Adatvédelem

A VIZIMPLANT FOGÁSZATI KFT ADATVÉDELMI SZABÁLYZATA

Jelen adatvédelmi szabályzatot a Vízimplant Kft (székhely: 9400 Sopron, Deák tér 33. 1/4.) adta ki, és ennek a vállalkozásnak az adatkezelési és adatfeldolgozási műveleteinek szabályozására szolgál.

A Vállalkozás adatai

cégnév: Vízimplant Fogászati Korlátolt Felelősségű Társaság
képviseli: dr. Vízi Attila és dr. Víziné Katter Zsuzsanna ügyvezetők, akik a cégjegyzék adatok szerint mindketten önállóan jogosultak a vállalkozás képviseletére
székhely: 9400 Sopron, Deák tér 33. 1/4.
cégjegyzékszám: 08-09-025780
adószám: 24788742-2-08

A szabályzatot 2018. május 24. napján az ügyvezetők mindketten igazoltan jóváhagyták és 2018. május 25. napjától alkalmazandó.

A jelen szabályzat – amennyiben az ügymenetben és az adatkezelések módszertanában változás nem történik- 2019. január 1. napján külön keletkeztető ok nélkül felülvizsgálatra kerül.

A jelen szabályzatot kötelező felülvizsgálni olyan esetekben, amikor új kockázatértékelésre okot adó esemény, avagy az adatkezelés módjában és metodikájában egyéb lényeges változás történik. Az új kockázatértékelés elkészítésére olyan okból, avagy eseményből kerül sor, amikor valószínűsíthető, hogy az adatok kezelése az érintettekre kockázatot jelenthet, így különösen: új adatkezelési technológia bevezetése, alkalmazása, a korábbitól eltérő módon történő adatgyűjtés, vagy adattovábbítás stb.

Bevezető rendelkezések

A vállalkozásnak a rendes ügymenethez a fogorvosi járóbeteg-ellátása és munkavállalók alkalmazása során elengedhetetlenül szükséges személyes adatokat gyűjtenie és kezelnie. A begyűjtött adatok páciensekre, munkavállalókra, szerződéses partnerekre vonatkoznak, akikkel a vállalkozás a fenti tevékenységei során kapcsolatba kerül.

A jelen szabályzat célja az, hogy biztosítsa a vállalkozás tevékenysége során a személyes adatok védelméhez fűződő jogok érvényesülését továbbá, hogy a vállalkozás által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza a személyes és különleges adatok kezelése során irányadó adatvédelmi és adatbiztonsági szabályokat.

A jelen adatvédelmi szabályzatban rögzítésre kerül a személyes és különleges adatok gyűjtésének, tárolásának és kezelésének módja, valamint rögzítésre kerülnek a vállalkozás adatvédelmi elvei. A jelen szabályzat az adatvédelmi szabályoknak való megfelelést szolgálja.

A jelen adatvédelmi szabályzat biztosítja, hogy a vállalkozás

• megfelel az adatvédelmi jogi követelményeknek és megfelelő adatvédelmi gyakorlatot és operatív tevékenységet folytathat
• védi és figyelembe veszi a munkavállalók, valamint a páciensek, és a szerződéses partnerek jogait és jogos érdekeit
• nyilvánvalóvá teszi az egyes adatkezelési műveleteket (gyűjtés, őrzés, tárolás, törlés, továbbítás)
• szabályozza az adatvédelmi incidens megelőzésére vonatkozó teendőket
• szabályozza a teendőket adatvédelmi incidens esetére.

