Adatkezelési tájékoztató

1.1 Tájékoztató célja, hogy tájékoztatást adjon:

• Érintettekről kezelt adatok köréről, és az
• Érintett jogairól.

1.2 Adatkezelés alapelve, hogy biztosítva legyen a hatályos jogszabályoknak megfelelő személyes adatok védelme.

1.3 Az Adatkezelő kötelezettséget vállal, hogy az adatok kezelése és nyilvántartása körében:

• gondoskodik az adatok biztonságáról,
• biztosítja az Érintettek magánszférájának védelmét,
• védi az adatokat jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés ellen,
• megfelelő technikai, informatikai feltételeket biztosít az adatok kezelése során.

2.1 Adatkezelő

• Elnevezése: Kardirex Egészségügyi Központ Győr Korlátolt Felelősségű Társaság
• Székhelye: 9024 Győr, Táncsics Mihály utca 43.
• Telephelyei: 9022 Győr, Liszt Ferenc utca 13.; 9027 Győr, Nyírfa sor 1.
• Fióktelepei: 9300 Csorna, Soproni út 59.; 8900 Zalaegerszeg, Eötvös utca 6-10. B. lph. I./1.; 9400 Sopron, Frankenburg utca 2. C. ép.; 2943 Bábolna, Ifjúság ltp 2/4; 9200 Mosonmagyaróvár, Laktanya köz 4/b.; 9245 Mosonszolnok, Szabadság utca 33.; 9317 Szany, Dózsa utca 1.
• Cégjegyzék szám: 08-09-005888
• Adószáma: 11460051-2-08
• Honlap:https://kardirex.hu/

2.2 Adatfeldolgozó

Az Adatkezelő munkáját (pénzügyi, számviteli, informatikai, ügyfélkapcsolati és egészségügyi területen) vele együtt működő állandó vagy eseti megbízás alapján partnerei segítik, akik szükség szerint és mértékben kezelik az érintettek személyes adatait.

Az Adatkezelő kérésre az érintetteket tájékoztatja az adatfeldolgozó személyéről, valamint adatfeldolgozási tevékenységének részleteiről, így különösen az elvégzett műveletekről, valamint az adatfeldolgozónak adott utasításokról.

Adatfeldolgozó igénybevételére kizárólag írásbeli szerződés alapján kerülhet sor. Az Adatkezelők kijelentik, hogy a vele szerződéses kapcsolatban álló mindenkori adatfeldolgozók a személyes adatokat kizárólag az adatkezelő utasításai alapján, célnak megfelelően használják, azon céltól eltérő más adatkezelési műveletet nem végeznek. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, saját céljára adatfeldolgozást nem végezhet. Az adatfeldolgozók kötelesek tiszteletben tartani az érintettek személyes adatait és jelen Adatvédelmi Nyilatkozatban foglaltakat.

3.1 Adatkezelőként az alábbi jogalap szerint kezelem az adatokat:

• Egészségügyi szolgáltatás nyújtása érdekében [GDPR 9. cikk (2) bek. h.)]
• Hozzájáruláson alapuló adatkezelés [GDPR 6. cikk (1) bek. a.) pont]
• Jogos érdekén alapuló adatkezelés [GDPR 6. cikk (1) bek. f.) pont]

Az Érintett a szerződés teljesítéséhez és a jogszabályi előírás alapján köteles személyes adatait megadni. A személyes adatok megadásának elmaradása a szerződéseses kötelezettségek teljesítésének akadályát képezi.

3.2 Érintettekről kezelt adatok köre:

Egészségügyi szolgáltatás nyújtása érdekében [GDPR 9. cikk (2) bek. h.)]

Az Adatkezelő a betegfelvétel során az alábbi személyes adatokat kezeli: vizsgált személy neve; születési helye és ideje; állampolgársága; anyja neve; lakcíme; társadalombiztosítási jele; külföldi állampolgár esetén útlevél száma vagy Európai Egészségbiztosítási Kártya száma; telefonszáma; e-mail címe; munkáltató megnevezése; munkakör megjelölése.

A vizsgálatok elvégzése során a páciensek (érintettek) alábbi személyes és személyazonosító adatait kezeli: vizsgált személy neve; születési helye és ideje; állampolgársága; anyja neve; lakcíme; társadalombiztosítási jele; telefonszáma; e-mail címe; betegjogi státuszát (házi beteg, magán beteg, üzemi beteg); mindenkori vizsgálat végzése szempontjából releváns egészségügyi-, biometrikus és genetikai adata.

