Adatvédelmi Tájékoztató

DI-CARE ZRT. - ADATKEZELÉSI SZABÁLYZAT

TARTALOMJEGYZÉK
1. A szabályzat célja és alkalmazási köre
1.1. A szabályzat hatálya
1.2. A szabályzat érvényesüléséért és karbantartásáért felelős személy
1.3. A fogalmak meghatározása
2. Az adatkezelés általános szabályai
2.1. Az Adatkezelő megjelölése
2.2. A kezelt személyes adatok köre
2.3. A Társaság által kezelt további adatok köre
2.4. Az adatkezelés jogalapja, módja, célja
2.5. Az adatkezelés alapelvei
2.6. Az Érintettek előzetes tájékoztatása
2.7. Az adatkezelés célja
2.8. Az adatkezelés időtartama
3. Az adatkezelés folyamata
3.1. adatkezelési tevékenységek nyilvántartása
3.2. Az Érintettek jogai az adatkezeléssel kapcsolatban
3.3. Az Érintett hozzáféréshez való joga
3.4. Adathelyesbítés kérése
3.5. Az adatok törlése
3.6. Adatkezelés korlátozása
3.7. Adathordozhatóság
3.8. Tiltakozás a személyes adat kezelése, valamint az automatikus döntéshozatallal szemben
3.9. Az Érintett adatkezeléssel kapcsolatos joggyakorlásával kapcsolatos eljárásrend, és a panaszkezelés rendje
3.10. Adatvédelmi hatásvizsgálat
3.11. Adattovábbítás harmadik országokba
3.12. Személyes adatok közlése Címzettel
3.13. Adatfeldolgozás
3.14. Adatbiztonság
3.15. Adatvédelmi incidens, bejelentési terv
3.16. A hozzáférési jogosultságok
4. Felülvizsgálat és oktatás
5. Hatályba léptető rendelkezés, a szabályzat megállapítása és módosítása

1. A SZABÁLYZAT CÉLJA ÉS ALKALMAZÁSI KÖRE
A szabályzat célja, hogy a Di-Care Egészségügyi Kereskedelmi és Szolgáltató Zártkörűen Működő Részvénytársaság (cégjegyzék száma: Cg.: 12-10-001620; székhelye: 2673 Csitár (Nógrádgárdony), Kórház utca 1., a továbbiakban: Adatkezelő vagy Társaság) által folytatott valamennyi személyes adatok kezelése kapcsán rögzítse az alkalmazott adatvédelmi és -kezelési elveket és a Társaság adatvédelmi és -kezelési politikáját, amelyet a Társaság magára nézve kötelező erővel ismer el
Jelen szabályok kialakításakor a Társaság különös tekintettel vette figyelembe:
• az Európai Parlament és Tanács 2016/679 számú Általános Adatvédelmi Rendelete („GDPR”)
• az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.” vagy „Adatvédelmi Törvény”)
• az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról szóló 2019. évi XXXIV. törvény
• az 1998. évi VI. törvény az egyének védelméről a személyes adatok gépi feldolgozása során;
• a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény („DM. tv.”);
• az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény („Eüak.”)
• a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény („Reklámtörvény”)

1.1. A szabályzat hatálya
1.1.1 A szabályzat hatálya a Társaságra és a vele munkavégzésre irányuló jogviszonyban álló személyekre terjed ki. A szabályzat hatálya kiterjed továbbá azon személyekre is, akik egyedi vagy általános felhatalmazás alapján jogosultak a szabályzat hatálya alá tartozó személyes adatok kezelésére, az azokat tartalmazó rendszerek használatára, a kezelt adatok megtekintésére, adatok bevitelére, feldolgozására, továbbítására, törlésére, illetőleg a rendszer műszaki-technikai üzemeltetésére, karbantartására.

1.2. A szabályzat érvényesüléséért és karbantartásáért felelős személy
1.2.1. Az Adatkezelési szabályzat kidolgozásáért és a hatályos adatvédelmi jogi szabályokhoz igazításáért az operatív vezetésért felelős igazgatósági tagok (a továbbiakban: operatív vezetők) felelnek. Az operatív vezetők jogosultak kijelölni azon felelős személyeket, akik a jelen szabályzat mellékleteit képező, speciális adatkezelési szabályokat tartalmazó kiegészítő szabályok (továbbiakban: Kiegészítő Szabályzat; a jelen szabályzat és a Kiegészítő Szabályzat együtt: Adatkezelési Szabályzat) megalkotásáért és a hatályos adatvédelmi szabályok kialakításáért felelősek.
1.2.2. Az operatív vezetők gondoskodnak arról, hogy az Adatkezelési Szabályzatban foglaltakat valamennyi, az annak hatálya alá tartozó személy megismerje és betartsa.
1.2.3. Az operatív vezetők gondoskodnak továbbá arról, hogy a szabályzat szövege a Adatkezelési Szabályzat hatálya alá tartozó személyek számára folyamatosan hozzáférhető legyen. Ennek érdekében az Adatkezelési Szabályzat hozzáférhető a Társaság intranet rendszerében az Adatvédelem VAGY Szabályzatok oldalon
1.2.4. Az operatív vezetők a Pénzügyi Vezető útján gondoskodnak az Adatkezelési Szabályzat rendszeres ellenőrzéséről, valamint a műszaki, illetőleg a jogi környezet, illetve az Adatkezelő adatkezelési tevékenységének változásai által szükségessé tett változtatások végrehajtásáról.
1.2.5. A Társaságnál Adatvédelmi Tisztviselő kijelölésére nem kerül sor. A GDPR előírásai szerint Adatvédelmi Tisztviselő kijelölése a Társaságnál nem kötelező tekintettel arra, hogy az Adatkezelő a) nem minősül az adatkezelés vonatkozásában közhatalmi szervnek vagy egyéb, közfeladatot ellátó szervnek, sem bíróságnak; b) fő tevékenységei nem foglalnak magukban olyan adatkezelési műveleteket, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé; c) fő tevékenységei közé nem tartozik a személyes adatok különleges kategóriáinak és a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelése. Jelen szabályzat 1. sz. mellékletét képezi az az elemzés, amely az adatvédelmi tisztviselő kijelölésének szükségessége tárgyában a Társaság elkészített.

1.3. A fogalmak meghatározása
Jelen Adatkezelési Szabályzat alkalmazásában
1.3.1 Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható
1.3.2 Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról
1.3.3 Különleges adat: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok
1.3.4 Érintett: azonosított vagy azonosítható természetes személy, akire a személyes adat vonatkozik
1.3.5 Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés
1.3.6 Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja
1.3.7 Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel
1.3.8 Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi
1.3.9 Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e.
1.3.10 Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.

