A Városi Egészségügyi Intézmény adatvédelmi szabályzata

 

A

VÁROSI EGÉSZSÉGÜGYI INTÉZMÉNY

ADATVÉDELMI SZABÁLYZATA

 

 

Az Adatvédelmi szabályzat célja, hogy az intézmény megfeleljen természetes személyeknek, személyes adatok kezelése tekintetében történő védelméről szóló kötelezően és közvetlenül alkalmazandó az Európai Parlament és a Tanács 2016/679. rendeletében (GDPR) és az Információs önrendelkezési jogról és az információ szabadságról szóló 2011. évi CXII. tv. (Info. tv.) követelményeinek.

 

I.

AZ ADATKEZELŐ ADATAI

 

 

Név:                            Városi Egészségügyi Intézmény

 

Székhely:                   5500 Gyomaendrőd, Hősök útja 57.

Alaptevékenység államháztartási szakágazata:

862200 Szakorvosi járóbeteg-ellátás

Alaptevékenység fő TEÁOR kódja:

8622 Szakorvosi járóbeteg-ellátás

Adószám:                   15346999-1-04

KSH statisztikai számjel: 15346999-8622-322-04

Vezető:                       Dr. Magyar Hajnalka

Megye:                       Békés megye

Pénzügyi körzet:       0600 Gyomaendrőd

Elérhetőség:              www.gyszri.hu

E-mailcím:                rendelo@gyomaendrod.hu

 

II.

AZ ADATVÉDELEMMEL KAPCSOLATOS TOVÁBBI HATÁLYOS JOGSZABÁLYOK

 

 

- a Polgári törvénykönyvről szóló 2013. évi V. tv. (Ptk.),

- a Fogyasztóvédelemről szóló 1997. évi CLV. tv. (Fgy tv.)

- a Számvitelről szóló 2000. évi C. tv. (Számv. tv.)

- a Személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. tv. (SZVMt.)

- a Munka törvénykönyvéről szóló 2012. évi I. tv. (Mt.)

- a Közalkalmazottak jogállásáról szóló 1992. évi XXXIII. (Kjt.)

- az Egészségügyről szóló 1997. évi CLIV. tv. (Eütv.)

- az Egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. tv. (Eüak. tv.)

 

III.

A SZABÁLYZAT ALKALMAZÁSA ALAPJÁN AZ ADATVÉDELEMRE VONATKZÓ FOGALOM MEGHATÁROZÁSOK

(GDPR 4. cikk, Info tv. 3 §-a)

 

 

1. Személyes adat: azonosított vagy azonosítható az érintett természetes személyre vonatkozó bármely információ név, szám, hely meghatározó adat, on-line azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságra vonatkozó egy vagy több tényező, amely alapján a természetes személy azonosítható

 

2. Adatkezelő: az a természetes vagy jogi személy, vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza

 

3. Adatkezelés: a személyes adatokon vagy adat állományokon végzett bármely művelet vagy műveletek összessége. A személyes adatok gyűjtése, rögzítése, tárolása, átalakítása vagy megváltoztatása, lekérdezése, betekintés, felhasználás, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel.

 

4. Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

 

5. Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

 

6. Érintett: bármely meghatározott , személyes adat alapján azonosított vagy –közvetlenül vagy közvetve- azonosítható természetes személy

 

7. Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

 

8. Az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

 

9. Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

 

10. Nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

 

11. Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

 

12. Genetikai adat: a természetes személy örökölt, vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz és amely elsősorban a természetes személyből vett biológiai minta elemzéséből ered;

 

13. Biometrikus adat: a természetes személy testi, fiziológai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását;

 

14. Egészségügyi adat: a természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségügyi állapotáról.

Az egészségügyi személyes adatok közé tartoznak:

- az egészségügyi szolgáltatások céljából történő nyilvántartásba vétel;

- az egészségügyi célokból történő egyéni azonosítása érdekében a természetes személyhez rendelt szám, jel vagy adat;

- a természetes személyre vonatkozó testrész vagy testet alkotó anyag (genetikai, biológiai minták) teszteléséből vagy vizsgálatából származó információk;

- az érintett betegségével, fogyatékosságával, betegség kockázatával, kórtörténetével, klinikai kezelésével vagy fiziológiai, vagy orvos biológiai állapotával kapcsolatos információ, függetlenül annak forrásától;

 

 

IV.

