Adatkezelési Szabályzat

Jelen Szabályzat az Epreskert-Med Korlátolt felelőségű társaság által üzemeltetett rendelő adatkezelési tevékenységének belső szabályait tartalmazza AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETÉNEK valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) – való megfelelés céljából.

Kelt: Nyíregyháza, 2021. május hó 25. napján

__________________________

Dr. Pósz Zoltán István

TARTALOMJEGYZÉK

1. ÁLTALÁNOS RENDELKEZÉSEK 5

1. 1. A Szabályzat célja és hatálya 5

1. 2. Fogalommeghatározások 5

2. Az egészségügyi ellátóhálózat szerveinek adatkezelése 8

2.2. Adatfelvétel 8

2.2.1. Adatmódosítás 9

2.2.2. Adattörlés 9

2.3. Az adatkezelés egyes esetei, gyógykezelés céljából történő adatkezelés 9

2.4. Orvosi titok védelme 10

2.5. Gyógykezelés során jelen lévő személyek 11

2.6. Tájékozódási, tájékoztatási jog és kötelezettség, a beteg joga a tájékoztatáshoz 12

2.7. Hozzátartozó és más személy tájékoztatása 12

2.8. Az egészségügyi dokumentáció megismerésének joga 12

2.9. Közegészségügyi, járványügyi célból történő adatkezelés 13

2.10. Egészségügyi és személyazonosító adatok nyilvántartása 13

2.11. Az egészségügyi dokumentáció tárolásának és archiválásának rendje 13

2.12. A dokumentációtárolás, rendszerezés általános irányelvei 15

3. AZ ADATKEZELÉS JOGSZERŰSÉGE 15

3. 1. Adatkezelés az érintett hozzájárulása alapján 15

3. 2. Jogi kötelezettség teljesítésén alapuló adatkezelés 16

4. MUNKAVISZONNYAL KAPCSOLATOS ADATKEZELÉSEK 17

4. 1. Munkaügyi, személyzeti nyilvántartás 17

4. 2. Alkalmassági vizsgálatokkal kapcsolatos adatkezelés 18

5. SZERZŐDÉSHEZ KAPCSOLÓDÓ ADATKEZELÉSEK 20

5. 1. Szerződő partnerek adatainak kezelése nyilvántartása 20

5. 2. Jogi személy szállítók, természetes személy képviselőinek elérhetőségi adatai 20

6. JOGI KÖTELEZETTSÉGEN ALAPULÓ ADATKEZELÉSEK 21

6. 1. Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából 21

6. 2. Kifizetői adatkezelés 21

6. 3. Egészségügyi ellátással kapcsolatos adatkezelés 22

7. ADATBIZONSÁGI INTÉZKEDÉSEK 23

7. 1. Adatbiztonsági intézkedések 23

7. 2. Adattovábbítás más orvos részére 25

8. ADATFELDOLGOZÓK 25

8. 1. Az Epresket-Med Kft. az alábbi tevékenységek tekintetében vesz igénybe Adatfeldolgozót: 25

8. 2. Adatfeldolgozói garancianyújtás 26

8. 3. Az Adatkezelő jogai kötelezettségei és jogai 26

9. ADATVÉDELMI INCIDENSEK KEZELÉSE 27

9. 1. Az adatvédelmi incidens fogalma 27

9. 2. Adatvédelmi incidensek kezelés, orvoslása 27

9. 3. Adatvédelmi incidensek nyilvántartása 28

10. AZ ÉRINTETT SZEMÉLY JOGAI 29

10. 1.Tájékoztatás és személyes adatokhoz való hozzáférés 29

10. 2. Helyesbítéshez való jog 30

10. 3.Törléshez való jog 30

10. 4. Az adatkezelés korlátozásához való jog 30

10. 5. Az adathordozhatósághoz való jog 30

10. 6. A tiltakozáshoz való jog 30

11. AZ ÉRINTETTI JOG KORLÁTOZÁSA 31

12. AZ ÉRINTETT TÁJÉKOZTATÁSA AZ ADATVÉDELMI INCIDENSRŐL 31

13. PANASZTÉTEL, JOGORVOSLAT 33

13. 1. A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog) 33

13. 2. A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog 33

13. 3. Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog 33

14. ZÁRÓ RENDELKEZÉSEK 35

14. 1. A Szabályzat megállapítása és módosítása 35

14. 2. Intézkedések a szabályzat megismertetése 35

15. MELLÉKLETEK 36

1. számú melléklet 37

2. számú melléklet 45

3. számú melléklet 49

4. számú melléklet 51

5. számú melléklet 52

1. ÁLTALÁNOS RENDELKEZÉSEK

1. 1. A Szabályzat célja és hatálya

(1) E Szabályzat célja azon belső szabályok megállapítása és intézkedések megalapozása, amelyek biztosítják, hogy egy Társaság adatkezelő és adatfeldolgozó tevékenysége megfeleljen AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETÉNEK – (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: Rendelet) – továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezéseinek.

(2) E Szabályzat hatálya természetes személyre vonatkozó személyes adatok Epreskert-Med Kft. által üzemeltetett rendelés adatkezelésére terjed ki.

(3) Egyéni vállalkozókat, vevőket, szállítókat azok megjelölt kapcsolattartóit e szabályzat alkalmazásában természetes személynek tekintjük.

(4) Szabályzat hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre vonatkozik, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.

1. 2. Fogalommeghatározások

E Szabályzat alkalmazásában irányadó főbb fogalmak:

(1) Adatkezelés: Az alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely művelet vagy a műveletek összessége, így különösen a személyes adatok gyűjtése, rögzítése, rendszerezése, tagolása, tárolása, átalakítása, megváltoztatása, felhasználása, lekérdezése, betekintése, felhasználása, közlése, továbbítása, terjesztése vagy egyéb módon hozzáférhetővé tétele, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, korlátozása, törlése és megsemmisítése.

(2) Adatkezelő: Aki az adatkezelés céljait és eszközeit – önállóan vagy másokkal együtt – meghatározza.

(3) Adatfeldolgozó: Az a szolgáltató, aki az adatkezelő nevében személyes adatokat kezel.

(4) Adatfeldolgozás: Az adatfeldolgozók önálló döntést nem hoznak, kizárólag az adatkezelőkkel kötött szerződés, és a kapott utasítások szerint jogosultak eljárni. Az adatfeldolgozók 2018. május 25. napját követően a részünkre az Adatkezelők által továbbított és általuk kezelt vagy feldolgozott Személyes adatokat a „GDPR“ által előírt rendelkezésekkel összhangban rögzítik, kezelik, ill. dolgozzák fel, és erről nyilatkozatot tesznek az Adatkezelők részére. Az Adatkezelők ellenőrzik az Adatfeldolgozók munkáját.

(5) Adathordozó: minden olyan anyag vagy eszköz, amely adatok lejegyzésére, tárolására és visszaolvasására alkalmas.

(6) Adatvédelmi incidens: A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyesadatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi

(7) Betegellátó: a kezelést végző orvos, az egészségügyi szakdolgozó, az érintett gyógykezelésével kapcsolatos tevékenységet végző egyéb személy, a gyógyszerész.

(8) Címzett: Az a természetes vagy jogi személy, akivel a személyes adatokat közlik.

(9) Egészségügyi dokumentáció: a gyógykezelés során a betegellátó tudomására jutott egészségügyi és személyazonosító adatokat tartalmazó feljegyzés, nyilvántartás vagy bármilyen más módon rögzített adat, függetlenül annak hordozójától vagy formájától. Az alapellátó szolgáltatók esetében egészségügyi dokumentáció: kézzel írt egészségügyi törzskarton felnőtt és gyermek páciensekről, a háziorvosi hatásköri lista XXV. szakaszában meghatározott adattartalommal.

(10) Egészségügyi dolgozó: az orvos, a fogorvos, a gyógyszerész, az egyéb felsőfokú egészségügyi szakképesítéssel rendelkező személy, az egészségügyi szakképesítéssel rendelkező személy, továbbá az egészségügyi tevékenységben közreműködő egészségügyi szakképesítéssel nem rendelkező személy.

(11) Egészségügyi ellátóhálózat: egészségügyi ellátást nyújtó, valamint szakmai felügyeletét, ellenőrzését végző szervezet és természetes személy

(12) Egészségügyi Szolgáltató: Ahol az egészségügyi ellátást igénybe veszik a Páciensek, ahol a Páciens ellátása, vizsgálata és kezelése történik. Jelen esetben az Epreskert-Med Kft.

(13) Érintett: Bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy. Szolgáltatásunkban érintett a Páciens (néhány esetben a hozzátartozó is).

(14) Az Érintett hozzájárulása : Az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló olyan konkrét, félreérthetetlen és egyértelmű cselekedete, ahol beleegyezését adja az őt érintő személyes adatok kezeléséhez.

(15) Gyógykezelés: minden olyan tevékenység, amely az egészség megőrzésére, továbbá a megbetegedések megelőzése, korai felismerése, megállapítása, gyógyítása, a megbetegedés következtében kialakult állapotromlás szinten tartása vagy javítása céljából az érintett közvetlen vizsgálatára, kezelésére, ápolására, orvosi rehabilitációjára, illetve mindezek érdekében az érintett vizsgálati anyagainak feldolgozására irányul, ideértve a gyógyszerek, gyógyászati segédeszközök gyógyfürdőellátások kiszolgálását, a mentést és betegszállítást, valamint a szülészeti ellátást is.

(16) Harmadik személy: olyan természetes, vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval.

(17) Közeli hozzátartozó: a házastárs, az egyenes ágbeli rokon, az örökbe fogadott, a mostoha és nevelt gyermek, az örökbe fogadó, a mostoha- és nevelőszülő, valamint a testvér és az élettárs.

(18) Különleges adat: Jelen esetben az egészségi állapotra vonatkozó adat.

(19) Orvosi titok: a gyógykezelés során az adatkezelő tudomására jutott egészségügyi és személyazonosító adat, továbbá a szükséges vagy folyamatban lévő, illetve befejezett gyógykezelésre vonatkozó, valamint a gyógykezeléssel kapcsolatban megismert egyéb adat.

(20) Sürgős szükség: az egészségi állapotában hirtelen bekövetkezett olyan változás, amelynek következtében azonnali egészségügyi ellátás hiányában az érintett közvetlen életveszélybe kerülne, illetve súlyos vagy maradandó egészségkárosodást szenvedne.