Értelmező rendelkezések

A jelen szabályzat alkalmazásában

1. Személyes adat: azonosított vagy azonosítható természetes személyre (a jelen szabályzatban: érintett) vonatkozó bármely információ: azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
2. Különleges adat: a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre, az egészségi állapotra, valamint a kóros szenvedélyre vonatkozó és a bűnügyi személyes adat.
3. Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
4. Az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelések korlátozása céljából
5. Nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált, vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető.
6. Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza: ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.
7. Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
8. Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatokat közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek: az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak.
9. Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a
   személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.
10. Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.
11. Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt, vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
12. Adatbiztonság: a személyes adatok jogosulatlan kezelése, így különösen megszerzése, feldolgozása, megváltoztatása és megsemmisítése elleni szervezési, technikai megoldások és eljárási szabályok összessége: az adatkezelésnek az az állapota, amelyben a kockázati tényezőket – és ezzel a fenyegetettséget – a szervezési, műszaki megoldások és intézkedések a legkisebb mértékűre csökkentik.
13. Hardver eszköz: valamennyi olyan eszköz, amelynek feladata az informatikai rendszer folyamatos működésének biztosítása, vagy amely biztonsági adatmentésre, avagy másolatok készítésére szolgál, valamint amely elektronikus vagy egyéb módon a számítógép külső behatás elleni védelmét szolgálja.
14. Hírközlő eszköz: bármilyen technikai eszköz, technológiai eljárás, amely egy vagy több fogadó személy számára jelzések, adatok és információk továbbítására vagy fogadására alkalmas.
15. Információs önrendelkezési jog: az Alaptörvény VI. cikkében biztosított személyes adatok védelméhez való jognak az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról.
16. Egészségügyi adat: az érintett testi, értelmi és lelki állapotára, kóros szenvedélyére, valamint a megbetegedés, illetve az elhalálozás körülményeire, a halál okára vonatkozó, általa vagy róla más személy által közölt, illetve az egészségügyi ellátóhálózat által észlelt, vizsgált, mért, leképzett vagy származtatott adat; továbbá az előzőekkel kapcsolatba hozható, az azokat befolyásoló mindennemű adat (pl. magatartás, környezet, foglalkozás);
17. Egészségügyi dokumentáció: a gyógykezelés során a betegellátó tudomására jutott egészségügyi és személyazonosító adatokat tartalmazó feljegyzés, nyilvántartás vagy bármilyen más módon rögzített adat, függetlenül annak hordozójától vagy formájától;
    

A jogszabályi megfelelés érdekében a vállalkozás vállalja, hogy a személyes adatok gyűjtésére és felhasználására jogszerűen kerül sor, az adatok biztonsága érdekében szükséges lépéseket és intézkedéseket megteszi, továbbá az adatokat jogosulatlanul nem hozza nyilvánosságra.

Alapelvek

A vállalkozás által alkalmazott GDPR az alábbi fontos alapelveket tartalmazza:

1. A vállalkozás által, illetve a vállalkozási szervezetben a cél megvalósulásához szükséges mértékben és ideig csak olyan személyes és különleges adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas. (adatkezelés célja és ideje)
2. az adatgyűjtés és kezelés kizárólag pontosan meghatározott célból és jogcím alapján történik
3. csak annyi adat kerül gyűjtésre és kezelésre, amennyi a célok eléréséhez feltétlenül szükséges, a vállalkozás kerüli a felesleges és irreleváns adatok gyűjtését és tárolását (adattakarékosság)
4. A vállalkozás munkavállalói és külső megbízottjai (a továbbiakban: a vállalkozás alkalmazottai) a feladataik ellátása körében személyes és különleges adatot csak a vonatkozó jogszabályok előírásainak betartásával kezelhetnek.
5. A személyes adatok védelméhez való jog a természetes személyek Alaptörvényben biztosított alapjoga, amely garantálja az adatalanyok információs önrendelkezési jogát. Az információs önrendelkezési jog tiszteletben tartás érdekében a vállalkozás alkalmazottja személyes adatot csak az alábbi esetekben kezelhet:

• az érintett előzetes, önkéntes és kifejezett hozzájárulása
• szerződés teljesítése a teljesítéshez szükséges mértékben
• az érintett vagy a vállalkozás jogos érdekeinek érvényesítése
• a vállalkozás jogi kötelezettségének teljesítése
• az érintett vagy más természetes személy létfontosságú érdeke

6. Személyes adat kezelésére csak a jelen szabályzatban meghatározott valamely célból, jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. Törvényben elrendelt adatkezelés esetén kizárólag a felhatalmazást adó törvényben meghatározott célból valósulhat meg adatkezelés. A vállalkozás által kezelt – vagy a vállalkozás részére más adatkezelő által rendelkezésre bocsátott – személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.
7. A vállalkozás törekszik arra, hogy az általa kezelt adatok pontosak és naprakészek legyenek.
8. A vállalkozás csak addig kezeli a személyes adatokat, ameddig feltétlenül szükséges.
9. A vállalkozás a szükségtelenné vált adatokat véglegesen és helyre nem állítható módon törli.
10. Az adatok feldolgozására csak az érintett jogainak figyelembe vételével kerül sor.
11. A vállalkozás minden tőle telhető és elvárható lépést megtesz az adatok védelme érdekében.
12. A vállalkozás csak akkor továbbítja az Európai Gazdasági Térségen kívül eső harmadik országnak, szervezetnek, magánszemélynek vagy vállalkozásnak, amennyiben az adott harmadik ország, szervezet, magánszemély vagy vállalkozás igazolhatóan biztosítja az adatok biztonságának kellő mértékét és módját.

