt személyes adatok továbbításának időpontját,
  2. az adattovábbítás jogalapját és címzettjét,
  3. a továbbított személyes adatok körének, és érintettjeinek meghatározását,
  4. az adattovábbítás módját, csatornáját, valamint
  5. az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

15.2.4. Az adattovábbítási nyilvántartás naprakész vezetése a társaság minden munkavállalójának kötelessége. Az adattovábbítást végző munkavállaló haladéktalanul rögzíti az adattovábbítást a nyilvántartásban.

15.2.5. A 8. pont szerinti jogok gyakorlására, illetve az ahhoz kapcsolódó kérelmek teljesítésére vonatkozó nyilvántartás tartalmazza

  1. érintett személyére vonatkozó adatok,
  2. azonosítása megtörtént, vagy sem,
  3. kérelem tárgya (gyakorolt jog megnevezése),
  4. kérelem beérkezésének időpontja,
  5. kérelem teljesítésének a határideje,
  6. kérelem előterjesztésének módja, csatornája,
  7. a kérelem alapján tett intézkedéseket,
  8. kérelem teljesítésének az időpontja,
  9. a kérelem alapján tett intézkedésekről szóló tájékoztatás érintett részére történő megadásának időpontját.

15.2.6. Amennyiben az érintett kérelme a személyes adatai törlésére irányultak, úgy a 15.5. pont szerinti nyilvántartás a) alpontja törlésre kerül. A nyilvántartásban szereplő személyes adatokat (15.5. a) alpont) a társaság korlátozás nélkül őrzi, azok törlésére a személyes adatok végleges törlésekor kerül sor.

15.2.7. A társaság minden munkavállalója gondoskodik a személyes adatok kezelésével kapcsolatos nyilvántartások naprakész vezetéséről.

16. Felelősség, jogorvoslat, jogérvényesítés

16.1. A Társaság felelőssége

16.1.1. A társaság felelősséggel tartozik a személyes adatok kezeléséért. Az érintett, aki a rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

16.1.2. A bírósági jogorvoslathoz való jogának érvényesítése érdekében az érintett a társaság, illetve – az adatfeldolgozó tevékenységi körébe tartozó adatkezelési műveletekkel összefüggésben – az adatfeldolgozó ellen bírósághoz fordulhat, ha megítélése szerint az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatait a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírások megsértésével kezeli.

16.1.3. Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet a rendeletet sértő adatkezelés okozott. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a rendeletben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.

16.1.4. Ha a társaság az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett sérelemdíjat követelhet.

16.1.5. Az érintettel szemben a társaság felel az általa igénybe vett adatfeldolgozó által okozott kárért és a társaság köteles megfizetni az érintettnek az adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is. A társaság mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.

16.1.6. Az adatkezelő, illetve az adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

16.2. A Társaság munkavállalóinak felelőssége

16.2.1. A társaság munkavállalója munkajogi, polgári jogi és büntetőjogi felelősséggel tartozik a munkája során végzett adatkezelési műveletek jogszerűségéért és a jelen szabályzatban foglaltak betartásáért.

16.2.2. Vétkes kötelezettségszegésnek minősül amennyiben a munkavállaló nem tartja be a jelen szabályzatban, illetve a személyes adatok kezelésére vonatkozó jogszabályokban foglalt kötelezettségeit. A munkavállalóval szemben ilyen esetben a munkaszerződésében írt hátrányos jogkövetkezmények alkalmazhatóak.

16.2.3. A munkavállaló a jelen szabályzatban, valamint a jogszabályokban foglalt személyes adatok kezelésére vonatkozó kötelezettségének megszegésével okozott kárt köteles megtéríteni, ha nem úgy járt el, ahogy az adott helyzetben általában elvárható.

16.2.4. A kártérítés mértéke nem haladhatja meg a munkavállaló négyhavi távolléti díjának összegét. Szándékos vagy súlyosan gondatlan károkozás esetén a teljes kárt kell megtéríteni.

16.2.5. Nem kell megtéríteni azt a kárt, amelynek bekövetkezése a károkozás idején nem volt előrelátható, vagy amelyet a munkáltató vétkes magatartása okozott, vagy amely abból származott, hogy a munkáltató kárenyhítési kötelezettségének nem tett eleget.