(21) Személyes adat: Bármilyen adat vagy információ, amely alapján egy természetes személy („Érintett“) – közvetett vagy közvetlen módon – azonosíthatóvá válik.

2. Az egészségügyi ellátóhálózat szerveinek adatkezelése

Az egészségügyi ellátó hálózaton belül az egészségügyi és személyazonosító adat kezelésére amennyiben a törvény másként nem rendelkezik – jogosult:

a betegellátó,
szolgáltató vezetője, illetve
a szolgáltató vezetője által megbízott személy.

Az egészségügyi és személyazonosító adatok kezelése során biztosítani kell az adatok biztonságát véletlen vagy szándékos megsemmisítéssel, vagy megsemmisüléssel, megváltozással, károsodással, nyilvánosságra kerüléssel szemben, továbbá, hogy azokhoz illetéktelen személy ne férjen hozzá.

2.2. Adatfelvétel

Az adatfelvétel során az egészségügyi dokumentációban rögzíteni kell az adatfelvétel időpontját és az adatfelvevő személyét.

A beteg dokumentációjában történt minden feljegyzést, beírást aláírással vagy kézjeggyel, és ha szükséges, dátummal kell hitelesíteni, illetve elektronikus adatkezelés esetén a bejegyzést végző egyértelmű azonosítását a rendszernek biztosítania kell. A dolgozók aláírás mintáját nyilvántartásban kell rögzíteni. A nyilvántartás vezetéséért az adott szervezeti egység adatvédelmi felelőse felel.

Elektronikus adatkezelés esetén az adatkezelő bejelentkező nevének és jelszavának titkosan történő kezelése az adatkezelő kötelezettsége.

2.2.1. Adatmódosítás

Ha tévesztés, vagy más ok miatt a beírt adatot módosítani kell, ez csak úgy végezhető, hogy az eredeti adat megállapítható legyen. Módosításnál is kézjeggyel el kell látni a módosítást, elektronikus adatkezelés esetén a bejegyzést végző egyértelmű azonosítását és a bejegyzés naplózását a rendszernek biztosítania kell.

2.2.2. Adattörlés

Adatot törölni csak a jelen szabályzat alapján lehet. A törlés során be kell tartani az adatvédelmi előírásokat különös tekintettel a jogosulatlan hozzáférésre. A törlés során a manuálisan kezelt adatokat fizikailag meg kell semmisíteni, elektronikusan tárolt adatok esetében azokat helyrehozhatatlanul meg kell változtatni. Érintettet a törlés következményeiről és veszélyeiről a törlés előtt tájékoztatni kell, és ezt az érintettel aláíratva a beteg dokumentációjában a kérelemmel együtt meg kell őrizni. A törlést a szolgáltató vezetője engedélyével lehet elvégezni, és erről nyilvántartást kell vezetni.

2.3. Az adatkezelés egyes esetei, gyógykezelés céljából történő adatkezelés

Az egészségügyi adatok felvétele a gyógykezelés (önálló betegellátási tevékenység) része. Az egészségügyi és a személyazonosító adatoknak a gyógykezelt személy (törvényes képviselője) részéről történő szolgáltatása – az egészségügyi ellátás igénybevételéhez kötelezően előírt személyazonosító adatok megadása önkéntes. Abban az esetben, ha a gyógykezelt személy önként fordul a szolgáltatóhoz, a gyógykezeléssel összefüggő egészségügyi és személyazonosító adatainak kezelésére szolgáló hozzájárulását – ellenkező nyilatkozat hiányában megadottnak kell tekinteni, és erről az érintettet (törvényes képviselőjét) tájékoztatni kell.

Az érintett (törvényes képviselője) köteles a betegellátó felhívására egészségügyi és személyazonosító adatait átadni,

ha valószínűsíthető vagy beigazolódott, hogy valamely betegség kórokozója által fertőződött, vagy fertőzéses eredetű mérgezésben, illetve fertőző betegségben szenved,
ha arra szűrő- és alkalmassági vizsgálatok elvégzéséhez van szükség,
heveny mérgezés esetén,
ha valószínűsíthető, hogy az érintett foglalkozási eredetű megbetegedésben szenved,
ha az adatszolgáltatásra a magzat, illetve a kiskorú gyermek gyógykezelése, egészségi állapotának megőrzése vagy védelme érdekében van szükség,
ha bűnüldözés, bűnmegelőzés céljából, továbbá ügyészségi, bírósági eljárás, illetve szabálysértési vagy közigazgatási hatósági eljárás során az illetékes szerv a vizsgálatot elrendelte,
ha az adatszolgáltatásra a nemzetbiztonsági szolgálatokról szóló törvény szerinti ellenőrzés céljából van szükség.

Sürgős szükség, valamint a gyógykezelt személy belátási képességének hiánya esetén az önkéntességet vélelmezni kell.

A gyógykezelés alatt az egészségügyi dokumentációban rögzíteni kell a szakmai szabályoknak megfelelő adatokat. Az ellátást végző Háziorvos dönti el, hogy a szakmai szabályoknak megfelelően – a kötelezően felveendő adatokon kívül – mely egészségügyi adat felvétele szükséges.

Kerülni kell azon adatok rögzítését, amik közvetlenül nem kapcsolatosak a beteg gyógykezelésével. Ezen adatok felvételére a törzskartonon csak akkor kerülhet sor, ha azok a beteg gyógykezelésében szerepet játszanak.

A gyógykezelés során az egészségügyi dokumentáció kezelésének rendjét úgy kell kialakítani, hogy a dokumentációhoz, illetve a beteg személyes adataihoz kizárólag a gyógykezelt személy gyógykezelését végzők férhessenek hozzá.

A vizsgálatoknál be kell vezetni, hogy a vizsgálatra behívás ne a beteg nevének szólításával történjen, hanem anonim módon, pl. hívószám alkalmazásával.

2.4. Orvosi titok védelme

A betegellátót, valamint a szolgáltatóval alkalmazotti jogviszonyban álló más személyt a beteg egészségi állapotával kapcsolatos adat, továbbá a munkavégzéssel kapcsolatosan tudomására jutott egyéb adat vonatkozásában időbeli korlátozás nélkül titoktartási kötelezettség terheli. A titoktartási kötelezettség független attól, hogy az adatokat milyen módon ismerte meg. A titoktartási kötelezettség tehát nemcsak a kezelést végző orvost, illetve a szakdolgozókat köti, hanem az intézmény minden dolgozóját.

A szolgáltatót – az igazságügyi orvosszakértő kivételével – a titoktartási kötelezettség azzal a betegellátóval szemben is köti, aki a beteg gyógykezelésében nem működött közre, kivéve, ha az adatok a gyógykezelt személy további gyógykezelése érdekében szükségesek.

A titoktartási kötelezettség alól írásban felmentést adhat a beteg, vagy törvényen alapuló adatszolgáltatási kötelezettség.

Az orvosi titok védelme érdekében szükséges, hogy a szolgáltató valamennyi dolgozója kötelezettséget vállaljon az orvosi titok megtartására. A kötelezettséget a dolgozó munkaköri leírásába kell foglalni, illetve ahhoz csatolni kell.

2.5. Gyógykezelés során jelen lévő személyek

A gyógykezelés során a kezelést végző háziorvos és a betegellátásban részt vevő más személyek lehetnek jelen, valamint akinek jelenlétéhez a beteg hozzájárult.

A beteg emberi jogainak és méltóságának tiszteletben tartása mellett az érintett hozzájárulása nélkül jelen lehet a gyógykezelés során:

más személy, ha a gyógykezelés rendje több beteg egyidejű ellátását igényli,
a rendőrség hivatásos állományú tagja, amennyiben a gyógykezelésre fogvatartott személy esetében kerül sor,
a büntetés-végrehajtási szervezet szolgálati jogviszonyban álló tagja, amennyiben a gyógykezelésre olyan személy esetében kerül sor, aki a büntetés-végrehajtási intézetben szabadságelvonással járó büntetését tölti, és a gyógykezelést végző betegellátó biztonsága, illetve szökés megakadályozása céljából erre szükség van,
ha bűnüldözési érdekből a beteg személyi biztonsága ezt indokolttá teszi, és a beteg nyilatkozattételre képtelen állapotban van.

Fent meghatározottakon felül jelen lehet az,

aki a beteget az adott betegség miatt már kezelte,
akinek a szolgáltató vezetője szakmai ok miatt engedélyt adott. A gyógykezelt személy kifejezett tiltakozásának ebben az esetben helyt kell adni.
Az egészségügyi szakemberképzés céljából jelen lehet: orvos, orvostanhallgató, egészségügyi szakdolgozó, egészségügyi főiskola vagy szakiskola hallgatója, feltéve, hogy a megjelölt személy képzésére az egészségügyi szolgáltató ki van jelölve. Ebben az esetben a gyógykezelt személy hozzájárulására nincs szükség, de a betegtájékoztatóban a szolgáltató oktató jellegéről és a szakemberképzésről a gyógykezelteket tájékoztatni kell.

A hozzájárulást a gyógykezelt személy szóban is megteheti a kezelést végző orvosnak.

2.6. Tájékozódási, tájékoztatási jog és kötelezettség, a beteg joga a tájékoztatáshoz

A betegellátás megkezdése előtt a beteget tájékoztatni kell a szolgáltató adatvédelmi rendjéről. A beteg tájékoztatása az adatvédelemről a felvevő, illetve a kezelést végző háziorvos kötelessége. A tájékoztatás megadását a beteg aláírásával igazolja. Az aláírt tájékoztatót a beteg egészségügyi dokumentációjához csatolni kell. A beteg dokumentációjához csatolni kell a beteg esetleges korlátozó nyilatkozatát is.

A gyógykezelt személy ellátásával kapcsolatos tájékoztatást a beteg kezelését végző háziorvos adja meg. A beteg gyógykezelésének ápolási vonatkozásairól az őt ellátó körzeti ápoló/egészségügyi szakdolgozó is felvilágosítást adhat. Szakdolgozó, illetve más dolgozó a beteg gyógykezeléséről tájékoztatást nem adhat, kivéve, ha a beteg kezelését végző orvos erre az adott beteg esetében felhatalmazta. A tájékoztatás személyesen történik.

Telefonon a beteg gyógykezeléséről érdemi tájékoztatás nem adható. A kezelést végző orvos, illetve egészségügyi dolgozó a beteg szolgáltatónál történő kezelésének tényét a beteg ellenkező értelmű nyilatkozata hiányában megerősítheti.