2. AZ ADATKEZELÉS ÁLTALÁNOS SZABÁLYAI
2.1. Az Adatkezelő megjelölése
2.1.1 A személyes adatok kezeléséért a Érintettekkel és harmadik személyekkel szemben, valamint a hatóságok előtt a Társaság, mint adatkezelő felel, aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.
2.2. A kezelt személyes adatok köre
2.2.1 A kezelt adatok körét az Adatkezelő a Kiegészítő Szabályzatban, valamint a vonatkozó adatkezelési tájékoztatóban határozza meg és mindenkor csak az ezekben részletesen megjelölt adatokat jogosult kezelni.

2.3. Az adatkezelés jogalapja, módja, célja
2.3.1 A Társaság a tevékenysége során biztosítja, hogy személyes adat kezelésére kizárólag abban az esetben kerülhet sor, ha
2.3.1.1 az Érintett hozzájárulását adta személyes adatainak egy vagy több meghatározott célból történő kezeléséhez;
2.3.1.2 Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az egyik fél, vagy az a szerződés megkötését megelőzően az Érintett kérésére történő lépések megtételéhez szükséges;
2.3.1.3 Az adatkezelés a Társaságra vonatkozó jogi kötelezettség teljesítéséhez szükséges;
2.3.1.4 Az adatkezelés az Érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
2.3.1.5 Az adatkezelés közérdekű vagy a Társaságra ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
2.3.1.6 Az adatkezelés a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az Érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé;
2.3.1.7 Más alkalmazható adatkezelési jogalap, különösen a tagállami jogszabályok által meghatározott rendelkezések alapján.
2.3.2 A Társaság, továbbá annak valamennyi adatkezelést végző munkatársa, megbízottja, alvállalkozója kizárólag jelen szabályzatban és a Kiegészítő Szabályzatban, valamint a vonatkozó adatkezelési tájékoztatóban foglaltaknak megfelelően, az ezekben leírt célokból, ideig és módon, továbbá jelen szabályzatban, a vonatkozó adatkezelési tájékoztatóban vagy törvényben foglalt valamely jogának gyakorlása és kötelezettsége teljesítése érdekében kezelheti az Érintett személyes adatát.
2.3.3 Az adatkezelés során Társaság biztosítja a személyes adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét, valamint azt, hogy az Érintettet személyében kizárólag annyi ideig lehessen azonosítani, ameddig arra az adatkezelés konkrét célja szempontjából szükség van.
2.3.4 Az Adatkezelő a megadott személyes adatokat az e pontokban írt céloktól eltérő célokra nem használhatja fel. Személyes adatok harmadik személynek vagy hatóságok számára történő kiadása - hacsak törvény ettől eltérően nem rendelkezik kötelező erővel – kizárólag hatósági határozat alapján, vagy az Érintett előzetes, kifejezett hozzájárulása esetén lehetséges.
2.3.5 Adatkezelő a neki megadott személyes adatokat nem ellenőrzi. A megadott adatok megfelelőségéért kizárólag az azt megadó személy felel.

2.4. Az adatkezelés alapelvei
2.4.1 Az Adatkezelő a személyes adatok kezelése során betartja a GDPR 5. cikkében lefektetett, a személyes adatok kezelésére vonatkozó alapelveket, amelyek a következők:
A személyes adatok
2.4.1.1 kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi („jogszerűség, tisztességes eljárás és átláthatóság”);
2.4.1.2 gyűjtése csak meghatározott, egyértelmű és jogszerű célból történik, és azokat nem kezeli ezekkel a célokkal össze nem egyeztethető módon; azonban nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);
2.4.1.3 az adatkezelés céljai szempontjából megfelelőek és relevánsak, és a szükségesre korlátozódnak („adattakarékosság”);
2.4.1.4 pontosak és szükség esetén naprakészek; minden észszerű intézkedést megtesz az Adatkezelő annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”); a tárolás olyan formában történik, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerül sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);
2.4.1.5 kezelését oly módon végzi, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
2.4.1.6 az Adatkezelő felelős az adatkezelés elveinek való megfelelésért, továbbá képes a megfelelés igazolására („elszámoltathatóság”).

2.5. Az Érintettek előzetes tájékoztatása
2.5.1 A Érintetteket az adatkezelés megkezdése előtt, a Társaság a vonatkozó adatkezelési tájékoztató útján egyértelműen és részletesen tájékoztatja minden olyan információról, amelyet a személyes adatok kezelése szempontjából a Érintetteknek ismerniük kell, így különösen arról, hogy az adatkezelés hozzájáruláson alapul vagy kötelező, az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat, valamint a Érintett adatkezeléssel kapcsolatos jogairól és jogorvoslati lehetőségeiről.
2.5.2 Kötelező adatkezelés esetén a tájékoztatás megtörténhet azt információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.

2.6. Az adatkezelés célja
2.6.1 Az Adatkezelő által megvalósított adatkezelések céljait az adatkezelési tájékoztató részletesen meghatározza.
2.6.2 Adatkezelő biztosítja, hogy mindenkor csak és kizárólag olyan személyes adat kezelésére kerüljön sor, amely az adatkezelés céljának megvalósulásához elengedhetetlen, és a személyes adat kezelése csak a cél elérésére alkalmas módon történjen.
2.6.3 Az Érintettől felvett személyes adatok az adatkezelési tájékoztatókban megjelölt céloktól eltérő célra nem használhatók fel.

2.7. Az adatkezelés időtartama
2.7.1 Az Adatkezelő által megvalósított adatkezelések időtartamát az adatkezelési tájékoztató részletesen meghatározza.
2.7.2 Adatkezelő biztosítja, hogy a személyes adat kezelésére csak a cél megvalósulásához szükséges mértékben és ideig kerüljön sor.

3. AZ ADATKEZELÉS FOLYAMATA
3.1. adatkezelési tevékenységek nyilvántartása
3.1.1 Valamennyi adatkezelési tevékenység vonatkozásában a Kiegészítő Szabályzatokban megnevezett felelős személy adatkezelési tevékenység nyilvántartást készít. Az adatkezelési tevékenységek nyilvántartása elkészítése elektronikus formában történik (excel), amelyeknek tárolására a szerveren a H meghajtón kerül sor.
3.1.2 Az Adatkezelési Tevékenységek Nyilvántartása mappához kizárólag az Informatikai megbízott, a operatív vezetők , a Pénzügyi Vezető valamint a Kiegészítő Szabályzatokban megnevezett felelős személy és az általa erre feljogosított munkavállaló jogosult írási jogosultsággal hozzáférni.
3.1.3 Az adatkezelési tevékenység nyilvántartások a következő adatokat tartalmazzák:
3.1.3.1 az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
3.1.3.2 az adatkezelés céljai;
3.1.3.3 az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
3.1.3.4 olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
3.1.3.5 adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint továbbítás esetében a megfelelő garanciák leírása;
3.1.3.6 ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
3.1.3.7 ha lehetséges, a technikai és szervezési intézkedések általános leírása.
3.1.4 Az adatkezelési tevékenység nyilvántartás felülvizsgálatára a Kiegészítő Szabályzatokban megnevezett felelős személy szükség szerint, de legalább kétévente (minden páros év március 31. napjáig) köteles, valamint köteles ezt igazolhatóan dokumentálni, rögzítve a módosítás szükségességét vagy annak hiányát.