16.3. Az érintettek jogorvoslathoz való joga

16.3.1. Az érintett a jogainak megsértése esetén a társasággal szemben bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.

16.3.2. Az érintett a 16.1. pontban foglaltak szerint kártérítésre, illetve sérelemdíjra lehet jogosult.

16.3.3. A Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH) bejelentéssel a Társasággal szemben bárki vizsgálatot kezdeményezhet arra hivatkozással, hogy személyes adatok kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll, illetve hogy a tájékoztatáshoz, hozzáféréshez, helyesbítéshez, korlátozáshoz, törléshez, jogorvoslathoz való jogainak érvényesítését a Társaság korlátozza, vagy ezen jogainak érvényesítésére irányuló kérelmét elutasítja. A bejelentést az alábbi elérhetőségek valamelyikén lehet megtenni:

Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH)

Posta cím: 1530 Budapest, Pf.: 5.

Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c

Telefon: +36 (1) 391-1400

Fax: +36 (1) 391-1410

E-mail: ugyfelszolgalat@naih.hu

URL: http://naih.hu

16.3.4. Az érintett bármilyen, a személyes adatai kezelésével kapcsolatos kérdéssel, észrevétellel, kérelemmel, panasszal a Társasághoz fordulhat a praxis@alldentklinik.hu e-mail címen, vagy postai úton, illetve személyesen a társaság mindenkori székhelyén. Ilyen esetben a társaság az ügyet legfeljebb 30 napon belül kivizsgálja, és tájékoztatja az érintettet a vizsgálat eredményéről.

16.4. A személyes adatok kezelésével kapcsolatos jogok érvényesítése az érintett halálát követően

16.4.1. Az érintett halálát követő öt éven belül a hozzáféréshez, helyesbítéshez, törléshez, az adatkezelés korlátozásához, és tiltakozáshoz való jogát az érintett által arra ügyintézési rendelkezéssel, illetve közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az adatkezelőnél tett nyilatkozattal – ha az érintett egy adatkezelőnél több nyilatkozatot tett, a későbbi időpontban tett nyilatkozattal – meghatalmazott személy jogosult érvényesíteni.

16.4.2. Ha az érintett nem tett 16.4.1. pontnak megfelelő jognyilatkozatot, a Polgári Törvénykönyv szerinti közeli hozzátartozója annak hiányában is jogosult a helyesbítéshez és tiltakozáshoz, valamint – ha az adatkezelés már az érintett életében is jogellenes volt, vagy az adatkezelés célja az érintett halálával megszűnt – a törléshez és az adatkezelés korlátozásához való jogokat érvényesíteni az érintett halálát követő öt éven belül. Az érintett jogainak 16.4. pont szerinti érvényesítésére az a közeli hozzátartozó jogosult, aki ezen jogosultságát elsőként gyakorolja.

16.4.3. Az érintett jogait a 16.4. pont alapján érvényesítő személyt e jogok érvényesítése -így különösen a Társasággal szembeni, valamint a Hatóság, illetve bíróság előtti eljárás – során az érintett részére megállapított jogok illetik és kötelezettségek terhelik.

16.4.5. Az érintett jogait a 16.4. pont alapján érvényesítő személy az érintett halálának tényét és idejét halotti anyakönyvi kivonattal vagy bírósági határozattal, valamint saját személyazonosságát és hozzátartozói minőségét közokirattal igazolja.

17. Adatvédelmi incidensek

17.1. Az adatvédelmi incidenst a Társaság indokolatlan késedelem nélkül, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, a bejelentéshez mellékelni kell a késedelem igazolására szolgáló indokokat is.

17.2. Az bejelentésben legalább:

  1. ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  2. közölni kell a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  3. ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  4. ismertetni kell a Társaság által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

17.3. A társaság nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó fontosabb tényeket, körülményeket az alábbiak szerint:

  1. időpont,
  2. incidens leírása,
  3. incidens hatása az érintettekre,
  4. érintettek száma,
  5. érintettek kategóriái,
  6. érintett személyes adatok köre, száma,
  7. incidens következményei,
  8. incidens következményeinek orvoslására tett intézkedések,
  9. érintettek tájékoztatása megtörtént-e, és ha igen, mikor.

