pszichoADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT
I. fejezet
ÁLTALÁNOS RENDELKEZÉSEK
1. § (1) Az Adatvédelmi és Adatbiztonsági Szabályzat (a továbbiakban: Szabályzat) célja, hogy meghatározza a Kft-nél folytatott személyes adatok kezelésének jogszerű rendjét, valamint biztosítsa az adatvédelem alkotmányos elveinek, az információs önrendelkezési jognak és az adatbiztonság követelményeinek érvényesülését.
(2) A Szabályzatot a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete (általános adatvédelmi rendelet, a továbbiakban: „általános adatvédelmi rendelet”, vagy „GDPR”), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. tv. (a továbbiakban: Infotv.) 2. § (2) bekezdése szerint azt kiegészítő előírásokra figyelemmel, továbbá az alkalmazandó ágazati jogszabályi követelményekkel összhangban kell alkalmazni.
(3) A Kft-hez érkező és a nála keletkezett iratok készítésének, kezelésének, nyilvántartásának, irattározásának és selejtezésének alapvető szabályait, az iratkezeléssel összefüggő adatvédelmi és adatbiztonsági szabályokat az iratkezelési szabályokkal összhangban kell alkalmazni.
(4) Az elektronikus információs rendszerekben tárolt személyes adatok védelmére irányuló követelményeket az információbiztonsági feltételekkel összhangban kell alkalmazni.
(5) A Szabályzatban alkalmazott fogalmak tekintetében az általános adatvédelmi rendelet 4. cikke szerinti meghatározások az irányadók.
II. fejezet
A SZABÁLYZAT HATÁLYA
2. § (1) Jelen Szabályzat tárgyi hatálya az alábbi adatkezelőre terjed ki:
PszichoFészek Egészségügyi Szolgáltató Korlátolt Felelősségű Társaság
(a továbbiakban: Kft.)
Székhely: 1035 Budapest, Vörösvári út 23. sz. I. em. 3. a.
A Szabályzat végrehajtásáért felelős: Balogh Kornélia ügyvezető
(2) A Szabályzat 2026. május 15-től visszavonásáig hatályos.
(3) A Szabályzat személyi hatálya kiterjed a Kft. ügyvezetőjére, annak valamennyi alkalmazottjára, valamint mindazon személyekre, akik a szervezetekkel jogviszonyban állva személyes adatokat kezelnek.
(4) A Szabályzat tárgyi hatálya kiterjed valamennyi kezelt személyes adatra, az adatkezelés során alkalmazott informatikai és papíralapú nyilvántartásokra, valamint az adatkezelést szolgáló hardver- és szoftvereszközökre.
III. fejezet
EGÉSZSÉGÜGYI ADATOK KEZELÉSE
3. § (1) A Kft. egészségügyi szolgáltatóként különleges adatokat kezel, különösen egészségügyi adatokat.
(2) Az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés b) és c) pontja, valamint a 9. cikk (2)bekezdés h) pontja, szakmai titoktartási kötelezettség mellett.
(3) Az adatkezelés során irányadó jogszabályok különösen:
a) az egészségügyről szóló 1997. évi CLIV. tv.
b) az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. tv.
c) az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésének egyes kérdéseiről szóló 62/1997. (XII. 21.) NM rendelet
(4) A kezelt dokumentáció különösen: anamnézis, státusz, terápiás jegyzetek, pszichológiai tesztek, szakvélemények.
(5) A megőrzési idő főszabály szerint 30 év.
(6) Az adatokhoz hozzáférhet: pszichológus, pszichiáter, valamint adminisztratív személyzet korlátozott körben. Informatikai személyzet a tartalomhoz nem férhet hozzá.
(7) Az adatkezelés során biztosítani kell a megfelelő technikai és szervezési intézkedéseket, különös tekintettel az egészségügyi adatok érzékeny jellegére.
IV. fejezet
AZ ADATKEZELÉS JOGSZERŰSÉGE
4. § (1) Az információs önrendelkezés minden természetes személy Alaptörvényben rögzített joga, így a Kft, mint adatkezelő eljárásai során csak és kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést.
(2) A Kft. által kezelt személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.
(3) A Kft. személyes adatot meghatározott célból, jog gyakorlása vagy kötelezettség teljesítése érdekében kezel, a cél eléréséhez szükséges mértékben és ideig.
