A Golden Medical Center Korlátolt Felelősségű Társaság (székhely: 1133 Budapest, Tutaj utca 8. Fsz. 1. ajtó, Fővárosi Törvényszék Cégbírósága cégjegyzékszám: 01-09-304352, adószám: 26146102-2-41, képviseli: Fazekas Ildikó Anita ügyvezető), mint adatkezelő – a továbbiakban Adatkezelő – az Európai Unió 679/2016 számú Általános Adatvédelmi Rendelete – a továbbiakban: GDPR – alapján az alábbi szabályzatot alkotja:
I. ÁLTALÁNOS RENDELKEZÉSEK
1.1. A Szabályzat hatálya
A jelen szabályzat az Adatkezelő működése során tudomására jutott adatok kezelésére, továbbá ezen adatok védelmére terjed ki annak érdekében, hogy az adatkezelő mindazok magánszféráját tiszteletben tartsa, akik a számára adatot adnak át.
II. FOGALMAK
2.1. Kapcsolódó fogalmak:
Adatkezelés:
Művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
Adatkezelő:
Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.
Adatfeldolgozó:
Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
Személyes adat:
Azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Adatvédelmi incidens:
A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi, amely megfelelő és kellő idejű
intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek.
Felügyeleti hatóság:
Nemzeti Adatvédelmi és Információszabadság Hatóság (székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22. C., e-mail: ugyfelszolgalat@naih.hu)
III. TÁJÉKOZTATÁS
3.1. Tájékoztatjuk az ügyfeleinket, hogy az Adatkezelő a tevékenysége során adatkezeléshez kapcsolódóan szükségszerűen adatfeldolgozó (könyvelő) tevékenységét veszi igénybe:
– Adatfeldolgozó: Golden Medical Center Korlátolt Felelősségű Társaság (székhely: 1133 Budapest, Tutaj utca 8. Fsz. 1. ajtó, nyilvántartva a Fővárosi Törvényszék Cégbíróságán
01 09 421174 cégjegyzékszám alatt, statisztikai számjel: 26146102 8623 113 01, adószám: 32382468-2-41, képviseli: ügyvezető) – a továbbiakban Adatfeldolgozó.
Az adatfeldolgozói tevékenység alapja az Adatkezelő és az Adatfeldolgozó által írásban megkötött szerződés, amelyben rögzítésre kerül Adatkezelő mely adatokat adja át és azokkal Adatfeldolgozó milyen tevékenységet végez.
Az adatfeldolgozó az adatkezelő döntése alapján minden személyes adatot visszajuttat az adatkezelőnek vagy töröl, törli a meglévő másolatokat, egy kivétellel, ha a tagállami vagy az uniós jog az adatok tárolását írja elő.
Az adatfeldolgozó elősegíti és lehetővé teszi az adatkezelő által vagy az általa megbízott ellenőr segítségével végzett auditokat, helyszíni vizsgálatokat.
Amennyiben az adatfeldolgozó további adatfeldolgozó segítségét veszi igénybe, úgy őrá ugyanazok a kötelezettségek vonatkoznak, mint amelyek eredetileg a szerződés által létrejöttek az adatfeldolgozó és az adatkezelő között.
3.2. Adatkezelőnél a GDPR 37. cikke alapján adatvédelmi tisztviselő kinevezésére nem kerül sor.
3.3. Adatvédelemmel kapcsolatos kérdéseit levélben postai úton a 1135 Budapest, Szegedi út 54. címre, vagy elektronikus levélben a recepcio@goldendent.hu e-mail címre küldheti meg, amelyre választ a levél megérkezését követ 30 napon belül adjuk meg a választ.
3.4. Adattovábbítás:
Adatkezelő az Európai Gazdasági Térségen kívülre nem továbbít adatokat.
Amennyiben az adattovábbítás az Európai Gazdasági Térségen kívülre is történne, úgy azt kizárólag olyan ország részére, ahol az érintettek adatvédelmi joga, a védelem szintje az Európai Gazdasági Térség előírásival legalább megegyező mértékű.