3.2. Az Érintettek jogai az adatkezeléssel kapcsolatban
3.2.1 Az Érintettet a következő jogok illetik meg az Adatkezelő által kezelt személyes adatai vonatkozásában:
3.2.1.1 a rávonatkozó személyes adatokhoz hozzáférést kérni;
3.2.1.2 a személyes adatai helyesbítését kérni;
3.2.1.3 a személyes adatai törlését kérni; „az elfeledtetéshez való jog”,
3.2.1.4 a személyes adatai kezelésének korlátozását kérni]
3.2.1.5 adathordozhatóság biztosítását kérni (automatizált adatkezelés esetén);
3.2.1.6 tiltakozni a személyes adatai kezelése ellen (ideértve a profilalkotás ellen történő tiltakozást);
3.2.1.7 tiltakozni az automatikus döntéshozatallal összefüggésben (ideértve a profilozást is).
3.2.2 Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az Érintettet kérésére az adatkezelő tájékoztatja e címzettekről.
3.2.3 Az Érintett a jogai gyakorlása érdekében az info@dicare.hu email címre küldött levelében, vagy írásban a Di-Care Zrt. 1119 Budapest, Mérnök utca 12-14.postacímére küldött postai küldemény útján fordulhat az adatkezelőhöz a 3.9. pontban ismertetett eljárásrendnek megfelelően. Az Adatkezelő az Érintett jogainak biztosítása érdekében a 3.9. pontban foglaltak szerint jár el.

3.3. Az Érintett hozzáféréshez való joga
3.3.1 Az Érintett tájékoztatást kérhet az Adatkezelő által kezelt, illetőleg az Adatkezelő által megbízott adatfeldolgozó által végzett, folyamatban lévő adatkezelés esetén az adatkezelés céljáról, személyes adatok kategóriáiról, a címzettekről, a tárolás tervezett időtartamáról, helyesbítésről, törlésről, kezelés korlátozásáról, panasz benyújtásának jogáról, adatok forrásáról, automatizált döntéshozatal tényéről, adattovábbítás esetén annak garanciáiról. Ez azonban nem egy abszolút jog, és más személyek érdekei korlátozhatják a hozzáférési jogokat.
3.3.2 Amennyiben a 3.9. pontban foglaltak alapján megállapítást nyer, hogy a kérelem alapos, úgy az informatikai megbízott – együttműködve a Kiegészítő Szabályzatban megnevezett felelős személlyel – a 3.9. pontnak megfelelőn az ott meghatározott határidők figyelembe vételével az alábbi intézkedéseket teszi a kérelem teljesítése érdekében: a kért adatokat és információkat az Adatkezelő rendszereiből, amennyiben az adatkezelést adatfeldolgozó végzi, úgy az Adatfeldolgozó megkeresésével a kért adatok másolatát elektronikus adathordozón rögzíti, annak tartalmát egyezteti a operatív vezetőkkal, és annak megfelelősége esetén azt a jelen szabályzatban rögzített határidők figyelembe vételével az Érintett rendelkezésére bocsátja. Amennyiben az Érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban bocsátja rendelkezésre az Adatkezelő, kivéve, ha az Érintett másként kéri.
3.3.3 Az Érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel, a díj mértékére az informatikai megbízott tesz javaslatot a operatív vezetőknak, az informatikai megbízott az adatmásolat szolgáltatása előtt tájékoztatja az Érintettet a várható költségekről. Amennyiben az Érintett elfogadja a várható költségeket, visszajelzését követően bocsátja rendelkezésre az adatkezelő az adatmásolatokat.

3.4. Adathelyesbítés kérése
3.4.1 Az Érintette kérése alapján az Adatkezelő kijavítja a pontatlan személyes adatokat, vagy kiegészíti a hiányos személyes adatokat.
3.4.2 Adathelyesbítés átvezetése az Érintett írásban vagy telefonon előadott kérésére történhet.
3.4.3 Amennyiben a 3.9. pontban foglaltak alapján megállapítást nyer, hogy a kérelem alapos, úgy az informatikai megbízott – együttműködve a Kiegészítő Szabályzatban megnevezett felelős személlyel – a 3.9. pontnak megfelelőn az ott meghatározott határidők figyelembe vételével az alábbi intézkedéseket teszi a kérelem teljesítése érdekében: az írásbeli kérelemben leírt, illetve a szóbeli kérelemről készített feljegyzésben rögzített, az Érintett által megjelölt személyes adatokat az informatikai megbízott által kijelölt személy kijavítja vagy kiegészíti a kérelemben foglaltaknak megfelelően, és ennek megtörténtét az informatikai megbízott ellenőrzi és a kérelem teljesítéséről az Érintettet az általa megadott elérhetőségen értesíti.

3.5. Az adatok törlése
3.5.1 Késedelem nélkül törli az Adatkezelő az Érintett adatait, ha
3.5.1.1 azokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy kezelték;
3.5.1.2 visszavonja az Érintett a hozzájárulást és nincs más jogalapja (ebben az esetben a hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, visszavonás előtti adatkezelés jogszerűségét);
3.5.1.3 tiltakozik az Érintett az adatkezelés ellen;
3.5.1.4 jogellenes adatkezelésről van szó;
3.5.1.5 jogi kötelezettség teljesítéséhez törölni szükséges;
3.5.1.6 gyerekre vonatkozó adatkezelés nem felel meg a feltételeknek.
3.5.2 Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, azt törölni köteles, és az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő Adatkezelőket, hogy az Érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését. E tájékoztatás során az Adatkezelő a rendelkezésre álló technológiát és a végrehajtás költségeit figyelembe veszi annak érdekében, hogy a személyes adatokat kezelő adatkezelők értesüljenek az érintett kéréséről. 3.5.3 Amennyiben a 3.9. pontban foglaltak alapján megállapítást nyer, hogy a kérelem alapos, úgy az informatikai megbízott – együttműködve a Kiegészítő Szabályzatban megnevezett felelős személlyel – a 3.9. pontnak megfelelőn az ott meghatározott határidők figyelembevételével az alábbi intézkedéseket teszi a kérelem teljesítése érdekében:
3.5.4 Amennyiben egy vagy több adatot törölni kell, ez az adatkezelés sajátosságainak megfelelően a következő eljárások valamelyikével valósítható meg:
a) a papír alapú dokumentumok vagy adathordozók megsemmisítésével;
b) az adatnak az azt hordozó dokumentumon való helyreállíthatatlanul felismerhetetlenné tételével (kisatírozásával);
c) az adatnak a végleges felülírásával („XXX”, „000”, illetve „TÖRÖLVE”);
d) a Érintettet azonosító valamennyi adat helyreállíthatatlan törlésével (fizikai megsemmisítés, felismerhetetlenné tétel, felülírás).
3.5.5 A hozzájárulás visszavonása (3.5.1.2. pont) esetén csak a jövőre vonatkozik a törlés, ezért az archív adatállományok tekintetében a törlést nem kell elvégezni, a törölt adatokat azonban az archív állományokból nem szabad helyreállítani.