A szabályzat személyi és tárgyi hatálya

A jelen szabályzat rendelkezéseinek kötelező alkalmazása az alábbi személyi körre terjed ki:

• vállalkozás ügyvezetése
• vállalkozás valamennyi szervezeti egysége, székhelye és telephelye
• a vállalkozás valamennyi munkavállalója, ide értve a gyakornoki és önkéntes munkát végzőket is
• a vállalkozás valamennyi szerződő partnere, alvállalkozója a vállalkozás érdekében és képviseletében a vállalkozás kifejezett írásbeli engedélye szerint eljáró bármely más személy.

A jelen szabályzat hatálya az alábbi adatok körére terjed ki:

Páciens esetén

• név
• nem,
• születési idő
• postai és
• elektronikus levelezési cím: hozzájárulás esetén
• telefonszám: hozzájárulás esetén
• Társadalombiztosítási azonosító jel (TAJ szám)
• különleges adatok: egészségügyi adatok: fogászati státusz, fog és szájüregi betegség, egyéb veleszületett, illetve tartós betegség, rendszeres gyógyszerszedés, allergiák, melyek a fogászati és szájsebészeti kezeléseket befolyásolhatják: önkéntes adatszolgáltatás és hozzájárulás alapján kerülnek kezelésre
• fogászati röntgenfelvételek, kórlapok és orvosi szakvélemények, beutalók.

A különleges adatok érzékenységükre tekintettel az egyéb személyes adatoktól elkülönítetten kerülnek kezelésre.
Az adatokhoz az ügyvezetők és az adatvédelmi szabályzatra és a titoktartási kötelezettségre kioktatott alkalmazottak férhetnek hozzá. Az adatok kizárólag a szükséges körben kerülnek továbbításra a fogtechnikus részére.

Munkavállaló esetén

• név,
• születési hely, idő
• édesanyja neve
• lakcím
• TAJ szám
• adóazonosító jel
• szervezetben betöltött szerep
• béradatok
• elektronikus levelezési cím: hozzájárulás esetén
• telefonszám: hozzájárulás esetén
  Adataikhoz az ügyvezetők férhetnek hozzá, és továbbításra kerülnek a könyvelő részére a munkavállalókkal kapcsolatos jogszabályi kötelezettségek teljesítése érdekében.
  Az adatkezelés a Ptk. rendelkezései, az Mt. rendelkezései, az Szja törvény rendelkezései, az Art. rendelkezései, valamint személyes hozzájáruláson alapul.
  Az adatkezelés célja: a jogszabály által előírt nyilvántartási, adatbejelentési, valamint adófizetési kötelezettségnek való megfelelőség.

Kockázatok

A jelen szabályzat különösen az alábbi kockázatokkal szembeni védelmet hivatott elősegíteni:

• az adatok jogosulatlan személy vagy személyek általi megszerzése
• érintett adatokkal való rendelkezési jogának megsértése
• adatok biztonsági rendszer megsértésével/ kijátszásával történő megszerzése

A teljes jogszabályi és jogi megfelelés biztosítása a vezetőség feladata, ennek körében

• Munkavállalók, szerződő partnerek, alvállalkozók tájékoztatása az adatvédelmi kötelezettségekről, kockázatokról és feladatokról.
• Adatvédelmi folyamatok és szabályzatok kialakítása, a folyamatok és szabályzatok rendszeres vizsgálata.
• Az érintettek megkeresésére tájékoztatás nyújtása arról, hogy a vállalkozás milyen adatait tárolja és kezeli
• Intézkedés adatvédelmi incidens esetére.
• Harmadik féllel kötött olyan megállapodások vizsgálata, amelyek adatkezelési- és továbbítási kérdéseket vetnek fel.
• Együttműködés a partnerekkel és beszállítókkal, azok adatvédelmi tisztségviselőivel az adatkezelések biztonsága érdekében.
• kapcsolattartás az illetékes adatvédelmi hatósággal
• vonatkozó jogszabályok nyomon követése az adatvédelmi ismeretek naprakészen tartása érdekében
• Ellátja a GDPR és az Infotörvény rendelkezéseiben meghatározott további feladatokat.