IV. ADATKEZELÉS CÉLJA, JOGALAPJA ÉS IDŐTARTAMA
4.1. Az adatkezelő az alábbi célokból végez adatkezelést:
a. Az egészségügyi ellátás és kezelés nyújtására vonatkozó szerződés teljesítése.
b. Az egészségügyi ellátással és kezeléssel kapcsolatos jogszabályi kötelezettség teljesítése, így különösen, az egészségügyi adatszolgáltatásra, számlakibocsátásra és számviteli előírásokra vonatkozó jogszabályok teljesítése.
c. A pacienssel kötött szerződés alapján nyújtandó kiegészítő szolgáltatások nyújtása.
e. lehetséges ügyfelek számára marketingtevékenység,
f. munkavállalók és pályázók adatainak kezelése (külön szabályzatban meghatározott feltételekkel),
g. szerződéses partnerek kapcsolattartói adatainak kezelése a szerződés teljesítése céljából,
h. ügyfelek megrendeléseinek (egészségügyi ellátás és kezelés) teljesítése,
i. egészségügyi ellátással és kezeléssel kapcsolatos jogszabályban meghatározott kötelezettség teljesítése céljából.
4.2. Adatkezelés jogalapja, illetve az egyes adatkezelési tevékenységek jogalapja:
– GDPR 6. cikk (1) bekezdés a) pont: érintett hozzájárulása adatainak egy vagy több konkrét célból történő kezeléséhez
– GDPR 6. cikk (1) bekezdés b) pont: az adatkezelés a szerződés teljesítéséhez vagy a szerződés megkötését megelőzően az ügyfél kérésére történő lépések megtételéhez szükséges
– GDPR 6. cikk (1) bekezdés c) pont: az adatkezelés a Golden Dent Kft.-re vonatkozó jogi kötelezettség teljesítéséhez szükséges
– GDPR 6. cikk (1) bekezdés f) pont: az adatkezelés a Golden Medical Center kft. szerződésből eredő jogos érdekeinek érvényesítéséhez szükséges. A Golden Medical Center kft. jogos érdeke a szolgáltatását igénybe vevő személlyel kötött szerződésből eredő jogok és igények érvényesítését, továbbá a Golden Medical Center kftt.-vel szemben támasztott igényekkel szembeni védekezést öleli fel.
– GDPR 9. cikk (2) bekezdés f) pont: az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el
– GDPR 9. cikk (2) bekezdés h) pont: az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében.
Az egészségügyi adatok kezelése tekintetében a Golden Medical Center kft. tájékoztatja a pacienseit, hogy az egészségügyi adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki magyar jogban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll.
Az egyes adatkezelési tevékenységek jogalapja:
a, a számviteli jogszabályoknak megfelelő számlát kiállítása: jogalap: GDPR 6. cikk (1) bekezdés c) pont
b, kapcsolattartás: jogalap (a partnerek munkavállalóinak adatai esetében az adatkezelés) jogalapja: GDPR 6. cikk (1) bekezdés f) pont. Az adatkezelő jogos érdeke: üzletmenet folytonosság.
c, munkavállalók adatainak kezelése: GDPR 6. cikk (1) bekezdés b), c) pontok.
d, szerződéses partnerek adatainak kezelése: jogalap GDPR 6. cikk (1) bekezdés b) pont
e, marketing tevékenység: jogalap: GDPR 6. cikk (1) bekezdés a) pont. Marketing tevékenység céljából Facebook oldal is üzemel, azonban önálló adatbázis létrehozása, profilalkotás nem történik.
f, on-line regisztráció jogalap: GDPR 6. cikk (1) bekezdés a) pont
g, biztonsági kamera üzemeltetése jogalap: GDPR 6. cikk (1) bekezdés f) pont. Az adatkezelő jogos érdeke: vagyonvédelem, munkavállalók esetében a Munka törvénykönyvében meghatározott
munkáltatói jogos érdek.
h, egészségügyi adatok kezelése: GDPR 9. cikk (2) bekezdés f) és h) pontok.