A SZEMÉLYES ADATOK KEZELÉSÉRE

VONATKOZÓ ELVEK

(GDPR 5. cikk, Info tv. 4 §-a)

 

 

1. A tisztességes és törvényes adatkezelés

A személyes adatok kezelése jogszerűen és tisztességesen, valamint az érintettek számára átlátható módon kell végezni.

 

2. Célhoz kötött adatkezelés

A személyes adat kizárólag meghatározott célból jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának.

 

3. Adattakarékosság

Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

 

4. Pontos és naprakész adatkezelés

Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és naprakészségét.

 

5. Korlátozott tárolhatóság

Személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.

 

6. Integritás és bizalmasság

Az adatokat megfelelő intézkedésekkel védeni kell, különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

 

7. Elszámoltathatóság

Azt, hogy az adatkezelés a jogszabályokban foglaltaknak megfelel, az adatkezelő köteles bizonyítani.

 

 

V.

AZ ADATKEZELÉS JOGSZERŰSÉGÉNEK FELTÉTELEI

 

 

1. Hozzájárulás

Az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

 

  1. Az adatkezelőnek képesnek kell lenni annak igazolására, hogy az érintett hozzájárult az adatkezeléshez.
  2. Az adatkezelőnek biztosítania kell azt, hogy az érintett a hozzájárulását bármikor visszavonhassa és a hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tennie, mint annak megadását.
  3. Ha az adatkezelő írásbeli nyilatkozaton keresztül szerzi be az érintett hozzájárulását, akkor a nyomtatványon a hozzájárulás iránti kérelmet egyértelműen és világosan el kell választani a szerződés többi részétől, valamint ezen kérelmet érthető és egyszerű nyelvezettel kell az adatkezelőnek megfogalmaznia.
  4. Hozzájárulásnak minősül, ha valamely felhasználó az elektronikus szolgáltatások igénybe vétele során erre vonatkozó technikai beállításokat hajt végre, vagy olyan nyilatkozatot, illetve cselekedetet tesz, amely az adott összefüggésben az érintett személy személyes adatainak kezeléséhez való hozzájárulását egyértelműen jelzi.
  5. A 16. életévet be nem töltött gyermek esetében személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.
  6. Nem tekinthető önkéntesnek a hozzájárulás, ha az érintett és az adatkezelő között egyértelműen egyenlőtlen viszony áll fenn. Ezekben az esetekben különös figyelemmel kell lenni a hozzájárulás körülményeire.

 

2. Szerződéses viszonyon alapuló adatkezelés

Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett egyik fél, vagy a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

 

Ha a hozzájáruláson alapuló adatkezelés célja az adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmazni kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából a törvény alapján az érintettnek ismernie kell.

 

3. Jogi kötelezettségen és jogszabályon alapuló adatkezelés

Az adatkezelés az egészségügyi szolgálatóra vonatkozó, az Eütv-ben meghatározott jogi kötelezettség teljesítéséhez szükséges.

 

Az adatkezelés közérdekű vagy az egészségügyi szolgáltatóra ruházott feladatok és tevékenységek gyakorlása keretében végzett feladat végrehajtásához szükséges.

 

4. Jogos érdeken alapuló adatkezelés

Az adatkezelés akkor jogszerű, ha az érintett hozzájárulásának beszerzése lehetetlen, vagy aránytalan költséggel jár, az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges és ezen érdek érvényesítése személyes adatok védelméhez fűződő jog korlátozásával arányban áll.

 

 

VI.

AZ ÉRINTETT SZEMÉLY ADATKEZELÉSSEL KAPCSOLATOS JOGAI

 

 

1. Az előzetes tájékoztatáshoz való jog

Bármely érintett személy a megadott elérhetőségeken keresztül tájékoztatást kérhet arról, hogy a szervezet milyen adatait, milyen jogalapon, milyen adatkezelési cél miatt, milyen forrásból, mennyi ideig kezeli. Ennek keretében az érintettet tájékoztatni kell

- az adatkezelő és képviselője személyéről és elérhetőségéről

- a személyes adatok tervezett céljáról, valamint az adatkezelés jogalapjáról

- a jogos érdekek érvényesítésén alapuló adatkezelés esetén

- az adatkezelő vagy harmadik fél jogos érdekeiről

- a személyes adatok címzettjeiről

 

A jogosult személy kérelmére haladéktalanul, de legfeljebb 30 napon belül, a megadott elérhetőségre tájékoztatást kell küldeni.