17.4. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a társaság indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. A tájékoztatásnak ki kell terjednie legalább a 17.2. pont b), c), d) alpontjaiban foglaltakra.

17.5. Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

  1. a társaság megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
  2. a társaság az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
  3. a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

17.6. Adatvédelmi incidens bekövetkezése esetén a társaságnak azonnal meg kell kezdenie annak kivizsgálását. Az adatvédelmi incidenst elsőként érzékelő munkavállaló köteles azt azonnal jelenteni az ügyvezetőnek és az adatvédelmi tisztviselőnek. Ezzel egyidejűleg a munkavállalónak haladéktalanul meg kell tennie mindent annak érdekében, hogy az incidens következményeit enyhítse, a további károkat elhárítsa.

17.7. Incidens bekövetkezése esetén az ügyvezető az adatvédelmi tisztviselő és az incidens körülményeinek felderítéséhez, és a következmények enyhítéséhez szükséges szakértelemmel rendlelkező jogi és informatikai szakértők bevonásával haladéktalanul megkezdi az incidens kivizsgálását és megszüntetését.

18. Adatvédelmi hatásvizsgálat

18.1. Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor a társaság az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

18.2. Hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:

  1. természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
  2. a személyes adatok különleges kategóriái, vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése; vagy
  3. nyilvános helyek nagymértékű, módszeres megfigyelése történik.

18.3. A hatásvizsgálat kiterjed legalább:

  1. a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben a Társaság által érvényesíteni kívánt jogos érdeket;
  2. az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
  3. az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és
  4. a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

18.4. A Társaság adott esetben – a kereskedelmi érdekek vagy a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül – kikéri az érintettek vagy képviselőik véleményét a tervezett adatkezelésről.

18.5. A Társaság szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.

18.6. A hatásvizsgálat eredménye alapján a Társaság dönt az adatkezelési bevezetéséről. Amennyiben a hatásvizsgálat megállapítja, hogy az adatkezelés a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően a Társaság konzultál a felügyeleti hatósággal.

18.7. A Társaság a hatósággal folytatott konzultáció során a hatóságot tájékoztatja:

  1. adott esetben az adatkezelésben részt vevő adatkezelő, közös adatkezelők és adatfeldolgozók feladatköreiről, különösen vállalkozáscsoporton belüli adatkezelés esetén;
  2. a tervezett adatkezelés céljairól és módjairól;
  3. az érintettek e rendelet értelmében fennálló jogainak és szabadságainak védelmében hozott intézkedésekről és garanciákról;
  4. adott esetben, az adatvédelmi tisztviselő elérhetőségeiről;
  5. a hatásvizsgálatról; és
  6. a felügyeleti hatóság által kért minden egyéb információról.

18.8. A Társaság a hatósággal folytatott konzultáció lezártáig nem kezdi meg a hatásvizsgálattal érintett adatkezelést.

Mellékletek:

1. számú melléklet: Adatkezelési nyilvántartás (minta)

2. számú melléklet: Adattovábbítási nyilvántartás (minta)

3. számú melléklet: Érintetti kérelmek, joggyakorlások nyilvántartása (minta)

4. számú melléklet: Adatvédelmi incidens nyilvántartás (minta)

5. számú melléklet: Adatfeldolgozó nyilvántartása (minta)

6. számú melléklet: Kamera felvétel visszanézési nyilvántartás (minta)

7. számú melléklet: Kamerás megfigyeléssel kapcsolatos tájékoztató

8. számú melléklet: Munkáltatói adatkezelési tájékoztató

9. számú melléklet: Adatkezelési tájékoztató álláshirdetésre történő jelentkezés esetén

10. számú melléklet: Tájékoztató e-mail szerződéses partnerek kapcsolattaói személyes adatainak kezelése esetén

11. számú melléklet: Adatfeldolgozói szerződések személyes adatok kezelésére vonatkozó kötelező szerződési feltételei

12. számú melléklet: Kamerarendszer érdekmérlegelési teszt

13. számú melléklet: Szerződéses kapcsolattartók adatainak kezelése érdekmérlegelési teszt

14. számú melléklet: Betegekre vonatkozó adatkezelési hozzájárulás

15. számú melléklet: Adatkezelési tájékoztató páciensek részére

Győr, 2018. május 25.

………………………….

Dr. Kretz István

ügyvezető