Adatvédelmi szabályzat

Általános rendelkezések

A szabályzat célja

Jelen Adatvédelmi Szabályzat (továbbiakban: Szabályzat) célja, hogy az IVANDA DENT Fogászati és Szolgáltató Korlátolt Felelősségű Társaság a (továbbiakban: Adatkezelő) eleget tegyen a személyes adatok kezelésére és védelmére vonatkozó jogszabályi előírásoknak, különösen az Európai Parlament és a Tanács (EU) 2016/679 rendeletében foglaltaknak.

E szabályzat célja, hogy harmonizálja az adatkezelési tevékenységek tekintetében az Adatkezelő egyéb belső szabályzatainak előírásait a természetes személyek alapvető jogainak és szabadságainak védelme érdekében, valamint biztosítsa az egészségügyi és személyes adatok megfelelő kezelését, hogy meghatározza Adatkezelő által vezetett nyilvántartások működésének törvényes rendjét, valamint biztosítsa az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, és megakadályozza a jogosulatlan hozzáférést, az adatok megváltoztatását és jogosulatlan nyilvánosságra hozatalát.

A szabályzat kiadásának fontos célja továbbá, hogy megismerésével és betartásával Adatkezelő és alkalmazottai képesek legyenek a természetes személyek adatai kezelését jogszerűen végezni.

Adatkezelő megnevezése: IVANDA DENT Fogászati és Szolgáltató Kft.
Adatkezelő cégjegyzékszáma: 20-09-075682
Adatkezelő adószáma: 26115946-1-20
Adatkezelő székhelye: 8900 Zalaegerszeg, Mártírok útja 76.
Telephelye: 8900 Zalaegerszeg, Síp utca 8.

Fióktelepei: 8932 Pókaszepetk, Zrínyi Miklós utca 14. 8798 Zalabér, Rákóczi Ferenc utca 19.
Adatkezelő e-elérhetősége: e-mail: ivandadent@gmail.com
weboldal: www.invandentalfogaszat.hu

Szabályzat e-elérhetősége: weboldal: www.invandentalfogaszat.hu

Adatkezelő képviselője: dr. Iván Nándor Miklós
dr. Ivánné dr. Scheibelhoffer Vanda

Adatkezelő által ellátott feladatok: Széleskörű fogászati járóbeteg-ellátás

A betegek köre (OEP/Magán/mindkettő): Mindkettő


Adatvédelmi tisztviselő kijelölése a GDPR 37. cikk (1) bekezdése szerint, valamint a NAIH állásfoglalása (NAIH/2018/2170/2/K.) szerint Adatkezelőnél nem kötelező.


A Szabályzat hatálya:

A Szabályzat személyi hatálya kiterjed

az Adatkezelő valamennyi munkavállalójára, valamint az eseti jelleggel munkavégzésre igénybe vett dolgozóra,

az Adatkezelő szolgáltatásait igénybe vevő természetes személyekre,

az adatfeldolgozóra, valamint

a fentieken kívül mindazon jogi vagy természetes személyek, akik Adatkezelővel bármilyen szerződéses jogviszonyban állnak.


A Szabályzat tárgyi hatálya kiterjed

az Adatkezelőnél keletkezett valamennyi adatra, az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló évi XLVII. törvény (a továbbiakban: Eüak.tv.) előírásai szerint kezelt, az érintettre vonatkozó egészségügyi és személyazonosító adatra, valamint a kezelt valamennyi egészségügyi és személyes adatra.

az informatikai rendszerben kezelt vagy feldolgozott adatra,

az adatkezelés eredményeképpen létrejött adatra,

az Adatkezelőnél alkalmazott valamennyi hardver- és szoftvereszközre



A Szabályzat időbeli hatálya 2024. január 1. napjától visszavonásig tart.

Alapelvek

Az információs önrendelkezés minden természetes személy Alaptörvényben rögzített alapjoga, így az Adatkezelő eljárásai során csak és kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést.

Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet.

Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. Személyes adatot kezelni csak a cél megvalósulásához szükséges mértékben és ideig lehet. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható.

A személyes adatok akkor kezelhetők, ha ahhoz az érintett hozzájárul, vagy azt törvény, helyi önkormányzati, illetve egyéb rendelet elrendeli.

Különleges adatok akkor kezelhetők, ha az érintett írásban hozzájárul vagy törvény elrendeli.

