A Siómed Kft. Belső Adatvédelmi Szabályzata.

AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) szerinti, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló belső adatvédelmi szabályzat.

Utolsó frissítés: 2017.10.23.

 

Belső Adatvédelmi Szabályzat.
I. Általános alapelvek:

1. Az adatvédelem fő szempontja a tudatosság erősítése:

A Siómed Kft. biztosítja a szervezeten belüli szakmai felkészültséget az új jogszabálynak való megfeleléshez.

Adatkezelő illetőleg adatfeldolgozó szervezetén belül az adatkezeléssel összefüggő döntések meghozatalában közreműködő munkavállalói megfelelő felkészültséggel rendelkeznek az új adatvédelmi rendelet megfelelő alkalmazásához.

Az egészségügyi személyes adatok közé tartoznak az érintett egészségi állapotára vonatkozó olyan adatok, amelyek információt hordoznak az érintett múltbeli, jelenlegi vagy jövőbeli testi vagy pszichikai egészségi állapotáról. Ide tartoznak az alábbiak: a természetes személyre vonatkozó olyan személyes adatok, amelyeket az egyénnek a 2011/24/EU európai parlamenti és tanácsi irányelvben  (9) említett egészségügyi szolgáltatások céljából történő nyilvántartásba vétel, vagy ilyen szolgáltatások nyújtása során gyűjtöttek, a természetes személy egészségügyi célokból történő egyéni azonosítása érdekében hozzá rendelt szám, jel vagy adat, valamely testrész vagy a testet alkotó anyag – beleértve a genetikai adatokat és a biológiai mintákat is – teszteléséből vagy vizsgálatából származó információk, és bármilyen, például az érintett betegségével, fogyatékosságával, betegségkockázatával, kórtörténetével, klinikai kezelésével vagy fiziológiai vagy orvosbiológiai állapotával kapcsolatos információ, függetlenül annak forrásától, amely lehet például orvos vagy egyéb egészségügyi dolgozó, kórház, orvostechnikai eszköz vagy in vitro diagnosztikai teszt.

2. Az adatkezelés kritériumainak felülvizsgálata.

(46) Az adatkezelést ... jogszerűnek kell tekinteni akkor, amikor az az érintett életének vagy más fent említett természetes személy érdekeinek védelmében történik.”

A természetes személyt a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat. A személyes adatkezelés konkrét céljainak mindenekelőtt explicit módon megfogalmazottaknak és jogszerűeknek, továbbá már a személyes adatok gyűjtésének időpontjában meghatározottaknak kell lenniük. A személyes adatoknak a kezelésük céljára alkalmasaknak és relevánsaknak kell lenniük, az adatok körét pedig a célhoz szükséges minimumra kell korlátozni. Ehhez pedig biztosítani kell különösen azt, hogy a személyes adatok tárolása a lehető legrövidebb időtartamra korlátozódjon. Személyes adatok csak abban az esetben kezelhetők, ha az adatkezelés célját egyéb eszközzel észszerű módon nem lehetséges elérni. Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg. A pontatlan személyes adatok helyesbítése vagy törlése érdekében minden észszerű lépést meg kell tenni. A személyes adatokat olyan módon kell kezelni, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és a személyes adatok kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását.

 

Szempontrendszere:

A személyes adatok kezelésének jogszerűnek és tisztességesnek kell lennie. A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett személyes adatainak tisztességes és átlátható kezelése, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról.

A személyes adatkezelés koncepciója:

Az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez. Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi.

A személyes adatkezelés konkrét céljainak mindenekelőtt explicit módon megfogalmazottaknak és jogszerűeknek, továbbá már a személyes adatok gyűjtésének időpontjában meghatározottaknak kell lenniük. A személyes adatoknak a kezelésük céljára alkalmasaknak és relevánsaknak kell lenniük, az adatok körét pedig a célhoz szükséges minimumra kell korlátozni. A pontatlan személyes adatok helyesbítése vagy törlése érdekében minden észszerű lépést meg kell tenni. A személyes adatokat olyan módon kell kezelni, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és a személyes adatok kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását.

A rögzített adatok sorsa:

Biztosítani kell különösen azt, hogy a személyes adatok tárolása a lehető legrövidebb időtartamra korlátozódjon. Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg.

Az elszámoltathatóság elve:

A dolgozói munkájukat a munkaköri leírásuknak megfelelően szabályozott keretek között végzik. A dolgozók munkájukat mindenkor írásban dokumentálják a használt orvosi programokban, és beszámolnak tevékenységükről munkahelyi vezetőjüknek, így biztosítva a szakmai és adatvédelmi elszámoltathatóság elvét.