3.6. Adatkezelés korlátozása
3.6.1 Kérheti az Érintett az adatok kezelésének korlátozását, ha
3.6.1.1 vitatott az adatkezelés pontosága,
3.6.1.2 jogellenes az adatkezelés, de ellenzi az adatok törlését,
3.6.1.3 az Érintett számára szükségesek az adatok bár az Adatkezelőnek nincs szüksége rá,
3.6.1.4 adatkezelés elleni tiltakozás esetén, amig az Adatkezelő jogos indokai elsőbbséget képeznek az Érintett jogos indokaival szemben.
3.6.2 A 3.6.1. pontban felsorolt esetekben az adatokat csupán a jogszabályok által meghatározott, korlátozott célokra használhatja fel az Adatkezelő: az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
3.6.3 Amennyiben a 3.9. pontban foglaltak alapján megállapítást nyer, hogy a kérelem alapos, úgy az informatikai megbízott – együttműködve a Kiegészítő Szabályzatban megnevezett felelős személlyel – a 3.9. pontnak megfelelőn az ott meghatározott határidők figyelembevételével az alábbi intézkedéseket teszi a kérelem teljesítése érdekében:
3.6.4 A személyes adatok kezelésének korlátozására alkalmazott módszerek közé tartozhat többek között a szóban forgó személyes adatoknak egy másik adatkezelő rendszerbe történő ideiglenes áthelyezése vagy a felhasználók számára való hozzáférhetőségük megszüntetése, vagy egy honlapról az ott közzétett adatok ideiglenes eltávolítása. Az adott esetben alkalmazandó megfelelő módszer kiválasztása és végrehajtása sz informatikai megbízott feladata, aki a kiválasztás indokairól a megvalósítást megelőzően köteles egyeztetni a operatív vezetőkkal. Az adatkezelés korlátozását az automatizált nyilvántartási rendszerekben alapvetően technikai eszközökkel kell biztosítani, oly módon, hogy a személyes adatokon további adatkezelési műveleteket ne végezzenek el és azokat ne lehessen megváltoztatni. Azt a tényt, hogy a személyes adatok kezelése korlátozott, egyértelműen jelezni kell a rendszerben. Ennek megvalósítása az Informatikai megbízott feladata és felelőssége.

3.7. Adathordozhatóság
3.7.1 Az Érintettek a 3.7.2. pontban meghatározott feltételek esetén jogosultak arra, hogy személyes adataikat, melyekhez hozzáféréssel rendelkezik az Adatkezelő, egy strukturált, általánosan használt és géppel olvasható formában megkapják, és ezt követően jogosultak arra, hogy az ilyen adatokat egy másik entitásnak továbbítsák anélkül, hogy ebben az Adatkezelő meggátolná őket.
3.7.2 Az adathordozhatóságra az Érintett abban az esetben jogosult, ha az adatkezelés hozzájáruláson vagy szerződésen alapul, és az adatkezelés automatizált módon történik.
3.7.3 Amennyiben az Érintett a feltételek fennállása esetén kéri az adatok hordozhatóságát, úgy az Informatikai megbízott az adatok lekéri, és egy Excel táblában az Érintett rendelkezésére bocsátja a 3.9. pontban foglalt eljárásrendnek megfelelően.

3.8. Tiltakozás a személyes adat kezelése, valamint az automatikus döntéshozatallal szemben
3.8.1 Az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a jogos érdek érvényesítésén alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
3.8.2 Amennyiben az Adatkezelő az Érintett tiltakozása ellenére az adatkezelés folytatását kívánja, abban az esetben elvégzi a 8. számú mellékletnek megfelelően az érdekmérlegelési tesztet, és azt dokumentálja, valamint nyilvántartja az eredményét.
3.8.3 Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az Érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az Érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
3.8.4 Az Érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. Nem illeti meg a tiltakozás joga abban az esetben, ha a döntés:
3.8.4.1 az Érintett és az Adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
3.8.4.2 meghozatalát az Adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az Érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít, vagy
3.8.4.3 az Érintett kifejezett hozzájárulásán alapul.
3.8.5 Amennyiben a 3.9. pontban foglaltak alapján megállapítást nyer, hogy a kérelem alapos, úgy az informatikai megbízott – együttműködve a Kiegészítő Szabályzatban megnevezett felelős személlyel – a 3.9. pontnak megfelelőn az ott meghatározott határidők figyelembe vételével az alábbi intézkedéseket teszi a kérelem teljesítése érdekében: az informatikai megbízott a személyes adatok kezelése vonatkozásában benyújtott megalapozott tiltakozás esetén egyeztet a operatív vezetőkkal annak érdekében, hogy a kérelmet valamennyi az Érintettel kapcsolatos adat törlése vagy anonimizálás útján teljesítsék, a 3.5.4. pontban ismertetett módokon. A kiválasztott módon az informatikai megbízott gondoskodik az adatok törléséről a jövőre nézve, illetve Adatfeldolgozó igénybevétele esetén értesíti az Adatfeldolgozót a törlés szükségességéről, és ellenőrzi ennek végrehajtását.

