fbpx

Adatkezelési és adatvédelmi szabályzat

/Adatkezelési és adatvédelmi szabályzat
Adatkezelési és adatvédelmi szabályzat 2020-10-26T19:42:33+00:00

Buteyko Légzés Központ

2000 Szentendre, Gerinc utca 4.

Telefon: 06-20-955-3435

E-mail: info@buteyko.hu , web: www.buteyko.hu

 

 

Buteyko Légzés Központ

 

ADATKEZELÉSI ÉS ADATVÉDELMI SZABÁLYZATA

 

A Buteyko Légzés Központ (a továbbiakban „Szolgáltató”) Adatkezelési Szabályzata (továbbiakban „Szabályzat”) a Szolgáltató által ellátott paciensek, valamint a Szolgáltatóval más módon kapcsolatba kerülő személyek és szervezetek (különösen beszállítók, üzleti partnerek, etc.) személyes- és egészségügyi adatainak hagyományos (manuális), és elektronikus úton történő kezelésének eljárásrendjét rögzíti.

A szabályzat célja az érintettek személyes és egészségi állapotára vonatkozó adatainak védelme az adatkezelés, adattovábbítás és adattárolás egész folyamatában, a Szolgáltató működési körében.

 

I. A SZABÁLYZAT HATÁLYA

 

A Szabályzat hatálya kiterjed:

  • a Szolgáltató által bármely telephelyén elvégzett programra, ahol egészségügyi és személyazonosító adatot kezelnek,
  • minden természetes és jogi személyre, aki/amely a Szolgáltató tevékenységével összefüggésben személyes és egészségügyi adatot kezel, vagy azzal kapcsolatba kerül;
  • minden, az adatvédelmi jogszabályok alapján személyes adatnak minősülő adatra;

 

1.1 A Szabályzat alapját képező jogszabályok, a benne használt fogalmak, fogalommagyarázatok

 

DPO Adatvédelmi Tisztviselő

  • az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény („Eüak.”)
  • az egészségügyről szóló 1997. évi CLIV. törvény („Eütv.”)
  • GDPR Az Európai Parlament és a Tanács (EU) 2016/679 Rendelet (általános adatvédelmi rendelet)
  • az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII.

törvény („Infotv.”)

 

adatfeldolgozó: az a természetes vagy jogi személy, amely az adatkezelő nevében személyes adatokat kezel;  adatkezelés:  a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

adatkezelő: az a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza;  adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;  adatvédelmi jogszabályok: a GDPR rendelkezései;

adatfelvevő: a programot levezénylő Buteyko specialista; egészségügyi adat: az érintett tüneteire, betegségeire, gyógyszereire, testi és lelki állapotára, fizikai edzettségére, teljesítőképességeire vonatkozó adatok; dokumentáció: a program során az érintett által az adatfelvevővel közölt és és az adatfelvevő által rögzített feljegyzés, amely a személyazonosító adatokon kívül az érintett állapotát illetve állapotának változását dokumentálja; érintett: azonosított vagy azonosítható természetes személy; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, telefonszám, lakcím, e-mail cím;

Buteyko foglalkozás: minden olyan tevékenység, elvégzett gyakolat, amely a program során az egészség megőrzésére, javítására irányul;  Buteyko specialista: a Buteyko programot levezénylő személy; titok: a program során az adatkezelő és adatfelvevő tudomására jutott egészségügyi és személyazonosító adat; személyes adat: az érintettre vonatkozó bármely információ, például a családi és utónév, leánykori név, a nem, a születési hely és idő, az anya leánykori családi és utóneve, a lakóhely, a tartózkodási hely, email cím, telefonszám).

 

A jelen Szabályzatban használt, az 1.1. pontban nem említett fogalmak az adatvédelmi jogszabályokban meghatározott jelentéssel bírnak.

 

1.2. Az egészségügyi adatkezelést meghatározó jogszabályi környezet

 

Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (Általános Adatvédelmi Rendelet)

  • Eüak.
  • Eütv.

 

1.3. Szabályzat megismerése és alkalmazása

 

A Szabályzatot a Szolgáltató minden munkatársa számára hozzáférhetővé kell tenni, valamennyi munkatársnak legalább a munkaköréhez, beosztásához szükséges mértékben meg kell ismernie és be kell tartania.

Minden érintettet tájékoztatni kell a Szabályzat rá vonatkozó rendelkezéseiről. A DPO feladata a Szabályzat hatályosítása.

 

1.4. A Szabályzat módosítása

 

A Szabályzatot folyamatosan hatályosítani kell a megjelenő új jogszabályi rendelkezésekkel összhangban, és amennyiben a szövege nem felel meg a hatályos jogszabályi előírásoknak, akkor módosítani kell. A módosítás és hatályosítás elsődlegesen a DPO feladata, de a Szolgáltató bármely munkatársa, továbbá valamennyi érintett kezdeményezheti a Szabályzat módosítását DPO-nál, aki (felelős személyként) dönt a módosításról.  

 

 

 

II. ELJÁRÁS LEÍRÁSA

 

2.1 A Szolgáltató adatkezelési filozófiája

 

2.1.1. A Szolgáltató fontosnak tartja, hogy személyes adatokat csak törvényes cél eléréséhez szükséges esetekben és mértékben, az adatvédelmi jogszabályok rendelkezései szerint kezeljenek.  Alapelvként mondja ki, hogy a dokumentáció a Szolgáltató tulajdona, s azt az érintett javára és érdekében kell karbantartani, és megőrizni.  

 

2.1.2. A Szolgáltató azt az elvet vallja, hogy a program jó minőségéhez elengedhetetlenül szükséges a dokumentáció pontos és szakszerű vezetése, nyilvántartása és tárolása.  

2.1.3. Az érintett személyére és állapotára vonatkozó adatot csak és kizárólag a Szabályzatban felsorolt adatkezelésre jogosultak kezelhetnek.

2.1.4. Egészségügyi adat kizárólag az alábbi célból kezelhető

  1. az egészség megőrzésének, javításának, fenntartásának előmozdítása,
  2. az érintett egészségi állapotának nyomon követése,
  3. a népegészségügyi [Eüak. 16. §], közegészségügyi és járványügyi érdekből szükségessé váló intézkedések megtétele,
  4. a betegjogok érvényesítése.

 

 

2.2. Az adatkezelés alapelvei

 

2.2.1. A Szolgáltató mindenkor tiszteletben tartja az adatvédelmi jogszabályokban meghatározott, az adatkezelésre vonatkozó alapelveket, az adatkezelést kizárólag azokkal összhangban végzi.

 

Adatkezelési alapelvek:

  • Jogszerűség, tisztességes eljárás és átláthatóság: a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.
  • Célhoz kötöttség: A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat a célokkal össze nem egyeztethető módon ne kezeljék.
  • Adattakarékosság: A személyes adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük, és a szükséges mértékűre kell korlátozódniuk.
  • Pontosság: A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük, minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék, vagy helyesbítsék.
  • Korlátozott tárolhatóság: A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.
  • Integritás és bizalmas jelleg: A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai, vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan, vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is beleértve.
  • Elszámoltathatóság: Az adatkezelő felelős a fenti elveknek való megfelelésért, továbbá e megfelelés igazolhatóságáért.