A pszichiátriai beteg esetében kivételesen korlátozható a betegnek az egészségügyi dokumentáció megismeréséhez való joga, ha alapos okkal feltételezhető, hogy a beteg gyógyulását nagymértékben veszélyeztetné, vagy más személy személyiségi jogait sértené az egészségügyi dokumentáció megismerése. A korlátozás elrendelésére kizárólag orvos jogosult. A korlátozás elrendeléséről a betegjogi képviselőt és a beteg törvényes vagy meghatalmazott képviselőjét haladéktalanul értesíteni kell. Az e bekezdésben foglalt betegjogi korlátozásokat részletesen dokumentálni és indokolni kell.

2.7. Hozzátartozó és más személy tájékoztatása

A beteg a praxishoz való bejelentkezéskor, vagy később rendelkezhet arról, hogy betegségéről, annak várható kimeneteléről, egészségi állapotának változásáról mely személyeknek adható részleges vagy teljes felvilágosítás, illetve ebből kik zárandók ki. A beteget a rendelkezés lehetőségéről tájékoztatni kell.

2.8. Az egészségügyi dokumentáció megismerésének joga

A beteg (törvényes képviselője) jogosult tájékoztatást kapni a rá vonatkozó személyazonosító és egészségügyi adatokról, betekinthet az egészségügyi dokumentációba.

Az alapellátásban az adott ellátási folyamat befejezését a beteg megismeri és elfogadja. A definitív ellátás folyamatáért az alapellátó felelős. Az ellátási folyamat megszakítása, vagy módosítása tényét, okait az alapellátó a betegdokumentációban rögzíti.

2.9. Közegészségügyi, járványügyi célból történő adatkezelés

A betegellátó haladéktalanul továbbítja az egészségügyi államigazgatási szervnek az egészségügyi és személyazonosító adatot, ha fertőző betegséget észlel, vagy annak gyanúja merül fel.

A Kormányhivatal Népegészségügyi Osztálya közegészségügyi vagy járványügyi közérdekre hivatkozva kérheti az érintett személyazonosító adatait.

2.10. Egészségügyi és személyazonosító adatok nyilvántartása

Az érintettről felvett, a gyógykezelés érdekében szükséges egészségügyi és személyazonosító adatot, valamint azok továbbítását nyilván kell tartani. Az adattovábbításról szóló feljegyzésnek tartalmaznia kell az adattovábbítás címzettjét, módját, időpontját, valamint a továbbított adatok körét.

A nyilvántartás eszköze lehet minden olyan adattároló eszköz, amely biztosítja az adatok szándékos megsemmisítéssel, megsemmisüléssel, megváltoztatással, károsodással, nyilvánosságra kerüléssel szembeni védelmét, valamint azt, hogy azokhoz illetéktelen személy ne férhessen hozzá.

A szolgáltató saját feljegyzései a nyilvántartás részét képezik.

A betegellátó nyilvántartja

azokat az érintetteket, akikről bebizonyosodott, vagy valószínűsíthető, hogy fertőző betegségben szenvednek. Ezzel összefüggésben nyilván kell tartani a megelőző gyógyszeres kezelésre, a szűrővizsgálatra, járványügyi megfigyelésre, járványügyi zárlatra kötelezett személyeket.
a védőoltásra kötelezett személyeket,
kábítószert élvező, kóros mértékben gyógyszert fogyasztó, egyéb, függőséget okozó anyagot használó személyeket.

2.11. Az egészségügyi dokumentáció tárolásának és archiválásának rendje

A beteg vizsgálatával és gyógykezelésével kapcsolatos adatokat az egészségügyi dokumentáció tartalmazza. Az egészségügyi dokumentációt úgy kell vezetni, hogy az a valóságnak megfelelően tükrözze az ellátás folyamatát.

Az egészségügyi dokumentációban fel kell tüntetni:

a páciens regisztrációs sorszámát,
a törzskarton azonosítót,
a biztosítási jogviszony adatait,
praxisba jelentkezés/kijelentkezés dátumát,
a személyazonosító adatokat,
cselekvőképes beteg esetén az értesítendő személy, kiskorú, illetve gondnokság alatt álló beteg esetében a törvényes képviselő nevét, lakcímét, elérhetőségét,
általános egészségügyi adatokat,
családi anamnézist,
egyéni anamnézist,
életmódi adatokat,
krónikus betegségeket, kórállapotokat, diagnózissal (BNO), a felismerés évének feltüntetésével,
kockázati kategóriákat,
népegészségügyi lakossági szervezett szűrésen való részvételt,
önvizsgálatokat,

Gyermek páciens törzskartonján fel kell tüntetni:

törzskarton azonosítót,
általános egészségügyi adatokat,
családi anamnézist,
egyéni anamnézist,
életmódi adatokat,
krónikus betegségeket, kórállapotokat,
életkori kötelező, és önkéntes oltások dokumentációját,
életkori státusokat, szűrővizsgálatokat, védőnői szűrések eredményeit (újszülött, 1 hónaptól 6 éves kor között, 5 éves életkor-fejlődési szint vizsgálat, magántanulók, törzskarton megújítás)
az orvos egyéb megjegyzéseit.

Az egészségügyi dokumentáció részeként meg kell őrizni:

a szakellátásban az egyes vizsgálatokról készült leletek másolatát,
a gyógykezelés és a konzílium során keletkezett iratok egy példányát,
a gondozási dokumentációt,
az alapellátásban végzett diagnosztikus eljárások eredményéről készült lelet egy példányát. (vércukor-vizsgálat, EKG vizsgálat)

Az egészségügyi dokumentáció esetében különös figyelmet kell fordítani arra, hogy az részletes, szakszerű, olvasható és visszakereshető legyen.

Irányelvek a helyi szabályozás speciális részének elkészítéséhez: Az egészségügyi dokumentáció tárolási rendszerét a törvény előírásainak és a szolgáltató lehetőségeinek figyelembe vételével, az alapellátási munkához, a szolgáltatónál kialakult munkarendhez kell illeszteni. Az egészségügyi dokumentáció tárolása az alapellátás esetében a páciens praxisba történő bejelentkezésétől az esetleges kijelentkezéséig, illetve haláláig tart.

2.12. A dokumentációtárolás, rendszerezés általános irányelvei

Az alapellátást nyújtó egészségügyi szolgáltató maga alakítja ki a dokumentáció tárolás szabályait, lehetőségeit figyelembe véve.

A dokumentumok védelmét az illetéktelen hozzáférés-, eltulajdonítás, meghamisítás, valamint fizikai megsemmisülés ellen biztosítani kell. Javasolt módszer a dokumentum-katalógus kialakítása. A tárolási rendszerbe helyezett dokumentumok kivételekor egyszerű, de a követést biztosító jelző és nyilvántartó rendszert kell alkalmazni.

Ennek kötelező alapadatai:

dokumentum azonosító,
beteg neve,
betegazonosító,
kiadás kelte,
kivétel célja,
ki kérte.

3. AZ ADATKEZELÉS JOGSZERŰSÉGE

3. 1. Adatkezelés az érintett hozzájárulása alapján

(1) Amennyiben a Rendelő hozzájáruláson alapuló adatkezelést kíván végezni, az érintett hozzájárulását személyes adatai kezeléséhez megelőző tájékoztatással kell kérni.

(2) Hozzájárulásnak minősül az is, ha az érintett a Rendelő internetes honlapjának megtekintése során (amennyiben erre a honlap felülete lehetőséget biztosít) bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat, vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak.

(3) A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.

(4) Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti a Rendeletet, kötelező erővel nem bír.

(5) A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

(6) Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.

3. 2. Jogi kötelezettség teljesítésén alapuló adatkezelés

(1) A jogi kötelezettségen alapuló adatkezelés esetén a kezelhető adatok körére, az adatkezelés céljára, az adatok tárolásának időtartamára, a címzettekre az alapul szolgáló jogszabály rendelkezései irányadók.

(2) A jogi kötelezettség teljesítése jogcímén alapuló adatkezelés az érintett hozzájárulásától független, mivel az adatkezelést jogszabály határozza meg. Az érintettel az adatkezelés megkezdése előtt ez esetben közölni kell, hogy az adatkezelés kötelező, továbbá az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő a rá vonatkozó jogi kötelezettség alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés esetén a tájékoztatás megtörténhet az előbbi információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.

2. 3. Epreskert-Med Kft. által üzemeltetett rendelő adatkezelési tájékoztatója

(1) Az Epreskert-Med Kft. általános, részletes adatkezelési tájékoztatóját a 1. számú melléklet ( „Adatvédelmi és Adatkezelési tájékoztatás”) tartalmazza.

(2) Az Epreskert-Med Kft. által üzemeltetett rendelő valamennyi adatkezelése során köteles biztosítani az érintett jogainak gyakorlását.

(3) Az Az Epreskert-Med Kft. által üzemeltetett rendelőben ellátást igénybe vevő Páciensek számára jól látható módon helyezi el az Adatkezelési tájékoztatóját és kérésre bármikor az Érintett rendelkezésére bocsátja. A részletes Adatkezelési tájékoztatót könnyen hozzáférhetővé teszi honlapján is.

4. MUNKAVISZONNYAL KAPCSOLATOS ADATKEZELÉSEK

4. 1. Munkaügyi, személyzeti nyilvántartás

(1) A munkavállalóktól kizárólag olyan adatok kérhetők és tarthatók nyilván, valamint olyan munkaköri orvosi alkalmassági vizsgálatok végezhetők, amelyek munkaviszony létesítéséhez, fenntartásához és megszüntetéséhez, illetve a szociális-jóléti juttatások biztosításához szükségesek és a munkavállaló személyhez fűződő jogait nem sértik.

(2) Az Epreskert-Med Kft. munkáltatói jogos érdekeinek érvényesítése jogcímén munkaviszony létesítése, teljesítése vagy megszűnése céljából kezeli a munkavállalók alábbi adatait:

név
születési név,
születési ideje,
anyja neve,
lakcíme,
állampolgársága,
adóazonosító jele,
TAJ száma,
nyugdíjas törzsszám (nyugdíjas munkavállaló esetén),
telefonszám,
e-mail cím,
személyi igazolvány száma,
lakcímet igazoló hatósági igazolvány száma,
bankszámlaszáma,
munkába lépésének kezdő és befejező időpontja,
munkakör,
iskolai végzettségét, szakképzettségét igazoló okmány másolata,
kamarai tagság igazolását szolgáló kártya másolata
nyilvántartási kártya másolata
munkabérének összege, a bérfizetéssel, egyéb juttatásaival kapcsolatos adatok,
a munkavállaló munkabéréből jogerős határozat vagy jogszabály, illetve írásbeli hozzájárulása alapján levonandó tartozást, illetve ennek jogosultságát,
a munkaviszony megszűnésének módja, indokai,
a munkaköri alkalmassági vizsgálatok összegzése,
magánnyugdíjpénztári és önkéntes kölcsönös biztosító pénztári tagság esetén a pénztár megnevezése, azonosító száma és a munkavállaló tagsági száma,

(3) Betegségre vonatkozó adatokat a munkáltató csak a Munka Törvénykönyvben meghatározott jog, vagy kötelezettség teljesítése céljából kezel.