3.9. Az Érintett adatkezeléssel kapcsolatos joggyakorlásával kapcsolatos eljárásrend, és a panaszkezelés rendje
3.9.1 Az Érintett a 3.2.-3.8. pontokban meghatározott jogai gyakorlása érdekében az info@dicare.hu email címre küldött levelében, vagy írásban a Di-Care Zrt. 1119 Budapest, Mérnök utca 12-14. postacímére küldött postai küldemény útján fordulhat az Adatkezelőhöz (a továbbiakban a 3.9. pont vonatkozásában: Kérelem). Az Adatkezelő a Kiegészítő Szabályzatban megnevezett felelős személy, valamint az Informatikai megbízott útján a Kérelem beérkezését követő 24 órán belül, amennyiben ez munkaszüneti napra esik, úgy a következő munkanapon megvizsgálja az Érintett Kérelmét. A jelen 3.9. pontban foglalt kötelezettségek határidőben történő teljesítése valamennyi alpont vonatkozásában a Kiegészítő Szabályzatban megnevezett felelős személy, valamint az Informatikai megbízott felelőssége. Az Informatikai megbízott és a Kiegészítő Szabályzatban megnevezett felelős személy kijelöli a Kérelem vonatkozásában szükséges munkafolyamatokat, és a felelős munkavállaló(kat). A kijelölt felelős munkavállalók számára részletes iránymutatást és határidőket szükséges írásban (legalább e-mailben) megállapítani a Kérelem határidőben történő teljesítése érdekében.
Felelős személyek a Kiegészítő Szabályzatokban:
3.9.1.1 A HR adatkezelési szabályzat vonatkozásában: a Pénzügyi Vezető
3.9.1.2 A Partnerkapcsolat adatkezelési szabályzat vonatkozásában: a Pénzügyi Vezető
3.9.2 A kijelölt felelős munkavállaló(k)nak legkésőbb a kérelem beérkezését követő 5 munkanapon belül össze kell állítani a javaslatot arra vonatkozóan, hogy
3.9.2.1 amennyiben a Kérelem nem megalapozott – figyelemmel a 3.9.5. pontban foglaltakra is - és nem teljesíthető, úgy ennek indokait rögzíteni szükséges, és javaslatot kell tenni a Kérelem elutasítására. A felelős munkavállaló Kérelem vonatkozásában hozandó döntésre vonatkozó javaslat formanyomtatványát a 2. sz. melléklet tartalmazza.
3.9.2.2 amennyiben a Kérelem megalapozott, részletes intézkedési tervet szükséges készíteni a Kérelem teljesítése érdekében szükséges intézkedésekről.
3.9.3 A felelős munkavállaló(k) javaslata alapján az Informatikai megbízott és a Kiegészítő Szabályzatban megnevezett felelős személy a Kérelem elutasítására vonatkozó javaslat esetén tájékoztatja a operatív vezetőkat, és előkészíti az erről szóló tájékoztatót az Érintett részére (az erről szóló formanyomtatványt a 3. sz. melléklet tartalmazza).
3.9.4 Ha az Adatkezelő nem tesz intézkedéseket az Érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül (minden esetben a kérelem beérkezésének napjával megegyező dátumú napon; amennyiben ez munkaszüneti napra esik, akkor az azt megelőző utolsó munkanapon) tájékoztatja az Érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az Érintett panaszt nyújthat be a felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
3.9.5 Ha az Érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre vagy észszerű összegű díjat számíthat fel, vagy megtagadhatja a Kérelem alapján történő intézkedést. A Kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli, az erre vonatkozó javaslat a Kiegészítő Szabályzatban megnevezett felelős személy, valamint az Informatikai megbízott kötelezettsége, a felszámítani javasolt és alátámasztható költség megjelölésével együtt.
3.9.6 A Kérelem megalapozottsága esetén Informatikai megbízott és a Kiegészítő Szabályzatban megnevezett felelős személy indokolatlan késedelem nélkül meghozza a Kérelem teljesítéséhez szükséges intézkedéseket, és a kérelem beérkezését követő 25. napig elkészíti a Kérelem vonatkozásában a választervezetet a operatív vezetők részére.
3.9.7 Az Adatkezelő a lehető legrövidebb időn belül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül (minden esetben a kérelem beérkezésének napjával megegyező dátumú napon; amennyiben ez munkaszüneti napra esik, akkor az azt megelőző utolsó munkanapon) tájékoztatja az Érintettet a kérelme nyomán hozott intézkedésekről (megalapozott kérelem vonatkozásában az Érintettnek írt válaszlevél tervezetét a 4. sz. melléklet tartalmazza). Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az Érintettet.
3.9.8 Ha az Érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az Érintett azt másként kéri. Az Érintett részére a kért információkat és a tájékoztatást, valamint intézkedést elsősorban díjmentesen kell biztosítani.
3.9.9 Ha az Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
3.9.10 Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az Érintettet kérésére az Adatkezelő tájékoztatja e címzettekről.
3.9.11 A Kiegészítő Szabályzatban megnevezett felelős személy valamint az Informatikai megbízott az Adatkezelő és a Érintett közötti, adatkezeléssel kapcsolatos vitát igyekszik a jogszabályi keretek között, a Érintett jogainak és az Adatkezelő üzleti céljainak figyelembe vételével, a felek megegyezésével lezárni.

3.10. Adatvédelmi hatásvizsgálat
3.10.1 Abban az esetben, amikor valószínűsíthető, hogy az adatkezelési műveletek magas kockázattal járnának a természetes személyek jogaira és szabadságaira nézve, az e kockázat forrását, jellegét, egyediségét és súlyosságát felmérő adatvédelmi hatásvizsgálatot kell készíteni. Az adatvédelmi hatásvizsgálat célja az adatkezelés jellegének feltárása, szükségességének és arányosságának vizsgálata, valamint a személyes adatok kezeléséből eredően a természetes személyek jogait és szabadságait érintő kockázatok kezelésének elősegítése e kockázatok értékelésével és a kezelésükre szolgáló intézkedések meghatározásával.
3.10.2 Az adatkezelési művelet „valószínűsíthetően magas kockázattal jár” a GDPR alapján a következő esetekben:
3.10.2.1 természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
3.10.2.2 személyes adatok különleges kategóriái, vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése; vagy
3.10.2.3 nyilvános helyek nagymértékű, módszeres megfigyelése.
3.10.3 Az adatvédelmi hatásvizsgálat elkészítéséért a kockázatos adatkezeléssel érintett, a Kiegészítő Szabályzatban megnevezett felelős személy és az Informatikai megbízott felelelős. Az adatvédelmi hatásvizsgálat mintáját az 5. sz. melléklet tartalmazza.