 

2.2.2. A Szolgáltató a 2.2.1. pontban írt alapelvek érvényesítése érdekében gondoskodik különösen: 

 

Jogszerűség, tisztességes eljárás és átláthatóság elve keretében:

  • az adatok megszerzéséhez és kezeléséhez mindenkor megfelelő jogalappal kell rendelkezni;
  • az adatokat jogszerű indokkal kell gyűjteni és használni;
  • az adatok tervezett felhasználásával kapcsolatban átláthatóan kell eljárni;
  • az adatokat az érintett által észszerűen elvártaknak megfelelően kell felhasználni;
  • kizárólag olyan adatokat szabad gyűjteni, amelyek az adott cél alapján észszerűek és szükségesek;
  • az adatkezelési nyilvántartásban valamennyi adatkezelési tevékenységről pontos nyilvántartást kell vezetni;

 

Célhoz kötöttség elve keretében: biztosítani kell, hogy amennyiben az eredetileg meghatározott célhoz képest további, vagy eltérő célokból kívánják az adatokat használni, vagy közzétenni, az új használat vagy közzététel tisztességes és jogszerű legyen.

 

Adattakarékosság elve keretében:

  • Biztosítani kell, hogy kizárólag olyan adatok kerüljenek gyűjtésre, amelyek az adatkezelés célja szempontjából feltétlenül szükségesek.
  • Kerülni kell az indokolatlan adathalmozást és adatbázis-építést.

 

Pontosság elve keretében: 

  • Észszerű lépéseket kell tenni a kapott adatok pontosságának biztosítása érdekében, és amennyiben valamely személyes adat (az adatkezelés céljait tekintve) pontatlan, azt haladéktalanul törölni, vagy helyesbítenie kell.
  • Biztosítani kell, hogy minden adat forrása egyértelmű legyen.
  • Gondosan figyelembe kell venni minden olyan tényt, amely az adatok pontosságát szolgálja.
  • Mérlegelni kell az információk hatályossá tételének szükségességét.

 

Korlátozott tárolhatóság elve keretében:

  • A személyes adatok csak a meghatározott cél(ok) eléréséhez szükséges ideig és az alkalmazandó joggal összhangban tárolhatók.
  • Tilos az adatok korlátlan idejű adattárolása.

 

Integritás és bizalmas jelleg elve keretében:

  • A tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket kell végrehajtani annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonság garantált legyen.
  • Megfelelő intézkedéseket kell tenni annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat.

 

2.2.3. A Szolgáltató a 2.2.2. pontban nevesített alapelveken túl biztosítja, hogy az általa végzett adatkezeléssel összefüggésben mind a tervezett adatkezelési tevékenységek előkészítése, mind pedig az adatkezelési tevékenységek teljes folyamata során érvényesüljön a beépített és alapértelmezett adatvédelem elve, amely az alábbiakat jelenti:

 

Beépített adatvédelem elve: Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során köteles olyan megfelelő technikai és szervezési intézkedéseket (például álnevesítést) végrehajtani, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az adatvédelmi jogszabályokban foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

 

Alapértelmezett adatvédelem elve: Az adatkezelő megfelelő technikai és szervezési intézkedéseket köteles végrehajtani annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

 

2.2.4. Bármilyen új, tervezett adatkezelési feladat előkészítése és tervezése során a DPO-val egyezetni kell a 2.2.1., 2.2.2. és 2.2.3. pontban foglalt alapelvek maradéktalan érvényesülését.

 

2.3. Személyes adatok kezelésének jogszerűsége

 

2.3.1. Személyes adat kizárólag megfelelő jogalap megléte esetén kezelhető. Az adatvédelmi jogszabályok tartalmazzák e jogcímek kimerítő felsorolását, amelyek a következők:

 

  • az érintett hozzájárulását adta személyes adatainak egy, vagy több konkrét célból történő kezeléséhez;
  • az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
  • az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  • az adatkezelés az érintett, vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  • az adatkezelés közérdekű, vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
  • az adatkezelés az adatkezelő, vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges,

kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

 

2.3.2. A 2.3.1. pontban felsoroltak mellett a különleges személyes adat kizárólag akkor kezelhető, ha az adatvédelmi jogszabályokban meghatározott további követelmények is teljesülnek. Ilyen követelmények – többek között – az alábbiak:

 

  • az érintett kifejezett hozzájárulását adta az említett személyes adatok egy, vagy több konkrét célból történő kezeléséhez;
  • az adatkezelés az adatkezelőnek, vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges;
  • az adatkezelés az érintett, vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
  • az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
  • az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges;
  • az adatkezelés megelőző egészségügyi, vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése érdekében szükséges.

 

2.3.3. Az adat kategóriájától függően mindig meg kell győződni arról, hogy az adat kezeléséhez a fenti jogcímek közül legalább egy teljesül. Ellenkező esetben az adatkezelés jogellenesnek minősül.

 

2.3.4. A hozzájárulás jogcímével kapcsolatban általános követelmény, hogy a hozzájárulásnak önkéntesnek kell lennie. Ennek következtében az irányadó gyakorlat alapján általánosságban kijelenthető, hogy a hozzájárulás nem minősül megfelelő jogalapnak olyan esetekben, amikor az érintett és az adatkezelő között alá-fölérendeltségi viszony áll fenn (pl. munkaviszony), ilyen esetben más jogcímet kell választani. Mindezek alapján alá-fölérendeltségi viszony fennállása esetén vizsgálni kell különösen, hogy a hozzájárulás szolgálhat-e az adatkezelés jogalapjául.

 

2.3.5. Új, személyes adatok kezelését is magában foglaló, intézkedés, vagy művelet bevezetése előtt mindig egyeztetni kell a DPO-val az adatkezelés pontos jogalapjának meghatározása érdekében.

 

2.4 Az érintettek tájékoztatása

A Szolgáltató, mint adatkezelő, köteles az érintetteket tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazott ismertető tájékoztatni a személyes adataik kezelésének körülményeiről, ideértve például az adatkezelés célját, a kezelt személyes adatok körét, vagy azon címzetteket, akik részére az adatok továbbításra kerülnek. A tájékoztató kötelező tartalmi elemeit a GDPR 13-14. cikkei tartalmazzák attól függően, hogy az adatokat közvetlenül az érintettől, vagy harmadik személytől gyűjtik.

 

Minden esetben gondoskodni kell arról, hogy az érintettek a rájuk vonatkozó adatkezelési tájékoztatót megismerjék. Új, a fenti tájékoztatók hatálya alá nem tartozó adatkezelés során az adatkezelés megkezdése előtt a DPO-nak gondoskodnia kell az ismertető elkészítéséről, és hozzáférhetővé tételéről.

 

2.5. Az adatkezelési rendszer általános biztonsági előírásai

 

2.5.1. Az adatokat keletkezésükkor, megfelelő minőségű (elsősorban információ technológiai) adathordozóra kell rögzíteni. Az adatok olvashatóságáért és pontosságáért az azokat felvevő, illetve rögzítő (leíró) személy felel.

 

2.5.3. Az adatokat elsődlegesen elektronikusan, az informatikai rendszerben kell kezelni és tárolni. Amennyiben az adatok fizikailag is kinyomtatásra kerülnek, úgy azokat rendezett, visszakereshető formában, zárható körülmények között kell tárolni. A dokumentumokat a véletlen megsemmisüléstől, illetve szándékos károkozástól óvni kell, illetve ezen események megelőzésére a mindent el kell követni. Biztosítani kell a megsemmisült, vagy eltűnt dokumentumok reprodukálhatóságát (a lehetőségek figyelembevételével).