Adatfelvétel előtt az érintettekkel közölni kell, hogy az adatszolgáltatás önkéntes vagy kötelező, az adatkezelés célját, valamint, hogy az adatokat kik fogják kezelni. Amennyiben az adatkezelés önkéntes hozzájáruláson alapszik, úgy az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A törvényi felhatalmazáson alapuló (kötelező) adatszolgáltatás esetén meg kell jelölni az adatszolgáltatást elrendelő jogszabályt is.
Az adatkezelést végző alkalmazottak kötelesek a megismert személyes adatokat bizalmasan kezelni és üzleti titokként megőrizni. A személyes adatokat kezelő és azokhoz hozzáférési lehetőséggel rendelkező személyek kötelesek Titoktartási nyilatkozatot tenni (1. sz. melléklet).

Ha a Szabályzat hatálya alatt álló személy tudomást szerez arról, hogy az Adatkezelő által kezelt személyes adat hibás, hiányos vagy időszerűtlen, köteles azt helyesbíteni vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.
Az Adatkezelő megbízásából adatfeldolgozói tevékenységet végző természetes vagy jogi személyekre, illetve jogi személyiséggel nem rendelkező szervezetekre vonatkozó adatvédelmi kötelezettségek az adatfeldolgozóval kötött megbízási szerződésben érvényesítendők. Az adatfeldolgozóval az Adatkezelő a GDPR által előírt Adatfeldolgozói szerződést köt (2. sz. melléklet).

Adattovábbítás - amennyiben az adatok alapján a személy azonosítható, az érintett hozzájárulásával -, illetve törvény előírása vagy engedélye alapján történhet.

Az Adatkezelő megfelelő technikai feltételek biztosításával és szervezési intézkedésekkel köteles gondoskodni arról, hogy jogosulatlanok az adatokhoz ne férhessenek hozzá, továbbá olyan védelmi rendszert kell működtetnie, amely védi az adatot a megváltoztatástól, törléstől, sérüléstől, megsemmisüléstől.

Az érintett tájékoztatást kérhet személyes adatainak kezeléséről, kérheti azok helyesbítését, illetve jogszabályban elrendelt adatkezelés kivételével annak törlését, ugyanakkor kötelessége az adatokban bekövetkezett változást az Adatkezelőnek bejelenteni.

Az érintett kérelmére az Adatkezelő tájékoztatást ad az általa kezelt adatairól, az adatkezelés céljáról, időtartamáról, jogalapjáról, illetve arról, hogy kik és milyen célból kapják meg az adatokat.

Személyes adatot törölni kell, ha kezelése jogellenes vagy az adatkezelés célja megszűnt. Az adatkezelés célja akkor tekinthető megszűntnek, ha az adatszolgáltatásra vagy adatmegőrzésre előírt idő letelt.

A kezelt személyes adatoknak meg kell felelniük az alábbi követelményeknek:

felvételük és kezelésük tisztességes és törvényes,

pontosak, teljesek,

az érintett személy csak az adatfelhasználás céljához szükséges ideig azonosítható,

a tárolás módja biztonságos, illetéktelenek számára hozzáférhetetlen, rongálódástól, megsemmisüléstől védett.



Az Adatkezelő tisztségviselői és alkalmazottai csak azokhoz az adatokhoz férhetnek hozzá, amelyekre feladataik elvégzéséhez szükségük van.

Az adatkezelés jogszerűségének biztosítása

A Rendelet alapesetben összesen hat jogalapot határoz meg az adatkezeléssel összefüggésben, ami különböző célú adatkezeléseknél a Rendelő gyakorlatában is előfordul:

Az adatkezelések jogalapja a fogorvosi ellátásban

Hozzájárulás

Az adatkezelés jogszerű, ha az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez. Az érintett hozzájárulása akkor megfelelő, ha az, az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. Ennek megfelel az aláírás vagy az elektronikus felületen kipipált négyzet is, a lényeg, hogy a hozzájárulásnak aktív cselekménynek kell lennie. Más jogalap híján a személyes adatok kezeléséhez az érintett hozzájárulását kell kérnünk (pl. hírlevél küldés, direkt marketing).

Szerződés teljesítése

Jogszerű az adatkezelés a Rendelet szerint akkor is, ha az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél (páciens), vagy az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges (pl. státuszfelvétel, röntgen, egyéb vizsgálatok a kezelési terv elkészítéséhez). A páciensek gyógyítása a fogászatban a beteg megbízásából végzett szolgáltatás, így az ehhez kapcsolódó adatkezelés jogalapja a köztük létrejött „szerződés” teljesítése. A személyes és egészségügyi adatok kezelése nélkül az elvárt szolgáltatás nem teljesíthető.

Jogi kötelezettség teljesítése

Jogszerű az adatkezelés, ha az, az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. A könyvelési folyamatokban túlnyomórészt ezzel a jogalappal találkozhatunk, hiszen a munkabérek számfejtése és kifizetése, az adó- és járulékbevallások mind jogszabályon alapulnak, mint ahogyan a kötelező munkaköri alkalmassági vizsgálat ténye is. Jogi kötelezettség teljesítésén alapul a NEAK felé történő adatkezelés.