5. § Az adatkezelés kizárólag akkor lehet jogszerű (GDPR 6. cikk (1) bek. a)-f)), ha
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
6. § A Kft. az alábbi célokból végzi a személyes adatok kezelését
a) az érintett bejelentkezésével kapcsolatban történő adatrögzítés, telefonos, vagy elektronikus megkeresés alapján
b) a bejelentkezést követően az elvégzett tanácsadás, vizsgálat dokumentálása, annak rögzítése az egészségügyi jogszabályok szerint, igazolások kiállítása, szakvélemény.
c) terápiás és csoportfoglalkozások résztvevőinek dokumentálása
d) számlázással összefüggő adatkezelés
e) hozzájárulás alapján elektronikus megkeresések, ajánlatok kézbesítése
f) munkavállalók adatainak kezelése
g) a Kft. profiljába illő szolgáltatás növelése érdekében végzett piackutatás és felmérés
h) a fentiekben meghatározott céloktól eltérő célból az érintett, illetve törvényes vagy meghatalmazott képviselője (a továbbiakban együtt: képviselő) – megfelelő tájékoztatáson alapuló önkéntes, egyértelműen kifejezett akaratot tartalmazó, és a szabályszerű nyilatkozat megtételét hitelt érdemlően bizonyító módon tett – hozzájárulásával egészségügyi célú adatkezelés.
V. fejezet
ADATTOVÁBBÍTÁS
7. § Személyes adatokat továbbítani kizárólag pontosan meghatározott és jogszerű célból, a konkrét esetben közvetlenül hivatkozható jogalap birtokában lehetséges, és a továbbítandó adatok körét az alkalmazandó jogszabályi követelményeket és az iratkezelésre vonatkozó belső előírásokat is mérlegelve az adatkezelés céljához szükséges körre kell szűkíteni.
8. § (1) A Kft. jogszabályi előírások szerint az Elektronikus Egészségügyi Szolgáltatási Tér felületére, továbbá az érintett érdekében és beleegyezésével a Magyar Államkincstár felé továbbíthatja az érintett személyes adatait.
(2) A Kft. az érintett személyes adatait a beleegyezésével, az érintett által megjelölt elérhetőségre továbbíthatja.
VI. fejezet
ADATVÉDELMI RENDSZER
9. § A Kft. Ügyvezetője a működés sajátosságait figyelembe véve határozza meg az adatvédelem rendszerét, jelöli ki a feladat- és hatásköröket.
10. § A Kft. Ügyvezetője felelős
a) az érintettek jogainak gyakorlásához szükséges feltételek biztosításáért
b) kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért
c) az adatkezelésre irányuló ellenőrzés során feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért
d) adatvédelmi tisztviselő kijelöléséért
e) jogsértés esetén belső vizsgálat elrendeléséért
f) adatvédelmi szabályzat kiadásáért
g) adattovábbítások rendjéért
h) adatvédelmi oktatások biztosításáért
i) érintettek joggyakorlásának biztosításáért
j) adatvédelmi szabályok betartásáért
k) adatkezelést végzők ellenőrzéséért
l) nyilvántartások, személyes adatok tárolási idejét követően azok megsemmisítéséért.
11. § Az adatvédelmi tisztviselő feladatai
a) tájékoztatást és szakmai tanácsot ad az adatkezelést végző alkalmazottak részére az adatvédelmi kötelezettségeikkel kapcsolatban
b) ellenőrzi a GDPR-nak, valamint az egyéb adatvédelmi rendelkezéseknek, továbbá a Kft. személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is
c) figyelemmel kíséri az adatvédelemmel információszabadsággal kapcsolatos jogszabályváltozásokat, ezek alapján indokolt esetben kezdeményezi jelen szabályzat módosítását
d) közreműködik a NAIH-tól a Kft-hez érkezett megkeresések megválaszolásában és a NAIH által kezdeményezett vizsgálat, illetve adatvédelmi hatósági eljárás során
e) általános állásfoglalás megadása céljából megkeresést fogalmaz meg a NAIH felé, amennyiben egy felmerült adatvédelmi kérdés jogértelmezés útján egyértelműen nem válaszolható meg
f) tájékoztatást és szakmai tanácsot ad a Kft adatvédelmi jogszabályokban előírt kötelezettségeinek ellátásával kapcsolatban
g) kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését
h) együttműködik a NAIH-hal
i) az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a NAIH felé, valamint bármely egyéb kérdésben konzultációt folytat le
j) részt vesz az adatvédelmi és adatbiztonsági szabályzat kidolgozásában és felülvizsgálatában
k) jogosult jelen szabályzat betartását az egyes szervezeti egységeknél ellenőrizni
l) kezdeményezi az adatkezelési az adattovábbítási nyilvántartás aktualizálását
m) közreműködik az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában
n) támogatást nyújt és ellenőrzést gyakorol az egészségügyi dokumentációk kiadása körében
VII. fejezet
A KFT-N KÍVÜLI SZEMÉLYEK BEVONÁSA AZ ADATKEZELÉS FOLYAMATÁBA
12. § (1) Amennyiben a Kft. Ügyvezetőjének döntése alapján a feladat ellátása érdekében adatfeldolgozó igénybevétele szükséges, úgy az általános adatvédelmi rendelet 28. cikke szerinti tartalommal az adatfeldolgozó felelősségét önálló szerződésben vagy a felek között létrejövő szolgáltatási szerződés részeként kell rögzíteni. A szerződés tartalmának összeállítása során ki kell kérni az adatvédelmi tisztviselő véleményét.