 

2. A helyesbítéshez való jog

Bármely érintett személy a megadott elérhetőségeken keresztül kérheti bármely adatának módosítását. Erről kérelmére haladéktalanul, de legfeljebb 30 napon belül intézkedni kell és a megadott elérhetőségre tájékoztatást kell küldeni.

 

3. A törléshez való jog

Bármely érintett személy a megadott elérhetőségeken keresztül kérheti, hogy az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az adatokat késedelem nélkül törölje. (GDPR 17. cikk) Kérelmére ezt haladéktalanul, de legfeljebb 30 napon belül meg kell tenni és a megadott elérhetőségre tájékoztatást kell küldeni.

 

4. A zároláshoz, korlátozáshoz való jog

Bármely érintett személy a megadott elérhetőségeken keresztül kérheti adatának zárolását. A zárolás addig tart, amíg a megjelölt indok szükségessé teszi az adatok tárolását. A kérelemre ezt haladéktalanul, de legfeljebb 30 napon belül meg kell tenni és a megadott elérhetőségre tájékoztatást kell küldeni.

 

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, amennyiben a GDPR 18. cikkében meghatározott feltételek valamelyike teljesül.

 

5. A tiltakozáshoz való jog

Bármely érintett személy a megadott elérhetőségeken keresztül tiltakozhat az adatkezelés ellen. A tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül meg kell vizsgálni, annak megalapozottsága kérdésében döntést kell hozni és a döntésről a megadott elérhetőségre tájékoztatást kell küldeni.

 

6. Az adatkezeléssel kapcsolatos jogérvényesítési lehetőség

 

Nemzeti Adatvédelmi és Információszabadság Hatóság

 

Postacím: 1530 Budapest, Pf.: 5.

Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c 
Telefon: +36 (1) 391-1400 
Fax: +36 (1) 391-1410 
E-mail: ugyfelszolgalat@naih.hu 
URL https://naih.hu 
koordináták: É 47°30'56''; K 18°59'57'' 

 

Az érintett a jogainak megsértése esetén az adatátvevő az adatkezelő ellen az illetékes törvényszékhez fordulhat. A törvényszék az ügyben soron kívül jár el. A pert az érintett - választása szerint - a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.

 

 

VII.

AZ INTÉZMÉNY FELADATAI AZ ADATVÉDELEM

ÉRDEKÉBEN

 

 

Biztosítani kell a szakmai felkészültséget, a jogszabályok ismeretét. Az adatvédelmi tudatosságnak elengedhetetlen feltétele az adatvédelemmel foglalkozók szakmai felkészítése, a szabályzat megismerése és alkalmazása. Az adatvédelmi és adatkezelési szabályzattal összhangban kell biztosítani jogszerű adatkezelést és adatfeldolgozást. 

 

Az adatkezelésre vonatkozó jogszabályokban és a jelen szabályzatban meghatározottak alapján biztosítani kell az adatkezelésben érintett személy megfelelő tájékoztatását. Különösen fontos, hogy ha az adatkezelés az érintett hozzájárulásán alapul, érvényesüljön az önkéntesség. Az érintett személy hozzájárulásából félreérthetetlenül ki kell derülnie, hogy az érintett beleegyezik az adatkezelésbe. Kétség esetén az adatkezelőnek kell bizonyítania, hogy az adatkezeléshez az érintett személy önkéntesen hozzájárult. Az érintett személynek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, ezért azt világos és közérthető nyelven kell megfogalmazni és megjeleníteni.

 

Az átlátható adatkezelés követelménye, hogy az érintett személy tájékoztatást kapjon az adatkezelés tényéről és céljairól. A tájékoztatást az adatkezelés megkezdése előtt kell megadni és a tájékoztatáshoz való jog az adatkezelés során annak megszűnéséig megilleti az érintettet.

 

Az érintett tájékoztatása során figyelembe kell venni a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A tájékoztatási kötelezettség biztosítható egy olyan biztonságos online rendszer üzemeltetésével, amelyen keresztül az érintett könnyen és gyorsan hozzáférhet a szükséges információhoz.

 

Kiskorú, illetve cselekvőképtelen nagykorú személyes adatkezelése esetén kiemelt figyelmet kell fordítani az adatkezelési szabályok betartására, személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a kiskorú, illetve cselekvőképtelen nagykorú felett felügyeletet gyakorló személy adta meg, illetve engedélyezte.

