I. A szabályzat hatálya Jelen szabályzathatálya kiterjed a
https://www.drzsdentalstudio.com/fogorvosainak (továbbiakban: vállalkozás/ok) tevékenységére és az összes foglalkoztatottra.
II. A szabályzat célja
A Szabályzat és tájékoztató elsődleges célja, hogy biztosítsa a személyes adatok hazai jogszabályokban előírt védelmének érvényesülését, valamint a vállalkozás/ok által kezelt személyes adatok tekintetében meghatározza és előírja az adatkezelés során alkalmazandó adatvédelmi és adatbiztonsági szabályokat.
III. Irányadó jogszabályok A vállalkozás/ok/nak az adatkezelés során az alábbi jogszabályokban foglalt előírásoknak megfelelően kell eljárnia, a jelen belső szabályzatban foglaltak szerint:
Az Európai Parlament és a Tanács (Eu) 2016/679 Rendelete (2016. április 27. a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelethatályon kívül helyezéséről (általános adatvédelmi rendelet, (a továbbiakban: GDPR)
az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII.törvény (a továbbiakban: Infotv.)
a Polgári törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.)
a Munkatörvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.)
az egészségügyről szóló 1997. évi CLIV. törvény és az egészségügyi és hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLIV. törvény
IV. Értelmező rendelkezések és fogalmak
személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociálisazonosságára vonatkozó egy vagy több tényező alapján azonosítható.
adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyébmódon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyébszerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adat kezelőkijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.
adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyébszerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak.· harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyébszerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlenirányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.· nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amelymeghatározott ismérvek alapján hozzáférhető.
adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy másmódon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
képviselő: az az Európai Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendeletértelmében háruló kötelezettségek vonatkozásában.
vállalkozás: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is.
egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozószemélyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról.
technikai és szervezési intézkedések: a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változóvalószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre adatkezelő és adatfeldolgozó annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.
V. Az adatkezelés alapelvei
A vállalkozás az adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átláthatómódon végzi (jogszerűség, tisztességes eljárás és átláthatóság).
A vállalkozás a személyes adatok gyűjtését csak meghatározott, egyértelmű és jogszerű célból végzi, és azokat nem kezeli ezekkel a célokkal össze nem egyeztethető módon (célhoz kötöttség).
A vállalkozás az adatkezelést annak célja(i) szempontjából megfelelően és relevánsan, és a szükségesre korlátozva végzi (adattakarékosság). Ennek megfelelően a vállalkozás nem gyűjt és nem tárol több adatot, mint amennyi az adatkezelés céljának a megvalósulásához feltétlenül szükséges.
A vállalkozás adatkezelése pontos és naprakész. A vállalkozás minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlanszemélyes adatokat haladéktalanul törlésre vagy helyesbítésre kerüljenek (pontosság).
A vállalkozás a személyes adatokat olyan formában tárolja, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé, figyelemmel a vonatkozó jogszabályokban meghatározott tárolási kötelezettségre (korlátozott tárolhatóság). A vállalkozás megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, ideértve a személyes adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet (integritás és bizalmas jelleg).
A vállalkozás felelős a fentiekben részletezett alapelveknek való megfelelésért, továbbá a vállalkozás igazolja ezen megfelelést (elszámoltathatóság). Ennek értelmében a vállalkozás gondoskodik a jelen belső szabályzatban foglaltak folyamatos érvényesüléséről, az adatkezelésének folyamatos felülvizsgálatáról és szükségesetén az adatkezelési eljárások módosításáról, kiegészítéséről. A vállalkozása jogszabályi kötelezettségeknek való megfelelés igazolására dokumentációt készít.
VI. Adatkezelési jogalapok A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az
alábbi jogalapok egyike teljesül:
Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez(a továbbiakban: hozzájáruláson alapuló adatkezelés).
Az adatkezelés olyanszerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges (a továbbiakban: szerződésen alapuló adatkezelés).
Az adatkezelés a vállalkozásra vonatkozó jogi kötelezettség teljesítéséhez szükséges (a továbbiakban: jogi kötelezettségen alapuló adatkezelés).
Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges (a továbbiakban: létfontosságú érdeken alapuló adatkezelés).
Az adatkezelés közérdekű vagy a vállalkozásra ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges (a továbbiakban: közhatalmi jogosítványon alapuló adatkezelés).
Az adatkezelés a vállalkozás vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyanérdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek (a továbbiakban: jogos érdeken alapuló adatkezelés).
A vállalkozás/ok egy adott személyes adatkör kezelése vonatkozásában mindig csak egy jogalap alapján végzi/k az adatkezelést. Az adatkezelés jogalapja az adatkezelés során változhat.