(2) A (1) bekezdésben foglalt kötelezettség nem alkalmazandó annyiban, amennyiben az adatfeldolgozó igénybevételének kereteit és garanciális feltételeit jogszabály határozza meg.
13. § A szerződéses jogviszonyba kerülő önálló adatkezelő mint címzett kapcsán a szerződés részeként szükséges rendelkezni a személyes adatok védelme és biztonsága érdekében alkalmazandó intézkedésekről. A szerződés adatkezelést érintő részének összeállítása során ki kell kérni az adatvédelmi tisztviselő véleményét.
VIII. Fejezet
A BEÉPÍTETT ÉS ALAPÉRTELMEZETT ADATVÉDELEM ELVÉNEK ÉRVÉNYESÜLÉSE
Adatkezelés kialakításával összefüggő kötelezettségek
14. § (1) A személyes adatok kezelésével járó új tevékenység megkezdése, vagy a folyamatban lévő adatkezelési tevékenységekkel kapcsolatos módosítások hatályba lépése előtt az Ügyvezető az adatvédelmi tisztviselő véleményének kikérését követően meghozza az adatkezelés jogszerű kialakítása, illetve az elszámoltathatóság elvének történő megfelelés érdekében szükséges és arányos intézkedéseket.
(2) Az (1) bekezdés szerinti intézkedések során legalább az alábbiakat veszi számba
a) az adatok kezelésére okot adó körülményt, vagy jogszabályi rendelkezést;
b) a feladat ellátásához szükséges adatköröket és azok tervezett forrását;
c) a tervezett vagy jogszabályban meghatározott megőrzési időt, vagy az annak meghatározásához szükséges szempontokat;
d) az ahhoz kapcsolódó adattovábbítás címzettjeit;
e) az adatok biztonsága, valamint az érintettekre nézve azonosított kockázatok csökkentése érdekében tervezett intézkedéseket.
(3) A (2) bekezdés szerinti ellenőrzés eredményéről kikéri az adatvédelmi tisztviselő véleményét.
(4) Az adatvédelmi tisztviselő véleményét követően meghatározza
a) az adatkezeléshez kapcsolódóan szükségesnek tartott további szervezési és technikai intézkedéseket, vagy a GDPR 5. cikkében foglalt alapelveknek megfelelő adatkezelés kialakításának szempontjait;
b) a kapcsolódó adatvédelmi hatásvizsgálat szükségességét;
c) az adatkezelési tájékoztató tartalmát.
(5) Ha a tervezett adatkezelés kapcsán alkalmazandó a meghatározott rendszeres felülvizsgálati kötelezettség, a javaslat a rendszeres felülvizsgálat lefolytatásának időpontjára és módjára is ki kell, hogy térjen.
(6) A döntésről az Ügyvezető tájékoztatja a személyes adatkezeléssel járó feladat ellátásáért felelős ügyintézőt, valamint a tevékenység adatvédelmi nyilvántartásba történő bejegyzése érdekében az adatvédelmi tisztviselőt.
Adatbiztonsági követelmények
15. § (1) A Kft. kezelésében lévő személyes adatok bizalmasságát, sértetlenségét és rendelkezésre állását biztosítandó, az érintettekre nézve megjelenő kockázatokkal arányos, a technológiai fejlődés szempontjából naprakész, zárt, teljes körű és folytonos szervezési és technikai védelmi intézkedéseket alkalmaz.
(2) Az alkalmazott védelmi intézkedések naprakészen tartása érdekében az Ügyvezető az adatvédelmi tisztviselő, valamint a rendszergazda véleményét kikérheti.
(3) A Kft. elektronikus információs rendszereihez és – a tevékenységével összefüggésben ellátott feladatok ellátásához szükséges – más szerv kezelésében lévő elektronikus információs rendszerekhez, valamint nem elektronikus úton vezetett nyilvántartásokhoz történő hozzáférési jogosultságot és annak szintjét az Ügyvezető adja meg, illetve vonja vissza, vagy kezdeményezi a rendszer üzemeltetőjénél.
(4) A jogosultságok naprakészségét az Ügyvezető köteles évente ellenőrizni.
(5) A feladatellátással összefüggő személyes adatokat is tartalmazó iratot vagy adathordozót az épületből kivinni – munkaköri feladat ellátásának kivételével – csak az Ügyvezető engedélyével lehet. A foglalkoztatott ez esetben is köteles gondoskodni az adatbiztonsági követelmények megvalósulásáról.
Cél: szolgáltatás megszervezése
Kezelt adatok: név, telefonszám, e-mail, panasz
Jogalap: GDPR 6. cikk (1) bek. b)
Adatforrás: érintett
Adattovábbítás: nincs
Megőrzési idő: a cél megszűnéséig
Adatkezelés jellege: önkéntes
(6) A közös használatú eszközök kapcsán – így különösen nyomtatók, másológépek, irattárolók esetében – a személyes adatok célhoz kötött felhasználását, valamint integritását és bizalmas jellegét garantáló további előírásokat jogosult a foglalkoztatottak számára meghatározni az Ügyvezető.