 

3. Az érintett megfelelő tájékoztatása:

A természetes személyt a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat.

Az érintett jogai kapcsán biztosítjuk az információs önrendelkezési jog érvényesülését az új szabályoknak megfelelően. Ügyelünk arra, hogy ha az adatkezelés az érintett hozzájárulásán alapuljon, kétség esetén a jogszabályoknak megfelelően bizonyítjuk, hogy az adatkezelési művelethez az érintett hozzájárult.

Az adatkezelés során az érintettnek nyújtott tájékoztatásunk tömör, könnyen hozzáférhető és könnyen érthető, valamint hogy azt világos és közérthető nyelven fogalmazzuk meg, illetve – ezen túlmenően – szükség esetén vizuálisan is megjelenítjük.

Az érintettet tájékoztatjuk az adatkezelés tényéről és céljairól.

Adatkezelőként minden olyan további információt is az érintett rendelkezésére bocsátunk, amelyek a tisztességes és átlátható adatkezelés biztosításához szükségesek, figyelembe véve a személyes adatok kezelésének konkrét körülményeit és kontextusát.

A tájékoztatáshoz való jog előzetesen, az adatkezelés során annak megszűnéséig megilleti az érintettet.

4. Az érintettek jogai:

Az új adatvédelmi rendelet alapján az érintettek főbb jogai a következők:

  • a rá vonatkozó személyes adatokhoz való hozzáférés;

  • azok helyesbítése;

  • törlése („az elfeledtetéshez való jog”);

  • kezelésének korlátozása;

  • a profilalkotás és az automatizált adatkezelésen elleni tiltakozás;

  • az adathordozhatósághoz való jog.

A korábbi adatkezelési gyakorlathoz viszonyítva legfontosabb újdonság az adathordozhatósághoz való jog. E joga alapján az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat géppel olvasható formátumban megkapja és ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.

Az interneten megvalósuló adatkezelések kapcsán nem elegendő a törléshez való jogot biztosítani, hiszen az adatok nem csak egy adatkezelőnél rögzülnek, hanem sok más adathordozón is, ezentúl a keresőmotorok a korábban tárolt verziókat is elérhetővé teszik. Az új általános adatvédelmi rendelet szabályai értelmében az internet sajátosságaira tekintettel azt is lehetővé kell tenni, hogy az adatalany az adatok minden lehetséges elérési pontján töröltethesse azokat.

 

5. Az érintett hozzáférési joga:

Az új szabályok szerint az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható.
A tájékoztatási kötelezettségnek való könnyű megfelelést biztosítja egy olyan biztonságos online rendszer üzemeltetése, melyen keresztül az érintett könnyen és gyorsan hozzáférhet a szükséges információhoz.

 

6. Az adatkezelés jogalapja.

Az új szabályozás által meghatározott jogalapokhoz és az ahhoz kapcsolódó kötelezettségekhez igazodva biztosítjuk az információs önrendelkezési jog érvényesülését. Ügyelünk arra, hogy a törléshez való jog („az elfeledtetéshez való jog”) alapján az érintett kérésére adatait az adatkezelő indokolatlan késedelem nélkül köteles törölni, amennyiben az érintett visszavonja az adatkezelés alapját képező hozzájárulást.

7. A hozzájárulás feltételeinek felülvizsgálata:

Amennyiben az adatkezelés hozzájáruláson alapul, megvizsgáljuk az adatkezelés folyamatát a hozzájáruláson alapuló adatkezelés új adatvédelmi rendelet szerinti kritériumait illetően.

A hozzájárulás kizárólag akkor tekinthető jog szerint elfogadhatónak, ha mindhárom tartalmi követelményt, az önkéntességet, a határozottságot (egyértelműség) és a tájékozottságot is teljesíti!

A hozzájárulásból félreérthetetlenül következnie kell, hogy az érintett beleegyezik az adatkezelésbe. Ha az adatkezelés az érintett hozzájárulásán alapul, kétség esetén az adatkezelőnek kell bizonyítania, hogy az adatkezelési művelethez az érintett hozzájárult.

8. A gyermekek jogainak kiemelt védelme:

A gyermek életkora az Infotv.-ben és az új adatvédelmi rendeletben is meghatározó. Az új szabályok értelmében a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.