3.11. Adattovábbítás harmadik országokba
3.11.1 Az Adatkezelő által gyűjtött vagy kezelt személyes adatok az Európai Gazdasági Térségben ("EGT") vagy azon kívül található címzettek részére alapvetően nem kerülnek továbbításra. Amennyiben ilye adattovábbításra mégis sor kerül, úgy arra a következő szabályok betartásával kerülhet csak sor.
3.11.2 Az amerikai egyesült államokbeli címzettek részlegesen tanúsításra kell, hogy kerüljenek az EU-USA Adatvédelmi Pajzs hatálya alatt, amely alapján ezen szervezetek az európai adatvédelmi jogszabályok értelmében biztosítják a személyes adatok megfelelő szintű védelmét. Amennyiben a címzettek olyan országokban találhatóak, amelyek az európai adatvédelmi jogszabályok értelmében nem biztosítják a személyes adatok megfelelő szintű védelmét, úgy az Adatkezelő megtesz minden szükséges intézkedést annak érdekében, hogy az EGT-n kívülre történő adattovábbítások az alkalmazandó adatvédelmi jogszabályok előírásai alapján megfelelő mértékű védelme biztosított legyen. Az adatvédelem megfelelő szintjét nem biztosító országokba történő adattovábbítások esetén az adattovábbítást megfelelő garanciák, például az Európai Bizottság vagy valamely felügyeleti hatóság által elfogadott általános szerződési feltételek, a címzettekre nézve kötelező erejű és végrehajtható kötelezettségvállalások alkalmazása mellett jóváhagyott magatartási kódexek, vagy a címzettekre nézve kötelező erejű és végrehajtható kötelezettségvállalások alkalmazása mellett jóváhagyott tanúsítási mechanizmusok alapján teljesíti az Adatkezelő.
3.11.3 Az Adatkezelő csak abban az esetben továbbít személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha az adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújtott, és csak azzal a feltétellel, hogy az Érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre. A megfelelő garanciákat az alábbiak jelenthetik:
3.11.3.1 közhatalmi vagy egyéb, közfeladatot ellátó szervek közötti, jogilag kötelező erejű, kikényszeríthető jogi eszköz;
3.11.3.2 kötelező erejű vállalati szabályok;
3.11.3.3 vizsgálóbizottsági eljárással összhangban elfogadott általános adatvédelmi kikötések;
3.11.3.4 vizsgálóbizottsági eljárásnak megfelelően jóváhagyott általános adatvédelmi kikötések;
3.11.3.5 jóváhagyott magatartási kódex a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő – ideértve az érintettek jogaira vonatkozó – garanciákat; vagy
3.11.3.6 jóváhagyott tanúsítási mechanizmus a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő garanciákat, ideértve az érintettek jogait illetően is.
3.11.4 A fenti garanciák hiányában a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására, vagy többszöri továbbítására csak az alábbi feltételek legalább egyikének teljesülése esetén kerülhet sor:
3.11.4.1 az Érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról;
3.11.4.2 az adattovábbítás az Érintett és az Adatkezelő közötti szerződés teljesítéséhez, vagy az Érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;
3.11.4.3 az adattovábbítás az Adatkezelő és valamely más természetes vagy jogi személy közötti, az Érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;
3.11.4.4 az adattovábbítás fontos közérdekből szükséges;
3.11.4.5 az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
3.11.4.6 az adattovábbítás az Érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az Érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;
3.11.4.7 a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető, de csak ha az uniós vagy tagállami jog által a betekintésre megállapított feltételek az adott különleges esetben teljesülnek.
3.11.5 A 3.11.2 és 3.11.3. pontban ismertetett feltételek hiányában harmadik országok és nemzetközi szervezetek részére történő adattovábbítás csak akkor történhet, ha az adattovábbítás nem ismétlődő, csak korlátozott számú érintettre vonatkozik, az adatkezelő olyan kényszerítő erejű jogos érdekében szükséges, amely érdekhez képest nem élveznek elsőbbséget az érintett érdekei, jogai és szabadságai, és az adatkezelő az adattovábbítás minden körülményét megvizsgálta, és e vizsgálat alapján megfelelő garanciákat nyújtott a személyes adatok védelme tekintetében. Az Adatkezelőnek tájékoztatnia kell a felügyeleti hatóságot az adattovábbításról. Az Adatkezelő az Érintettet tájékoztatja az adattovábbításról, valamint az Adatkezelő kényszerítő erejű jogos érdekéről. A vizsgálat eredményét az Adatkezelő az adatkezelési tevékenységek nyilvántartásában minden esetben rögzíteni köteles.
3.11.6 A 3.11.4.7. pont szerinti adattovábbítás nem érintheti a nyilvántartásban szereplő személyes adatok vagy személyes adatok kategóriáinak összességét. Ha a nyilvántartásba kizárólag olyan személyek tekinthetnek be, akiknek ehhez jogos érdeke fűződik, az adattovábbításra kizárólag e személyek kérelmére kerülhet sor, illetve abban az esetben, ha ők a címzettek.

3.12. Személyes adatok közlése Címzettel
3.12.1 Személyes adat csak akkor tehető hozzáférhetővé harmadik személy számára, ha az Érintett
3.12.1.1 a kiszolgáltatható adatkör és a címzett pontos ismeretében ehhez előzetesen hozzájárult, illetve az adattovábbítás az Érintett és az Adatkezelő közötti szerződés teljesítéséhez, vagy az Érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;
3.12.1.2 az adattovábbítás az Adatkezelő és valamely más természetes vagy jogi személy közötti, az Érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;
3.12.1.3 az adattovábbítás fontos közérdekből szükséges;
3.12.1.4 az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
3.12.1.5 az adattovábbítás az Érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az Érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;
3.12.1.6 a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető, de csak ha az uniós vagy tagállami jog által a betekintésre megállapított feltételek az adott különleges esetben teljesülnek.
3.12.2 A Érintett kizárólag a saját személyes adatai közléséhez járulhat hozzá. A közölt személyes adatok, valamint a címzettek köre nem terjedhet túl hozzájárulásában meghatározott adatok, illetve címzettek körén.
3.12.3 Az adat címzettel való közléséhez történő hozzájárulás bármikor visszavonható, a hozzájárulás visszavonása esetén további adatküldés nem lehetséges.
3.12.4 A jelen pontban meghatározott eseteken kívül személyes adatokat címzettek számára hozzáférhetővé tenni nem szabad.
3.12.5 Az adattovábbításról nyilvántartást kell vezetni. Informatikai eszközökkel végzett adattovábbításoknál a nyilvántartás vezetése úgy történik, hogy az adattovábbításokat az informatikai rendszer naplózza, a naplózást archiválja oly módon, hogy a továbbított adatok köre, az adattovábbítás jogalapja, címzettje és ideje megállapítható legyen (adattovábbítási nyilvántartás). Az adattovábbításokra vonatkozó adatokat öt évig, egészségügyi adatok továbbítása esetén 20 évig meg kell őrizni, ezt követően pedig törölni kell. Nem informatikai eszközzel végzett eseti adattovábbításoknál az adattovábbítási nyilvántartást papíron kell vezetni.
3.12.6 A személyes adatok anonimizált továbbítása nem minősül adattovábbításnak.
3.12.7 Az adattovábbítási nyilvántartás vezetéséről az adattovábbítással érintett Kiegészítő Szabályzatban megnevezett felelős személy valamint az Informatikai megbízott gondoskodik.

3.13. Adatfeldolgozás
3.13.1 Az Adatkezelő az egyes adatkezelésekhez általa igénybe vett adatfeldolgozási tevékenységeket és az azok ellátásával megbízott adatfeldolgozókat a vonatkozó adatkezelési tájékoztatóiban köteles megjelölni.
3.13.2 Az Adatkezelő által megkötött adatfeldolgozásra irányuló szerződésnek – beleértve minden olyan kiszervezett tevékenységre irányuló szerződést is, amely tevékenység végzése során a megbízott jogszerűen személyes adatokat ismerhet meg – tartalmaznia kell az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit, amelyeket az Adatkezelő határoz meg. A szerződést úgy kell megkötni, hogy az alapján az adatfeldolgozó e tevékenységével kapcsolatos érdemi döntést ne hozhasson, az adatfeldolgozást kizárólag az Adatkezelő utasításai alapján végezhesse.
3.13.3 Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. Az adatfeldolgozást érintő rendelkezéseket be kell illeszteni minden olyan kiszervezett tevékenységre irányuló szerződésbe is, amely tevékenység végzése során a megbízott jogszerűen személyes adatokat ismerhet meg. A szerződésnek tartalmaznia kell, hogy az adatfeldolgozó a tudomására jutott személyes adatokat kizárólag az Adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az Adatkezelő rendelkezései szerint köteles tárolni és megőrizni, továbbá hogy az adatfeldolgozónak megfelelő biztonsági intézkedéseket kell tennie az adatok biztonsága érdekében, és felelős a feldolgozás során birtokában lévő személyes adatok biztonságáért, azokat eltérő rendelkezés hiányában nem továbbíthatja, nem hozhatja nyilvánosságra, nem változtathatja meg és nem törölheti, valamint azt, hogy tevékenységének ellátása során más adatfeldolgozót – beleértve minden olyan tevékenységet, amelynek végzése során a megbízott jogszerűen személyes adatokat ismerhet meg – az Adatkezelő rendelkezései szerint vehet igénybe.
3.13.4 Amennyiben Adatkezelő maga is végzi személyes adatok automatizált feldolgozását, úgy köteles biztosítani
3.13.4.1 a jogosulatlan adatbevitel megakadályozását;
3.13.4.2 az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
3.13.4.3 annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
3.13.4.4 annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
3.13.4.5 a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
3.13.4.6 azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön,
3.13.4.7 és köteles mindezeket az Érintettek személyes adatainak automatizált feldolgozását megbízás alapján végző adatfeldolgozóktól is megkövetelni.