 

Az informatikai rendszernek biztosítania kell az adatok visszakereshetőségét. A Szolgáltató a dokumentumok megőrzésére előírt határidőn túl köteles biztonságos megoldással megsemmisíteni az adatokat.

 

Az adatkezelésnek és adatvédelemnek az adatvédelmi jogszabályokban meghatározottak szerinti érvényesülését megfelelő ellenőrzési rendszerrel támogatni kell.

 

2.5.4. Az adatok biztonságos tárolására és a személyzet szakmai képzésére vonatkozó eljárásrend a jelen Szabályzat elválaszthatatlan részét képezi.

 

2.6. Hozzáférés a beteg személyes és egészségügyi adataihoz, dokumentációjához (a hozzáférési jogosultságok meghatározása)

 

Az egészségügyi dokumentációhoz az alábbi személyek rendelkeznek hozzáféréssel:

  • a Buteyko specialisták: Varga-Szilágyi Gyula, dr. Kovács László, Farkas Tibor.
  • az adatfeldolgozást végző személy Bedő Miklósné (adatbevivő);
  • az adatbázis programozását végző személy Pál György (szoftverfejlesztő;

 

2.7. Az adatkezelési rendszer biztonságának és az adatok kezelésének részletes szabályozása

 

2.7.1. A DPO jogállása

 

A DPO e minőségében eljárva független, kizárólag a Szolgáltató első számú vezetőjének van alárendelve, utasításokat senkitől sem fogadhat el.

 

A DPO biztosítja, hogy a jelen Szabályzatban rögzített feladatai teljesítése során az adatvédelmi jogszabályok a Szolgáltató adatbiztonsági, adatvédelmi működése során maradéktalanul érvényesüljenek.

 

A vezető Buteyko specialista, Varga-Szilágyi Gyula felel a biztonsági feltételek kialakításáért és megvalósításáért. A DPO nem helyettesíti az egyes területek vezetőinek és munkatársainak az adatvédelmi feladatok megvalósításából adódó kötelezettségeit, az adatbiztonság megtartásához kapcsolódó személyi felelősségét.

 

2.7.2. A DPO, azaz Varga-Szilágyi Gyula kötelezettségei

 

A DPO a Szolgáltatónál az alábbi feladatokat látja el:

 

  • Az adatbiztonsági, adatvédelmi feladatokról, az adatvédelemmel kapcsolatos problémákról folyamatos tájékoztatás ad a vezető Buteyko specialista részére.
  • Különleges, a Szabályzatban nem szabályozott, adatkezeléssel kapcsolatos igények engedélyezése.
  • Tudományos kutatás esetén engedélyezi az orvosi dokumentációba való betekintést.
  • Gondoskodik az adatvédelmi jogszabályok betartatásáról.

 

  • Folyamatosan figyelemmel kíséri a jogszabályi változásokat és gondoskodik azoknak a Szabályzatban történő átvezetéséről.
  • Gondoskodik az szolgáltató adatvédelmi, illetve adatkezelési szabályzatának elkészítéséről, szükség szerinti módosításáról.
  • Dönt a kötelező megőrzési időt követően a nyilvántartott adatok további tárolásáról vagy megsemmisítéséről.
  • Tanácsadás az adatvédelemmel kapcsolatos követelményekkel, valamint az adatvédelmi jogszabályokkal kapcsolatban.
  • Közreműködik és szakmai tanácsot ad az adatvédelmi hatásvizsgálat során.
  • Kapcsolattartás és együttműködés az érintettekkel és a felügyeleti hatósággal.
  • Adatvédelmi képzés szervezése és nyújtása a Szolgáltató valamennyi munkatársa részére.

 

2.7.3. A DPO jogai

 

  • A DPO-t a személyes adatok védelmével kapcsolatos ügyek intézésébe megfelelő módon és időben be kell vonni.
  • Rendelkezésére kell álljon minden olyan eszköz, forrás, dokumentáció és egyéb információ, amely a munkája ellátásához szükséges. Betekinthet az adatvédelemmel kapcsolatos minden szóbajöhető iratba és dokumentációba.
  • Döntési jogkörrel rendelkezik a kötelező megőrzési időt követően a nyilvántartott adatok megsemmisítéséről.

 

2.7.4. Az adatkezelési rendszer környezetének védelme

 

A fizikailag kinyomtatott, manuálisan kezelt betegdokumentációt (jelentkezési adatlapok, anamnézisek), a Szolgáltató [Törölve!] irattárában el kell zárni.

Biztosítani kell az irattár zárhatóságát, és a rendszeres zárást ellenőrizni kell.   

A dokumentáció tárolási helyén a tűzvédelmi előírások és óvó rendszabályok betartása kötelező. Az adatok sérülésének, illetve elvesztésének megelőzésére, a következmények felszámolására tervezett intézkedések:

A megsérült, elveszett adatok visszaállítását és annak mértékét (a lehetőségek felmérésével, indokolásával és mérlegelésével) a vezető Buteyko specialistaval egyeztetve a DPO rendeli el írásban.

Amennyiben a visszaállítás nem valósítható meg, arról a DPO írásos feljegyzést készít, amelyet az ügyviteli rendszerben „Adatvédelem” iktatási jelzéssel archiválnak.

A visszaállításról (amennyiben az méltányos és megoldható), a mulasztásért felelős személy köteles gondoskodni. A méltányosság és a személyes felelősség eldöntése a DPO hatáskörébe tartozik.

 

2.7.5. Az adatvédelmi incidensek elleni védekezés szabályai

 

Az adatvédelmi incidens olyan esemény, amelynek során személyes adatok jogosulatlan, vagy nem helyén való közlésére, vagy személyes adatokhoz való jogosulatlan, vagy nem helyénvaló hozzáférésre kerül sor.

 

Adatvédelmi incidens különösen: harmadik fél információtechnológiai infrastruktúrával szembeni támadása, amely személyes adatok, bűncselekmények céljából történő, megszerzésére irányulnak; a Szolgáltató eszközeinek (pl. mobiltelefonok, laptopok, USB-eszközök) véletlen elvesztése, vagy ellopása; személyes információk harmadik félnek történő átadása; személyes adatok kiselejtezése, megfelelő biztonsági intézkedések megtétele nélkül.

 

Az adatvédelmi incidensek megelőzése érdekében a munkatársak kötelesek az alábbi szabályok betartására, illetőleg érvényesítésére:

 

Az érintett munkatársak megfelelő tájékoztatása a jogszabályi háttérről és a jelen Szabályzatáról.

 

Az ellátással kapcsolatos egészségügyi dokumentációt az egészségügyi ellátás alatt, illetve azt követően zárható, biztonságos helyen kell tárolni.

 

A vizsgálati eredmény az érintetten kívül a vizsgálatot kezdeményező Buteyko specialista részére adható át.

 

 

Az adatvédelmi incidenseket (bizonyos kivételes esetektől eltekintve) legkésőbb 72 órán belül jelenteni kell a hatóságok, illetve egyes esetekben az érintettek felé, így valamennyi munkatárs köteles haladéktalanul jelenteni az adatvédelmi incidenseket (vagy az adatvédelmi incidensek gyanúját) a vezető Buteyko specialista és a DPO felé, egyidejűleg.

 

A DPO feladata az adatvédelmi incidenseknek bejelentése a hatóság és tájékoztatás az érintettek felé, az adatvédelmi jogszabályok vonatkzó rendelkezései alapján.