Az érintett személyes adatainak jogos érdek alapján történő kezelése esetén érdekmérlegelést végez az Adatkezelő, melynek során:
a, beazonosítja és rögzíti a jogos érdeket,
b, beazonosítja és rögzíti az érintett érdekeit és jogait,
c, szükségesség és arányosság, a célhoz kötöttség, adattakarékosság, korlátozott tárolhatóság elve
alapján mérlegel és
d, tájékoztatja az érintettet az érdekmérlegelésről.
A Golden Medical Center kft. az alábbi személyes adatokat kezeli:
1. személyazonosító adatok (így különösen, családi és utónév, leánykori név, nem, születési hely és
idő, anyja leánykori családi és utóneve, lakóhely, tartózkodási hely, a társadalombiztosítási
azonosító jel)
2. egészségbiztosításra, más biztosításra vonatkozó adatok
3. elektronikus kapcsolattartási adatok (így különösen, telefonszám, e-mail cím)
4. egészségügyi adat, így különösen a közvetlenül a paciens által vagy harmadik személy által átadott, a paciens testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a paciens számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a paciens egészségi állapotáról.
5. a számlakibocsátással kapcsolatosan kötelezően kezelendő adatok
6. egyéb személyes adatok, amelyeket a paciens a Golden Dent Kft.-vel közöl.
A Golden Medical Center kft. a paciens személyes adatait az alábbi címzettek részére adja át:
– könyvelő;
– könyvvizsgáló;
– labor, egyéb laborok;
– állami hatóság;
– központi regiszterek,
– az IT rendszer üzemeltetését ellátó szolgáltató;
– ügyvéd.
Az érintettnek tiltakozási joga van, mely alapján az Adatkezelő személyes adatot nem kezeli tovább, kivéve, ha az adatkezelést kényszerítő ok indokolja (pl. munkaviszonnyal összefüggésben szükségszerűen kezelendő adatok esetén).
Nem áll fenn kényszerítő indok direkt marketing esetén, tiltakozás esetén az adatokat törölni kell.
4.3. Adatkezelés időtartama:
A számlák, illetve az annak kiállításának alapjául szolgáló okiratok legalább 8 évig megőrzésre kerülnek a jogi kötelezettségek teljesíthetősége érdekében.
A munkaviszony alapjául szolgáló iratok 50 évig kerülnek megőrzésre.
Az egészségügyi dokumentációt az adatfelvételtől számított 30 évig, a zárójelentést 50 évig kell megőrizni az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény értelmében.
Az Adatkezelő által kapcsolattartás céljából kezelt adatok az utolsó kapcsolattartást követő 1 év elteltével kerülnek törlésre.
Az egyes szerződéses kötelezettségek teljesítése körében keletkezett adatok 5 évig kerülnek megőrzésre.
4.4. Érintetti jogok:
Az egyes érintett személyeknek az alábbi jogai vannak a személyes adataikhoz kapcsolódóan:
a, hozzáférési jog (adatok megismerése, az a tény, hogy történik-e adatkezelés),
b, amennyiben egy adat elavult vagy helytelen, ennek kiigazítása,
c, törlés (kizárólag a hozzájáruláson alapuló adatkezelés esetén),
d, az adat kezelésének korlátozása,
e, a személyes adatok direkt marketing célokra való használatának megtiltása,
f, személyes adatainak harmadik személy szolgáltató számára történő átadása, vagy ennek megtiltása,
g, bármely az adatkezelő által kezelt személyes adatról másolat kérése vagy h, tiltakozás a személyes adat használata ellen.
A GDPR 77. cikk (1) bekezdése rögzíti, hogy egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a GDPR rendeletet.