Az érintett létfontosságú érdeke

A Rendelet megfelelő jogalapként elfogadja azt az esetet is, amikor az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges. A fogászati tevékenység során ilyen lehet például egy adott egészségügyi kockázat, érzékenységre, allergiára, anamnézisre vonatkozó adatok kezelése.

Közhatalmi jogosítvány gyakorlása

Jogszerű az adatkezelés, ha az közérdekű, vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges. A fogászat esetében ide tartozik a receptíráshoz szükséges adatkezelés.

Jogos érdek

Jogszerű az adatkezelés, ha az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé. Ha volt jogalapunk egy adat kezelésre, de a célja már nem létezik – ilyen esetben az adat nem kezelhető tovább. Például a toborzás során megszerzett önéletrajz – kifejezett, meghatározott ideig történő megőrzésre adott érintetti hozzájárulás hiányában – törlendő, ha nem az illető pályázót vesszük fel.

A személyes adatok kezelésével kapcsolatos felelősségek az Adatkezelőnél

Az Adatkezelő

A személyes adatok védelméért, az adatkezelés jogszerűségéért az Adatkezelő felel.
Az Adatkezelő kötelessége, hogy megfelelő és hatékony intézkedéseket hajtson végre, valamint, hogy képes legyen igazolni azt, hogy az adatkezelési tevékenységek a hatályos jogszabályoknak megfelelnek.

az Adatkezelő a szabályzatok és kötelező utasítások útján meghatározza a személyes adatok védelme és az adatkezelés jogszerűsége szempontjából elvárt, megfelelő technikai és szervezési intézkedéseket és rendelkezik azok folyamatos alkalmazásáról és naprakészen tartásáról;

gondoskodik az adatkezelés személyi és tárgyi feltételeinek biztosításáról, az adatvédelmi és adatbiztonsági intézményrendszer működtetéséről, a működéshez szükséges intézkedések megtételéről;

meghozza a adatkezelő tekintetében az adatkezelésre vonatkozó döntéseket;

felel adatkezelési tevékenységével kapcsolatos közzétételi kötelezettség teljesítéséért.

felel az érintettek GDPR-ban meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért;

felel az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;

segítséget nyújt az érintett jogainak biztosításában;

jogosult jelen Szabályzat betartását ellenőrizni; 

figyelemmel kíséri az adatvédelemmel és információszabadsággal kapcsolatos jogszabályváltozásokat, ezek alapján indokolt esetben kezdeményezi jelen szabályzat módosítását;

biztosítja az adatkezeléssel és adatfeldolgozással foglalkozó személyek adatkezelési oktatását és a szükségessé váló továbbképzését;


Adatkezelő az általa kezelt adatok kezelésére vonatkozóan rendszeresen frissített Adatvédelmi tájékoztatót ad ki, amelyet honlapján tesz közzé.

A foglalkoztatottak

a Szabályzatban meghatározottak szerint kezelik a feladataik ellátásával összefüggésben tudomásukra jutott személyes adatokat;

betartják az adatkezelésre vonatkozó jogszabályokban, más belső szabályzatokban foglalt előírásokat;

tudásukat naprakészen tartják a munkavégzésükre irányadó adatvédelmi és adatbiztonsági előírások kapcsán és az adatvédelmi incidensek gyanújának felismerése érdekében.


Az Adatkezelő szervezetén kívüli személyek bevonása az adatkezelés folyamatába:

Amennyiben az Adatkezelő feladatának ellátása érdekében adatfeldolgozó igénybevétele szükséges, úgy az adatfeldolgozó felelősségét a felek kötött megbízási szerződésben kell rögzíteni.

Az adatvédelmi incidens kezelése

Az Adatkezelő minden dolgozója – beleértve az egyéb jogviszonyban foglalkoztatott személyeket is – köteles az adatvédelmi incidenst haladéktalanul jelenteni az Adatkezelőnek. A bejelentés Adatkezelőhöz érkezését követően az Adatkezelő haladéktalanul megkezdi az adatvédelmi incidens kivizsgálását és értékelését.
Amennyiben adatvédelmi incidens történik (a személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés), az Adatkezelő az incidenst indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
Ha a vizsgálat eredményeként megállapítást nyert, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságára nézve és az érintettek tájékoztatása szükséges, az adatvédelmi tisztviselő haladéktalanul értesíti az érintetteket.
Nem kell az érintetteket tájékoztatni:

ha az Adatkezelő olyan technikai, szervezési, védelmi intézkedéseket hajtott végre az érintett adatokra vonatkozóan, amelyek megakadályozzák az illetéktelen személyek számára való hozzáférést az adatokhoz vagy megakadályozzák az adatok értelmezhetőségét;

ha az adatvédelmi incidens bekövetkezését követően az Adatkezelő olyan intézkedéseket tett, amelyek biztosítják, hogy a feltárt adatkezelési kockázat valószínűsíthetően nem valósul meg;

ha a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ebben az esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, mely tájékoztatás elektronikus úton is megtörténhet.