(4) A személyes adatok címzettjei: az Epreskert-Med Kft. vezetője, munkáltatói jogkör gyakorlója, az Epreskert-Med Kft. munkaügyi feladatokat ellátó munkavállalói és Adatfeldolgozói.

(5) A személyes adatok tárolásának időtartama: a munkaviszony megszűnését követő 3 év, munkaviszonyra vonatkozó adatok korlátlan ideig tárolandóak.

(6) Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a Munka törvénykönyvén és a munkáltató jogos érdekeinek érvényesítésén alapul

(7) A munkáltató a munkaszerződés megkötésével egyidejűleg a jelen szabályzat 2. számú melléklete szerinti „Munkáltatói tájékoztatás Munkavállaló adatainak kezeléséről” átadásával tájékoztatja a munkavállalót személyes adatainak kezeléséről és személyhez fűződő jogokról.

4. 2. Alkalmassági vizsgálatokkal kapcsolatos adatkezelés

(1) A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó

szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. A vizsgálat előtt részletesen tájékoztatni kell a munkavállalókat többek között arról, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik. Amennyiben jogszabály írja elő a vizsgálat elvégzését, akkor tájékoztatni kell a munkavállalókat a jogszabály címéről és a pontos jogszabályhelyről is.

(2) A kezelhető személyes adatok köre: a munkaköri alkalmasság ténye („alkalmas-nem alkalmas”), és az ehhez szükséges feltételek.

(3) Az adatkezelés jogalapja: a munkáltató jogos érdeke.

(4) A személyes adatok kezelésének célja: munkaviszony létesítése, fenntartása, munkakör betöltése.

(5) A személyes adatok kezelésének időtartama: a munkaviszony megszűnését követően korlátlan ideig a munkaviszonyra vonatkozó adatokat.

5. SZERZŐDÉSHEZ KAPCSOLÓDÓ ADATKEZELÉSEK

5. 1. Szerződő partnerek adatainak kezelése nyilvántartása

(1) A Epreskert-Med Kft. szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése, szerződési kedvezmény céljából kezeli a vele esetleg bérlőként, vevőként, szállítóként szerződött természetes személy nevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosító jelét, adószámát, vállalkozói, személyi igazolvány számát, lakcímét, székhely, telephely címét, telefonszámát, e-mail címét, bankszámlaszámát, vevőszámát. Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 5 év.

(2) Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződés teljesítése jogcímén alapul, az a tájékoztatás történhet a szerződésben is.

5. 2. Jogi személy szállítók, természetes személy képviselőinek elérhetőségi adatai

(1) A kezelhető személyes adatok köre: a természetes személy neve, címe, telefonszáma, e-mail címe.

(2) A személyes adatok kezelésének célja: a Epreskert-Med Kft. jogi személy partnerével kötött szerződés teljesítése, üzleti kapcsolattartás, jogalapja a szerződéshez kötődik.

(3) A személyes adatok címzettjei, illetve a címzettek kategóriái az Epreskert-Med Kft. rendeléssel és beszerzéssel kapcsolatos feladatokat ellátó munkavállalója.

(4) A személyes adatok tárolásának időtartama: az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 5 évig.

6. JOGI KÖTELEZETTSÉGEN ALAPULÓ ADATKEZELÉSEK

6. 1. Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából

(1) A Epreskert-Med Kft. jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és számviteli kötelezettségek teljesítése (könyvelés, adózás) céljából kezeli a, beszállítóként vele üzleti kapcsolatba lépő természetes személyek és az ellátásban résztvevő Páciensek (számla kiállítását követő) törvényben meghatározott adatait. A kezelt adatok az általános forgalmi adóról szóló 2017. évi CXXVII. törvény alapján: adószám, név, cím, esetlegesen Egészségpénztári azonosító. A számvitelről szóló 2000. évi C. törvény alapján: név, cím esetleg Egészségpénztári azonosító.

(2) A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.

(3) A személyes adatok címzettjei: az Epreskert-Med Kft. adózási, könyvviteli, bérszámfejtési, társadalombiztosítási feladatait ellátó Adatfeldolgozója.

6. 2. Kifizetői adatkezelés

(1) A Epreskert-Med Kft jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási, nyugdíj ügyintézés) céljából kezeli azon érintettek – munkavállalók, családtagjaik, foglalkoztatottak, egyéb juttatásban részesülők –

adótörvényekben előírt személyes adatait, akikkel kifizetői kapcsolatban áll. A kezelt adatok körét jogszabály határozza meg, külön kiemelve ebből: a természetes személy természetes személyazonosító adatait, adóazonosító jelét, társadalombiztosítási azonosító jelét (TAJ szám).

(2) A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.

(3) A személyes adatok címzettjei: a Epreskert-Med Kft. adózási, könyvviteli, bérszámfejtési, kifizetői és társadalombiztosítási feladatait ellátó Adatfeldolgozója.

6. 3. Egészségügyi ellátással kapcsolatos adatkezelés

(1) A személyes adatok tervezett kezelésének célja: Pácienseink egészségügyi ellátása során keletkezett vizsgálati észlelése és kezelés dokumentálása. Az Orvosi szoftverbe való bejutás jelszóval védett. Csak az ellátásban résztvevők férhetnek a dokumentációhoz. A jelszavas belépést a rendszer naplózza. Amennyiben a Háziorvosi Rendelőnkben folytatott kezelését végző háziorvos, a Páciens kényelme és a szolgáltatás színvonalának növelése végett szükségesnek látja más szakorvos bevonását, az ellátás biztonsága és gyorsasága végett betekintést engedhet kizárólag az ellátással kapcsoltos adataiba.

(2) Adatkezelés jogalapja: Jogi kötelezettség jogalapja (1997. évi CLIV. Törvény az egészségügyről; 1997. évi LXXXIII. Törvény a kötelező egészségbiztosítás ellátásairól).

(3) Érintettek kategóriái: Az ellátást igénybe vevő Páciensek.

(4) Kezelt személyesadatok: Az azonosításhoz és ellátáshoz szükséges adatok: név/születési név, cím, születési adatok, TAJ

(5) A személyesadatok címzettje: Elektronikus Egészségügyi Szolgáltatási Tér (EESZT), Nemzeti Egészségbiztosítái Alapkezelő(NEAK)

(6)Adatfeldolgozó: Iglu Orvosi Szoftver.

(6)Adatkezelés tervezett időtartama: 1997. évi XLVII. törvény az egészségügyi és a hozzájuk kapcsolódó személyesadatok kezeléséről és védelméről szabályozott és 1997. évi LXXXIII. Törvény a kötelező egészségbiztosítás ellátásairól szóló szabályozásban meghatározott időtartamban.

7. ADATBIZONSÁGI INTÉZKEDÉSEK

7. 1. Adatbiztonsági intézkedések

(1) A Epreskert-Med Kft valamennyi célú és jogalapú adatkezelése vonatkozásában a személyes adatok biztonsága érdekében köteles megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a Rendelet érvényre juttatásához szükségesek.

(2) Az Adatkezelő az adatokat megfelelő intézkedésekkel védi a véletlen, vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés, jogosulatlan nyilvánosságra hozatal, vagy az azokhoz való jogosulatlan hozzáférés ellen.

(3) A Epreskert-Med Kft. által üzemeltetett rendelő a személyes adatokat bizalmas adatként minősíti és kezeli. A munkavállalókkal a személyes adatok kezelésére vonatkozóan titoktartási kötelezettséget ír elő. A személyes adatokhoz való hozzáférés jogosultsági szintek megadásával korlátozott.

(4) Az Epreskert-Med Kft az informatikai rendszereket tűzfallal védi, és vírusvédelemmel látja el.

(5) A Epreskert-Med Kft alkalmazottai a munkahelyi gépekhez nem csatlakoztathatják saját számítástechnikai eszközeiket, adattároló és rögzítő eszközeiket.

(6) A Epreskert-Med Kft által működtetett rendelés az elektronikus adatfeldolgozást, nyilvántartást számítógépes program útján végzi, amely megfelel az adatbiztonság követelményeinek. A program biztosítja, hogy az adatokhoz csak célhoz kötötten, ellenőrzött körülmények között csak azon személyek – jelszóval – férjenek hozzá, akiknek a feladataik ellátása érdekében erre szükségük van.

(7) A személyes adatok automatizált feldolgozását során az Adatkezelő és az Adatfeldolgozó további intézkedésekkel biztosítja, hogy:

a) a jogosulatlan adatbevitelt megakadályozza

b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatát megakadályozza

c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják, megakadályozza

d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe ellenőrizni tudja naplózással

e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát biztosítani tudja

f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön, biztosítani tudja

(8) Az Epreskert-Med Kft a személyes adatok védelme érdekében gondoskodik az elektronikus úton folytatott bejövő és kimenő kommunikáció ellenőrzéséről. Levelezéseiben kizárólag biztonságos fiókot használ (mely az Európai Unió területén belül rendelkezik szerverrel).

(9) A Társaság által kezelt személyes adatok interneten történő megosztása tilos!

(10) Külső forrásból kapott vagy letöltött, nem engedélyezett programok használata tilos!

(11) A folyamatban levő munkavégzés, feldolgozás alatt levő iratokhoz, dokumentumokhoz csak az illetékes munkavállalók férhetnek hozzá, a személyzeti, a bér- és munkaügyi ás egyéb személyes adatokat tartalmazó iratokat biztonságosan, elzárva kell tartani, csak az arra jogosultak férhetnek hozzá. Az eltulajdonítás megelőzése érdekében az ellátás alatti, illetve az azzal kapcsolatos dokumentálást követően az egészségügyi dokumentációt el kell zárni, vagy olyan helyen kell tartani, ahol például egészségügyi dolgozó folyamatos jelenléte által a felügyelet biztosított.

