A természetes személyek személyes adatainak kezeléséről, védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló Európai Parlament és a Tanács (EU) 2016/679 rendelete (továbbiakban: általános adatvédelmi rendelet, GDPR) alapján, az információs önrendelkezési jogról és információ szabadságról szóló 2011. évi CXII. Tv. (továbbiakban: Info tv.) szabályaira figyelemmel a Dr. Dobrean Noémi egyéni vállalkozó (továbbiakban: Egyéni vállalkozó), mint adatkezelő, az alábbi adatkezelési és adatvédelmi szabályzatot adja ki:
1. Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (Eüak.)
2. Az egészségügyről szóló 1997. évi CLIV. törvény (Eütv.)
3. Az Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info tv.)
E szabályzat alkalmazásában:
Adatállomány: Az Egyéni vállalkozó által a manuálisan, vagy elektronikus nyilvántartó- rendszerében kezelt adatok összessége.
Adatbiztonság: A személyes adatok jogosulatlan kezelése, így különösen megszerzése, feldolgozása, megváltozatása és megsemmisítése elleni szervezési, technikai megoldások és eljárási szabályok összessége.
Adatfeldolgozás: Az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől.
Adatfeldolgozó: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely az adatkezelő megbízásából – beleértve a jogszabály rendelkezése alapján történő megbízást is – személyes adatok feldolgozását végzi, jelen Szabályzat tekintetében, az egészségügyi ellátást biztosító, az egészségügyi kezelést végző orvos.
Adatkezelés: Az alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely művelet, vagy a műveletek összessége, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése,
valamint az adatok további felhasználásának megakadályozása. Adatkezelésnek számít a fénykép-, hang- vagy képfelvétel, a lelet, az ultrahang vagy röntgenfelvétel készítése.
Adatkezelő: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely a személyes adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja; jelen Szabályzat tekintetében az Egyéni vállalkozó.
Adatkezelő képviselője: Jelen Szabályzat tekintetében az Egyéni vállalkozó.
Adatmegsemmisítés: Az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítése.
Adattovábbítás: Ha az adatot meghatározott harmadik személy (háziorvos, szakorvos,
betegápoló, hozzátartozó) számára hozzáférhetővé teszik.
Adattörlés: Az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges.
Adatzárolás: Az adatok továbbításának, megismerésének, nyilvánosságra hozatalának,
átalakításának, megváltoztatásának, megsemmisítésének, törlésének, összekapcsolásának,
vagy összehangolásának és felhasználásának véglegesen, vagy meghatározott időre történő lehetetlenné tétele.
EESZT: Elektronikus Egészségügyi Szolgáltatási Tér
Egészségügyi adat: Az érintett testi, értelmi és lelki állapotára, kóros szenvedélyére, valamint a megbetegedés, illetve az elhalálozás körülményeire, a halál okára vonatkozó,
általa vagy róla más személy által közölt, illetve az egészségügyi ellátó rendszer által észlelt, vizsgált, mért, leképzett vagy származtatott adat, továbbá az előzőekkel kapcsolatba hozható, az azokat befolyásoló mindennemű adat (pl. magatartás, környezet, foglalkozás).
Egészségügyi dokumentáció: A gyógykezelés során a betegellátó tudomására jutott
egészségügyi és személyazonosító adatokat tartalmazó elektronikus, vagy manuális feljegyzés, nyilvántartás vagy bármilyen más módon rögzített adat, függetlenül annak
hordozójától vagy formájától.
Egészségügyi szolgáltató: A tulajdoni formától és fenntartótól függetlenül minden, egészségügyi szolgáltatás nyújtására – és az egészségügyi államigazgatási szerv által kiadott működési engedély alapján – jogosult egyéni egészségügyi vállalkozó, jogi személy vagy jogi személyiség nélküli szervezet; Jelen szabályzat során az Egyéni vállalkozó.
Genetikai adat: Egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered.