VII. Az érintett jogai és azok érvényesítése A vállalkozás/ok a GDPR rendelkezéseivel összhangban az alábbiakat biztosítja/k az érintettek számára.
A tájékoztatáshoz való jog minden adatkezelési jogalap vonatkozásában megilleti az érintettet.
A vállalkozás tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújt tájékoztatást az érintettek számára.
Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni.
Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.
A vállalkozás/ok indokolatlan késedelem nélkül, de mindenféleképpen a kérelembeérkezésétől számított 30 napon belül tájékoztatja az érintettet az egyéb érintetti jogokra vonatkozó érintetti kérelem nyomán hozott intézkedésekről.
Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, a 30 napos határidő további 60 nappal meghosszabbítható. A határidő meghosszabbításáról a vállalkozás a késedelem okainak megjelölésével a kérelem kézhezvételétől számított 30 napon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
A tájékoztatást és intézkedést díjmentesen kell biztosítani.
Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, úgy a vállalkozás, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:
a) ésszerű összegű díjat számíthat fel, vagy
b) megtagadhatja a kérelem alapján történő intézkedést.
A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása a vállalkozást terheli.
Amennyiben a vállalkozás/ok az adatokat közvetlenül az érintettől szerezte meg (ide értve különösen az ügyfeleket), úgy a vállalkozás mindenképpen tájékoztatást nyújt az alábbiakról:
a vállalkozás/ok, a vállalkozás képviselőjének a neve és elérhetőségei;
az adatvédelmi tisztviselő elérhetőségei;
a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja (a jogos érdeken alapuló adatkezelés esetén a vállalkozás vagy harmadik fél jogos érdekei);
a személyes adatok címzettjei
annak ténye, hogy a vállalkozás harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.
A személyes adatok első megszerzésének időpontjában a vállalkozás/ok a fentieken túl az érintetteket tájékoztatja:
a személyes adatok tárolásának tervezett időtartamáról
az érintett következőjogáról: kérelmezheti a vállalkozástól a rá vonatkozószemélyes adatokhoz való hozzáférést, az adatok helyesbítését, egyes jogalapokhoz tartozó adatkezelés esetében törlését vagy kezelésének korlátozását, és egyes jogalapokhoz tartozó adatkezelés esetében tiltakozhat a személyes adatok kezelése ellen, és az érintett személy adathordozhatósághoz valójogáról;
a hozzájáruláson alapuló adatkezelés bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
a felügyeleti hatósághoz (Nemzeti Adatvédelmi Hatóság, továbbiakban: Hatóság vagy NAIH, elérhetősége: 1055 Budapest, Falk Miksa utca 9-11.) címzett panaszbenyújtásának jogáról;
arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása.
Ha a vállalkozás/ok a személyes adatokon – a gyűjtésük céljától eltérő célból – további adatkezelést kíván/nak végezni, a további adatkezelést megelőzően tájékoztatja az érintettet erről az eltérő célról és minden további releváns kiegészítő információról.
A vállalkozás/ok általalkalmazott kötelező tájékoztatásnak módja: a honlapon való általános közzététel (
https://www.drzsdentalstudio.com/hu/fooldal) és minden egyes vállalkozás külön-külön "Adatkezelési tájékoztatót"tesz hozzáférhetővé a vállalkozások telephelyén (1056 Budapest, Havas utca 7.)
A hozzáférés joga minden adatkezelési jogalap vonatkozásában megilleti az érintettet.
Az érintett jogosult arra, hogy a vállalkozás/októl visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
az adatkezelés céljai;
az érintett személyes adatok kategóriái;
azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat a vállalkozás közölte vagy közölni fogja
a személyes adatok tárolásának tervezett időtartama
az érintett jogai, hogy kérelmezheti a vállalkozástól a rá vonatkozószemélyes adatok helyesbítését, egyes jogalapokhoz kötött adatkezelés esetén ezen adatok törlését vagy kezelésének korlátozását, és egyes jogalapokhoz kötött adatkezelés esetén tiltakozhat az ilyen személyes adatok kezelése ellen;
a felügyeleti hatósághoz címzett panasz benyújtásának joga;
ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozóminden elérhető információ; · az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthetőinformációk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
A vállalkozá/oks az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja.
Az érintett által kért további másolatokért a vállalkozás/ok az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel, melynek mértékét a vállalkozás belsőszabályzata tartalmazza.
A helyesbítéshez valójog minden adatkezelési jogalap vonatkozásában megilleti az érintettet.
A vállalkozás/ok, az érintett erre irányuló kérelme esetén indokolatlan késedelem nélkül helyesbíti/k az érintettre vonatkozóan pontatlanul kezelt személyes adatokat. Az érintett jogosult arra, hogy kérje a hiányos személyes adatok kiegészítését.