 

2.7.6. Az adatokat kezelő munkatárs azonosítása, az adatkezelési rendszerbe történő belépés, illetve kilépés esetén

 

Az elektronikus rendszerhez való hozzáférés kizárólag a bejelentkezési eljárás sikeres végrehajtása után lehetséges. Ennek során az adatok kezelését végző munkatárs a rendszerbe személyre szabott azonosítójával lép be, és ezt követően rögzíti az általa kezelt beteg személyes adatait, valamint a szakmai szabályok szerint az egészségügyi adatokat.

 

Új munkatárs belépésekor a rendszer által generált parancssor alapján kell eljárni.

 

Az ellátás befejezésekor a felhasználó minden esetben köteles a rendzserből kilépni, ezáltal a további adathozzáférés nem lehetséges.  

 

2.7.7. Az adatokat kezelő munkatársak jogosultságának nyilvántartása

 

Az adatok kezelését végző munkatársak jogosultságait az adatkezelési rendszer rögzíti, és tartja nyilván.

 

2.7.8. Az adatokat kezelő és az adatkezelési rendszert fenntartó, illetve fejlesztő feladatkörök elválasztása

 

Az adatkezelési rendszer tulajdonságából kifolyólag minden felhasználó kizárólag a jogosultsági szintjének megfelelő rendszerekhez férhet hozzá bármilyen adathoz.  

 

2.7.9. Az adatkezelési rendszer adminisztrálásának szabályozása

 

A rendszer adminisztrációját a célszerűségre kell minimalizálni. Betegdokumentációról kért másolatok nyilvántartásáért a DPO a felelős.  

 

III. BETEGDOKUMENTÁCIÓ

 

3.1. A beteg adatainak felvétele, a beteg tájékoztatása, a beteg vagy hozzátartozója kérésére készített másolat a betegdokumentációról

 

3.1.1. A Szolgáltatónál a Buteyko programon való részvétel az előjegyzési rendszeren keresztül történik. Az előjegyzés során az informatikai rendszer rögzíti a beteg személyes, és a programhoz szükséges egészségügyi adatait.

 

3.1.2. A Buteyko specialista az előjegyzés alapján fogadja az érintettet és rögzíti a Buteyko program elvégzéséhez szükséges adatokat.

 

3.1.3. A Szolgáltató kizárólag a páciens írásbeli hozzájárulásával adhat ki egészségügyi adatot más egészségügyi szolgáltató részére.

 

3.1.4. Sürgős szükség, valamint az érintett belátási képességének hiánya esetén az önkéntességet vélelmezni kell.

 

 

3.1.5. A másolat(ok) kiadása kizárólag eredeti, teljes bizonyító erejű magánokiratban foglalt kérelem alapján történhet.

 

3.1.6.  A nyilatkozat eredeti példányát a dokumentációhoz kell csatolni, és azzal együtt kell őrizni.

 

3.1.7. Az érintettről vezetett dokumentáció kiadása esetén a kért dokumentumokat az informatikai rendszerben rögzítettek szerint kell kiadni. A dokumentumok kiadásáért a DPO felel. A kiadás tényét a dokumentációban rögzíteni kell. A kiadást megelőzően az átvevő személy személyazonosságát, vagy meghatalmazását igazolni köteles.  Az igazolás tényét az átvevő személyi adatainak és személyi igazolvány számának rögzítése mellett rögzíteni kell.

 

3.1.8. Az érintettről vezetett dokumentáció kiadása az alábbi esetekben kizárólag a vezető Buteyko specialista engedélyével történhet:

 

  • Rendőrhatóság, vagy más hatósági szerv megkeresése,
  • Ügyvédi megkeresés,
  • Az egészségügyi ellátással összefüggő kártérítési igénnyel kapcsolatos megkeresés.

 

3.2. Adattovábbítás más egészségügyi szolgáltató részére

 

3.2.1. A Szolgáltató az érintettel kapcsolatos egészségügyi adatot más egészségügyi szolgáltató részére kizárólag az érintett páciens írásbeli hozzájárulása mellett ad ki.

 

A 3.1.8. pontban megjelölt esetekben az érintett tiltása ellenére is továbbítani kell az egészségügyi – és személyazonosító adatot.

 

 

 

 

IV. AZ ÉRINTETTEK JOGAI

 

4.1. Az érintett GDPR alapján fennálló jogai

 

Az érintett jogosult:

  1. a) tájékoztatást kérni adatainak kezeléséről, valamint adataiba betekinteni (hozzáférés joga), b) adatainak helyesbítését kérni,
  2. adatainak törlését kérni (elfeledtetéshez való jog),
  3. adatai kezelésének korlátozását kérni,
  4. adathordozhatóságot kérni,
  5. tiltakozni személyes adatai kezelése ellen.

 

4.2. Hozzáférés

 

4.2.1. Az érintett jogosult arra, hogy visszajelzést kapjon személyes adatai kezeléséről, és ha ilyen adatkezelés folyamatban van, jogosult hozzáférést kapni személyes adataihoz, valamint az adatkezeléssel kapcsolatos egyes információkhoz.

 

4.2.2. A hozzáférési jog többek között kiterjed az alábbi információkra: az adatkezelés célja, a kezelt adatok kategóriái, azon címzettek megjelölése, akik részére az adatokat továbbították.

 

4.2.3. Az érintett továbbá jogosult arra, hogy másolatot kérjen az adatkezelő által kezelt személyes adatairól.

 

4.3. Helyesbítés

 

4.3.1. Az érintett jogosult arra, hogy kérésére a rá vonatkozó pontatlan személyes adatok helyesbítésre, illetve a hiányos személyes adatok kiegészítésre kerüljenek.

 

4.3.2. A pontos adatkezelés érdekében a Szolgáltató megteszi a szükséges és elvárható intézkedéseket, így pl. egyeztetést kezdeményez az érintettekkel az adatok körültekintő tisztázása érdekében.

 

4.4. Törlés

 

Bizonyos, az adatvédelmi jogszabályokban meghatározott esetekben, az érintett jogosult arra, hogy kérésére a rá vonatkozó személyes adatok törlésre kerüljenek, és az adatkezelő köteles lehet arra, hogy az ilyen adatokat törölje. Ilyen eset például, ha a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték, vagy, ha az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja.

 

4.5. Korlátozás

 

4.5.1. Bizonyos, az adatvédelmi jogszabályokban meghatározott esetekben az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést. Ilyen esetek például, ha az érintett vitatja a személyes adatok pontosságát (ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát) vagy ha az érintett tiltakozott az adatkezelés ellen (ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben).

 

4.5.2. A helyesbítésről, a törlésről és a korlátozásról mindazokat értesíteni kell, akiknek korábban az adatot továbbították, kivéve, ha ez lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

 

4.6. Adathordozhatóság

 

4.6.2. Bizonyos, az adatvédelmi jogszabályokban meghatározott esetekben az érintett jogosult arra, hogy a rá vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa.

 

4.6.3. Az érintett továbbá jogosult lehet arra is, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.

 

4.7. Tiltakozás

 

4.7.1. Bizonyos, az adatvédelmi jogszabályokban meghatározott esetekben az érintett jogosult arra, hogy tiltakozzon a személyes adatai kezelése ellen, és ilyen esetben előfordulhat, hogy az adatkezelő nem kezelheti tovább ezen adatokat. Ilyen eset például, ha az adatkezelés jogos érdeken alapul, vagy ha az adatkezelés célja közvetlen üzletszerzés (direkt marketing) vagy profilalkotás.