Az érintetti joggyakorlás biztosítására vonatkozó előírások

Az Adatkezelő az adatkezelésére vonatkozó, érintetti joggyakorlásra irányuló minden beadvány kapcsán esetileg és érdemben vizsgálja azt, hogy elsősorban a kérelmet benyújtó természetes személy kilétével, másodsorban az adatkezelés érintettje Adatkezelő általi azonosításával kapcsolatban merülhetnek-e fel kétségek.
Az érintetti joggyakorlásra irányuló beadvány kapcsán a kérelmet benyújtó természetes személy személyazonosságának megállapítása érdekében további intézkedéseket indokolt tenni különösen, ha az

a kérelmező személyének azonosítását nem biztosító elektronikus levélben, elektronikus aláírás nélkül,

nem a polgári perrendtartásról szóló 2016. évi CXXX. törvény 325. §-a által meghatározott teljes bizonyító erejű magánokiratba vagy közokiratba foglalt postai küldeményként került megküldésre.

A kérelmet benyújtó természetes személy azonosítása érdekében kizárólag az adott célra szükséges és elégséges többlet személyes adat kérhető. Valamely okiratról készült egyszerű elektronikus másolat, vagy nem hitelesített nem elektronikus másolat megküldése a személy azonosítására nem alkalmas, ezért e célra azok megküldését a kérelmet előterjesztő személytől kétség felmerülése esetén sem lehet kérni.
Az Adatkezelő az ellenkező bizonyításáig a kérelmet előterjesztő személy megfelelő azonosításának ismeri el az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény 18. §-a szerint megvalósuló beadványokat, a teljes bizonyító erejű magánokiratokban foglalt postai úton előterjesztett és az érintett azonosításához szükséges adatokat tartalmazó kérelmeket és az Adatkezelő székhelyén a személyazonosság okirattal történő előzetes igazolását követően személyesen előterjesztett
Az elektronikus úton biztonságosan nem továbbítható személyes adatokat az Adatkezelő postai úton, tértivevényes küldeményben, elektronikus adathordozón küldi meg az érintett részére, vagy külön kérésére jegyzőkönyv egyidejű felvétele mellett azt személyesen adja át.

Az adatkezelési műveletek átláthatóságára vonatkozó követelmények

Az Adatkezelő az adatkezelési tevékenységeire vonatkozóan az adatkezelés érintettje számára világos, könnyen értelmezhető és átlátható módon, az adatkezelés céljai mentén a GDPR 13-14. cikke szerinti tartalommal szükséges az adatkezelési tájékoztatókat összeállítani.

Az adatkezelési tájékoztatókban foglaltak tartalmi megfelelőségét, naprakészségét és elérhetőségét az Adatkezelő köteles figyelemmel kísérni.

A Szolgáltató az Általános adatkezelési tájékoztatói jelen Szabályzat mellékletei tartalmazzák, amelyet a székhelyén elérhetővé teszi, és közzé teszi a Szolgáltató honlapján is. Ez mellett az érintettek egyes kategóriáit – például munkavállalók, szerződő partnerek - az adatfelvételkor közvetlenül is tájékoztatja az adatkezelésről és az érintett jogairól.

Szükség esetén, így különösen látássérültek vagy olvasási, szövegértési képességükben korlátozott érintettek esetében szóbeli tájékoztatás nyújtása is kötelező.

A Szolgáltató valamennyi adatkezelése során biztosítja az érintett jogainak gyakorlását.

Záró rendelkezések

Az Adatkezelő fenntartja a jogot, hogy a jelen szabályzatot egyoldalúan, előzetes értesítés nélkül – a módosítás közzétételét követő hatállyal – módosítsa, frissítse. Bármely módosítás kizárólag a módosított változat közzétételét követően összegyűjtött személyes adatokra érvényes. 
Javaslom, hogy rendszeresen látogassa a weboldalt abból a célból, hogy figyelemmel kísérhesse a változásokat, frissítéseket. Igény esetén – kérésére – e-mailben is megküldöm Önnek a mindenkor hatályos szabályzatot, tájékoztatót.

A jelen szabályzatban nem szabályozott kérdésekben a tárgyra vonatkozó, hatályos jogszabályok az irányadók.

Az Adatvédelmi Szabályzat hatályba lépésének napja: 2024. január 1.