Az adatkezelési műveletek átláthatóságára vonatkozó követelmények
16. § (1) A Kft. az adatkezelési tevékenységeire vonatkozóan az adatkezelés érintettje számára világos, könnyen értelmezhető és átlátható módon, az adatkezelés céljai mentén a GDPR 13-14. cikke szerinti tartalommal szükséges adatkezelési tájékoztatókat állít össze.
(2) Az adatkezelési tájékoztatókban foglaltak tartalmi megfelelőségét, naprakészségét és elérhetőségét az adatvédelmi tisztviselő és az Ügyvezető is köteles figyelemmel kísérni.
(3) A kizárólag a foglalkoztatottakat érintő adatkezelési célok kapcsán összeállított adatkezelési tájékoztatókat a Kft. a foglalkoztatottak számára elérhetővé teszi.
(4) A foglalkoztatotti jogviszonyt létesítő személyek számára a belépéshez szükséges dokumentációval együtt, elektronikus úton szükséges megküldeni az őket érintő adatkezelési tájékoztatókat.
(5) A személyesen megjelenő érintetteket a rájuk vonatkozó adatkezelésekről elérhető papíralapú adatkezelési tájékoztató, valamint figyelemfelhívó jelzés útján kell tájékoztatni. Emellett szükség esetén, így különösen látássérültek vagy olvasási, szövegértési képességükben korlátozott érintettek esetében szóbeli tájékoztatás nyújtása is kötelező.
(6) A (3)-(5) bekezdésben nem szabályozott érintetti kör esetében a Kft. a honlapján, az „Adatkezelési tájékoztató” cím alatt közzétéve bocsátja az érintettek rendelkezésére a szükséges tájékoztatást.
Az adatkezelési tevékenységek nyilvántartása
17. § (1) Az adatvédelmi tisztviselő elektronikusan, az adatkezelő informatikai rendszerében vezeti az adatkezelési tevékenységek nyilvántartását.
(2) Az adatkezelési tevékenységek nyilvántartása az adatkezelési célok mentén, a GDPR 30. cikke által meghatározott tartalommal összeállított nyilvántartás bejegyzésekből áll, amelynek összhangban kell lennie a kapcsolódó adatkezelési tájékoztatókban foglaltakkal
(3) A nyilvántartás aktualizálását, szükséges módosítását az adatvédelmi tisztviselő végzi.
Az adatvédelmi hatásvizsgálat lefolytatása
18. § (1) Amennyiben egy tervezett adatkezelés kapcsán az adatvédelmi hatásvizsgálat lefolytatásának GDPR 35. cikkében, vagy az Infotv. 25/G. §-ban foglalt feltételei fennállnak – mivel annak jellege, hatóköre, körülményei és céljai, vagy az alkalmazott technológiai megoldások kapcsán az valószínűsíthetően magas kockázattal jár az érintettre nézve, vagy a tervezett adatkezelés a NAIH által a GDPR 35. cikk (4) bekezdése szerint összeállított jegyzékében szerepel – az Ügyvezető kezdeményezi annak lefolytatását.
(2) Az adatvédelmi hatásvizsgálat lefolytatásának GDPR 35. cikkében foglalt feltételei fennállásának vizsgálata keretében figyelemmel kell lenni arra is, hogy alkalmazható-e valamely, a lefolytatás kötelezettsége alóli kivételszabály, így különösen a kötelező adatkezelést előíró jogszabály kapcsán készült-e adatvédelmi hatásvizsgálat, illetve elérhető-e azonos tárgyban készült adatvédelmi hatásvizsgálat.
(3) A kezdeményezésnél figyelembe kell venni
a) az adatvédelmi hatásvizsgálat lefolytatására okot adó legfontosabb szempontokat;
b) az alkalmazni javasolt módszertant;
c) az adatvédelmi hatásvizsgálatot lefolytató személyeket;
d) a tervezett adatkezelés érintettjei véleményének kikérése kapcsán javasolt megoldást, vagy annak jogszerű mellőzésére okot adó körülményeket;
e) amennyiben az előre megítélhető, a hatásvizsgálat lefolytatásának tervezett időrendjét.
(4) Az Ügyvezető kikéri az adatvédelmi tisztviselő álláspontját az adatvédelmi hatásvizsgálat szükségessége kapcsán, majd véleményét figyelembe véve lefolytatja az adatvédelmi hatásvizsgálatot.
(5) Az Európai Adatvédelmi Testület által elfogadott – vagy a GDPR alkalmazandóvá válását követően fenntartott –, az adatvédelmi hatásvizsgálatra vonatkozó hatályos iránymutatásban foglalt szempontokat és eljárásrendet az Ügyvezető köteles figyelembe venni.