Kiskorúak ellátása során a fentieken túl kezeli a törvényes képviselője neve, telefonszáma; törvényes képviselője e-mail címe.

Jogszabályi előírás alapján történő adatkezelés [GDPR 6. cikk (1) bek. c.) pont]

Számla kiállítása érdekében: neve/elnevezése; lakcíme/székhelye; adószáma

Hozzájáruláson alapuló adatkezelés [GDPR 6. cikk (1) bek. a.) pont]

Kapcsolattartás: neve; telefonszám; e-mail cím; hangfelvétel

Szakorvosi vizsgálatra történő jelentkezés során az Adatkezelő kezeli az érintett: vezetéknevét; keresztnevét; e-mail címét; telefonszámát; születési helye és ideje; anyja neve; TAJ száma; neme; felnőtt vagy gyermekkorúságra vonatkozó adata; szakorvosi ellátás típusa; vizsgálat időpontja.

Üzemorvosi vizsgálatra történő jelentkezés során az Adatkezelő kezeli az érintett: neve; születési ideje; TAJ száma; e-mail címe; telefonszáma; neme; irányítószám; település; címe; vizsgálat időpontja; munkahelye; munkaköre.

Covid tesztre történő jelentkezés során az Adatkezelő kezeli az érintett: neve; születési ideje; TAJ száma; e-mail címe; telefonszáma; neme; irányítószám; település; címe; vizsgálat időpontja.

Telefonos időpont foglalás során: neve; születési ideje; TAJ száma; e-mail címe; telefonszáma; neme; irányítószám; település; címe; vizsgálat típusa; vizsgálat időpontja; hangfelvétel.

Saját felhasználói fiók létrehozása során: e-mail címe megadásával, vagy Facebook illetve Google fiókján keresztül.

Közösségi média felületek követése: profil nevét; profil képét; profilon kezelt nyilvános adatait.

Jogos érdekén alapuló adatkezelés [GDPR 6. cikk (1) bek. f.) pont]

Elektronikus megfigyelő rendszer alkalmazása során kezelt személyes adatok: képmás, videofelvétel

3.3 Adatkezelés célja:

• egészségügyi szolgáltatás igénybevétele (szerződéses kötelezettség teljesítése)
• számla kiállítása (jogszabályi előírás alapján)
• kapcsolattartás
• online vagy telefonos időpont foglalás
• felhasználói fiók létrehozás
• személy- és vagyonvédelem

3.4 Adatkezelés időtartama:

• jogviszony létrejöttétől a szerződéses kötelezettség teljesítéséig, valamint a kötelmi jogi elévülésig.
• egészségügyi szolgáltatás nyújtása esetén a kötelező őrzési idő leteltéig
• kötelező őrzési idő:
• az adatfelvételtől számított legalább 30 évig;
• a zárójelentést legalább 50 évig;
• képalkotó diagnosztikai eljárással készült felvételt az annak készítésétől számított 10 évig;
• a felvételről készített leletet a felvétel készítésétől számított 30 évig kell megőrizni.
• számla számviteli törvény szerinti őrzéséig;
• kapcsolatfelvétel céljának eléréséig, de legfeljebb 24 hónapig
• felhasználói fiók törléséig;
• jogos érdeken alapuló személy- és vagyonvédelmi célú adatkezelés esetén a felvétel készítésétől számított 72 óra időtartamig.

4.1 Az Adatkezelő az adatokat közvetlenül az érintettől gyűjti a kapcsolatfelvétellel és a szerződéses jogviszony (eladás/vásárlás) létrejöttével.

4.2 Tájékoztatást kapni:

• adatkezelés folyamatban létéről;
• az adatkezelő elérhetőségeiről;
• adatkezelés céljáról és jogalapjáról;
• az adatkezelő jogos érdekéről;
• adattovábbítás címzettjeiről;
• adattovábbítás tényéről;
• a személyes adatok tárolásának időtartamáról;
• őt megillető jogokról;
• hozzájárulás visszavonásának lehetőségéről;
• panasztétel lehetőségéről;
• arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása.

Az Érintett jogai gyakorlására irányuló kérelmének a teljesítését az Adatkezelő nem tagadhatja meg, kivéve, ha az érintettet nem áll módjában azonosítani. Az Adatkezelő az Érintett által kért további másolatokért adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel.