 

4.7.2. A tiltakozáshoz való jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni. 

 

4.8. Az érintetti jogok gyakorlása, kártérítés

 

4.8.1. A Szolgáltató köteles az érintettet az érintettnek fenti jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről a lehető leghamarabb, de legkésőbb a kérelem beérkezésétől számított 1 (egy) hónapon belül tájékoztatni. Ha a Szolgáltató nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be a Nemzeti Adatvédelmi és Információszabadság Hatóságnál, és élhet bírósági jogorvoslati jogával.

 

4.8.2. Az adatvédelmi jogszabályok alapján minden olyan személy, aki az adatvédelmi jogszabályok megsértésének eredményeként kárt (akár vagyoni, akár nem vagyoni) szenvedett, az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. Az adatvédelmi jogszabályok rendelkezéseit sértő adatkezelés által okozott kárért az adatkezelésben résztvevő valamennyi adatkezelő egyetemleges felelősséggel tartozik. Adatfeldolgozó esetében az adatfeldolgozó felelősséggel tartozik az adatkezelés által okozott kárért, ha az adatfeldolgozó nem tartotta be az adatvédelmi jogszabályoknak a kifejezetten az adatfeldolgozókra irányadó rendelkezéseit, vagy ha figyelmen kívül hagyta az adatkezelő jogszerű utasításait vagy azokkal ellentétesen járt el.

 

4.8.3. Az érintetti megkeresések megválaszolása és kezelése a DPO feladata. A DPO-t a lehetséges kérelmek beérkezését követően haladéktalanul tájékoztatni kell, tekintve, hogy a válaszadásra rendelkezésre álló idő rövid.

 

4.8.4. Az érintetti kérelmeket a jelen Szabályzat mellékletét képező levélminta használata révén szükséges megválaszolni.

 

V. ADATFELDOLGOZÓK IGÉNYBEVÉTELE

 

5.1. Adatfeldolgozó igénybevétele esetén biztosítani szükséges, hogy a Szolgáltató kizárólag olyan adatfeldolgozót vegyen igénybe, aki megfelelő garanciákat nyújt az adatkezelésnek az adatvédelmi jogszabályok követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

 

5.2. Adatfeldolgozó igénybevétele esetén az adatfeldolgozóval írásbeli szerződést szükséges kötni, amelyben pontosan és részletesen meg kell határozni:  a) az adatkezelés tárgyát,

  1. az adatkezelés időtartamát,
  2. az adatkezelés jellegét és célját,
  3. a személyes adatok típusát,
  4. az érintettek kategóriáit, és
  5. az adatkezelő kötelezettségeit és jogait.

 

5.3. A szerződésben különösen elő kell írni, hogy az adatfeldolgozó:

  1. a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezelheti – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is;
  2. köteles biztosítani azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
  3. köteles biztosítani az adatvédelmi jogszabályok rendelkezéseinek megfelelő adatbiztonsági intézkedések bevezetését;
  4. köteles tiszteletben tartani, hogy további adatfeldolgozót kizárólag az adatkezelő írásbeli engedélye alapján vehet igénybe, és hogy a további adatfeldolgozóval megkötött szerződésben a további adatfeldolgozóra ugyanolyan intézkedéseket, garanciákat és kötelezettségeket szükséges telepíteni, mint amelyek szerződés alapján az adatfeldolgozóra irányadók;
  5. az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben köteles segíteni az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
  6. köteles segíteni az adatkezelőt az adatvédelmi jogszabályok szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
  7. az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján köteles minden személyes adatot törölni vagy visszajuttatni az adatkezelőnek, és törölni a meglévő másolatokat;
  8. köteles az adatkezelő rendelkezésére bocsátani minden olyan információt, amely adatkezelőnek az adatfeldolgozó igénybevételével kapcsolatos kötelezettségei teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

 

5.4. A DPO-val folyamatosan egyeztetni kell a személyes adatok kezelését magába foglaló szerződés megkötését megelőzően, és a szerződéskötés során.

 

VI. AZ ADATKEZELÉSEK NYILVÁNTARTÁSA

 

6.1. Az adatvédelmi jogszabályok előírásai alapján a Szolgáltató köteles az általa (akár adatkezelőként, akár adatfeldolgozóként) végzett adatkezelési tevékenységekről írásban (vagy elektronikusan) nyilvántartást vezetni.

 

6.2. A DPO felelős a nyilvántartások vezetéséért. A nyilvántartásokban szereplő adatok bármilyen változása, illetve új adatkezelési tevékenység bevezetése esetén a nyilvántartásokat megfelelően módosítani kell.

 

VII. ADATVÉDELMI HATÁSVIZSGÁLAT

 

7.1. Új adatkezelési tevékenység bevezetését megelőzően az adatvédelmi jogszabályok alapján adatvédelmi hatásvizsgálatot kell végezni arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik, ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve.

 

7.2. Új adatkezelési tevékenységek tervezése esetén a tervezési folyamat legelejétől egyeztetni szükséges a DPO-val annak érdekében, hogy az adatvédelmi hatásvizsgálat szükségessége megállapításra kerüljön.

 

A DPO feladata a hatásvizsgálat lefolytatása.

 

VIII. ADATTOVÁBBÍTÁS KÜLFÖLDRE

 

8.1. Általános szabályok

 

8.1.1. Általánosságban az Európai Gazdasági Térségből („EGT”) származó személyes adatok nem továbbíthatók az EGT-n kívülre, kivéve, ha valamilyen, az adatvédelmi jogszabályok rendelkezéseinek megfelelő mechanizmus van életben a személyes adatok kezelése tekintetében az érintetteket megillető jogok és szabadságok megfelelő szintű védelmének biztosítására.

 

8.1.2. Az adatvédelmi jogszabályok értelmében személyes adatok továbbítása történhet olyan módon is, amely a mindennapi szóhasználat értelmében nem minősül adattovábbításnak. Ilyen például, ha egy személyes adatokat tartalmazó adatbázist hozzáférhetővé tesznek valamely harmadik személy számára. Az adatvédelmi jogszabályok alapján ebben az esetben az adatok továbbításra kerültek a harmadik személy részére. Amennyiben ez a harmadik személy az EGT-n kívül található, úgy e továbbítás tekintetében meg kell felelni az adatvédelmi jogszabályoknak a külföldi adattovábbításokra vonatkozó rendelkezéseinek.

 

8.1.3. Az EGT-n kívülre történő adattovábbítások fenti elveknek megfelelő kezelése különös gondosságot tesz szükségessé.  Amennyiben felmerül, hogy bármilyen személyes adatot valamely más országba vagy az EGT-n kívülre kellene továbbítani, előzetesen egyeztetni szükséges a DPOval.