(6) Az Ügyvezető adatvédelmi hatásvizsgálattal kapcsolatos munkáját az adatvédelmi tisztviselő – és amennyiben az adatkezelés elektronikus információs rendszert is érint, a rendszergazda – segíti. Véleményét legalább a kockázatelemzés, a tervezett intézkedések és az összefoglaló jelentés kapcsán ki kell kérni.
IX. Fejezet
AZ ADATVÉDELMI INCIDENSEK KEZELÉSÉVEL KAPCSOLATOS FELADATOK
19. § (1) Amennyiben a Kft. foglalkoztatottja adatvédelmi incidens bekövetkezésének gyanúját észleli, haladéktalanul tájékoztatja arról az Ügyvezetőt. Az Ügyvezető az általa észlelt adatvédelmi incidens kapcsán saját hatáskörben jár el.
(2) Az Ügyvezető vagy az általa kijelölt személy az (1) bekezdés szerinti jelzést követően azonnal tájékozódik az eset lényeges körülményeiről.
(3) Amennyiben a rendelkezésre álló adatok alapján egyértelműen megállapítható, hogy az azt észlelő tevékenységével összefüggésben, vagy azt érintően következett be az adatvédelmi incidens, soron kívül megkezdi az incidens érintettekre nézve megjelenő hatásainak csökkentését és arról haladéktalanul írásban értesíti az adatvédelmi tisztviselőt.
(4) A (3) bekezdés szerinti értesítés az adatvédelmi incidens bekövetkeztének, illetőleg az általa az érintettre nézve jelentett kockázatok és annak hatásainak megállapítása érdekében tartalmazza legalább
a) az adatvédelmi incidens jellegét és rövid leírását, ideértve különösen az észlelés és bekövetkezés feltételezett időpontját, az érintett rendszer vagy irat megjelölését;
b) a valószínűsíthetően érintett személyek körét;
c) a valószínűsíthetően érintett személyes adatok kategóriáit, nagyságrendjét;
d) az általa megtett halaszthatatlan intézkedéseket;
e) megítélése szerint az érintettek jogaira és szabadságaira gyakorolt hatásának súlyosságát,
f) az általa tervezett további intézkedések leírását.
(5) Az adatvédelmi tisztviselő megvizsgálja a (4) vagy bekezdés szerinti értesítésben foglaltakat, és az adatvédelmi incidens lehetséges hatásainak felmérése és megállapítása érdekében szükség szerint bevonja az rendszergazdát, vagy az adatvédelmi incidenssel érintett terület tekintetében szakértelemmel rendelkező személyeket is.
(6) Abban az esetben, ha az adatvédelmi incidens feltételezhetően a Kft. által üzemeltetett elektronikus információs rendszerek biztonságával összefüggésben következett be, az adatvédelmi tisztviselő a rendszergazda felé is köteles jelezni a bejelentést. A rendszergazda a jelzést követően köteles haladéktalanul véleményt összeállítani az adatvédelmi tisztviselő részére arról, hogy az adatvédelmi incidens valóban érinti-e az informatikai rendszer biztonságát, és ismerteti az ezzel kapcsolatos javasolt, valamint megtett intézkedéseket.
(7) Amennyiben az adatvédelmi incidens a Kft. adatfeldolgozó tevékenységével kapcsolatban következett be, az adatvédelmi incidens körülményeinek, és az azzal összefüggő lehetséges kockázatok és hatások (5) bekezdés szerinti kivizsgálásába az adatfeldolgozó képviselőjét is be kell vonni.
20. § Az adatvédelmi tisztviselő az (5) bekezdés szerinti vizsgálata keretében mérlegeli az adatvédelmi incidens következtében az érintettekre nézve megjelenő kockázatokat. Ennek során legalább a következőket veszi figyelembe:
a) az adatvédelmi incidens jellegét;
b) az érintettek körét, hozzávetőleges számukat;
c) az incidenssel érintett adatok kategóriáit, az érintett különleges adatokat és a GDPR preambulumának (75) bekezdése szerinti különleges adatokat és azok hozzávetőleges számát, illetve nagyságrendjét;
d) az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
e) minden, az adatvédelmi incidens megoldására tett vagy tervezett intézkedést, ideértve az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket;
f) az elektronikus információbiztonságot is érintő incidensek esetén a rendszergazda által azonosított további kockázatot;
g) az adatvédelmi incidensek kezelése és a kapcsolódó kockázatok mérlegelése tárgyában az Európai Adatvédelmi Testület által elfogadott – vagy a GDPR alkalmazandóvá válását követően fenntartott – iránymutatást;
h) az adatkezelés kapcsán korábban lefolytatott adatvédelmi hatásvizsgálat dokumentációját.
21. § (1) Amennyiben az adatvédelmi tisztviselő úgy ítéli meg, hogy az adatvédelmi incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatvédelmi tisztviselő a NAIH honlapjáról letölthető formanyomtatvány alkalmazásával és a GDPR 33. cikk (3) bekezdése szerinti tartalommal bejelenti azt a NAIH felé.