Gyógykezelést végző orvos: Az Egyéni vállalkozó, aki a szükséges képesítéssel,
szakvizsgával rendelkező, betegellátást végző orvos.
Harmadik személy: Olyan természetes vagy jogi személy, illetve jogi személyiséggel nem
rendelkező szervezet, amely, vagy aki nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval. Az EESZT nem minősül harmadik személynek.
Hozzájárulás: Az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez.
Közeli hozzátartozó: A házastárs, az egyenes ágbeli rokon, az örökbe fogadott, a mostoha- és nevelt gyermek, az örökbe fogadó, a mostoha- és nevelőszülő, valamint a testvér és az élettárs.
Különleges adat: A faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az
érdekképviseleti szervezeti tagságra, az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat, valamint a bűnügyi személyes adat.
Nyilvánosságra hozatal: Ha az adatot bárki számára hozzáférhetővé teszik.
Személyes adat: Az érintett családi és utóneve, a születési neve, a neme, a születési helye
és ideje, az anyja születési családi és utóneve, a lakóhelye, tartózkodási helye, a
társadalombiztosítási azonosító jele együttesen, vagy ezek közül bármelyik, amennyiben alkalmas, vagy alkalmas lehet az érintett azonosítására. A személy különösen akkor tekinthető azonosíthatónak, ha őt – közvetlenül vagy közvetve – név, azonosító jel, illetőleg
egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet.
Tiltakozás: Az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.
GDPR: A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló Európai Parlament és a Tanács (EU) 2016/679 rendelete (továbbiakban: általános adatvédelmi rendelet).
3.1 Jelen adatvédelmi szabályzat (továbbiakban: szabályzat) célja, hogy az Egyéni vállalkozó tevékenysége során biztosítsa a betegek személyes és különleges adatának
védelméhez fűződő információs önrendelkezési jog érvényesülését, továbbá az Egyéni vállalkozó által kezelt személyes és különleges adatok jogosulatlan felhasználásának
megakadályozása érdekében meghatározza, a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági szabályokat.
3.2. Az adatkezelés alapelvei:
3.3. Célhoz kötöttség: Csak meghatározott célból, és csak olyan adat kezelhető, amely az érintett személy gyógykezelése érdekében szükséges, csak a szükséges időtartamig, és erről az érintettet egyidejűleg tájékoztatni kell.
3.4. Adatkezelés minőségének elve: Az érintettre vonatkozó adatokat pontosan, a vonatkozó jogszabályok korlátai és jelen szabályzat keretei között, tisztességesen kell kezelni.
3.5. Adatfelvétel önkéntessége: Az érintett személy egészségügyi okból való megjelenésével, vélelmezni kell az adatfelvételre vonatkozó önkéntességet. Az adatkezelésről nem kell külön hozzájáruló nyilatkozat, azonban az érintett személyt tájékoztatni kell az adatai kezeléséről. Az adatkezeléshez való hozzájárulást az érintett
részéről vélelmezni kell a sürgősségi ellátás során, valamint az érintett belátási képességének hiánya esetén.
3.6. Az adatkezelés korlátai: A vonatkozó jogszabályokban és jelen szabályzatban felsorolt célokon túl, az adatkezelés csak az érintett hozzájárulásával, a tájékoztatáson alapuló írásbeli beleegyezésével, a szükséges adatkezelési előírások betartásával történhet.
4. A Szabályzat hatálya kiterjed
4.1. A Szabályzat hatálya nem terjed ki az önkéntes kezdeményezéssel létrehozott privát, vagy otthoni tevékenység keretében végzett, saját magáncélt szolgáló személyes adatok kezelésére (pl. Facebook, Massenger, Viber, WhatsApp)
4.2. Jelen Szabályzatban nem részletezett kérdésekben a személyes adatok védelméről vagy kezeléséről szóló törvényi vagy az Európai Unió kötelező jogi aktusában meghatározott rendelkezései az irányadóak.