A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. Ezt a különös védelmet főként a gyermekek személyes adatainak olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermekek személyes adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő gyűjtésére. A közvetlenül a gyermek részére nyújtott megelőzési és tanácsadási szolgáltatások esetében nincs szükség a szülői felügyelet gyakorlójának hozzájárulására.

 

9. Adatvédelmi incidens bejelentése:

Az Infotv. jelenleg nyilvántartás-vezetési kötelezettséget állapít meg az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. Az érintett kérelmére az adatkezelő erről tájékoztatást ad.

Az új szabályok értelmében személyes adat jogellenes kezelése vagy feldolgozása esetén bejelentési kötelezettség keletkezik a felügyelő hatóság felé. Az adatkezelő indokolatlan késedelem nélkül – ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott – megteszi a bejelentést a felügyeleti hatóságnak kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Az adatbiztonsági incidensek bejelentésének kötelezettsége indokolt és nem jelent aránytalan terhet az adatkezelőkre nézve.

10. Beépített adatvédelem, előzetes adatvédelmi hatásvizsgálat:
Az új szabályok értelmében, bizonyos esetekben az adatkezelőnek az adatkezelést megelőzően adatvédelmi hatásvizsgálatot kell lefolytatni.
Ha az adatvédelmi hatásvizsgálat szerint az adatkezelési műveletek olyan magas kockázattal járnak, amelyet az adatkezelő nem képes a rendelkezésre álló technológia és a végrehajtási költségek szempontjából is megfelelő intézkedésekkel mérsékelni, az adatkezelést megelőzően a felügyeleti hatósággal konzultálni kell. A hatásvizsgálat során – figyelemmel az adatkezelés jellegére, hatókörére, körülményére és céljaira valamint a kockázatok forrásaira – meg kell vizsgálni, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

Magas kockázatú adatkezelési műveletek példálózó felsorolása: nagyszámú érintett; nagy mennyiségű személyes adat; kiszolgáltatott személyek, pl. gyermekek adatainak kezelése; profilalkotás; viselkedés vagy mozgás követése; különleges adatok kezelése.

Ha az előírt adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.
Ha a felügyeleti hatóság véleménye szerint a tervezett adatkezelés megsértené e rendeletet – különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, a felügyeleti hatóság az adatkezelőnek és adott esetben az adatfeldolgozónak írásban tanácsot ad, továbbá gyakorolhatja rendeletben említett hatásköreit.

11. Az adatvédelmi tisztviselők:

Az új általános adatvédelmi rendelet a belső adatvédelmi felelősök kinevezését az Infotv. szabályainál szélesebb adatkezelői körben teszi kötelezővé. A közhatalmi és közfeladatot ellátó szerv, bűnügyi adatállományt kezelő illetve feldolgozó szerv esetében belső adatvédelmi felelős kötelező kinevezésén túl olyan adatkezelőknél is elrendeli az adatvédelmi tisztviselő kinevezését, ahol a fő tevékenységek olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé.
Az adatvédelmi tisztviselő kinevezése az adatbiztonság megerősítését, az érintettek jogérvényesítésének elősegítését célozza.
 

12. Az adatvédelmi felügyeleti hatóság illetékessége:

Az Infotv. 2. § (1) bekezdése értelmében e törvény hatálya a Magyarország területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira, valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik.
A (3) bekezdés szerint a törvényben foglaltakat kell alkalmazni, ha az Európai Unió területén kívül személyes adatok kezelését folytató adatkezelő az adatfeldolgozással Magyarország területén székhellyel, telephellyel, fiókteleppel vagy lakóhellyel, tartózkodási hellyel rendelkező adatfeldolgozót bíz meg, vagy itt lévő eszközt használ fel, kivéve, ha ez az eszköz csak az Európai Unió területén átmenő adatforgalom célját szolgálja. Az ilyen adatkezelőnek Magyarország területén képviselőt kell kineveznie. A törvény hatálya egyben megalapozza a Hatóság illetékességi területét is.

Az új általános adatvédelmi rendelet esetében a felügyeleti hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására.

Fő felügyeleti hatóság illetékessége: nemzetközi vállalatok, határon átnyúló adatkezelések esetében a rendelet kijelöl egy fő felügyeleti hatóságot, amelyet az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye fog meghatározni. A fő felügyeleti hatóság jogosult eljárni az adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében. A fő felügyeleti hatóság az érintett felügyeleti hatóságokkal információcserét folytat és együttműködik, valamint hatáskört ruházhat át.