(2) Amennyiben a Szabályzat szerinti vizsgálatot az adatvédelmi tisztviselő véleménye szerint
a) nem lehet 72 órán belül teljeskörűen lefolytatni, vagy
b) nem lehet megállapítani egyértelműen a rendelkezésre álló adatok alapján az adatvédelmi incidenssel érintettek körét, az azzal érintett adatkört, vagy az adatvédelmi incidens bekövetkezésének valamennyi más lényeges körülményét,
úgy az adatvédelmi tisztviselő a rendelkezésre álló adatok alapján, szakaszos bejelentést tesz a NAIH részére. A hiányzó adatok megállapítását követően az adatvédelmi tisztviselő intézkedik a teljes bejelentés benyújtása iránt.
22. § (1) Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, vagy az esemény egyéb körülményei alapján az szükséges, a GDPR 34. cikk (3) bekezdésében felsorolt esetek kivételével az Ügyvezető elrendeli az érintettek tájékoztatását az adatvédelmi incidens kapcsán.
(2) Amennyiben az adatvédelmi incidenssel érintett természetes személyek tájékoztatására – különösen az érintettek köre vagy a kapcsolattartási adatok biztonságának sérülése miatt – észszerű módon nincs lehetőség, úgy az adatvédelmi tisztviselő az adatvédelmi incidens főbb jellemzőire vonatkozó értesítés soron kívüli közzétételét kezdeményezi a Kft. honlapján.
23. § Az adatvédelmi tisztviselő a bekövetkezett adatvédelmi incidensekről a GDPR 33. cikk (5) bekezdése szerint, személyes adatokat nem tartalmazó nyilvántartást vezet, amely tartalmazza
a) az adatvédelmi incidensről készült feljegyzés iktatószámát;
b) az adatvédelmi incidenssel érintett irat vagy nyilvántartás, elektronikus információs rendszer megjelölését vagy azonosítóját;
c) az incidens észlelésének időpontját és a bekövetkezésének megállapított vagy valószínűsített időpontját;
d) az érintett személyes adatok körét;
e) az incidens hatásait, következményeit, valamint az orvoslásukra tett intézkedéseket;
f) a bejelentés időpontját – amennyiben az adatvédelmi incidenst a NAIH részére a GDPR 33. cikk (1) bekezdése szerint bejelentették, vagy annak rövid indokolását, ami miatt az adatvédelmi incidenst nem jelentették be.
X. Fejezet
AZ ÉRINTETTI JOGGYAKORLÁS BIZTOSÍTÁSÁRA VONATKOZÓ ELŐÍRÁSOK
24. § (1) Az Ügyvezető – a GDPR 5. cikkében foglalt adatkezelési elvek sérelme nélkül, a GDPR 32. cikke szerinti technikai és szervezési intézkedések végrehajtás mellett – az adatkezelésére vonatkozó, érintetti joggyakorlásra irányuló minden beadvány kapcsán – a GDPR 13-14. cikk szerinti tájékoztatás kivételével – esetileg és érdemben vizsgálja azt, hogy elsősorban a kérelmet benyújtó természetes személy kilétével, másodsorban az adatkezelés érintettje azonosításával kapcsolatban merülhetnek-e fel kétségek.
(2) Az érintetti joggyakorlásra irányuló beadvány kapcsán a kérelmet benyújtó természetes személy személyazonosságának megállapítása érdekében további intézkedéseket indokolt tenni különösen, ha az
a) a kérelmező személyének azonosítását nem biztosító elektronikus levélben, elektronikus aláírás nélkül,
b) nem a polgári perrendtartásról szóló 2016. évi CXXX. tv. 325. §-a által meghatározott teljes bizonyító erejű magánokiratba vagy közokiratba foglalt postai küldeményként került megküldésre.
(3) A kérelmet benyújtó természetes személy azonosítása érdekében kizárólag az adott célra szükséges és elégséges többlet személyes adat kérhető. Valamely okiratról készült egyszerű elektronikus másolat, vagy nem hitelesített nem elektronikus másolat megküldése a személy azonosítására nem alkalmas, ezért e célra azok megküldését a kérelmet előterjesztő személytől kétség felmerülése esetén sem lehet kérni.
(4) Az Ügyvezető az ellenkező bizonyításáig a kérelmet előterjesztő személy megfelelő azonosításának ismeri el a hitelesített elektronikus aláírással ellátott beadványokat, a teljes bizonyító erejű magánokiratokban foglalt postai úton előterjesztett és az érintett azonosításához szükséges adatokat tartalmazó kérelmeket és a személyazonosság okirattal történő előzetes igazolását követően személyesen előterjesztett beadványokat.