Vállalkozási struktúra

a) A vállalkozás ügyvezetői
A vállalkozás ügyvezetői valamennyi, a vállalkozás rendelkezésére bocsátott adatot megismerhetik, felelősek a vállalkozás valamennyi adatkezelő és adatfeldolgozó tevékenységéért.
Az ügyvezetők kötelesek rendszeresen felülvizsgálni és aktualizálni a rendelkezésre álló adatokat, annak érdekében, hogy személyes adat szükségtelenül ne kerüljön sem tárolásra, sem egyéb kezelésre. A már szükségtelenné váló adatok törlése az ügyvezetők felelőssége.
b) a vállalkozás munkavállalói
Valamennyi munkavállaló (gyakornok, önkéntes), aki a jelen szabályzatban meghatározott adatokhoz hozzáfér a megszerzett adatokat kizárólag a munkavégzése körében és céljából kezelheti, rögzítheti, tarthatja nyilván.
A munkavégzés során megszerzett adatokat a munkavállaló erre vonatkozó külön írásos engedély nélkül nem oszthatja meg arra illetéktelen személyekkel, nem teheti közzé, adatot önkényesen nem kezelhet.
A vállalkozás biztosítja, hogy a munkavállalók képzés/oktatás keretében ismerhessék meg a pontos teendőket és feladatukat, valamint felelősségüket az adatvédelem és az adatkezelés tekintetében.
A munkavállalók kötelesek valamennyi birtokukba jutott adatot biztonságosan kezelni, munkavégzésük során elővigyázatosnak lenni, és a jelen adatvédelmi szabályzatban meghatározott feladatokat végrehajtani.
Az arra fel nem hatalmazott személlyel vagy személyekkel nem oszthat meg személyes adatokat, sem a vállalkozáson belül, sem azon kívül.

Amennyiben a munkavállaló bizonytalan a helyes adatkezelés, vagy az adatvédelmi szempontok tekintetében, úgy köteles tanácsért a vállalkozás ügyvezetőihez fordulni.
Ha a munkavállaló tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy időszerűtlen, köteles a helyesbítését az ügyvezetőnél, vagy az adat rögzítéséért felelős munkatársnál kezdeményezni.
A vállalkozás adatkezelést végző alkalmazottja fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a munkavégzés során tudomására jutott személyes adatok jogszerű kezeléséért, a vállalkozás nyilvántartásaihoz rendelkezésére álló hozzáférési jogosultságok jogszerű gyakorlásáért.

Fizikai védelem

A vállalkozás az alábbi fizikai védelmi eszközöket és módokat alkalmazza:

• zárható rendelő
• zárható szekrény, kartoték
• elkülönített zárható kezelőhelység zárható szekrényekkel
• riasztó
• beléptető kamera

Adattárolás

A jelen bekezdés célja annak meghatározása, hogy az adatokat hol és milyen módon szükséges kezelni ahhoz, hogy az adatok biztonsága biztosítható legyen.

a) Papír alapú adatkezelés
Jelen vállalkozás kizárólag papír alapú nyilvántartást vezet a betegekről és a munkavállalókról. A papír alapon kezelt adatokat olyan biztonságos helyen szükséges tárolni, ahol arra jogosulatlan személy azokat nem ismerheti meg.
A vállalkozás munkatársai kötelesek gondoskodni arról, hogy az iratokhoz arra jogosulatlan személyek ne férjenek hozzá.

b) Elektronikus adatkezelés
Elektronikus adatkezelés kizárólag a röntgenfelvételek esetében történik. Amennyiben az adat hordozható adattárolón (CD, DVD, pendrive, egyéb külső adattároló) kerül rögzítésre, ezek az adattároló eszközöket a használatot követően biztonságos helyen, jogosulatlan személyek számára hozzáférhetetlenül szükséges tárolni.
A postai küldemények átvételére a vállalkozás ügyvezetői jogosultak. Átvételre jogosult lehet más, az ügyvezetők által erre meghatalmazott személy is azzal, hogy a küldemények bontására továbbra is az ügyvezetők jogosultak.

Az adatok felhasználása

A vállalkozás az adatkezelés eltérő célja (gyógykezelés és foglalkoztatás) alapján végez adatkezeléseket. Az ügyvitelhez kapcsolódó adatkezelés a szerződés/megállapodás nyilvántartásához, feldolgozásához kapcsolódik. Alapvető célja az adott szerződéshez tartozó feladatok elvégzéséhez, az adatkezelés szereplőinek azonosításához és a szerződés lezárásához szükséges adatok biztosítása. Az ügyviteli célú adatkezelés során a személyes adatok kizárólag az adott szerződés irataiban és az ügyviteli segédletekben szerepelnek, a kezelésük ebből a célból csak az alapul szolgáló irat selejtezéséig lehetséges.
A nyilvántartási célú adatkezelés az egyes adatfajtákból álló adatállományt hoz létre, az adatkezelés időtartama alatt biztosítva az adatok különböző jellemzők alapján történő visszakereshetőségét. Az adatok jogszerű és célhoz kötött használata során az alábbi intézkedések megtétele kötelező annak érdekében, hogy:

a) az adatkezelővel munkavégzésre irányuló jogviszonyban álló személyek adatait tartalmazza;
b) a gyógykezelésben részesülő személy betegségére, egészségi állapotára, kezelésére vonatkozó személyes adatokat tartalmaz, gyógykezelés, vagy az egészség megőrzése céljából;
A személyes adatok kezelésének célja a vállalkozás üzletviteli tevékenysége során történő felhasználása, ennek megfelelően az alábbi feladatok azonosíthatók:

• személyes adat csak olyan levelezőrendszeren küldhető tovább, melynek biztonsága és zárt jellege garantált, továbbá olyan címzett számára, aki megfelelő és biztos módon beazonosítható olyan személyként, aki a fogadott személyes adatokat jogszerűen megismerheti, vagy személyes adat átadása nélkül kerül sor konzultációra a levelezőrendszeren vagy telefonon
• a személyes adatokat tartalmazó fájlokat, üzeneteket kóddal, vagy egyéb módon titkosítani szükséges
• a személyes adatok Európai Gazdasági Térségen túli továbbítása fő szabály szerint tilos; amennyiben annak továbbítása mégis szükségessé válik, úgy azt csak olyan fogadó részére szabad továbbítani, aki igazoltan megfelel a GDPR-ban foglalt valamennyi adatvédelmi követelménynek.
• a vállalkozás működése során nem vihető ki a személyes adatokat tartalmazó iratokat a vállalkozás székhelyéről vagy telephelyéről. Amennyiben ez mégis szükségessé válna, úgy e tekintetben a munkavállalók kötelesek azt bejelenteni, és egyedi jóváhagyást kérni az ügyvezetőktől.

A kezelt adatok pontossága

A vállalkozás jogszabályi kötelezettsége az általa kezelt személyes adatok naprakész és pontos nyilvántartása.
A vállalkozás kiemelt figyelmet fordít a nyilvántartott különleges adatok naprakészségére és pontosságára.
A fentiek okán a vállalkozás valamennyi munkavállalójának kiemelt feladata, hogy a tőle telhető legjobb módon az adatokat naprakészen és pontosan tartsa nyilván.
Az adatokat a lehető legkevesebb adattároló helyen szükséges tartani, a vállalkozás munkavállalói feleslegesen és engedély nélkül semmilyen egyéb nyilvántartást, vagy személyes adatokat tartalmazó egyéb forrást nem készíthetnek.
A vállalkozás valamennyi munkatársa köteles azon lenni, hogy a személyes adatok naprakészek legyenek, és kötelesek az adatokat az ügyfél- és egyéb kapcsolatok során folyamatosan egyeztetni.
A vállalkozás az érintettek számára folyamatosan biztosítja az adatpontosítás lehetőségét.
Amennyiben a kezelt adatok körében pontatlan adatok kerülnek elő, azt haladéktalanul pontosítani szükséges, így különösen, ha az ügyfél az általa megadott telefonszámon vagy elektronikus levelezési címen már nem érhető el. Az elektronikus levelezés mindaddig elérhetőnek tekinthető, ameddig az ügyfél a cím megváltozását nem jelenti be, vagy onnan a kézbesítés sikertelenségére vonatkozó rendszerüzenet vissza nem érkezik. Az érintett jelzésének hiányában is pontatlannak bizonyult adatot valamennyi rendszerből és adattárolóról a pontatlanság megállapítását követően haladéktalanul törölni szükséges.

A vállalkozás az ügyfelek és páciensek elektronikus levelezési címét azok hozzájárulása esetén kizárólag időpont egyeztetés, időpont módosítás, az „érintett hozzáférési jogának” (ld lentebb)
gyakorlása céljából, illetve a kiállított számla megküldésére használja, azon marketing tevékenységet nem végez.
A vállalkozás az ügyfelek és betegek telefonszámát azok hozzájárulása esetén kizárólagosan időpont egyeztetésre, a megbeszélt időpont módosítása céljából használja.
A vállalkozás ügyvezetői kizárólagosan jogosultak arra, hogy az ügyfelekkel, betegekkel az elektronikus levelezési címük felhasználásával a fenti célból levelezést folytassanak. A hozzájárulás megtagadása, illetve megvonása esetén a telefonszám és elektronikus levelezési cím törlésre kerül.