 

II. Részletes szabályzat:

 

1. A Siómed Egészségügyi és Szolgáltató Kft. tevékenységei:

főtevékenység: 8621 Általános járóbeteg-ellátás: felnőtt háziorvosi ellátás,

foglalkozás-egészségügyi alapellátás,

egyéb tevékenységek: 8559 M.n.s. Egyéb oktatás,

5520 Üdülési, egyéb átmeneti szálláshely szolgáltatás.

 

2. A kezelt adatok köre:

  • A Kft. főtevékenysége során elsősorban egészségügyi adatok kezelését végzi. Az egészségügyi személyes adatok közé tartoznak az érintett egészségi állapotára vonatkozó olyan adatok, amelyek információt hordoznak az érintett múltbeli, jelenlegi vagy jövőbeli testi vagy pszichikai egészségi állapotáról. Ide tartoznak az alábbiak: a természetes személyre vonatkozó olyan személyes adatok, amelyeket az egyénnek a 2011/24/EU európai parlamenti és tanácsi irányelvben  (9) említett egészségügyi szolgáltatások céljából történő nyilvántartásba vétel, vagy ilyen szolgáltatások nyújtása során gyűjtöttek, a természetes személy egészségügyi célokból történő egyéni azonosítása érdekében hozzá rendelt szám, jel vagy adat, valamely testrész vagy a testet alkotó anyag – beleértve a genetikai adatokat és a biológiai mintákat is – teszteléséből vagy vizsgálatából származó információk, és bármilyen, például az érintett betegségével, fogyatékosságával, betegségkockázatával, kórtörténetével, klinikai kezelésével vagy fiziológiai vagy orvosbiológiai állapotával kapcsolatos információ, függetlenül annak forrásától, amely lehet például orvos vagy egyéb egészségügyi dolgozó, kórház, orvostechnikai eszköz vagy in vitro diagnosztikai teszt.

  • Az oktatási tevékenység során a praxisunkba jelentkezett medikusok és szakvizsga előtt álló orvosok háziorvosi oktatása ideje alatt az oktatott személyek adatait-,

  • az üdülési szálláshely szolgáltatási tevékenység során a szálláshelyet bérbevevők személyes adatait-,

  • valamint az alkalmazottak személyes adatait kezeli a Siómed Kft.

 

3. A Siómed Kft. adatvédelmi felelőse: Dr Hódi István ügyvezető c. főorvos.

 

4. Az adatkezelés célja:

A Siómed Kft tevékenységi körében szereplő háziorvosi és üzemorvosi tevékenység körében végzett munka során az ellátottak számára korunk szakmai színvonalának legmagasabb szintű szakorvosi ellátás biztosítása .

Az oktatási tevékenység során a hallgatók és rezidensek szakmai fejlődésének elősegítése.

Az üdültetési tevékenység során a jogszabályok előírta adatok rögzítése.

A háziorvosi és üzemorvosi tevékenység ellátásában résztevő alkalmazottak jogszabályok által előírt bérezési-, adózási-, szakmai megfelelőségi-, továbbképzési-, felelősség biztosítási szabályok megtartásának biztosítása.

5. A személyes adatok kezelésének ideje:

A Siómed Kft. a tevékenysége során keletkezett adatokat a hatályos Egészségügyi Törvény-, az érvényes adótörvények és a GDPR előírásainak megfelelő ideig kezeli.

6. A személyes adatok tárolásának módja:

A Siómed Kft. az adatokat keletkezésük módjának megfelelően írásban, vagy a dokumentumról készített elektronikus másolat formájában, illetve elektronikus formában tárolja.

7. A személyes adat továbbításának esetei:

A Siómed Kft. az egészségügyi tevékenysége körében keletkezett adatokat a jogszabályoknak megfelelően az orvosi titoktartás szabályainak betartása mellett kezeli. A tevékenységéről a működtető NEAK, KSH, NAV felé a jogszabályokban előírtaknak megfelelően jelentéseket küld. A Siómed Kft. a hatályos további jogszabályoknak megfelelően a személyes adatok felülvizsgálati és törlési kötelezettségét az előírt heti-, havi és éves jelentéseknek megfelelően gyakorolja.

Siómed Kft. könyvelését külső könyvelő cég végzi. A könyvelő cég felé személyes adatok továbbítása történik. Cégünk az Érintett személyes adatai közül kizárólag a számlán kötelezően feltüntetendő adatokat (név, cím, adószám) továbbítja könyvelője felé. A könyvelő cég saját tevékenységén belül szintén felelősséggel tartozik a személyes adatok kezelése során a jogszabályokban meghatározott szabályok betartásáért.