A törléshez való jog nem illeti meg az érintettet automatikusan, minden jogalaphoz kapcsolódó adatkezelés vonatkozásában.
A vállalkozás/ok indokolatlan késedelem nélkül törli/k az érintettre vonatkozó személyes adatokat, ha a következő indokok közül valamelyik fennáll:
a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
az érintett visszavonja az adatkezelés alapját képező hozzájárulását (hozzájáruláson alapuló adatkezelés esetén), és az adatkezelésnek nincs másjogalapja;
az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre a közhatalmi jogosítványon alapuló vagy jogos érdeken alapuló adatkezelés során
a személyes adatok jogellenesen kerültek kezelésre;
Az érintett törlési kérelmének a vállalkozás/ok nem tesz eleget, amennyiben az adatkezelés szükséges a személyes adatok kezelését előíró, a vállalkozás/okra alkalmazandó jogszabályi kötelezettség teljesítéséhez. Különös tekintettel az egészségügyi tevékenységre, melynek kapcsán több jogszabály is tartalmaz kötelező adatkezelési szabályokat.
Amennyiben a vállalkozás/okhoz törlési kérelem érkezik, a vállalkozás/ok első lépésként megvizsgálja/k, hogy a törlési kérelem valóban a jogosulttól származik-e.Amennyiben a vállalkozás/oknak eleget kell tennie a törlési kérelemnek, úgy biztosítja/k hogy a személyes adat az összes adatbázisból törlésre kerüljön.
A vállalkozás/ok a törlésről jegyzőkönyvet vesz/nek fel, hogy a törlés megtörténtét igazolni tudja/k. A jegyzőkönyvet a vállalkozás képviselője írja alá és hitelesíti. A törlési jegyzőkönyv tartalmazza: az érintett nevét, a törölt személyes adattípust, a törlés időpontját. A vállalkozás/ok tájékoztatja/k a törlési kötelezettségről mindazokat, akik számára a személyes adat továbbításra került.
A korlátozáshoz valójog minden adatkezelési jogalap vonatkozásában megilleti az érintettet.
A vállalkozás/ok az érintett kérésére korlátozza/k az adatkezelést, ha az alábbiak valamelyike teljesül:
az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az vállalkozás ellenőrizze a személyes adatok pontosságát;
az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és e helyett kéri azok felhasználásának korlátozását;
a vállalkozásnak már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
az érintett az alkalmazott adatkezelés jogalapok esetében (közhatalmi jogosítványon alapuló vagy jogos érdeken alapuló adatkezelés) tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a vállalkozás jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
A vállalkozás tájékoztatja a kötelezettségről mindazokat, akik számára a személyes adattovábbításra került.
A vállalkozás az érintett tiltakozás iránti kérelme esetén a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Az adathordozhatósághoz való jog a hozzájáruláson vagy a szerződésen alapuló adatkezelés jogalapesetében illeti meg az érintettet, ha az adatkezelés automatizált módon történik.
A vállalkozás/ok biztosítja/k, hogy érintett a rá vonatkozó, általa a vállalkozás számára rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá, hogy ezeket az adatokat az érintett egy másik adatkezelőnek továbbítsa.
VIII. Adatkezelési tevékenységek nyilvántartása
Az adatkezelési tevékenységek nyilvántartását a vállalkozás/ok az elszámoltathatóság elvéből következően annak érdekében végzi, hogy az GDPR-nak való megfelelést nyomon tudja követni, és igazolni tudja.
A vállalkozás/ok a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartásokat vezet.
A vállalkozás/oka felelősségébe tartozóan végzett, adatkezelési tevékenységekről vezetett nyilvántartásait az alábbi tartalommal vezeti:
a vállalkozásneve és elérhetősége, valamint – ha van ilyen – a vállalkozás képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
az adatkezelés céljai;
az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják
adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk;
ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
ha lehetséges, a technikai és szervezési intézkedések általános leírása.
A nyilvántartásokat a vállalkozás/ok írásban vezeti/k, papír alapon vagy elektronikus formátumban.
IX. Adatbiztonsági rendelkezések
A vállalkozás a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.
A vállalkozás köteles garantálni az általa kezelt adatok bizalmasságát, sérthetetlenségét és rendelkezésre állását.
Az adatkezelés biztonsága megvalósítása érdekében a vállalkozás fizikai, logikai és adminisztratívkontrollokat alkalmaz együttesen.