Valamennyi érintett, akinek a vállalkozás a személyes adatait kezeli, jogosult:

• tájékoztatást kérni arról, hogy milyen okból és mely adatait kezeli a vállalkozás,
• tájékoztatást kérni azon címzettekről vagy címzettek kategóriáiról, akikkel, illetve amelyekkel a személyes adatokat közölni fogják, ideértve különösen a harmadik országbeli címzetteket, nemzetközi szervezeteket,
• adott esetben a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, az időtartam meghatározásának szempontjai,
• kérheti az adatok helyesbítését, törlését vagy kezelésének korlátozását, tiltakozhat a személyes adatok kezelése ellen,
• ha az adatokat a vállalkozás nem az érintettől gyűjtötte, a forrásukra vonatkozó valamennyi fellelhető információ
• a Hatósághoz fordulás lehetőségéről,
• tájékoztatást kérni arról, hogy hogyan érheti el a vállalkozás által kezelt adatokat,
• tájékoztatást kérni arról, hogy a vállalkozás naprakészen tartja -e az adatait, és milyen intézkedéseket hozott naprakészen tartás érdekében,
• tájékoztatást kérni arról, hogy a vállalkozás hogyan teljesíti az adatvédelmi kötelezettségeit.

Amennyiben valamely érintett a fenti tájékoztatás egyikét kéri, azt az „érintett hozzáférési jogának” hívjuk.
Az érintett hozzáférési joga e-mailen érkezhet, a vállalkozás ati.vizi@upcmail.hu elektronikus levelezési címére. A vállalkozás az ilyen igények bejelentésére űrlapot alkalmazhat, melyet az érintetteknek azonban nem kötelező alkalmazni, az elektronikus levélben történő bejelentés is érvényes bejelentésnek minősül.
A vállalkozás az érintett hozzáférési kérelmének 6 héten belüli megismételt teljesítéséért 2.000,-Ft, azaz kettőezer forint adminisztrációs díjat kérhet kérésenként. A vállalkozás az érintett kérelmét 30 (harminc) napon belül köteles teljesíteni.

Az érintettnek joga van továbbá

• hozzájáruláson alapuló adatkezelés esetén a hozzájárulását visszavonni,
• tiltakozni a személyes adatai kezelése ellen
• kérni az adatai más szerv/személy részére történő hiánytalan továbbítását (adathordozhatóság): Az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, és ezeket az adatokat egy másik adatkezelőnek továbbítsa.
  A vállalkozás minden esetben pontosan azonosítja az adatkérő személyét a kért információ kiadását megelőzően.
  A vállalkozás ügyvezetői jogosultak dönteni az érintett kérelméről. Ha munkavállalóhoz érkezik a megkeresés, azt haladéktalanul köteles a vállalkozás ügyvezetői részére továbbítani.

Az adatok egyéb okból történő hozzáférhetővé tétele
Meghatározott feltételek mellett a GDPR rendelet megengedhetővé teszi azt, hogy jogérvényesítési okokból az érintett hozzájárulása nélkül is más számára megismerhetővé tegye az egyes személyes adatokat.
A vállalkozás jogosult a személyes adatokat másokkal megosztani, azzal, hogy a megosztás kizárólag az igényérvényesítéshez szükséges terjedelemben és okból, illetőleg kizárólag jogszerű megkeresés alapján, szükség esetén ügyvéd tanácsának kikérése mellett történik.
Az adatok adatfeldolgozó részére történő átadása
A vállalkozás kizárólag az alábbi személyekkel és vállalkozásokkal, hatóságokkal (a jelen szabályzatban a továbbiakban: Partner) osztja meg az érintettre vonatkozó személyes adatokat:

• Eco-Union Consulting Kft. Mag. Phil. Duchon Gerhard, könyvelő, 9400 Sopron, Bánfalvi utca 131. adózási kötelezettségek teljesítése érdekében: név és cím
• AlphaDent Fogtechnikai Kft, képv. Guzsván Csaba, 9400 Sopron, Arany János utca 13.: protetikai, fogtechnikai munkálatok elvégzése és ezen munkákkal kapcsolatos konzultáció érdekében.: név, nem, születési idő, fogászati státusz
• magánbiztosítók részére kizárólag a páciens beleegyezésével kerülnek továbbításra a biztosító által igényelt adatok. Név, születési idő, lakcím, kártyakód
  Fenti partnerek a GDPR rendelet által megkövetelt adatkezelési szabályoknak megfelelnek. Más személyeknek, adatfeldolgozóknak a személyes adatok nem kerülnek továbbításra.