4.3 A pontatlan, hiányos adatok helyesbítését, kiegészítését kérni.

Az Érintett adatai kiegészítését kiegészítő nyilatkozat útján kérheti.

4.4 Adatok törlését kérni.

Az Adatkezelő erre irányuló kérelem esetén haladéktalanul törli az érintettről kezelt adatokat. Egyéb esetben köteles törölni az Érintett mindazon adatát:

• melyekre a jövőben már nincs szükség,
• melyeket az Érintett hozzájárulásával kezel és amelyekre vonatkozó hozzájárulást az Érintett visszavonta,
• melyeket az Érintettről jogellenesen kezel. Jogellenes adatkezelésnek minősül mindazon adatok kezelése, melyeket nem a szerződéses, illetve számviteli, munkajogi kötelezettségek teljesítése, továbbá hozzájárulás vagy jogos érdeke alapján kezel,
• melyekre jogszabály kötelezi.

Az adattörlésről az Adatkezelő köteles tájékoztatni mindazokat, akik korábban a törölt személyes adat kezelésével foglalkoztak. A törlésre az Érintett kérése ellenére sem kerülhet sor, ha:

• az adatkezelés jogszabályi kötelezettségen alapul,
• avagy annak célja népegészségügyi területet érintő közérdeken alapul, továbbá:
• tudományos,
• történelmi kutatás,
• statisztika és
• közérdekű archiválás, illetve
• jogi igények érvényesítéséhez szükséges.

4.5 Az Érintett a róla kezelt adatokkal kapcsolatos jogsértés esetén panasszal fordulhat az Adatkezelőhöz.

Ennek keretében kérheti, hogy az Adatkezelő:

• adjon tájékoztatást személyes adatai kezeléséről,
• kérheti személyes adatainak helyesbítését,
• kérheti – a kötelező adatkezelés kivételével – törlését vagy zárolását.

4.6 Jogosult a róla kezelt adatok felhasználásának korlátozását kérni:

• a helyesbítés, illetve kiegészítés megtörténtéig a pontatlan adatok vonatkozásában,
• ha nem járul hozzá adatai törléséhez, de az adatkezelés jogellenes,
• ha az Adatkezelőtől függetlenül, a róla kezelt adatokra saját jövőbeni jogi igényei előterjesztéséhez, érvényesítéshez, vagy jogai védelemhez szüksége van.

Az Adatkezelő az Érintettről kezelt adatok helyesbítésről, törlésről vagy korlátozásról értesíti mindazokat, akikkel a személyes adatot közölte.

4.7 Jogosult a róla nyilvántartott személyes adatokat olvasható formában megkapni abból a célból, hogy azokat más adatkezelőnek továbbítsa.

Az Adatkezelő az Érintettek személyes adatait a szerződés teljesítése érdekében, illetve jogszabályi kötelezettségeinknek eleget téve könyveléssel megbízott külső cég, könyvelőiroda, tárhely-szolgáltató, adóhivatal, társadalombiztosítási szerv, nyugdíjfolyósító szerv, ügyvédi iroda számára, az Érintett jelen előzetes tájékoztatását követően átadhatja.

Az Adatkezelő az Érintettről kezelt adatokat (harmadik ország, nemzetközi szervezet) részére nem továbbítja.

Érintettek jogaiknak megsértése esetén panasszal fordulhatnak a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (székhelye: 1055 Budapest, Falk Miksa utca 9-11.; telefonszáma: +36 (1) 391-1400, fax: +36 (1) 394-1410, e-mail címe: ugyfelszolgalat@naih.hu) illetve megilleti őket a döntéshozatal helye szerinti bírósághoz fordulás joga is.

Hatályos: 2022. 07.01 napjától visszavonási

Az Adatkezelő kijelenti, hogy az általa kezelt adatokat a mindenkor hatályos jogszabályoknak megfelelően kezeli Magyarország Alaptörvénye, az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény, az információs önrendelkezési jogról és az információszabadságról szóló 2011. CXII. törvény, valamint az Európai Parlament és a Tanács (EU) 2016/679 (2016. április 27.) számú általános adatvédelmi rendelete („GDPR”) alapján.

Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. (a továbbiakban: adatvédelmi jogsértés)

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat az érintetteknek, többek között:

• a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását;
• a hátrányos megkülönböztetést;
• a személyazonosság-lopást vagy a személyazonossággal való visszaélést;
• a pénzügyi veszteséget;
• az álnevesítés engedély nélküli feloldását;
• a jó hírnév sérelmét;
• a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését;
• a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.