A vállalkozás az alábbi fizikai kontrollokat alkalmazza:
a) Biztosítja a vállalkozások székhelyének, telephelyének megfelelő fizikai és mechanikai védelmét. A bejárat biztonsági ajtóval és riasztóval védett, valamint RIMI távfelügyelettel megfelelően biztosított. A szobák ajtaja zárható, rendelési időn kívül mindig zárt, senki nem tartózkodik a helyiségekben.
b) Biztosítja az adatok és az azokat hordozó eszközök, iratok megfelelő fizikai védelmét. A számítástechnikai eszközök belépése jelszóval védett. A papír alapú iratok, bizonylatok zárható helyen kerülnek tárolásra.
A vállalkozás/ok a következő logikai kontrollokt alkalmazza: a kezelt adatokhoz kizárólag az arra megfelelő jogosultsággal (külön felhasználó név és jelszóval)rendelkező személyek férnek hozzá Rendszeresek a mentések és naplózások.
A vállalkozás/ok biztosítja, hogy a személyes adatokhoz való hozzáférés dokumentációkban nyomonkövethető legyen
XI. Adatvédelmi incidensek kezelése Az adatvédelmi incidenst a vállalkozás/ok indokolatlan késedelem nélkül, legkésőbb 72 órával a tudomására jutástól bejelenti a hatóságnak.
Az adatvédelmi incidenst nem kell a hatóságnak bejelenteni, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
Amennyiben az adatvédelmi incidens hatóság számára történő bejelentése szükséges,
ismertetni kell az adatvédelmi incidens jellegét, az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
közölni kell az adatvédelmi tisztviselő, kapcsolattartó nevét és elérhetőségeit;
ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető hatásokat, következményeket;
ismertetni kell a vállalkozás által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket.
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a vállalkozás indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:
a vállalkozás/ok megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták;
a vállalkozás/ok az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, a magas kockázat a továbbiakban valószínűsíthetően nem valósul meg; · Amennyiben a vállalkozás/ok adatfeldolgozót alkalmaz/nak, úgy az adatfeldolgozó szerződésben ki kell kötni, hogy az adatfeldolgozó köteles a nála bekövetkezett adatvédelmi incidenst haladéktalanul bejelenteni a vállalkozás/oknak.
XII. Munkaviszonnyal összefüggő adatkezelések
A vállalkozás/oka munkavállaló/k adatait a Mt. vonatkozó rendelkezései alapján kezeli és az Mt-ben meghatározott módon tájékoztatja, a GDPR-ban foglalt adatkezelési alapelvek betartása mellett.
A vállalkozás/ok a munkavállaló/knak tájékoztatást ad az általa igénybe vett adatfeldolgozókkal kapcsolatban, a számukra továbbított adatok köréről.
XIII. Az adatfeldolgozó igénybevételére vonatkozórendelkezések Ha az adatkezelést a vállalkozás/ok nevében más végzi, a vállalkozás/ok kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
Az adatfeldolgozó a vállalkozás/ok előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe.
Az adatfeldolgozó általvégzett adatkezelés vonatkozásában a vállalkozás/ok és az adatfeldolgozó szerződést kötnek. A szerződés az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint a vállalkozás kötelezettségeit és jogait határozza meg. A szerződés a következő garanciákat tartalmazza:
a személyes adatokat kizárólag a vállalkozás/ok írásbeli utasításai alapján kezeli,
biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
alkalmazza a legalább a vállalkozás/ok által előírt szintű adatbiztonsági intézkedéseket;
tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan fentebb említett feltételeket;
az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti a vállalkozás/oka/t abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
segíti a vállalkozás/oka/t az adatvédelmi incidens szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
vállalja, hogy a nála bekövetkező adatvédelmi incidens esetén haladéktalanul tájékoztatja erről a vállalkozást;
az adatkezelési szolgáltatás nyújtásának befejezését követően a vállalkozás/ok döntése alapján minden személyes adatot töröl vagy visszajuttat a vállalkozásnak, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog a személyes adatok tárolását írja elő.
Az adatfeldolgozó és a nála személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag a vállalkozás/ok utasításának megfelelően kezelheti.
XIV. Hatályba léptető rendelkezések
A jelen szabályzat 2020. november 2-től lép hatályba és kötelezően alkalmazandó.
XV. Jogorvoslat lehetőségei Amennyiben azt tapasztalja, hogy a DRZS Dental Studio megsértette az adatkezelésre vonatkozó szabályokat, a következő jogorvoslati lehetőségei vannak
panaszt nyújthat be a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (1055 Budapest, Falk Miksa utca 9-11., postacím: 1363 Budapest, Pf. 9., e-mail: ugyfelszolgalat@naih.hu, honlap:
www.naih.hu), vagy
lehetősége van adatainak védelme érdekében bírósághoz fordulni.