A vállalkozás minden esetben, valamennyi együttműködő partner tekintetében az adatok továbbításának megkezdése előtt meggyőződik arról, hogy az adott partner az Európai Uniós és magyarországi adatvédelmi szabályoknak megfelelően jár el. A vállalkozás valamennyi partnerrel írásbeli szerződést köt, melyben rögzítésre kerül:

• az adatkezelés módja
• az adatkezelés időtartama

Tájékoztatási kötelezettség teljesítése
A vállalkozás biztosítja, hogy az érintettek tisztában legyenek azzal, hogy a személyes adataik feldolgozásra kerülnek, és felvilágosítást kapjanak arról, hogy:

• hogyan használják/dolgozzák fel az adataikat
• hogyan érvényesíthetik a jogaikat.
  A fenti okból a vállalkozás adatvédelmi tájékoztatót készít, és könnyen hozzáférhetővé teszi a magánszemélyek számára, még az adatkezelés megkezdését megelőzően. Az adatvédelmi tájékoztató minden adatkezelési művelet vagy műveletsorozat tekintetében külön-külön meghatározza az érintettek jogait, továbbá rögzíti az adatkezelés célját, módját, idejét.
  Az adatkezelési tájékoztatót a vállalkozás az érintett kérésére bármikor megküldi, azzal, hogy az adatvédelmi tájékoztató a vállalkozás weblapján is megtalálható, illetve a vállalkozás székhelyén, és telephelyein is rendelkezésre állnak.

Az adatkezelés időtartama

Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény 30. § (1) bekezdése alapján az egészségügyi dokumentációt – a képalkotó diagnosztikai eljárással készült felvételek, az arról készített leletek, valamint a (7) bekezdés kivételével – az adatfelvételtől számított legalább 30 évig, A (2) bekezdés alapján a képalkotó diagnosztikai eljárással készült felvételt az annak készítésétől számított 10 évig, a felvételről készített leletet a felvétel készítésétől számított 30 évig kell megőrizni. Ezen határidők az utolsó kezeléstől számítandóak.
Munkavállalók esetén: Mt., Szja törvény és az adózás rendjéről szóló 2017. évi CL. törvény alapján legalább 10 évig, ezt követően abban az esetben folytatódik a megőrzésük, amennyiben a munkavállalással kapcsolatos dokumentumok nem kerültek személyesen átadásra az érintett munkavállalónak. Munkaviszony megszűnésekor ügyvezetők és a volt munkavállaló átnézik a munkaviszony során keletkezett személyes adatokat tartalmazó dokumentumokat, és az ennek során szükségtelennek nyilvánított személyes adatok azonnal törlésre kerülnek.
A megőrzési időt követően a papír alapon kezelt adatok megsemmisítésre kerülnek, amennyiben azok nem kerültek átadásra az érintett részére.
Az elektronikusan tárolt adatok véglegesen és helyre állításra nem alkalmas módon törlésre kerülnek.

A személyes adatok törlése

A vállalkozás törli a személyes adatokat, ha

• a jogszabály által előírt kötelező nyilvántartási idő eltelt
• a hozzájáruláson alapuló adatok esetén az érintett a hozzájárulását visszavonja, és az adatkezelésnek más jogalapja nincsen
• a személyes adatok kezelése valamely okból jogellenesen történt
• a személyes adatokat jogi kötelezettség teljesítése érdekében törölni kell
  A törlés szükségességének felismerése az ügyvezetők feladata.
  A vállalkozás nem töröl olyan adatot, mely a jogi kötelezettsége teljesítéséhez, illetőleg a jogai érvényesítéséhez szükséges.
  A személyes adatok törlése végleges, és helyreállíthatatlan módon valósul meg.
  A papír alapú nyilvántartások esetén a vállalkozás iratmegsemmisítővel tesz eleget ezen kötelezettségének, illetve az érintett részére átadásra kerülnek igény esetén, amennyiben ez más jogait és érdekeit nem sértik.
  Elektronikus nyilvántartások esetén a vállalkozás megfelelő szoftver segítségével tesz eleget ezen kötelezettségének, mely szoftver törlési vagy rendszeres felülvizsgálati határidők alkalmazásával biztosítja a szükségtelenné vált adatok törlését.