 

A személyes adat jogellenes kezelése vagy feldolgozása esetén bejelentési kötelezettség keletkezik a felügyelő hatóság felé. Az adatkezelőnek indokolatlan késedelem nélkül az adatvédelmi incidensről való tudomás szerzést követően ha lehetséges 72 órán belül meg kell tenni a bejelentést a felügyeleti hatóságnak, kivéve akkor, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személy jogait tekintve.

 

Amennyiben az adatkezelést megelőzően adatvédelmi hatásvizsgálat szükséges, a hatásvizsgálat során meg kell állapítani, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelőnek konzultálnia kell a felügyeleti hatósággal.

 

 

VIII.

ADATVÉDELMI INCIDENS

 

 

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést.

 

Az adatvédelmi incidenst indokolatlan késedelem nélkül, legkésőbb 72 órán belül be kell jelenteni az illetékes felügyeleti hatóságnál, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani lehet, hogy az adatvédelmi incidens valószínűleg nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

 

Az érintett személyt késedelem nélkül tájékoztatni kell, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személy jogaira és szabadságára nézve, annak érdekében, hogy megtehesse a szükséges óvintézkedéseket.

 

 

IX.

ADATBIZTONSÁG

 

 

Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

 

A nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.

 

Az adatbiztonság megtervezésekor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek.

 

 

X.

 EGYÉB CÉLBÓL TÖRTÉNŐ ADATKEZELÉS

 

 

Amennyiben az intézmény olyan adatkezelést végez, amelyről a jelen szabályzatban nem rendelkezett, az adatkezelést megelőzően, de lekésőbb az adatkezeléssel egy időben az adatkezelési szabályzatot ki kell egészíteni, illetve az új adatkezelési célnak megfelelő szabályokat meg kell állapítani.

 

 

XV.

A SZABÁLYZATHOZ TARTOZÓ EGYÉB DOKUMENTUMOK

 

 

Az adatvédelmi és adatkezelési szabályzathoz kell kapcsolni és azzal együtt kezelni azokat a dokumentumokat és szabályozásokat, amelyek az adatkezeléshez hozzájáruló írásbeli nyilatkozatot tartalmazzák weboldalak esetén a kötelező adatkezelési tájékoztatót írják le.

 

A szabályzat hatálya

 

E szabályzat 2019. június 1. napján lép hatályba és visszavonásig érvényes.

Hatálya kiterjed az intézmény  tisztségviselőire, alkalmazottaira.

 

 

Gyomaendrőd, 2019. január 1.

 

       Városi Egészségügyi Intézmény

              Dr. Magyar Hajnalka sk

                  Intézményvezető

 

 

3.sz. melléklet

TÁJÉKOZTATÓ

KAMERÁS MEGFIGYELŐRENDSZER ALKALMAZÁSÁRÓL

 

Tisztelt Látogató!

 

Tájékoztatjuk, hogy Intézményünk az e táblával jelzett helyiségben az emberi élet, testi épség, személyi szabadság, az üzleti titok védelme és vagyonvédelem céljából elektronikus megfigyelőrendszert alkalmaz, amely képrögzítést és tárolást tesz lehetővé.  A kamera rögzíti az Ön magatartását is.

Ezen adatkezelésünk jogalapja az Ön önkéntes hozzájárulása. Amennyiben Ön a megfigyelt területre e tájékoztatás ellenére bemegy, ezzel hozzájárulása megadottnak tekintendő a képfelvétel készítéshez. Kérjük ne menjen be, ha ehhez nem kíván hozzájárulni.

A felvétel tárolásának helye: Gyomaendrőd, Hősök útja 57.

A tárolás időtartama: 7 nap.

Az adatok megismerésére jogosult személyek: intézményvezető, kezelőszemélyzet.

Az Ön jogait és jogérvényesítésének rendjét az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény tartalmazza. Ez alapján a törvényben írt feltételekkel ezen adatkezelésünkről tájékoztatást, adathelyesbítést, törlés, zárolás kérhet, tiltakozhat a személyes adatok kezelése ellen, jogainak megsértése esetén bírósághoz fordulhat, kártérítést és sérelemdíjat követelhet. Az adatkezeléssel kapcsolatos részletes szabályokat az adatkezelési szabályzat, valamint az Adatvédelmi Szabályzat, illetve az Információs és önrendelkezési jogról és információ szabadságról szóló 2011. évi CXII. tv., valamint az általános adatvédelmi rendelet (GDPR) tartalmaz.

Intézmény neve: Városi Egészségügyi Intézmény

Székhely: 5500 Gyomaendrőd, Hősök útja 57.