3.14. Adatbiztonság
3.14.1 Az Adatkezelő az általa kezelt személyes adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor mindvégig a technika mindenkori fejlettségére tekintettel jár el és több lehetséges adatkezelési megoldás közül azt választja, amely az Érintettek személyes adatainak magasabb szintű védelmét biztosítja, kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:
3.14.1.1 a személyes adatok álnevesítését és titkosítását;
3.14.1.2 a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
3.14.1.3 fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
3.14.1.4 az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
3.14.2 Az Adatkezelő az általa kezelt személyes adatok tárolását, őrzését és feldolgozását elektronikus formában az általa üzemeltetett szerverén végzi.
3.14.3 A 3.14.1. pontban foglaltak megvalósítása érdekében a személyes adatokat tartalmazó számítógépeket megfelelő fizikai védelemmel ellátott zárt helyiségben helyezi el, és gondoskodik arról, hogy az adatok kívülről jogosulatlan személy számára ne legyenek elérhetők, illetve arról, hogy a rendszer feltörése külső hálózati hozzáféréssel ne legyen lehetséges.
3.14.4 Adatkezelő az adatkezelés során megőrzi a titkosságot, így (i) megfelelő módszerekkel megvédi az információt, hogy csak az férhessen hozzá, aki erre jogosult; (ii) biztosítja a sértetlenséget, így megvédi az információnak és a feldolgozás módszerének a pontosságát és teljességét; (iii) biztosítja a rendelkezésre állást, azaz gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök.
3.14.5 A 3.14.4. pontban foglaltak megvalósítása érdekében Adatkezelő a operatív vezetők útján gondoskodik
3.14.5.1 a munkaköri leírások és szerződések alapján a számítógépes rendszerben a jogosult személy számára a megfelelő szintű hozzáférési jogosultság beállításáról;
3.14.5.2 arról, hogy minden felhasználó csak egyéni azonosítás után férhessen hozzá a személyes adatokat tartalmazó adatbázisokhoz.
3.14.6 Az Adatkezelő informatikai rendszere és hálózata egyaránt védett kell legyen a számítógéppel Érintett csalás, kémkedés, szabotázs, vandalizmus, tűz és árvíz, továbbá a számítógépvírusok, a számítógépes betörések és a szolgálatmegtagadásra vezető támadások ellen.
3.14.7 Adatkezelő a különböző adatkezelési célú nyilvántartásaiban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítja, hogy a nyilvántartásaiban tárolt adatok – kivéve, ha azt törvény lehetővé teszi - közvetlenül ne legyenek összekapcsolhatók és az Érintettek személyes adataihoz rendelhetők.
3.14.8 Az adatbiztonsági követelmények betartásáért a Kiegészítő Szabályzatban megnevezett felelős személyes és a operatív vezetők felelnek. E tevékenységük során kötelesek biztosítani azt, hogy az adatkezelés az adatbiztonsági követelményeknek folyamatosan megfeleljen.