(5) Amennyiben egy érintetti joggyakorlásra irányuló beadvány kapcsán a kérelmet benyújtó természetes személy kilétével kapcsolatban nem merül fel kétség, azonban a kezelt adatok körében megállapítást nyer, hogy az érintett nem azonosítható, – így különösen mert az adatkezelés célja nem teszi szükségessé az érintettnek az azonosítását és bizonyítani tudja, nincs abban a helyzetben, hogy azonosítsa az érintettet – erről haladéktalanul írásban tájékoztatja a kérelmet benyújtó személyt.
(6) Abban az esetben, ha a kérelmet előterjesztő személy megfelelő azonosítására nem alkalmas beadvány érkezik és az abban foglalt – a GDPR 15. cikke szerinti hozzáférési joggyakorlásra, vagy az adatok másolatának kiadására irányuló – kérés olyan adatokra vonatkozik, amelyek megőrzési ideje rövidebb, mint 1 hónap, akkor a kérelmet előterjesztő személy megfelelő azonosítására nem alkalmas kérelemmel érintett adatok kezelését az azonosítást lehetővé tevő kérelem beérkezéséig, de legfeljebb 1 hónapig korlátozza.
(7) Abban az esetben, ha a kérelmet előterjesztő személy megfelelő azonosítására nem alkalmas beadvány érkezik, és abban valamely érintett kapcsolattartási adataira vonatkozó helyesbítéshez való jog gyakorlására irányuló kérelem van, az Ügyvezető hivatalból is köteles vizsgálni, hogy az általa kezelt kapcsolattartási adatok naprakészek-e.
25. § (1) Az érintetti jogok gyakorlására irányuló kérelem elintézésébe az adatvédelmi tisztviselőt be kell vonni. A bármely módon - akár nem hivatalos elérhetőségein keresztül, vagy nem megfelelő módon, esetleg formában - előterjesztett, érintetti joggyakorlásra irányuló kérelmet köteles a az azt fogadó soron kívül az adatvédelmi tisztviselő részére is továbbítani.
(2) Az érintetti joggyakorlásra utaló beadványok kapcsán – az adatvédelmi tisztviselő bevonásával – mindenekelőtt meg kell állapítani, hogy abban a GDPR szerinti valamely érintetti jogot, különösen a GDPR 15. cikke szerinti hozzáférési jogot, vagy más, jogát kívánja-e gyakorolni a beadványozó.
26. § (1) Az Ügyvezető indokolatlan késedelem nélkül és a lehető legrövidebb időn belül, de legkésőbb az azonosítható érintettől származó kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről.
(2) Amennyiben annak a GDPR 12. cikkében foglalt feltételei fennállnak, a válaszadás határideje az Ügyvezető döntése szerint további két hónappal meghosszabbítható, azonban ennek megítélése kapcsán részére az (1) bekezdés szerinti határidőn belül, írásban kell igazolni a késedelem okait, és előterjeszteni a hosszabbítás kapcsán az érintettnek nyújtandó tájékoztatás tervezetét.
(3) Az Ügyvezető az érintett részére a kérelmével kapcsolatos tájékoztatást a beadványát figyelembe véve nyújtja, kivételes esetben és arról jegyzőkönyv egyidejű felvétele mellett személyesen is megadhatja.
(4) Az elektronikus úton biztonságosan nem továbbítható személyes adatokat postai úton, tértivevényes küldeményben, elektronikus adathordozón küldi meg az érintett részére, vagy külön kérésére jegyzőkönyv egyidejű felvétele mellett azt személyesen adja át.
XI. Fejezet
KIEGÉSZÍTŐ ÉS ZÁRÓ RENDELKEZÉSEK
Kiegészítő rendelkezések
27. § (1) Amennyiben az Adatkezelő valamely adatkezelésre jogosult dolgozója adatkezeléssel kapcsolatos eljárása során jelen Szabályzat és a vonatkozó jogszabályok alapján sem találja tisztázottnak a követendő eljárást, az adatvédelmi tisztviselőhöz fordulhat. Az adatvédelmi tisztviselő szakmai álláspontja alapján az Ügyvezető dönt a követendő eljárásról, melyről a Kft. dolgozóit szükség esetén egyedileg kiadott utasítás vagy jelen Szabályzat módosítása útján tájékoztatja.
(2) Az adatvédelmi tisztviselő köteles jelen Szabályzat szükség szerinti, de legalább évenkénti felülvizsgálatát elvégezni, és a felülvizsgálat eredményeként tett megállapításairól, módosítási javaslatairól az Ügyvezetőt tájékoztatni.
Záró rendelkezés
28. § Jelen Szabályzat 2026. május 15. napján lép hatályba, és visszavonásig érvényes.