Az Adatkezelő az általa illetve Adatfeldolgozó által kezelt adatokkal kapcsolatos bármilyen adatvédelmi jogsértés bejelentésére a adatvedelem@kardirex.hu elektronikus elérhetőséget működteti.

Az Adatkezelő garantálja, hogy a megadott elérhetőséget folyamatos ellenőrzés alatt tartja. Az Adatfeldolgozó a lehetséges adatvédelmi incidenst, az arról való tudomásszerzését követően 24 órán belül elektronikus módon köteles az Adatkezelő felé jelenteni.

Az Adatkezelő a GDPR rendelkezéseinek megfelelően nyilvántartást vezet az adatvédelmi jogsértésekről. Ezen nyilvántartás tartalmazza az egyes adatvédelmi incidensekhez kapcsolódó tényeket, azok hatásait és az orvoslásra tett intézkedéseket.

Az Adatfeldolgozó által megküldött, vagy saját hatáskörben tudomásra jutott adatvédelmi jogsértés bejelentést vagy belső rendszerében észlelt jogsértés gyanúját 48 órán belül megvizsgálja és dönt arról, hogy a lehetséges jogsértés kockázatot jelent-e az érintett jogaira és szabadságaira nézve.

Amennyiben a vizsgálat alapján bebizonyosodik, hogy nem történt adatvédelmi jogsértés, úgy erről az Adatkezelő tájékoztatja az esetleges bejelentőt és lezárja az ügyet.

Abban az esetben, ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, akkor az illetékes felügyeleti hatóság felé történő bejelentés mellőzhető.

Ide tartoznak azok az esetek, amikor megfelelő intézkedések – mint például titkosítás alkalmazása – a személyes adatokhoz való hozzáférés jogosulatlan személyek számára nem biztosított, így a személyes adatok nem értelmezhetőek a titkosításhoz használt kulcs nélkül. Ugyanakkor megfelelő titkosítás mellett is fennállhat a bejelentési kötelezettség olyan esetekben, ha az adatvédelmi incidenssel érintett személyes adatokról nem áll rendelkezésre megfelelő biztonsági mentés/backup.

Amennyiben a vizsgálat alapján bebizonyosodik, hogy jogsértés történt, azt az Adatkezelő a tudomásszerzést követő 72 órán belül bejelenti az illetékes felügyeleti hatóság felé.

A jelen Szabályzatban nem szabályozott kérdésekben a mindenkor hatályos Adatvédelmi Nyilatkozat rendelkezései az irányadók azzal, hogy a jelen Szabályzat és az Adatvédelmi Nyilatkozat közötti bármely eltérés esetén az Adatvédelmi Nyilatkozatban foglaltak az irányadók.

A jelen Szabályzattal kapcsolatosan felmerülő bármely kérdése vagy észrevétele esetén az Adatkezelő az alábbi elérhetőségeken áll rendelkezésére:

• Elnevezése: Kardirex Egészségügyi Központ Győr Korlátolt Felelősségű Társaság
• Székhelye: 9024 Győr, Táncsics Mihály utca 43.
• Telephelyei: 9022 Győr, Liszt Ferenc utca 13.; 9027 Győr, Nyírfa sor 1.
• Fióktelepei: 9300 Csorna, Soproni út 59.; 8900 Zalaegerszeg, Eötvös utca 6-10. B. lph. I./1.; 9400 Sopron, Frankenburg utca 2. C. ép.; 2943 Bábolna, Ifjúság ltp 2/4; 9200 Mosonmagyaróvár, Laktanya köz 4/b.; 9245 Mosonszolnok, Szabadság utca 33.; 9317 Szany, Dózsa utca 1.
• Cégjegyzék szám: 08-09-005888
• Adószáma: 11460051-2-08
• Honlap:https://kardirex.hu/

A jelen Adatvédelmi Incidens Kezelési Szabályzat közzététellel (honlapon való elhelyezéstől) hatályosul és határozatlan időtartamra szól (visszavonásig vagy későbbi módosított Szabályzat közzétételével veszti hatályát).

Az Adatkezelő bármikor jogosult a Szabályzat egyoldalú módosítására azzal, hogy a módosítást legkésőbb annak hatályba lépésének napján honlapján nyilvánosságra hozza és az érintettek számára megismerhetővé teszi.

Lezárva és hatályba léptetve: 2022. 07.01