4.3. Jelen Szabályzat a Kft. taggyűlése által történő elfogadásától, visszavonásig érvényes.
5. Az Egyéni vállalkozó határozza meg a szervezetének és működésének szabályait, a személyes adatok kezelésének céljait, módszereit és eszközeit, ezért az Egyéni vállalkozó adatkezelőnek minősül.
5.1. Az Egyéni vállalkozó konkrét adatkezelési tevékenységet gyakorol. Tevékenységét saját nevében fejti ki, mely közvetlenül az Egyéni vállalkozót jogosítja és kötelezi.
5.2. Az Egyéni vállalkozó az adatkezelés szempontjából, adatfeldolgozónak is minősül.
5.3. Egészségügyi és személyazonosító adatot, az Eüak. törvényben meghatározott esetekben, és az Eüak törvényben meghatározott célból lehet kezelni.
5.4. Adatkezelésre, és adatfeldolgozásra csak olyan mértékig jogosult az Egyéni vállalkozó, amennyiben tevékenysége ellátásához szükséges a személyes adatok kezelése.
5.5. Az Egyéni vállalkozó kizárólag olyan adatokat kezel, amelyek az érintett személyazonosításához, betegellátásához, gyógykezeléséhez szükségesek, így különösen a beteg személyes adatait, név, születési név, anyja neve, születési helye, ideje, lakcíme, személyi igazolvány száma, e-mail cím, telefonszáma, valamint az egészségügyi adatait.
5.6. Az egészségügyi adatok felvétele a gyógykezelés elválaszthatatlan része. Az egészségügyi adatok körét és terjedelmét a gyógykezelést végző orvos – a szakmai szabályoknak és protokollnak megfelelően – minden érintett esetében egyénenként dönti el. Ezek különösen: az érintett természetes személy egészségügyi célokból történő egyéni azonosítása érdekében hozzá rendelt szám, jel vagy adat, valamely testrész vagy a testet alkotó anyag a genetikai adatokat és a biológiai mintákat is beleértve, teszteléséből vagy vizsgálatából származó információk, és bármilyen, például az érintett betegségével, betegségkockázatával, kórtörténetével, klinikai kezelésével vagy fogyatékosságával, fiziológiai vagy orvos biológiai állapotával kapcsolatos információ, függetlenül annak
forrásától.
5.7. Az érintett által megadott e-mail címeket és telefonszámokat az adatkezelő/ adatfeldolgozó kizárólag a megbízatásával összefüggésben kezelheti.
6. Az Egyéni vállalkozó, egyben kezelőorvos, az érintett vércsoportjára vonatkozó adat tekintetében az Eüak. törvényben meghatározott célból, az arra jogosult személyek részére történő hozzáférhetővé tétel érdekében az EESZT útján rögzíti az általa kezelt érintettel kapcsolatban a törvény szerinti személyazonosító adatok közül az érintett TAJ számát, vagy ennek hiányában más azonosítóját, születési idejét, nemét, továbbá az érintett egészségi állapotával, kórelőzményével, egyes beavatkozásaival kapcsolatos egészségügyi adatokat (a továbbiakban: egészségügyi profil).
6.1. Az egészségügyi profilban rögzített adatokat az érintett halála után 5 évvel helyreállíthatatlanul törölni kell, amennyiben a kezelőorvos az érintett haláláról tudomást szerez.
6.2. Az érintett jogosult megtiltani, hogy az 6. bekezdés szerinti adatait az érintett kezelőorvosa rögzítse.
6.3. Az érintett írásban kérheti az egészségügyiprofil-nyilvántartásba bejegyzett adatának helyesbítését – a téves adat tudomásszerzésétől számított 30 napon belül – az azt bejegyző orvostól.
7. Az adatkezelő, közigazgatási hatósági eljárás céljából, az Eüak törvényben, vagy kormányrendeltben kijelölt, egészségügyi ellátó hálózaton kívüli, EESZT-hez nem csatlakozott szerv részére továbbítja az érintett egészségügyi adatait.