Magyarország területén a Nemzeti Adatvédelmi és Információszabadság Hatóság (székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/c., levelezési cím: 1530 Budapest, Pf.: 5., telefon: +36 1 391 14 00, telefax: +36 1 391 14 10, e-mail: ugyfelszolgalat@naih.hu, webcím: www.naih.hu)
V. ADATVÉDELMI INCIDENS
Az adatkezelő egy esetleges adatvédelmi incidens esetén a jogszabályban, továbbá az Adatkezelő által elfogadott adatvédelmi incidenskezelési szabályzatban foglaltak szerint jár el, amelynek során az adatvédelmi incidens tudomására jutását követő 72 órán belül jelenti az esetet a felügyeleti hatóságnak, illetve az érintettnek.
Ezt követően az Adatkezelő mindent megtesz annak érdekében, hogy az adatvédelmi incidens alapját adó helyzetet megszűntesse, helyreállítsa. Ezek eredményéről az érintettet a lehető leggyorsabban tájékoztatja.
Az adatvédelmi incidenssel, illetve általában az adatkezeléssel összefüggésben az érintett a felügyeleti hatóság részére panaszt nyújthat be, amely a panaszról döntést hoz. A felügyeleti hatóság döntésével szemben bírósági felülvizsgálat kezdeményezhető.
VI. NYILVÁNTARTÁS
Az Adatkezelő a GDPR és a kapcsolódó jogszabályok vonatkozó rendelkezései alapján az alábbi nyilvántartásokat vezeti:
A, Adatkezelések nyilvántartása
Tartalma:
– sorszám
– tevékenység
– kezelt adatok
– adatkezelési cél
– adatkezelési jogalap
– tárolás módja és ideje
– adatkezelő neve és elérhetősége
– adatvédelmi tisztviselő neve és elérhetősége
– adattovábbítás, címzettek
– technikai és szervezési intézkedések
az adatkezelés nyilvántartását tevékenységenként külön kell vezetni.
B, Az adattovábbítás nyilvántartása
Tartalma:
– sorszám
– dátum
– címzett
– harmadik országba történő adattovábbítás
– személyes adatok köre
– adatkezelés, -feldolgozás célja
– adatkezelés, -feldolgozás jogalapja
– adatkezelő neve és elérhetősége
– adatvédelmi tisztviselő neve és elérhetősége
– technikai és szervezési intézkedések
– adattörlésre előirányzott határidő
– jogszabályban meghatározott egyéb adatok (pl. könyvvizsgáló kamarai azonosítója)
C, Adatkezelés megszüntetésének nyilvántartása
Tartalma:
– sorszám
– kérelem időpontja
– érintett neve, azonosító adata
– kérelem tartalma
– intézkedés megnevezése
– intézkedés dátuma
– adatkezelő neve és elérhetősége
– adatvédelmi tisztviselő neve és elérhetősége
D, Adatvédelmi incidensek nyilvántartása
Tartalma:
– sorszám
– incidens ideje
– incidens megnevezése
– érintettek köre
– érintett személyes adatok
– incidens hatása
– intézkedések
– adatkezelő neve és elérhetősége
– adatvédelmi tisztviselő neve és elérhetősége
E, Érintetti és hatósági megkeresések és az arra adott válaszok nyilvántartása
Tartalma:
– sorszám
– megkeresés tárgya és ideje
– érintettek köre
– érintett személyes adatok
– intézkedések
– adatkezelő neve és elérhetősége
– adatvédelmi tisztviselő neve és elérhetősége
F, Az „eltévedt” adatok, megkeresések nyilvántartása
Tartalma:
– sorszám
– beérkezés ideje
– kérelem tárgya
– intézkedés (pl. visszaküldés)
– adatkezelő neve és elérhetősége
– adatvédelmi tisztviselő neve és elérhetősége
G, Előzetes adatvédelmi hatásvizsgálat nyilvántartása
Tartalma:
– sorszám
– hatásvizsgálat ideje
– műveletek leírása, adatkezelési cél, jogos érdek
– szükségesség, arányosság vizsgálata
– kockázatok elemzése, kezelése
– adatvédelmi tisztviselő neve és elérhetősége – adatvédelmi tisztviselő véleménye