3.15. Adatvédelmi incidens, bejelentési terv
3.15.1 Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, különösen – de nem kizárólagosan az alábbiakat:
3.15.1.1 a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását,
3.15.1.2 a hátrányos megkülönböztetést,
3.15.1.3 a személyazonosság-lopást vagy a személyazonossággal való visszaélést,
3.15.1.4 a pénzügyi veszteséget,
3.15.1.5 az álnevesítés engedély nélküli feloldását,
3.15.1.6 a jó hírnév sérelmét,
3.15.1.7 a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve
3.15.1.8 a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.
3.15.2 Az adatvédelmi incidens bekövetkezése esetére az esetleges hátrányok megelőzése illetve kiküszöbölése érdekében az Adatkezelő bejelentési tervet dolgozott ki. Az adatvédelmi incidenst az Adatkezelő indokolatlan késedelem nélkül, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
3.15.3 Annak eldöntése, hogy az adatvédelmi incidens jár-e kockázattal a következő eljárásrend (bejelentési terv) szerint történik:
3.15.3.1 az a Pénzügyi Vezető és az Informatikai megbízott vagy az általa kijelölt személy megvizsgálja az adatvédelmi incidenst a tudomására jutást követő 8 órán belül;
3.15.3.2 az Informatikai megbízott ezt követően egyeztet a a Pénzügyi vezetővel 12 órán belül arról, hogy az incidens járhat-e, és ha igen milyen kockázattal a természetes személyek jogaira és szabadságaira nézve.
3.15.3.3 Az adatvédelmi incidens súlyossága értékelésének fő szempontjai:
3.15.3.3.1 Az Adatkezelési Környezet vizsgálata: a felelősök megvizsgálják a megsérült adatok fajtáját, beleértve az adatkezelés valamennyi körülményét,
3.15.3.3.2 Az Azonosíthatóság Mértékének meghatározása: a felelősök elvégzik annak feltárását, hogy az adatvédelmi incidenssel érintett adatokból mennyire könnyen lehetséges az érintettek azonosítása
3.15.3.3.3 A Sérülés Körülményeinek leírása: a sérülés körülményeinek vizsgálata, elsősorban a megsérült adat biztonságának csökkenését, illetve a rosszindulatú támadásra és a szándékosságra utaló valamennyi jelet szükséges rögzíteni.
3.15.3.4 A vizsgálat eredményeként az adatvédelmi incidens súlyosságát alacsony, közepes, magas vagy nagyon magas kategóriákba sorolhatja az Informatikai megbízott. Az adatvédelmi incidens súlyosságának elemzése az Adatvédelmi Incidens Nyilvántartás (lásd: 7.sz. melléklet) részét képezi.
3.15.3.5 Az adatvédelmi incidens súlyosságának azonosítását követően az Informatikai megbízott, amennyiben lehetséges, megteszi a hátrányos következmények enyhítését célzó intézkedéseket, amelyeknek dokumentálása az Adatvédelmi Incidens Nyilvántartás (lásd: 7.sz. melléklet) részét képezi.
3.15.3.6 Az Informatikai megbízott és a Kiegészítő Szabályzatban megnevezett felelős személy 24 órán belül javaslatot fogalmaz meg a operatív vezetők részére abban a kérdésben, hogy a bejelentési tervben leírt vizsgálati szempontok alapján indokolt-e az incidens bejelentése a felügyeleti hatósághoz (az adatvédelmi incidens közepes, magas vagy nagyon magas súlyossági foka esetén a bejelentés kötelező);
3.15.3.7 a operatív vezetők a javaslatok figyelembevételével, illetve amennyiben további körülmények ismeretét tartja szükségesnek, ezek feltárását követően, de 48 órán belül döntést hoz az adatvédelmi incidens bejelentésének szükségességéről.
3.15.3.8 amennyiben az adatvédelmi incidens bejelentés megtétele szükséges, úgy az Informatikai megbízott Kiegészítő Szabályzatban megnevezett felelős személlyel egyeztetve elkészíti a felügyeleti hatóság felé küldendő bejelentés tervezetét, és 56 órán belül benyújtja jóváhagyásra a operatív vezetőknak. A tervezetek a szabályzat mellékletét képező érintett tájékoztatása formanyomtatvány használatával készül.
3.15.3.9 A operatív vezetők a bejelentést a Pénzügyi Vezető útján szükség esetén 72 órán belül megteszik a felügyeleti hatóság felé, a NAIH honlapján megtalálható Adatvédelmi Incidensbejelentő Rendszeren (http://www.naih.hu/adatvedelmi-incidensbejelent--rendszer.html).
3.15.3.10 Abban az esetben, ha az incidens valószínűsíthetően magas kockázattal jár, az Informatikai megbízott az operatív vezetők részére megfogalmazott, a jelen szabályzat 3.15.3.6. pontjában ismertetett javaslatában kitér az érintettek tájékoztatásának szükségességére, és elkészíti az Érintett tájékoztatásának tervezét. Az Érintett tájékoztatására szolgáló formanyomtatványt a jelen Szabályzat 6. sz. melléklete tartalmazza. A operatív vezetők késedelem nélkül, de lehetőség szerint 72 órán belül tájékoztatja az érintetteket az incidensről.
3.15.3.11 Az Érintettet nem kell az adatvédelmi incidensről tájékoztatni (kivéve, ha a felügyeleti hatóság erre utasítja az Adatkezelőt), ha
3.15.3.11.1 az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták (különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat);
3.15.3.11.2 az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
3.15.3.11.3 a tájékoztatás aránytalan erőfeszítést tenne szükségessé. (Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását. Pl. sajtóközlemény kiadása).
3.15.3.12 Az adatvédelmi incidens esetén a bejelentés vonatkozásában hozott teljes döntésfolyamatot dokumentálni szükséges, annak elkészítéséről és megőrzéséről az informatikai megbízott gondoskodik 3 évig, az Érintett vonatkozásában anonim módon. Ez a dokumentáció része a 3.15.5. pontban szereplő nyilvántartásnak, amelynek kezelése szintén az informatikai megbízott feladata.
3.15.4 Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
3.15.5 Az Adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket, a nyilvántartás mintáját a 7. számú melléklet tartalmazza. A nyilvántartás vezetése és kezelése az Informatikai megbízott feladata. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az adatvédelmi incidens kezelésére vonatkozó jogszabályi követelményeknek való megfelelést.

3.16. A hozzáférési jogosultságok
3.16.1 Az Adatkezelővel munkavégzésre irányuló jogviszonyban álló személyek a munkaköri leírásukban vagy a szerződésükben meghatározott feladataik ellátásához szükséges mértékben jogosultak a személyes adatokat tartalmazó adatállományok és informatikai berendezések használatára.
3.16.2 Az Adatkezelőnél rendszergazdai feladatokat ellátó személy és annak közvetlen munkatársai jogosultak előre megírt (az alkalmazói programokon, illetve felületeken keresztül nem végrehajtható) lekérdezéseket végrehajtani a személyes adatokat tartalmazó adatbázisokban. Az előre megírt (szükség szerint paraméterezhető) lekérdezések jogszerűségéről, valamint a végrehajtott lekérdezések dokumentálásáról az adatbázishoz kapcsolódó Kiegészítő Szabályzatban megnevezett felelős személy gondoskodik.
3.16.3 A számítógépes hozzáférési jogosultság gyakorlása a személyre szóló azonosító és jelszó alkalmazásával történik. A felhasználó a jogosultság megadásával egyidejűleg nyilatkozatban vállalja a hozzáférési jogosultság jogszerű felhasználását.
3.16.4 A személyes adatok vagy személyes adatokat tartalmazó adatállományok hozzáférési jogosultság esetén sem másolhatók olyan eszközre, amely nem jelszóval védett, illetve nem továbbítható nyílt levelezőrendszer használatával.

4. FELÜLVIZSGÁLAT ÉS OKTATÁS
4.1.1 Annak érdekében, hogy a Társaság folyamatosan biztosítani tudja a jogszabályoknak megfelelő adatkezelést, az adatkezelési folyamatos rendszeres felülvizsgálatára van szükség. Ennek érdekében a Társaság kétévente felülvizsgálja a jelen Szabályzatot a tényleges adatkezelési tevékenységeinek, valamint a jogszabályok változásának és az adatkezelési gyakorlat alakulásának megfelelően. A felülvizsgálatért, illetve annak megszervezéséért a Társaság Pénzügyi Vezetője felelős.
4.1.2 A Társaság gondoskodik arról, hogy a jelen Szabályzat rendelkezéseit valamennyi munkavállaló megismerje és megértse, gyakorlati alkalmazásának módját elsajátítsa. Ennek érdekében minden munkavállaló oktatásban részesül jelen Szabályzat, valamint az irányadó jogszabályok alkalmazásával kapcsolatban. Az oktatásért, illetve annak megszervezéséért a Társaság a Pénzügyi Vezetője felelős.

5. HATÁLYBA LÉPTETŐ RENDELKEZÉS, A SZABÁLYZAT MEGÁLLAPÍTÁSA ÉS MÓDOSÍTÁSA
5.1.1 Jelen Adatkezelési Szabályzat és annak mellékletei az Adatkezelő operatív vezetők általi kihirdetés napját követő 5. naptól kezdve érvényesek.
5.1.2 A Szabályzat megállapítására és módosítására a Társaság operatív vezetők a jogosultak.
 

Kosár

A kosár üres.

Feliratkozás hírlevélre

* kötelező

Copyright 2017 © Di-Care Zrt.

Kártyás fizetés szolgáltatója:

 

Az oldalt készítette: Wide World Kft. Grafikai tervezés: Sevenart