Beléptető kamera használata

A vállalkozás a bejárati ajtónál elhelyezett 1 darab kamerát használ kizárólag a beléptetéskori azonosítás és vagyonvédelem céljából. A kamera csak képet rögzít, hangot nem, látószöge a bejárati ajtóra fókuszál. A rögzített felvételeket kizárólag a vállalkozás ügyvezetői kezelik, és a felvételek 3 munkanapot követően automatikusan, véglegesen és helyre nem állítható módon törlésre kerülnek. Amennyiben a kamerafelvétel 3 munkanapig történő megőrzése valamely személy személyiségi jogait fokozott mértékben sérti, kérheti a felvétel azonnali törlését, amennyiben a határidő előtti törlés más személy jogait, vagy jogos érdekeit nem sérti.
A felvételek kizárólag bűncselekmények vagy szabálysértések elkövetésének gyanúja esetén a hatóságok részére kerülnek továbbításra, azokat a vállalkozás más célra nem használja. A kameraállásnál adatkezelési tájékoztató kerül elhelyezésre a belépő személyek tájékoztatására. A kamerahasználatról a munkavállalók tájékoztatva lettek. A kamerahasználatról a munkavállalók tájékoztatva lettek. A kamerafelvételeket kizárólag az ügyvezetők kezelik.

A honlap megjelenésével kapcsolatos adatkezelés

1) A vállalkozás honlapján a bárki számára hozzáférhetően közzétett tartalmak megtekintése személyes adatok megadása nélkül lehetséges.
2) Az adatkezelő a honlapon keresztül, kezdeményezett, e-mailben közölt kérdéseket, észrevételeket tájékoztatás és időpont egyeztetés, szolgáltatásának tökéletesítése céljából felhasználja és tárolja. Az ezzel kapcsolatos adatok megadása önkéntes, a fenti célokkal történő adatkezeléshez való hozzájárulást az adatkezelő az e-mail elküldésével megadottnak tekinti. A kérdéseket, véleményeket, észrevételeket tartalmazó e-maileket az adatkezelő legfeljebb 1 évig őrzi meg, amennyiben korábban megszűnik az adatkezelés célja, annak bekövetkeztével törli az e-mailt.

Közösségi oldalakon történő jelenlét

1) Az adatkezelés jogalapja: Az Adatkezelő közösségi oldalakon lévő profiljához kapcsolódó adatkezelés önkéntes hozzájáruláson alapul.

2) Az adatkezelés célja: Az Adatkezelő honlapján található tartalmak közösségi oldalakon történő megosztása, az erre való figyelemfelhívás, marketing.

Kezelt adatok és céljuk

3) Az érintettek köre: Minden természetes személy, aki az Adatkezelő közösségi oldalait lá- togatják, követik, az azon elhelyezett tartalmakhoz viszonyulnak (like/dislike), azokat megosztják saját ismerőseik között részben vagy teljes körűen.

4) Az adatkezelés időtartama: A leiratkozásig.

Intézkedések adatvédelmi incidens esetén

A vállalkozás munkavállalója, együttműködő partnere adatvédelmi incidens esetén azonnal köteles értesíteni a vállalkozás ügyvezetőit, akiknek haladéktalanul vizsgálatot kell indítaniuk az incidens kockázatának felmérésére.
Amennyiben az adatvédelmi incidens kockázatot jelent az érintett jogaira nézve, úgy a vállalkozás legkésőbb 72 (hetvenkét) órán belül köteles azt bejelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóság incidens- bejelentési nyilvántartási rendszerébe.

A bejelentésben

• ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát
• közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségét
• ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket
• ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket
• ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
  Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
  A vállalkozás nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslásra tett intézkedéseket.
  Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságára nézve, a vállalkozás indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell:

• az adatvédelmi incidensből eredő, valószínűsíthető következményeket
• a vállalkozás által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
  A vállalkozás mellőzi az érintett tájékoztatását, ha a következő feltételek bármelyike teljesül:
• A vállalkozás megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat
• a vállalkozás az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg.
• a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

EGYÉB RENDELKEZÉSEK

A vállalkozás az adatvédelmi szabályzat megváltoztatásának jogát fenntartja.

Mellékletek:
I. Adatkezelési nyilvántartás
II. Adatkezelési tájékoztató magyar és német nyelven
III. Adatlap és nyilatkozat páciensek részére
IV. Adatlap és nyilatkozat páciensek részére különleges adatokról
V. Adatlap és nyilatkozat szerződéses partnerek részére
VI. Adatlap és nyilatkozat munkavállalók részére
VII Kiskorú személy adatainak kezeléséhez történő törvényes képviselői hozzájáruló nyilatkozat
VIII. Adatlap kiskorúak részére különleges adatokról

Sopron, 2018. május 24.