(12) Az egészségügyi dokumentációk kezelése és tárolása során különös figyelmet kell fordítani a jogosulatlan hozzáférés megakadályozására. A kezelés alatt lévő betegekre vonatkozó dokumentációkat is minden esetben olyan módon kell kezelni, hogy azokhoz csak az ellátásban résztvevő, illetőleg munkakörükből kifolyóan arra jogosult személyek férhessenek hozzá. Biztosítani kell az adatok és az azokat hordozó eszközök, iratok megfelelő fizikai védelmét. A papír alapon tárolt dokumentumok kizárólag zárható szekrényben tárolhatóak, ahhoz csak az arra jogosultak férhetnek hozzá.

(13) Az egyéni jelszavakról nyilvántartás nem vezethető, csoportos jelszó nem képezhető!

7. 2. Adattovábbítás más orvos részére

A kezelést végző orvos az – általa megállapított – a Páciensre vonatkozó adatokat külön kérésre – amennyiben ezt a Páciens ezt kifejezetten kérte – továbbítja a Páciens egyéb ellátójának (más kezelő orvosának). Ennek igényét a Páciens a kezelést megelőzően jelzi a kezelő számára a jogosult szakorvos megnevezésével és elérhetőségével.

8. ADATFELDOLGOZÓK

8. 1. Az Epresket-Med Kft. az alábbi tevékenységek tekintetében vesz igénybe Adatfeldolgozót:

Könyvelői és bérszámfejtői tevékenység
Betegellátási dokumentációs orvosi szoftver
Egészségügyi szolgáltatással összefüggő tevékenység
Postai tevékenység (esetenként)

8. 2. Adatfeldolgozói garancianyújtás

(1) Az Adatfeldolgozója garantálja – különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében – hogy a Rendelet követelményeinek teljesülését biztosító technikai és szervezési intézkedéseket végrehajtja, ideértve az adatkezelés biztonságát is. Az Adatkezelő az Adatfeldolgozót nyilatkoztatja az adatbiztonsági intézkedéseiről (3. számú melléklet: „Könyvelőiroda, mint Adatfeldolgozónyilatkozata adatkezeléssel kapcsolatosan”)

(2) Az Adatfeldolgozó tevékenysége során biztosítja, hogy az érintett személyes adatokhoz való hozzáférésre feljogosított személyek – ha jogszabályon alapuló megfelelő titoktartási kötelezettség hatálya alatt egyébként nem állnak – az általuk megismert személyes adatok vonatkozásában titoktartási kötelezettséget vállaljanak.

(7) A Társaság megfelelő hardver és szoftver eszközökkel rendelkezik., az adatkezelés jogszerűségének és az érintettek jogai védelmének biztosítására alkalmas műszaki és szervezési intézkedések végrehajtására kötelezettséget vállal.

(8) Az Epreskert-Med Kft mint Adatkezelő vállalja, hogy a megbízott Adatfeldolgozó rendelkezésére bocsát minden olyan információt, amely az Adatfeldolgozó igénybevételére vonatkozó jogi rendelkezéseknek való megfelelés igazolásához szükséges.

8. 3. Az Adatkezelő jogai kötelezettségei és jogai

a) Adatkezelő jogosult ellenőrizni Adatfeldolgozónál a szerződés szerinti tevékenység végrehajtását és az alkalmazott adatbiztonságot.

b) Adatkezelőnek a szerződésben meghatározott feladatokkal kapcsolatos utasításai jogszerűségéért az Adatkezelőt terheli felelősség, ugyanakkor az Adatfeldolgozó köteles haladéktalanul jelezni az Adatkezelőnek, amennyiben Adatkezelő utasítása, vagy annak végrehajtása jogszabályba ütközne.

c) Az Adatkezelő kötelezettsége, hogy az érintett természetes személyeket jelen szerződés szerinti adatfeldolgozásról tájékoztassa, ha jogszabály előírja, hozzájárulásukat beszerezze.

9. ADATVÉDELMI INCIDENSEK KEZELÉSE

9. 1. Az adatvédelmi incidens fogalma

(1) Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen, vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését, vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

(2) A leggyakoribb jelentett incidensek lehetnek például: a laptop vagy mobil telefon elvesztése, személyes adatok nem biztonságos tárolása, adatok nem biztonságos továbbítása, vagy illetéktelen részére való továbbítása, listák illetéktelen másolása, továbbítása, szerver elleni támadások, honlap feltörése.

9. 2. Adatvédelmi incidensek kezelés, orvoslása

(1) Adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások betartása az Epreskert-Med Kft vezetőjének feladata.

(2) Az informatikai rendszereken naplózni kell a hozzáféréseket és hozzáférési kísérleteket, és ezeket folyamatosan elemezni kell.

(3) Amennyiben az Epreskert-Med Kft. ellenőrzésre jogosult munkavállalói a feladataik ellátása során adatvédelmi incidenst észlelnek, haladéktalanul értesíteniük kell az Epreskert-Med Kft által üzemeltetett rendelő vezetőjét: Dr. Pósz Zoltán Istvánt.

(4) A Kft munkavállalói kötelesek jelenteni a rendelő vezetőjének, vagy a munkáltatói jogok gyakorlójának, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek.

(5) Adatvédelmi incidens bejelenthető az epreskertmed@gmail.com e-mail címre, amelyen az érintett munkavállalók, szerződő partnerek, érintett Páciensek jelenteni tudják az alapul szolgáló eseményeket, biztonsági gyengeségeket.

(6) Adatvédelmi incidens bejelentése esetén az Epreskert-Med Kft. vezetője – az informatikai, pénzügyi és működési vezető bevonásával – haladéktalanul megvizsgálja a bejelentést, ennek során azonosítani kell az incidenst, el kell dönteni, hogy valódi incidensről, vagy téves riasztásról van szó. Megvizsgálja és megállapítja:

a) az incidens bekövetkezésének időpontját és helyét,

b) az incidens leírását, körülményeit, hatásait,

c) az incidens során kompromittálódott adatok körét, számosságát,

d) a kompromittálódott adatokkal érintett személyek körét,

e) az incidens elhárítása érdekében tett intézkedések leírását,

f) a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.

(7) Adatvédelmi incidens bekövetkezése esetén az érintett rendszereket, személyeket, adatokat be kell határolni és el kell különíteni és gondoskodni kell az incidens bekövetkezését alátámasztó bizonyítékok begyűjtéséről és megőrzéséről. Ezt követően lehet megkezdeni a károk helyreállítását és a jogszerű működés visszaállítását.

9. 3. Adatvédelmi incidensek nyilvántartása

(1) Az adatvédelmi incidensekről nyilvántartást kell vezetni (4. számú melléklet: „Incidens nyilvántartás”), amely tartalmazza:

a) az érintett személyes adatok körét,

b) az adatvédelmi incidenssel érintettek körét és számát,

c) az adatvédelmi incidens időpontját,

d) az adatvédelmi incidens körülményeit, hatásait,

e) az adatvédelmi incidens orvoslására megtett intézkedéseket,

f) az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

(2) A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.

10. AZ ÉRINTETT SZEMÉLY JOGAI

10. 1.Tájékoztatás és személyes adatokhoz való hozzáférés

Az érintett Páciens kérheti, hogy az Adatkezelő tájékoztassa, hogy kezeli-e a személyes adatát, és ha igen, akkor az általa kezelt személyes adatokhoz biztosítson számára hozzáférést. A Páciens a személyes adatok kezeléséről bármikor írásban, az Adatkezelő címére küldött ajánlott vagy tértivevényes-ajánlott levélben, illetve az epreskertmed@gmail.com e-mail címre küldött e-mailben tájékoztatást kérhet. A levélben küldött tájékoztatás kérést az adatkezelő akkor tekinti hitelesnek, ha a megküldött kérelem alapján a Páciens egyértelműen beazonosítható. E-mailben küldött tájékoztatáskérést az Adatkezelő csak akkor tekint hitelesnek, ha azt a Páciens regisztrált e-mail címéről küldik, ez azonban nem zárja ki, hogy az adatkezelő a tájékoztatás megadása előtt a Pácienst más módon is beazonosítsa. A tájékoztatást az Adatkezelő indokolatlan késedelem nélkül megadja Páciensnek, de legkésőbb 30 napon belül (egyszer 60 nappal hosszabbítható). Az első másolatok kiadása a Páciens számára ingyenes.

A tájékoztatás kérés kiterjedhet a Páciensről az Adatkezelő által kezelt adataira, azok forrására, az adatkezelés céljára, jogalapjára, időtartamára, az esetleges adatfeldolgozók nevére és címére, az adatkezeléssel összefüggő tevékenységekre, valamint a személyes adatoknak továbbítása esetén arra, hogy kik és milyen célból kapták vagy kapják meg adatait.

10. 2. Helyesbítéshez való jog

A Páciens kérheti az Adatkezelőtől, hogy az által kezelt pontatlan személyes adatot helyesbítse. Figyelembe véve az adatkezelés célját, a Páciens kérheti a hiányos személyes adatok kiegészítését.

10. 3.Törléshez való jog

A Páciens kérheti az Adatkezelők által kezelt személyes adatainak törlését. A törlés megtagadható ha a személyes adatok kezelésére jogszabály felhatalmazást ad! A törlési kérelem megtagadásáról az adatkezelő minden esetben tájékoztatja a Pácienst, megjelölve a törlés megtagadásának indokát. Személyes adat törlésére irányuló igény teljesítését követően a korábbi (törölt) adatok már nem állíthatók helyre.

JOGI KÖTELEZETTSÉG ALAPJÁUL SZOLGÁLÓ ADATOK TÖRLÉSE TILOS!

10. 4. Az adatkezelés korlátozásához való jog

A Páciens kérheti, hogy személyes adatainak kezelését az Adatkezelő korlátozza, ha a Páciens vitatja a kezelt személyes adatok pontosságát. Ebben az esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát.

A Páciens kérheti, hogy Személyes adatainak kezelését az Adatkezelő korlátozza akkor is, ha az adatkezelés jogellenes, de a Páciens ellenzi a kezelt személyes adatok törlését, és ehelyett kéri azok felhasználásának korlátozását.

A Páciens továbbá akkor is kérheti, hogy személyes adatainak kezelését az Adatkezelő korlátozza, ha az adatkezelés célja már megvalósult, de a Páciens igényli azok Adatkezelő általi kezelését jogi igények előterjesztéséhez, érvényesítéséhez, vagy védelméhez.