 

 

  1. EGÉSZSÉGÜGYI ADAT TOVÁBBÍTÁSA AZ EGÉSZSÉGÜGYI

ELLÁTÓHÁLÓZATON KÍVÜLI SZERV MEGKERESÉSÉRE

 

9.1. A következő szervek írásbeli megkeresésére a programot tartó Buteyko specialista az érintett egészségügyi és a megkereső szerv által törvény alapján kezelhető, az azonosításhoz szükséges személyazonosító adatait átadja a megkereső szervnek. A megkeresésben fel kell tüntetni a megismerni kívánt egészségügyi és személyazonosító adatokat. A megkereső szervek a következők lehetnek:

  1. büntetőügyben a nyomozó hatóság, az ügyészség, a bíróság, az igazságügyi szakértő, polgári peres és nem-peres, valamint közigazgatási hatósági ügyben a közigazgatási hatóság, az ügyészség, a bíróság, az igazságügyi szakértő,
  2. szabálysértési eljárás során az eljárást lefolytató szervek,
  3. potenciális hadköteles és hadköteles személy esetén a fővárosi és megyei kormányhivatal járási fővárosi kerületi) hivatala, a Magyar Honvédség katonai igazgatási és központi adatfeldolgozó szerve, valamint a katonai egészségügyi alkalmasságot megállapító bizottság,
  4. a nemzetbiztonsági szolgálatok, a nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV.
  5. a) törvényben meghatározott feladatok ellátása érdekében, az abban kapott felhatalmazás körében,
  6. e) a Magyar Honvédség katonai igazgatási és központi adatfeldolgozó szerve, a kiképzett
  7. b) tartalékosok békeidőszakban történő hadi beosztásra történő kiírása és a kiképzett tartalékosok gyors és differenciált behívása érdekében, a honvédelemről és a Magyar Honvédségről szóló törvényben meghatározott körben,
  8. az egészségügyi dolgozóval szemben folyamatban lévő etikai eljárás során az eljárás lefolytatása hatáskörrel és illetékességgel rendelkező kamarai szerv,
  9. a rendőrségről szóló törvényben meghatározott belső bűnmegelőzési és bűnfelderítési feladatokat ellátó, valamint a terrorizmust elhárító szervek a törvényben meghatározott feladatok ellátása érdekében, az abban kapott felhatalmazás körében,

 

  • A megkeresés akkor teljesíthető, ha az tartalmazza az adatkezelés pontos célját és a kért adatok körét.

 

  • A Buteyko specialista a nyomozó hatóságot a „halaszthatatlan intézkedés” jelzéssel ellátott, külön jogszabályban előírt ügyészi jóváhagyást nélkülöző megkeresésére is köteles tájékoztatni az általa kezelt, az adott üggyel összefüggő egészségügyi és személyazonosító adatokról.

 

 

 

 

X. AZ ADATOK EREDETÉNEK AZONOSÍTHATÓSÁGA

 

10.1. Az érintett dokumentációjának azonosíthatóságát a jelenlegi gyakorlat biztosítja (pl. a neve, e-mail címe, telefonszáma, felvételi dátuma, program dátuma, helyszíne).

 

10.2. Az azonosíthatóságot a Buteyko specialista aláírása támogatja.

 

XI. AZ ADATOK PONTOSSÁGÁNAK, VALÓDISÁGÁNAK MÉRÉSE

 

11.1 Az adatok pontosságáért az adatokat származtató és rögzítő munkatárs a felelős. Ebben a körben a szakmai vezető ellenőrzést gyakorol, és amennyiben hiányosságot, illetve a felvett adatokban pontatlanságot észlel, köteles a szükséges felelősségre vonást kezdeményezni.

 

11.2. Az adatok bevitelekor az egészségügyi dokumentáció vezetésére vonatkozó szakmai előírások és protokollok rendelkezéseit maradéktalan be kell tartani.  

 

XII. AZ ADATKEZELÉSI RENDSZER MŰKÖDÉSI MEGBÍZHATÓSÁGA

 

Az aktuális rendszer működési megbízhatóságának alapja:

 

Az aktuális helyzet és feltételrendszer ismerete

 

A dokumentálást végző dolgozók munkafegyelme (felelős: közvetlen munkahelyi felettes)

 

A szabályozás megfelelősége és széleskörű ismertsége (felelős: DPO)

 

A nélkülözhetetlen feltételek biztosítása (felelős: vezető Buteyko specialista)

 

Rendszeres és hatékony ellenőrzés (felelős: DPO)

 

A működéssel kapcsolatos visszajelzések, problémák hatékony kezelése (felelős: vezető Buteyko specialista)

 

XIII. AZ ADATKEZELÉSI RENDSZER FENNTARTÁSÁNAK MŰSZAKI

SZABÁLYOZÁSA

 

13.1. A számítástechnikai rendszert folyamatosan ellenőrizni és szükség szerint bővíteni kell.

 

13.2. Biztosítani kell Az archív tárolás helyigényének, a rendezett tárolás feltételeinek, a tűz – és fizikai megsemmisülés elleni védelem műszaki feltételeit.  

 

XIV. AZ ADATKEZELÉSI RENDSZER HATÁLYOSÍTÁSÁNAK SZABÁLYOZÁSA

 

A DPO feladatkörébe tartozik jogszabályváltozás esetén e szabályzat módosítása és egységes szerkezetbe foglalása.

 

  1. AZ ADATKEZELÉSI RENDSZER DOKUMENTÁLÁSÁRA VONATKOZÓ ELŐÍRÁSOK SZABÁLYOZÁSA

 

A Szolgáltató Szabályzata egyben a rendszer alapdokumentációját is jelenti.

 

XVI. AZ ADATKEZELÉSI RENDSZER MÓDOSÍTÁSÁNAK SZABÁLYAI,

ÁTMENETI RENDELKEZÉSEK A MŰSZAKI VÁLTOZTATÁS ÉS FEJLESZTÉS IDŐSZAKÁRA

 

A módosítás kezdeményezésének fő okai:

  • Jogszabályi háttér megváltozása;
  • Belső működési, vagy feltételrendszer probléma, hiányosság;
  • A jelenleginél hatékonyabb, jobb, gyorsabb, gazdaságosabb javaslat.

 

XVII. AZ ADATVÉDELMI KÉPZÉS SZABÁLYOZÁSA

 

17.1. Az új belépők adatvédelemmel kapcsolatos tájékoztatását az adott szakterület vezetője látja el.

 

17.2. Az új belépők a Szabályzat megismerését és elfogadását a számítógépes hálózatba való belépésükkel igazolják, amelyről a DPO részére egyidejűleg kötelesek elektronikus üzenetet küldeni.

 

17.3. Módosítások esetén a DPO a belső informatikai rendszeren keresztül értesít minden érintett munkatársat.

 

17.4. Az alapismeretekről való tájékoztatás megtörténtét és tudomásulvételét írásban kell rögzíteni.

 

Módosítás esetén a módosítás terjedelmétől függően körlevél, vagy szervezett tájékoztatás szükséges, amelynek koordinálása, szervezése a DPO feladata. Jelentősebb jogi módosítások esetén a tájékoztatást jogi szakember bevonásával kell megtartani.

 

XVIII. AZ ADATOK IRATTÁROZÁSÁNAK RENDJE

 

Az elektronikus formában tárolt adatok archiválását a [Törlés] informatikai rendszer biztosítja.

 

A papír alapú dokumentációt a Szolgáltató őrzi. A vezető Buteyko specialista felel az iratőrzés biztonságáért és a jelen Szabályzatban foglaltak betartásáért.

 

XIX. A SZABÁLYZAT HATÁLYBALÉPÉSE

 

Jelen szabályzat 2018. július havának 01. napján lép hatályba.

 

Buteyko Légzés Központ

 

 

 

 

 

 

 

PÁCIENS ADATKEZELÉSI TÁJÉKOZTATÓ

 

1. A JELEN TÁJÉKOZTATÓ CÉLJA

A jelen Tájékoztató célja, hogy bemutassa a Buteyko Légzés Központ (székhely: 2000 Szentendre, Gerinc utca 4, telefonszám: 06-20-955-3435; e-mail: info@buteyko.hu ; weboldal: https://www.buteyko.hu/ ; a továbbiakban: “Társaság“), mint adatkezelő által az ügyfelek mint érintettek vonatkozásában kifejtett adatkezelési tevékenységet.