Jóváhagyta:
Balogh Kornélia
Ügyvezető
1. sz. melléklet
ADATKEZELÉSI MÁTRIX
A Kft. az adatkezelési tevékenységeit az alábbiak szerint rendszerezi:
1. Betegellátás
| Cél: | egészségügyi szolgáltatás nyújtása |
| Kezelt adatok: | azonosító adatok, egészségügyi adatok, anamnézis, vizsgálati eredmények |
| Jogalap: | GDPR 6. cikk (1) bek. b), c) pont, valamint 9. cikk (2) bek. h) pont. |
| Adatforrás: | érintett |
| Adattovábbítás: | EESZT, jogszabály alapján |
| Megőrzési idő: | 30 év |
| Adatkezelés jellege: | kötelező |
2. Időpontfoglalás
| Cél: | szolgáltatás megszervezése |
| Kezelt adatok: | név, telefonszám, e-mail, panasz |
| Jogalap: | GDPR 6. cikk (1) bek. b) |
| Adatforrás: | érintett |
| Adattovábbítás: | nincs |
| Megőrzési idő: | a cél megszűnéséig |
| Adatkezelés jellege: | önkéntes |
3. Számlázás
| Cél: | számviteli kötelezettség teljesítése |
| Kezelt adatok: | név, cím, adóazonosító |
| Jogalap: | GDPR 6. cikk (1) bek. c) |
| Adattovábbítás: | könyvelő |
| Megőrzési idő: | 8 év |
| Adatkezelés jellege: | kötelező |
4. Marketing
| Cél: | számviteli kötelezettség teljesítése |
| Kezelt adatok: | név, cím, adóazonosító |
| Jogalap: | GDPR 6. cikk (1) bek. c) |
| Adattovábbítás: | könyvelő |
| Megőrzési idő: | 8 év |
| Adatkezelés jellege: | kötelező |
2. sz. melléklet
AZ ADATKEZELÉSI FOLYAMAT
1. Az adatkezelés folyamata az alábbi szakaszokra tagolódik:
a) adatfelvétel
b) adat rögzítése
c) adat feldolgozása
d) adattárolás
e) adattovábbítás (szükség esetén)
f) archiválás
g) törlés vagy selejtezés
2. Az adatfelvétel történhet:
a) személyesen
b) telefonon
c) elektronikus úton
3. Az adatok rögzítése:
a) papíralapon
b) elektronikus rendszerben
4. Az adattovábbítás kizárólag:
a) jogszabály alapján
b) az érintett kérelmére
c) egészségügyi ellátás céljából történhet
5. Az archiválás során:
a) az adatok elkülönítésre kerülnek
b) hozzáférésük korlátozott
6. A törlés vagy selejtezés:
a) a megőrzési idő lejártát követően
b) dokumentált módon történik
3. sz. melléklet
BELSŐ ELLENŐRZÉSI ÉS ADATVÉDELMI MECHANIZMUS
1. A Kft. az adatkezelés jogszerűségének biztosítása érdekében belső ellenőrzési rendszert működtet.
2. Az ellenőrzés kiterjed különösen:
a) az adatkezelési célok jogszerűségére
b) a kezelt adatok körére
c) a hozzáférési jogosultságokra
d) az adatbiztonsági intézkedésekre
3. Az ellenőrzést:
a) az ügyvezető
b) az adatvédelmi tisztviselő végzi.
4. Az ellenőrzés gyakorisága:
a) évente legalább egy alkalommal
b) adatvédelmi incidens esetén soron kívül
5. Az ellenőrzés eredményéről:
a) jegyzőkönyv készül
b) szükség esetén intézkedési terv kerül meghatározásra
6. Az intézkedési terv tartalmazza:
a) a feltárt hiányosságokat
b) a szükséges intézkedéseket
c) a végrehajtás határidejét
d) a felelős személyeket
7. Az adatkezelési tevékenységek megfelelőségét az adatvédelmi tisztviselő folyamatosan figyelemmel kíséri.
4. sz. melléklet
HOZZÁFÉRÉSI ÉS JOGOSULTSÁGI MÁTRIX
1. A Kft. a személyes és különleges adatokhoz való hozzáférést szerepkör alapú jogosultsági rendszerben szabályozza.
2. A hozzáférések meghatározásának alapelvei:
a) szükséges ismeret elve (need-to-know)
b) célhoz kötöttség elve
c) adattakarékosság elve
3. A hozzáférési jogosultságok az alábbi szerepkörök szerint kerülnek meghatározásra:
I. Pszichológus
Jogosultság:
a) teljes hozzáférés az általa kezelt páciensek egészségügyi dokumentációjához
b) adat rögzítése, módosítása
c) szakvélemény készítése
Korlátozás:
d) más szakember pácienseinek adataihoz csak indokolt esetben férhet hozzá
II. Pszichiáter
Jogosultság:
a) teljes hozzáférés az egészségügyi dokumentációhoz
b) diagnózis felállítása
c) gyógyszeres kezelés dokumentálása
III. Adminisztratív munkatárs
Jogosultság:
a) időpontfoglalási adatok kezelése
b) kapcsolattartási adatok kezelése
c) számlázási adatok kezelése
Korlátozás:
d) egészségügyi adatok tartalmához nem férhet hozzá
e) csak a szükséges mértékben keze