10. 5. Az adathordozhatósághoz való jog

a) A Páciens kérheti, hogy az Adatkezelő a Páciens által rendelkezésére bocsátott és automatizált módon kezelt személyes adatokat géppel olvasható formátumban részére átadják és/vagy azokat egy másik adatkezelő részére továbbítsák.

b) Az ellátás során az Páciens ellátással összefüggő ellátási dokumentáció másolatát kérheti. Ennek kiadása a Páciens személyes megjelenése esetén lehetséges. Amennyiben a Páciens személyesen az ellátási dokumentáció másolatát átvenni nem tudja, az általa írásban meghatalmazott személy számára adható csak át a dokumentáció.

10. 6. A tiltakozáshoz való jog

A Páciens tiltakozhat személyes adatainak kezelése ellen, amennyiben a személyes adatok kezelése közvetlen üzletszerzés érdekében történik.

11. AZ ÉRINTETTI JOG KORLÁTOZÁSA

Az Adatkezelőre vagy Adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát.

12. AZ ÉRINTETT TÁJÉKOZTATÁSA AZ ADATVÉDELMI INCIDENSRŐL

Az érintettet tájékoztatni kell az adatvédelmi incidensről haladéktalanul, ha a következő feltételek teljesülnek:

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintettet az adatvédelmi incidensről. E tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a következőket:

a) Az Adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

c) Ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

d) Ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Az érintettet nem kell az tájékoztatni, ha a következő feltételek bármelyike teljesül:

a) Az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat.

b) Az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

c) A tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

13. PANASZTÉTEL, JOGORVOSLAT

13. 1. A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)

Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet. Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy az ügyfél jogosult bírósági jogorvoslattal élni.

13. 2. A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog

a) Az egyéb közigazgatási, vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.

b) Az egyéb közigazgatási, vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha az illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről, vagy annak eredményéről.

c) A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.

d) Ha a felügyeleti hatóság olyan döntése ellen indítanak eljárást, amellyel kapcsolatban az egységességi mechanizmus keretében a Testület előzőleg véleményt bocsátott ki, vagy döntést hozott, a felügyeleti hatóság köteles ezt a véleményt, vagy döntést a bíróságnak megküldeni.

13. 3. Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog

a) A rendelkezésre álló közigazgatási, vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.

b) Az Adatkezelővel, vagy az Adatfeldolgozóval szembeni eljárást az Adatkezelő, vagy az Adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő, vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve.

14. ZÁRÓ RENDELKEZÉSEK

14. 1. A Szabályzat megállapítása és módosítása

A Szabályzat megállapítására és módosítására az Epreskert-Med Kft. ügyvezetője Dr. Pósz Zoltán István jogosult.

14. 2. Intézkedések a szabályzat megismertetése

E Szabályzat rendelkezéseit meg kell ismertetni az Epreskert-Med Kft. valamennyi munkavállalójával és a munkavégzésre irányuló szerződésekben elő kell írni, hogy betartása és érvényesítése minden munkavállaló lényeges munkaköri kötelezettsége. Ezt a 5. számú melléklet: „Munkavállalói nyilatkozat” dokumentum tartalmazza.

15. MELLÉKLETEK

1. melléklet	Adatvédelmi és Adatkezelési tájékoztató
2. melléklet	Munkáltatói tájékoztatás Munkavállalói adatkezelésről
3. melléklet	Könyvelőiroda, mint Adatfeldolgozó nyilatkozata adatkezeléssel kapcsolatosan
4. melléklet	Incidens nyilvántartás
5. melléklet	Munkavállalói nyilatkozat

1. számú melléklet

EPRESKERT-MED KFT. ÁLTAL ÜZEMELTETETT RENDELŐ

ADATVÉDELMI ÉS ADATKEZELÉSI TÁJÉKOZTATÁS

Háziorvosi Rendelőnk az érintetteket (Pácienseket) még az adatkezelés megkezdése előtt a jelen adatkezelési tájékoztató útján kívánja tájékoztatni az adatok kezelésével kapcsolatos tényekről, így különösen az adatkezelések céljáról, jogalapjáról, az adatkezelések időtartamáról. Jelen adatkezelési tájékoztatóban foglalt tájékoztatás kiterjed az Érintetteknek az adatkezelésekkel kapcsolatos jogaira és jogorvoslati lehetőségeire is.

Tájékoztatni szeretnénk Önt arról, hogy az Adatvédelmi és Adatkezelési Tájékoztatóban hivatkozott Háziorvosi Rendelő a hatályos szabályozás szerint Adatkezelőnek minősül.

Adatkezelő neve: Epreskert-Med Korlátolt Felelősségű Társaság

Adatkezelő elérhetősége (telephely): 4400 Nyíregyházta, Epreskert utca 51 fsz 1. (Cégjegyzékszám: 15-09-088469, Adószám: 29188013-1-15)

Adatkezelő képviselője: DR. Pósz Zoltán István

Szolgáltatásunk a személyes adatok védelmével kapcsolatosan Adatvédelmi tisztviselőt jelölt ki. Az Érintettek személyes adatainak kezeléséhez és jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.

Adatvédelmi tisztviselő elérhetősége (ha van vagy lesz ilyen!): ………………………………………………………………….

TÁJÉKOZTATÓNK CÉLJA ÉS HATÁLYA

Jelen Adatvédelmi tájékoztatásunk célja, hogy megismertessük Önt a Epreskert-Med Kft. által üzemeltetett rendelő által alkalmazott adatvédelmi és adatkezelési elvekkel. Az Adatvédelmi és Adatkezelési Tájékoztatásban lévő adatvédelmi politikát mint Adatkezelő magunkra nézve kötelező erővel ismerjük el.

A Tájékoztató rendelkezéseinek kialakításakor Háziorvosi Rendelőnk különös tekintettel vette figyelembe az Európai Parlament és a Tanács 2016/679 Rendeletében („Általános Adatvédelmi Rendelet” vagy „GDPR”), és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”) rendelkezéseit.

ÁLTALÁNOS MEGHATÁROZÁSOK, FOGALMAK

Személyes adat: Bármilyen adat vagy információ, amely alapján egy természetes személy („Érintett“) – közvetett vagy közvetlen módon – azonosíthatóvá válik.

Érintett: Bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy. Szolgáltatásunkban érintett a Páciens (néhány esetben a hozzátartozó is).

Az Érintett hozzájárulása: Az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló olyan konkrét cselekedete (félreérthetetlen és egyértelmű), ahol beleegyezését adja az őt érintő személyes adatok kezeléséhez.

Epreskert-Med Kft. által üzemeltetett rendelő:A rendelő, ahol az egészségügyi ellátást igénybe veszi, ahol a páciens vizsgálata és kezelése történik.

Adatkezelés: Az alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely művelet, vagy a műveletek összessége, így különösen a személyes adatok gyűjtése, rögzítése, rendszerezése, tagolása, tárolása, átalakítása, megváltoztatása, felhasználása, lekérdezése, betekintése, felhasználása, közlése, továbbítása, terjesztése vagy egyéb módon hozzáférhetővé tétele, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, korlátozása, törlése és megsemmisítése.

Adatkezelő: Aki az adatkezelés céljait és eszközeit – önállóan vagy másokkal együtt – meghatározza.

Adatfeldolgozó: Az a szolgáltató, aki az adatkezelő nevében személyes adatokat kezel.

Adatfeldolgozás: Az adatfeldolgozók önálló döntést nem hoznak, kizárólag az adatkezelőkkel kötött szerződés, és a kapott utasítások szerint jogosultak eljárni. Az adatfeldolgozók 2018. május 25. napját követően a részünkre az Adatkezelők által továbbított és általuk kezelt, vagy feldolgozott Személyes adatokat a „GDPR“ által előírt rendelkezésekkel összhangban rögzítik, kezelik, ill. dolgozzák fel, és erről nyilatkozatot tesznek az Adatkezelők részére. Az adatkezelők ellenőrzik az adatfeldolgozók munkáját.

Címzett: Az a természetes vagy jogi személy, akivel a személyes adatokat közlik.

Adatvédelmi incidens: A biztonság olyan sérülése, amely a továbbított, tárolt, vagy más módon kezelt személyesadatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését, vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

AZ ADATKEZELÉS ELVEI, MÓDJA

Az Adatkezelő a személyes adatokat jogszerűen és a tisztességesen és az átláthatóság elveinek, valamint a hatályos jogszabályoknak és jelen Tájékoztató rendelkezéseinek megfelelően kezeli.

A Szolgáltatás igénybevételéhez elengedhetetlenül szükséges személyes adatokat az adatkezelő a vonatkozó jogszabályokban meghatározott célból kezelik, vagy az érintett páciens hozzájárulása alapján, és kizárólag célhoz kötötten használják fel. A kezelt Személyes adatok köre arányban áll az adatkezelés céljával, azon nem terjeszkedik túl.

Minden olyan esetben, ha a személyes adatokat az Adatkezelő az eredeti adatfelvétel céljától eltérő célra kívánja felhasználni, erről a pácienst tájékoztatja, és ehhez előzetes, kifejezett hozzájárulását megszerzi, illetőleg lehetőséget biztosít számára, hogy a felhasználást megtiltsa.

Adatkezelők a megadott személyes adatokat nem ellenőrzik. A megadott személyes adatok megfelelőségéért kizárólag az azt megadó személy felel.

A 16. életévét be nem töltött személy érintett személyes adatai csak a felette szülői felügyeletet gyakorló nagykorú személy hozzájárulása esetén kezelhetők. Az adatkezelőnek nem áll módjában a hozzájáruló személy jogosultságát, illetve nyilatkozatának tartalmát ellenőrizni, így a páciens, illetve a felette szülői felügyeletet gyakorló személy szavatol azért, hogy a hozzájárulás megfelel a jogszabályoknak.

Az Adatkezelők az általuk kezelt személyes adatokat a jelen Tájékoztatóban meghatározott Adatfeldolgozókon, valamint egyes – a jelen Tájékoztatóban hivatkozott – Címzetteken kívül harmadik félnek át nem adják.

Az Adatkezelők az általuk kezelt személyes adat helyesbítéséről, korlátozásáról, illetve törléséről az érintett Pácienst, továbbá mindazokat értesíti, akiknek korábban a személyes adatot adatkezelés céljára továbbította. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.

ADATKEZELÉSEINKNEK FELSOROLÁSA ÉS CÉLJA

EGÉSZSÉGÜGYI ELLÁTÁSSAL ÖSSZEFÜGGŐ ADATOK KEZELÉSE

Amikor Ön felkeresi az Epreskert-Med Kft. által üzemeletetett rendelőnket és igénybe veszi az ellátást, az ellátást igazoló és leíró dokumentációjába feltűntetjük adatait.