 

2. AZ ADATKEZELÉS CÉLJA, A KEZELT ADATOK KÖRE ÉS AZ ADATKEZELÉS JOGALAPJA

 

Az adatkezelés célja Kezelt adatok köre Jogalap
Az ügyfél (Páciens, a Páciens kezelőorvosa, hozzátartozója, meghatalmazottja) által kért

orvosi és/vagy diagnosztikus vizsgálatok, lelet

konzultáció, írásbeli véleményezés elvégzése

1. Páciens személyazonosító adatai (név, életkor, lakcím, telefonszám, e-mail cím; a)               A Társasággal fennálló szerződés teljesítése

[2016/679 EU Általános

Adatvédelmi Rendelet (“GDPR”) 6.

Cikk. (1) bek. b) pont];

b)              Hozzájárulás [GDPR 6. Cikk

(1) bek. a) pont];

c)               Bizonyos esetekben a Társaságra irányadó jogi kötelezettség teljesítése

[GDPR 6. Cikk (1) bek. c) pont]

2. Beküldő adatai (név, munkahely neve és címe, telefon, e-mail);
3. Számlázási adatok (név, cím);
4. Meghatalmazás adatai

(meghatalmazó személyazonosító okmányának típusa és száma, meghatalmazott neve, lakcíme, születési helye és ideje, személyazonosító okmányának típusa és száma, tanúk adatai (név, születési idő, lakcím, személyi ig.

száma);

5. Különleges adatok:

a) Páciens biológiai mintája (vér, szövet, vizelet, széklet);  b) mintavétel dátuma;

c)  anamnézis;

d)  igényelt orvosi és/vagy

diagnosztikus vizsgálat fajtája, eredménye;

A kért egészségügyi ellátás nyújtása [GDPR 9. Cikk (2)

bek. h) pont];

Az érintett kifejezett hozzájárulása [GDPR 9. Cikk (2) bek. a) pont]

 

Az ügyfél (Páciens, a Páciens kezelőorvosa, hozzátartozója, meghatalmazottja) által kért genetikai vizsgálat elvégzése 1. Páciens személyazonosító adatai (név, születési dátum,

anyja neve, lakcím, TAJ szám, nem, törvényes képviselő(k) neve); “

a) A Társasággal fennálló szerződés teljesítése

[2016/679 EU Általános

Adatvédelmi Rendelet (“”GDPR””)

6. Cikk. (1) bek. b) pont];

b)              Hozzájárulás [GDPR 6. Cikk

(1) bek. a) pont];

c)               Bizonyos esetekben a Társaságra irányadó jogi kötelezettség teljesítése

[GDPR 6. Cikk (1) bek. c) pont] “                               

2. Beküldő adatai (név, munkahely neve és címe, telefon, e-mail);
3. Vizsgálatkérő orvos adatai (név, pecsétszám, munkahely neve és

címe, telefon, e-mail);

4. Beküldött leletet kiállító patológus adatai (név, pecsétszám)
5. Számlázási adatok (név, cím);
6. Meghatalmazás adatai

(meghatalmazó személyazonosító okmányának típusa és száma, meghatalmazott neve, lakcíme, születési helye és ideje, személyazonosító okmányának típusa és száma, tanúk adatai (név, születési idő, lakcím, személyi ig. száma);

7. Különleges adatok:

a)               Páciens biológiai mintája (vér, szövet, vizelet, nyálkahártya, széklet, izolált DNS);

b)              mintavétel dátuma, típusa;

c)               kórszövettani diagnózis;

d)              tumorszövet eredete;

e)               mintavétel helye;

f)                kórelőzmények, anamnézis;

g)               várandósság;

h)              szedett gyógyszerek;

i)                korábbi leletek;

j)                igényelt orvosi és/vagy

diagnosztikus vizsgálat fajtája,

eredménye;

k)               genetikai tanácsadás adatai;

A kért egészségügyi ellátás nyújtása [GDPR 9. Cikk (2)

bek. h) pont];

Az érintett kifejezett hozzájárulása [GDPR 9. Cikk (2) bek. a) pont]

Az ügyféllel (Páciens, a Páciens kezelőorvosa, hozzátartozója, meghatalmazottja) való kapcsolattartás Kapcsolattartási adatok (e-mail, telefon) A Társasággal fennálló szerződés teljesítése

[2016/679 EU Általános

Adatvédelmi Rendelet (“GDPR”) 6. Cikk. (1) bek. b) pont];

A Társaság tevékenységével, szolgáltatásaival, termékeivel, aktuális ajánlataival, kedvezményeivel, kapcsolatos információkat tartalmazó ingyenes hírlevél küldése Név, e-mail cím, hírlevelekre való kattintási előzmények Hozzájárulás [GDPR 6. Cikk

(1) bek. a) pont]

 

Tájékoztatjuk, hogy adatainak megadása önkéntes alapon történik. Amennyiben nem adja meg a személyes adatait, úgy előfordulhat, hogy nem tudjuk, vagy nem tudjuk hatékonyan nyújtani Önnek a kért szolgáltatást, vizsgálatot, hírlevelet, információkat stb. 

 

A hozzájáruláson alapuló adatkezelések esetében Ön bármikor jogosult visszavonni hozzájárulását a jelen tájékoztató 8. pontjában megjelölt Adatvédelmi Tisztviselő részére megküldött postai levél vagy e-mail útján. Felhívjuk azonban figyelmét, hogy a hozzájárulás visszavonása nem érinti az azt megelőzően végzett adatkezelés jogszerűségét.

 

3. AZ ADATOK FORRÁSA

A Társaság az alábbi forrásokból kaphatja kézhez az Ön személyes adatait:

▪ Közvetlenül Öntől: A Társaság az Ön személyes adatait közvetlenül Öntől kapja kézhez, amikor Ön személyesen rendeli meg a Társaság valamely szolgáltatását, és ezzel összefüggésben kitölti az egyes kért vizsgálatokra vonatkozó megrendelőlapot vagy szerződést, illetve a Társaság részére átadja a kért vizsgálat elvégzéséhez szükséges mintákat.

▪ Az Ön kezelőorvosától: A Társaság az Ön személyes adatait az Ön kezelőorvosától is kézhez kaphatja, amennyiben a kért szolgáltatást az Ön kezelőorvosa rendeli meg a Társaságtól az Ön egyidejű tájékoztatása mellett. Továbbá a Társaság személyes adatokat kaphat az Ön kezelőorvosától akkor is, amennyiben a kért szolgáltatást Ön rendeli meg közvetlenül a Társaságtól, azonban Ön kéri, hogy az ehhez szükséges mintát és/vagy dokumentációt az Ön kezelőorvosától kérjük be.

▪ Harmadik személytől: A Társaság az Ön személyes adatait harmadik személytől is kézhez kaphatja, amennyiben Ön a szolgáltatások megrendelésére harmadik személynek erre meghatalmazást adott, vagy amennyiben ezt jogszabály lehetővé teszi.