7.1. A továbbított egészségügyi adatokat az adatkezelő, azok átadásának az adatot fogadó szerv általi visszaigazolását követően haladéktalanul köteles törölni, kivéve ha az adat kezelésére jogszabály feljogosítja.
8. Az érintett tájékoztatást kérhet személyes és egészségügyi adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve – a jogszabályban elrendelt adatkezelések kivételével – annak törlését.
8.1. A valóságnak meg nem felelő adatot az adatkezelő helyesbíteni köteles.
8.2. A személyes adatot törölni kell, ha:
8.3. A helyesbítésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.
8.4. Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat.
8.5. Az érintett jogosult arra, hogy az adatkezelő által kezelt személyes adatokat, valamint az EESZT-ben rögzített adatokat megismerje, azokról elektronikus, vagy papír alapú másolatot kérjen.
9. Az adatkezelő, az érintettel történő személyes találkozásról kép és hangfelvételt nem készít.
9.1 Az adatkezelő, vagyonvédelmi okokból az egészségügyi épületen belül, a váróban, valamint a folyosón, a rendelő bejáratának ellenőrzése céljából térfigyelő kamerát helyezhet el, amely berendezés 24 óra időtartamig tárolja a rögzített adatokat.
10. A természetes személyek alapvető jogainak és szabadságainak, a személyes adataik kezelése és védelme érdekében, felügyeleti hatóságként a Nemzeti Adatvédelmi és Információszabadság Hatóság (továbbiakban: NAIH) jogosult eljárni.
10.1. Adatvédelmi incidens valósul meg a személyes és egészségügyi adatok jogosulatlan, felhatalmazás nélküli, vagy véletlen közlésével, az ilyen adatokhoz való hozzáféréssel, a személyes, vagy egészségügyi adatok jogosulatlan, vagy véletlen módosításával, megváltozatásával, elvesztésével, vagy megsemmisítésével.
10.2. Az adatvédelmi incidens bekövetkezését, annak észlelését követően haladéktalanul jelezni kell az adatkezelőnek.
10.3. Az adatvédelmi incidens akkor jár kockázattal az érintettek jogaira és szabadságaira nézve, ha az, az élet, a testi épség, és egészség tekintetében kárt okoz, pénzügyi veszteséggel jár, vagy erkölcsi (jó hírnév, becsület megsértése) sérelemmel jár.
10.4. A valószínűsíthetően kockázattal járó adatvédelmi incidenst, annak észlelésétől, vagy a tudomásszerzéstől számított 3 napon belül be kell jelenteni NAIH-hoz.
10.5. Az adatvédelmi incidens kivizsgálását jegyzőkönyvben kell dokumentálni, és a keltezéstől számított 5 évig meg kell őrizni.
11. Az adatkezelő, az érintett adatainak kezelése során jogosult a saját tulajdonát képező informatikai eszköz használatára.
11.1. Az adatkezelő a saját informatikai eszközén kizárólag olyan szoftvereket, programokat használhat, amelyek az egészségügyi munkavégzést nem veszélyeztetik, vírust vagy kémszoftver nem tartalmaznak.
11.2. Az adatkezelő, az általa felismert informatikai biztonságot veszélyeztető körülményt köteles haladéktalanul informatikai szakembernek jelezni, az adatveszteség, valamint az informatikai kockázat elhárítása érdekében.
11.3. Az informatikai eszközök tárolását biztosító helyiségeket illetéktelen személyektől elzárva kell tartani. Az eszközök csak zárt helyiségben hagyhatók felügyelet nélkül.
11.4. Az érintettek személyes és egészségügyi adatait tartalmazó eszközöket jelszavas védelemmel kell ellátni, mely eszköz 5 perces inaktiválás után zárolásra kell, hogy kerüljön. A kezelt adatokról biztonsági mentést kell készíteni.
12. Jelen szabályzat, a kihirdetéssel válik hatályossá.
12.1. Jelen szabályzatban nem szabályozott kérdésekben a GDPR és az Infotv. szabályai az irányadóak.
Kecskemét, 2023. május 15.