A személyes adatok tervezett kezelésének célja: Pácienseink egészségügyi ellátása és annak dokumentálása

Adatkezelés jogalapja: Jogi kötelezettség jogalapja (1997. évi CLIV. Törvény az egészségügyről; 1997. évi LXXXIII. Törvény a kötelező egészségbiztosítás ellátásairól)

Érintettek kategóriái: Az ellátást igénybe vevő Páciensek

Kezelt személyesadatok: Az azonosításhoz és ellátáshoz szükséges adatok: név/születési név, anyja neve, cím, születési adatok, TAJ

A személyesadatok címzettje: Elektronikus Egészségügyi Szolgáltatási Tér (EESZT), Nemzeti Egészségbiztosítási Alapkezelő(NEAK)

Adatfeldolgozó: Iglu Orvosi Szoftver

Adatkezelés tervezett időtartama: 1997. évi XLVII. törvény az egészségügyi és a hozzájuk kapcsolódó személyesadatok kezeléséről és védelméről szabályozott és 1997. évi LXXXIII. Törvény a kötelező egészségbiztosítás ellátásairól szóló szabályozásban meghatározott időtartamban

SZÁMLÁKKAL ÖSSZEFÜGGŐ ADATOK KEZELÉSE

Ezen adatait akkor kezeljük, amikor az ellátás során a számlát kér kiállítani az egészségügyi ellátásáról.

A személyes adatok tervezett kezelésének célja: Pénzügyi elszámolás, bizonylati rend

Adatkezelés jogalapja: Jogi kötelezettség jogalapja (2000. évi C. törvény a Számvitelről; 2007. évi CXXVII. törvény az általános forgalmi adóról)

Érintettek kategóriái: Azon Páciensek, akiknek nevére készpénzfizetési számla kiállítására kerül sor.

Kezelt személyesadatok: Számlafizető neve és számlázási címe, esetlegesen Egészség Pénztári Tagság azonosítója

A személyesadatok címzettje: Nemzeti Adó- és Vámhivatal

Adatfeldolgozó: Zahir .Könyvelőiroda

Adatkezelés tervezett időtartama: (2000. évi C. törvény a Számvitelről; 2007. évi CXXVII. törvény az általános forgalmi adóról szóló rendelkezései szerint)

Amennyiben hozzátartozója, vagy más személy (mint harmadik fél) adatait jeleníti meg, úgy köteles gondoskodni arról, hogy a harmadik fél beleegyezésével Ön rendelkezzen!

A PÁCIENS JOGAI, ÉRVÉNYESÍTÉSÜK MÓDJA
Tájékoztatás és személyesadatokhoz hozzáférés

A Páciens kérheti, hogy az Adatkezelő tájékoztassa, hogy kezeli-e a személyes adatát, és ha igen, akkor az általa kezelt személyes adatokhoz biztosítson számára hozzáférést.

A Páciens a személyes adatok kezeléséről bármikor írásban, az Adatkezelő címére küldött ajánlott vagy tértivevényes-ajánlott levélben, illetve a epreskertmed@gmail.com e-mail címre küldött e-mailben tájékoztatást kérhet. A levélben küldött tájékoztatás kérést az adatkezelő akkor tekinti hitelesnek, ha a megküldött kérelem alapján a Páciens egyértelműen beazonosítható. E-mailben küldött tájékoztatáskérést az Adatkezelő csak akkor tekint hitelesnek, ha azt a Páciens regisztrált e-mail címéről küldik, ez azonban nem zárja ki, hogy az adatkezelő a tájékoztatás megadása előtt a Pácienst más módon is beazonosítsa.

Helyesbítéshez való jog

Törléshez való jog

Az adatkezelés korlátozásához való jog

Az adathordozhatósághoz való jog

A Páciens kérheti, hogy az Adatkezelő a Páciens által rendelkezésére bocsátott és automatizált módon kezelt személyes adatokat géppel olvasható formátumban részére átadják és/vagy azokat egy másik adatkezelő részére továbbítsák.

A tiltakozáshoz való jog

A Páciens tiltakozhat személyes adatainak kezelése ellen amennyiben a személyes adatok kezelése közvetlen üzletszerzés érdekében történik.

ADATBIZTONSÁG

Epreskert-Med Kft. által üzemeletetett rendelő mindent megtesz annak érdekében, hogy gondoskodjon az érintett (Páciensek) adatainak biztonságáról, megteszi továbbá azokat a szükséges technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek a Rendelet, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az Adatkezelő adatbázisában tárolt érintetti adatokhoz kizárólag az Adatkezelő erre kifejezett jogosultsággal rendelkező munkatársai férhetnek hozzá a hozzáférési szintek belső szabályzatban kialakított mértékéig. Az adatkezelő biztosítja, hogy a felvett, tárolt, illetve kezelt adatok védettek legyenek, illetőleg megakadályozza azok véletlen elvesztését, jogtalan megsemmisülését, jogosulatlan hozzáférését, jogosulatlan felhasználását és jogosulatlan megváltoztatását, jogosulatlan terjesztését. E kötelezettség teljesítésére az adatkezelő minden olyan harmadik felet felhív, akik részére személyes adatokat továbbít. Szolgáltatásunk informatikai rendszerét tűzfallal védi a jogosulatlan hozzáférés ellen. Az adatok tárolására használt eszközök jelszóval védettek, a Szolgáltatás belső szabályzatában meghatározott módon a hozzáférési szintek szigorúan szabályozottak. A papír alapon tárolt dokumentumok esetében olyan zárt tárolást alkalmaz, amely megakadályozza a jogosulatlan hozzáférést. A papír alapon tárolt dokumentumok hozzáférését Háziorvosi Rendelőnk szintén a belső szabályzatában meghatározottak szerint jogosultsági szintek beépítésével szabályozza.

PANASZOK KEZELÉSE

Az adatvédelmi vonatkozású kérelmet, tiltakozást, panaszt az adatkezeléssel kapcsolatos kérdést és észrevételt Szolgáltatásunk az Adatvédelmi tisztviselő bevonásával kezeli.

Amennyiben Önnek a személyes adataival kapcsolatos tiltakozását, panaszát, kérelmeit Szolgáltatásunknál nem sikerült megnyugtató módon rendeznie, vagy Ön bármikor úgy ítéli meg, hogy személyes adatai kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll, úgy a Nemzeti Adatvédelmi és Információszabadság Hatóságnál jogosult bejelentést tenni.

Az adatkezeléssel kapcsolatos panaszával közvetlenül a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulhat:

Nemzeti Adatvédelmi és Információszabadság Hatóság
Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/c
Postacím: 1530 Budapest, Pf.: 5.
Telefon: +36 (1)391-1400
E-mail: ugyfelszolgalat@naih.hu

ADATVÉDELMI INCIDENS

Amennyiben adatvédelmi incidens történik, Epreskert-Med Kft. által üzemeltetett rendelő indokolatlan késedelem nélkül, de legkésőbb 72 órával azután, hogy az incidens a tudomására jutott, bejelenti az illetékes Felügyeleti Hatóságnak azt, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Ha az adatvédelmi incidens vélhetően magas kockázattal jár a természetes személy jogaira és szabadságaira nézve, Epreskert-Med Kft. . által üzemeltetett rendelő indokolatlan késedelem nélkül tájékoztatja Önt – az Érintettet (Pácienst) – az adatvédelmi incidensről és megteszi a belső szabályzatban meghatározottak szerinti intézkedéseit.

Az Adatkezelő a megadott személyes adatokat az e Tájékoztatóban írt céloktól eltérő célokra nem használják fel. Jelen Tájékoztatóban meghatározott Adatfeldolgozók részére történő adattovábbítás a Páciens külön hozzájárulása nélkül végezhető. Személyes adatok harmadik személynek, vagy hatóságok számára történő kiadása – hacsak jogszabály ettől eltérően nem rendelkezik – kizárólag hatósági határozat alapján, vagy az érintett Páciens előzetes, kifejezett hozzájárulása esetén lehetséges.

TÁJÉKOZTATÓNK VÁLTOZÁSAI

Háziorvosi Rendelőnk fenntartja a jogot, hogy jelen Tájékoztatót bármikor, előzetes értesítés nélkül módosítsa vagy frissítse és a friss változatot közzé tegye. Bármely módosítás kizárólag a módosított változat közzétételét követően összegyűjtött személyes adatokra érvényes.

Kérjük, rendszeresen ellenőrizze Tájékoztatónkat, hogy nyomon kövesse a változtatásokat, illetve informálódjon, hogy a változások hogyan érintik Önt.

A Tájékoztató hatályba lépésének napja: 2021. május 25.

Epreskert-Med KFT.

Dr. Pósz Zoltán István

2. számú melléklet

EPRESKERT-MED KFT.

MUNKÁLTATÓI TÁJÉKOZTATÁS MUNKAVÁLLALÓI ADATKEZELÉSRŐL

Tisztelt Munkavállaló!

Jelen levelünkkel tájékoztatjuk arról, hogy AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETÉNEK – (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (Általános Adatvédelmi Rendelet) – szabályozásának értelmében a Munkáltató Adatkezelőnek minősül.

Mint Adatkezelő kizárólag a jogszabályban meghatározott jogalapok fennállása esetén kezelhetjük az Ön adatait. Adatkezelőként az Ön adatait, jogi kötelezettség jogalappal (amely jogszabályi felhatalmazáson alapul), illetve szerződéskötési jogalapon kezelhetjük.

Az alábbiakban tájékoztatjuk, hogy a Dr. Pósz Zoltán István az alábbi személyes adatait kezeli Önről:

MUNKAÜGYI ÉS SZEMÉLYZETI NYILVÁNTARTÁSSAL

KAPCSOLATOS ADATKEZELÉS

Az adatkezelés jogalapja jogi kötelezettség teljesítése és a szerződéskötés jogalapja jogcíme.