 

4. ADATFELDOLGOZÁS

A Társaság a kért egészségügyi szolgáltatások teljesítéséhez bizonyos vizsgálatok  esetében részben vagy egészben harmadik személy szolgáltatók szolgáltatásait veszi igénybe. Ezek a szolgáltatók olyan egészségügyi szolgáltatók, akik olyan, a kért vizsgálat elvégzéséhez szükséges eszközökkel, berendezésekkel rendelkeznek, amelyek a Társaság telephelyén nem érhetőek el. Ezek a szolgáltatók a Társaság megbízásából elvégzik a kért részvizsgálatot vagy vizsgálatot; ezen tevékenységük során adatfeldolgozóként járnak el. Ezek a szolgáltatók kizárólag a Társaság utasításai alapján jogosultak az Ön személyes adatai kezelésére, és a Társaság megfelelő szerződéses garanciákkal biztosította, hogy a szolgáltatók az irányadó EU-s és magyar adatvédelmi jogszabályokkal összhangban folyamatosan biztosítsák a személyes adatok védelmét.  A személyes adatokhoz továbbá a Társaság által megbízott egyéb, adatfeldolgozóként eljáró szolgáltatók (pl. a Társaság IT rendszerét biztosító társaság, vagy a Társaság elektronikus számlázó rendszerét biztosító szolgáltató) is hozzáféréssel rendelkezhetnek. A Társaság ezen adatfeldolgozók esetében is megfelelő intézkedésekkel biztosítja, hogy azok kizárólag a Társaság utasításainak megfelelően, a vonatkozó magyar és uniós adatvédelmi jogszabályokkal összhangban kezeljék a részükre rendelkezésre bocsátott személyes adatokat.

A Társaság a személyes adatokat szükség esetén átadhatja továbbá a feladatkörükben eljáró hatóságok vagy bíróságok részére, amennyiben az adatok átadását a Társaság részére jogszabály kötelezően előírja, vagy ha az adatok átadása bűncselekmény vagy szabálysértés gyanújának észlelése, vagy a hatóság vagy bíróság felhívása alapján, a bűncselekmény vagy szabálysértés gyanújának kivizsgálása, vagy a Társaságra irányadó jogszabályi kötelezettségeknek való megfelelés igazolása, vagy jogi igények előterjesztése, érvényesítése vagy védelme érdekében szükséges.  Ezen kívül a Társaság az Érintettekkel kapcsolatos peres ügyekkel, jogvitákkal összefüggésben a peranyaghoz tartozó személyes adatokat adhat át jogi képviselőinek.

A fentieken kívül a Társaság jogszabályi kötelezettségéből eredően csatlakozik az Elektronikus

Egészségügyi Szolgáltatási Térhez, így személyes adatai ide is feltöltésre kerülnek. Az Elektronikus Egészségügyi Szolgáltatási Térről bővebb információkat itt talál: https://e-egeszsegugy.gov.hu/eeszt

 

5. ADATTOVÁBBÍTÁS AZ EURÓPAI GAZDASÁGI TÉRSÉGEN KÍVÜLRE

A Társaság által megbízott egyes adatfeldolgozók olyan, az Európai Gazdasági Térségen kívüli országokban találhatók, amelyek tekintetében az Európai Bizottság nem állapította meg, hogy azok a személyes adatok megfelelő szintű védelmét biztosítják. Ilyen adatfeldolgozók lehetnek pl. azon harmadik személy szolgáltatók, akik a kért vizsgálatok elvégzésében részt vesznek.

Tájékoztatjuk, hogy a Társaság ilyen adatfeldolgozók részére személyes adatokat csak kódoltan küld meg. Továbbá a Társaság az ilyen adatfeldolgozók részére történő adattovábbítások tekintetében megfelelő intézkedéssel biztosította, hogy a továbbított adatok megfelelő védelemben részesüljenek. Az alkalmazott intézkedéssekkel kapcsolatban további információkat, valamint az intézkedésekről másolatot kérhet a jelen tájékoztató 8. pontjában meghatározott Adatvédelmi Tisztviselőtől.

 

6. AZ ADATKEZELÉS IDŐTARTAMA

A Társaság a kért vizsgálattal kapcsolatos egészségügyi dokumentációt az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény rendelkezéseivel összhangban 30 évig őrzi.

A Társaság a vizsgálat elvégzését követően haladéktalanul visszaküld a mintát beküldő egészségügyi szolgáltatónak.

Minden egyéb, az egészségügyi dokumentáció részét nem képező adatot a Társaság a vizsgálat elvégzését követő 5 év elteltével megsemmisíti. Ez alól kivétel képez a számviteli dokumentáció, amelyet a Társaság az irányadó jogszabályi előírások alapján az érintett pénzügyi év végét követő 8 évig köteles megőrizni.

 

7. AZ ÉRINTETT ADATKEZELÉSSEL KAPCSOLATOS JOGAI

Az irányadó adatvédelmi jogszabályoknak megfelelően az érintett jogosult:

  • személyes adataihoz hozzáférést kérni;
  • a személyes adatai helyesbítését kérni;
  • a személyes adatai törlését kérni;
  • a személyes adatai kezelésének korlátozását kérni; – a személyes adatai tekintetében adathordozhatósággal élni;  – tiltakozni a személyes adatai kezelése ellen.

 

Hozzáféréshez való jog: Az érintett jogosult arra, hogy visszajelzést kapjon arra vonatkozóan, hogy személyes adatai kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy személyes adataihoz, valamint az adatkezeléssel kapcsolatos egyes információkhoz hozzáférést kapjon.

A hozzáférési jog többek között kiterjed az alábbi információkra: az adatkezelés célja, a kezelt adatok kategóriái, azon címzettek megjelölése, akik részére az adatokat továbbították.

Az érintett továbbá jogosult arra, hogy másolatot kérjen a Társaság által kezelt személyes adatairól.

 

Helyesbítéshez való jog: Bizonyos esetekben az érintett jogosult arra, hogy kérésére a rá vonatkozó pontatlan személyes adatok helyesbítésre, illetve a hiányos személyes adatok kiegészítésre kerüljenek.

Törléshez (elfeledtetéshez) való jog: Bizonyos esetekben az érintett jogosult arra, hogy kérésére a rá vonatkozó személyes adatok törlésre kerüljenek, és a Társaság köteles lehet arra, hogy az ilyen adatokat törölje.

Adatkezelés korlátozásához való jog: Bizonyos esetekben az érintett jogosult arra, hogy kérésére a rá vonatkozó személyes adatok kezelése korlátozásra kerüljön. Ilyen esetben az érintett adatok kizárólag meghatározott célokból kezelhetők.

Adathordozhatóság: Bizonyos esetekben az érintett jogosult arra, hogy a rá vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa.  Az érintett továbbá jogosult lehet arra is, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.

Tiltakozáshoz való jog: Bizonyos esetekben az érintett jogosult arra, hogy tiltakozzon a személyes adatai kezelése ellen, és ilyen esetben előfordulhat, hogy a Társaság nem kezelheti tovább ezen adatokat. Továbbá az érintett mindenkor jogosult arra, hogy tiltakozzon személyes adatainak közvetlen üzletszerzés (pl. hírlevél küldése) céljából történő kezelése ellen. Ilyen esetben a Társaság ilyen célból a továbbiakban nem kezeli az érintett adatait.

A fenti jogokkal kapcsolatban kérjük, vegyék figyelembe, hogy egyes esetekben az adott kérés teljesítése az adat természete miatt nem vagy csak korlátozottan lehetséges, illetve hogy a fenti jogosultságok nem korlátlanok, és annak gyakorlását az irányadó adatvédelmi szabályok feltételekhez köthetik.

Az érintett a fenti jogait a Társaságnak a jelen tájékoztatóban megadott DPOP-nál érvényesítheti.

 

Utolsó módosítás dátuma: 2018. július 1.

 

Buteyko Légzés Központ