A személyes adatok kezelésének célja az Ön munkaviszony létesítése, fenntartása, illetve a munkakör betöltése. Munkáltató által tárolt adatok:

Név
Születési név
Születési helye, ideje
Anyja neve
Lakcíme
Állampolgársága
Adóazonosító jele
TAJ száma
Telefonszám
E-mail cím
Személyi igazolvány száma
Lakcímet igazoló hatósági igazolvány száma
Bankszámlaszáma
Munkába lépésének kezdő és befejező időpontja
Munkakör
Iskolai végzettségét, szakképzettségét igazoló okmány másolata
Fénykép
Önéletrajz
Munkabérének összege, a bérfizetéssel, egyéb juttatásaival kapcsolatos adatok
Nyilvántartási kártya másolata
Kamarai tagság igazolása
Munkaviszony megszűnésének módja, indokai,
Munkaköri alkalmassági vizsgálatok igazolása,
Magánnyugdíjpénztári és önkéntes kölcsönös biztosító pénztári tagság esetén a pénztár megnevezése, azonosító száma és a munkavállaló tagsági számaA személyes adatok címzettjei az Epreskert-Med Kft. vezetője és a Munkáltató erre a feladatra kijelölt Munkavállalója és Adatfeldolgozói (Könyvelés, bérszámfejtés).

A személyes adatok tárolásának időtartama: a munkaviszony megszűnését követő 3 év. Munkaviszonnyal kapcsolatos adatai korlátlan ideig megőrizhetőek.

ALKALMASSÁGI VIZSGÁLATOKKAL KAPCSOLATOS ADATKEZELÉS

A kezelhető személyes adatok köre a munkaköri alkalmasság ténye, és az ehhez szükséges feltételek.

Ezen adatkezelés jogalapja a munkáltató jogos érdeke és jogi kötelezettség jogalapja.

A személyes adatok kezelésének célja az Ön munkaviszony létesítése, fenntartása, illetve a munkakör betöltése.

A személyes adatok címzettjei, illetve a címzettek kategóriái: Az eredményt kizárólag a vizsgált Munkavállalók, illetve a vizsgálatot végző szakember ismerhetik meg, a vizsgálat részleteibe annak dokumentációjába még a Munkáltató sem tekint, tekinthet be. A munkáltató csak az „alkalmas” vagy „nem alkalmas” az információt kaphatja meg.

A személyes adatok kezelésének időtartama: a munkaviszony megszűnését követő 3 év.

Tájékoztatjuk Önt arról, hogy Munkáltató az (Ön), mint Érintett személyes adatainak védelmére az Adatkezelő (Munkavállaló) megfelelő információbiztonsági szabályozást tart hatályban, amely leírja az adatbiztonsági alapelvek alkalmazásának módjait és feltételeit, így, mint Adatkezelő:

Az adatait megfelelő technikai és szervezési intézkedésekkel védjük a véletlen, vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés, jogosulatlan nyilvánosságra hozatal, vagy az azokhoz való jogosulatlan hozzáférés ellen.
A személyes adatait bizalmas adatként kezeljük, a munkavállalókkal a személyes adatok kezelésére vonatkozóan titoktartási kötelezettséget írunk elő.
A személyes adatokhoz való hozzáférést jogosultsági szintek megadásával korlátozzuk.
Informatikai rendszereket tűzfallal védjük, és vírusvédelemmel látjuk el.
Az elektronikus adatfeldolgozást, nyilvántartást számítógépes program útján végezzük, amely megfelel az adatbiztonság követelményeinek. A program biztosítja, hogy az adatokhoz csak célhoz kötötten, ellenőrzött körülmények között és csak azon személyek férnek hozzá, akiknek a feladataik ellátása érdekében erre szükségük van.
A személyes adatok védelme érdekében gondoskodunk az elektronikus úton folytatott bejövő és kimenő kommunikáció ellenőrzéséről.
Biztosítjuk az adatok és az azokat hordozó eszközök, iratok megfelelő fizikai védelmét. A papíralapú dokumentációt biztonságosan elzártan tároljuk.
A folyamatban levő munkavégzés, feldolgozás alatt levő iratokhoz csak az illetékes ügyintézők férhetnek hozzá, a személyzeti, a bér- és munkaügyi és egyéb személyes adatokat tartalmazó iratokat biztonságosan elzárva tartjuk.

Adatkezeléssel kapcsolatos kérdéseivel közvetlenül a Munkáltatóhoz fordulhat, aki tájékoztatja az Önt megillető – Rendeletben meghatározott – jogokkal kapcsolatosan, illetve együttműködik abban, hogy az Önről tárolt személyes adatokat megismerhesse.

Nyíregyháza, 2021. május 25.

A Munkáltatói tájékoztatást a mai napon átvettem:

Nyíregyháza, 2021. május 25.

Munkavállaló aláírása

3. számú melléklet

KÖNYVELŐIRODA, MINT ADATFELDOLGOZÓ NYILATKOZATA ADATKEZELÉSSEL KAPCSOLATOSAN

AZ ADATFELDOLGOZÓ MEGNEVEZÉSE (KÖNYVELÉS):

Cégnév: Zahir

Székhely: 4400 Nyíregyháza, Geduly Henrik utca 1.

Adószám: 13559322-2-15

Képviselő: Tamás István

(a továbbiakban: Adatfeldolgozó)

AZ ADATKEZELŐ MEGNEVEZÉSE

Cégnév: Epreskert-Med Kft.

Telephely: 4400 Nyíregyháza, Epreskert utca 51 szám, fsz 1

Adószám: 29188013-1-15

(a továbbiakban: Adatkezelő)

1. Az Adatfeldolgozó nyilatkozik arról, hogy Adatkezelő által számára átadott érintettekről (megbízó munkavállalói, foglalkoztatottjai, juttatásban részesülők, szerződő felei, törvényben írt esetekben a munkavállalók családtagjai) az Adatkezelő utasítása illetve jogi kötelezettség teljesítése céljából a 2021.04.01. napon megkötött szerződés alapján kizárólag a következő Adatfeldolgozói tevékenységeket végzi:

Az Adatkezelőt terhelő – szerződés szerinti – adó-, járulék-, számviteli kötelezettségek teljesítése céljából.
Az Adatkezelőt terhelő – szerződés szerinti – munkajogi- és bérszámfejtési, társadalombiztosítási ügyintézési feladatok és jogi kötelezettségeinek teljesítése céljából.

2. Az Adatfeldolgozó továbbá nyilatkozik arról, hogy az érintettek személyes adatainak védelmére az alábbi biztonsági intézkedéseket teszi meg:

A személyes adatokat bizalmas adatként minősíti, és akként kezeli.
Az adatokat megfelelő intézkedésekkel védi a véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés, jogosulatlan nyilvánosságra hozatal, vagy az azokhoz való jogosulatlan hozzáférés ellen.
Az adatfeldolgozó munkavállalóival a személyes adatok kezelésére vonatkozóan titoktartási kötelezettséget ír elő.
A személyes adatokhoz való hozzáférést jogosultsági szintek megadásával korlátozza.
A tudomány és technológia állásának megfelelő magasszintű technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.
Az informatikai rendszereket tűzfallal védi, és vírusvédelemmel látja el.
Az elektronikus adatfeldolgozást, nyilvántartást számítógépes program útján végzi, amely megfelel az adatbiztonság követelményeinek. A program biztosítja, hogy az adatokhoz csak célhoz kötötten, ellenőrzött körülmények között csak azon személyek férjenek hozzá, akiknek a feladataik ellátása érdekében erre szükségük van,
A személyes adatok védelme érdekében gondoskodik az elektronikus úton folytatott bejövő és kimenő kommunikáció ellenőrzéséről.
Biztosítja az adatok és az adathordozó eszközök, iratok megfelelő fizikai védelmét.
A kinyomtatott iratokhoz csak az illetékes ügyintézők férhetnek hozzá, a személyzeti, a bér- és munkaügyi és egyéb személyes adatokat tartalmazó iratokat biztonságosan elzárva tartják.

3. Az Adatfeldolgozó nyilatkozik, hogy az általa a megbízás keretében kezelt személyes adatokat más célból nem kezeli, nem használja.

4. Az iratmegőrzés ideje az adatkezelővel fennálló korábbi szerződés szerint a megbízóval kötött szerződés fennállásáig, de maximum a megbízót a számviteli törvény szerint terhelő 8 év iratmegőrzési idő. Továbbá az adatokat a szerződés megszűnést követően Adatkezelőnek visszajuttatja, másolatokat nyilvántartásából töröl.

Nyíregyháza, 2021. május 25.

Adatfeldolgozó képviselője

4. számú melléklet

Sorszám

Incidens leírása (jellege)

Kockázat

Megfeleleő technikai védelem

Valósínüsíthető következmények

Adatvédelmi Tisztviselő neve

Adatvédelmi Tisztviselő elérhetősége

Tájékoztatás dátuma, időpontja

Adatvédelmi Tisztviselő elérhetősége

Kapcsolattartó neve

Kapcsolattartó elérhetősége

Valósínüsíthető következmények

Adatvédelmi Tisztviselő elérhetősége

Kapcsolattartó neve

Nem kell tájákoztatás (34/3/a,d,c,)

5. számú melléklet

MUNKAVÁLLALÓI NYILATKOZAT EPRESKERT-MED KFT.

ADATKEZELÉSI SZABÁLYZATÁNAK MEGISMERÉSÉRŐL

1. A Munkavállaló kijelenti, hogy Munkáltató Háziorvosi Praxisára vonatkozó adatkezelési szabályzatot megismerte.

2. A munkavállaló a Háziorvosi Praxisban történő munkavégzése során a személyes adatok és különös tekintettel a különleges adatok kezelésére köteles alkalmazni és érvényesíteni az adatkezelési szabályzat rendelkezéseit. Továbbá a vonatkozó ágazati adatvédelmi jogszabályokat.

3. Az adatkezelési szabályzat betartása és érvényesítése a munkaviszonyból származó lényeges kötelezettségnek minősül, megsértése munkajogi és büntetőjogi jogkövetkezményeket von maga után.

4. A munkavállaló kötelezettséget vállal arra, hogy a munkáltatónál végzett munkája során tudomására jutott személyes adatokat és különleges adatokat kizárólag a munkaköri feladatai teljesítése céljából kezeli és továbbítja (munkáltató adatvédelmi szabályzatában meghatározottak szerint), más célra nem használja, azokat illetéktelen személlyel nem közli, és részére nem adja át, a személyes adatokhoz jogosulatlan hozzáférést nem enged, a személyes adatokat, különleges adatokat nyilvánosságra nem hozza. A munkavállaló tudomásul veszi, hogy ez a titoktartási kötelezettség munkaviszony, vagy munkavégzésre irányuló egyéb jogviszonyom fennállását követően is terheli.

Nyíregyháza, 2021 MÁJUS 25.

Munkavállaló aláírása