8. Az érintett jogai:

A GDPR 12-23. cikkei alapján az alábbiakban felsorolt jogaival élhet:

a) Tájékoztatáshoz való jog

b) Az érintett hozzáféréshez való joga

c) Helyesbítés joga

d) Törléshez való jog

e) Az adatkezelés korlátozásához való jog

f) Adathordozáshoz való jog

g) Tiltakozás joga

h) Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást

Az érintett a felsorolt jogainak gyakorlása miatti kérelmét elküldheti e-mailben az e.siofok@gmail.com címre, vagy postai úton a 8624. Balatonszárszó, Fő u. 48. címre.

Az Érintett kérelmének a Siómed Kft a kérelem kézhezvételét követő legrövidebb időn, de legfeljebb 30 napon belül írásban eleget tesz.

 

9. Adatvédelmi incidens bejelentése:

Az Infotv. jelenleg nyilvántartás-vezetési kötelezettséget állapít meg az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. Az érintett kérelmére az adatkezelő erről tájékoztatást ad.

Az új szabályok értelmében személyes adat jogellenes kezelése vagy feldolgozása esetén bejelentési kötelezettség keletkezik a felügyelő hatóság felé. Az adatkezelő indokolatlan késedelem nélkül – ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott – megteszi a bejelentést a felügyeleti hatóságnak kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Az adatbiztonsági incidensek bejelentésének kötelezettsége indokolt és nem jelent aránytalan terhet az adatkezelőkre nézve.

10. Beépített adatvédelem, előzetes adatvédelmi hatásvizsgálat:
Az új szabályok értelmében, bizonyos esetekben az adatkezelőnek az adatkezelést megelőzően adatvédelmi hatásvizsgálatot kell lefolytatni.
Ha az adatvédelmi hatásvizsgálat szerint az adatkezelési műveletek olyan magas kockázattal járnak, amelyet az adatkezelő nem képes a rendelkezésre álló technológia és a végrehajtási költségek szempontjából is megfelelő intézkedésekkel mérsékelni, az adatkezelést megelőzően a felügyeleti hatósággal konzultálni kell. A hatásvizsgálat során – figyelemmel az adatkezelés jellegére, hatókörére, körülményére és céljaira valamint a kockázatok forrásaira – meg kell vizsgálni, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

Magas kockázatú adatkezelési műveletek példálózó felsorolása: nagyszámú érintett; nagy mennyiségű személyes adat; kiszolgáltatott személyek, pl. gyermekek adatainak kezelése; profilalkotás; viselkedés vagy mozgás követése; különleges adatok kezelése.

Ha az előírt adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.
Ha a felügyeleti hatóság véleménye szerint a tervezett adatkezelés megsértené e rendeletet – különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, a felügyeleti hatóság az adatkezelőnek és adott esetben az adatfeldolgozónak írásban tanácsot ad, továbbá gyakorolhatja rendeletben említett hatásköreit.

11. Az adatvédelmi tisztviselők:

Az új általános adatvédelmi rendelet a belső adatvédelmi felelősök kinevezését az Infotv. szabályainál szélesebb adatkezelői körben teszi kötelezővé. A közhatalmi és közfeladatot ellátó szerv, bűnügyi adatállományt kezelő illetve feldolgozó szerv esetében belső adatvédelmi felelős kötelező kinevezésén túl olyan adatkezelőknél is elrendeli az adatvédelmi tisztviselő kinevezését, ahol a fő tevékenységek olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé.
Az adatvédelmi tisztviselő kinevezése az adatbiztonság megerősítését, az érintettek jogérvényesítésének elősegítését célozza.
 

12. Az adatvédelmi felügyeleti hatóság illetékessége:

Az Infotv. 2. § (1) bekezdése értelmében e törvény hatálya a Magyarország területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira, valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik.
A (3) bekezdés szerint a törvényben foglaltakat kell alkalmazni, ha az Európai Unió területén kívül személyes adatok kezelését folytató adatkezelő az adatfeldolgozással Magyarország területén székhellyel, telephellyel, fiókteleppel vagy lakóhellyel, tartózkodási hellyel rendelkező adatfeldolgozót bíz meg, vagy itt lévő eszközt használ fel, kivéve, ha ez az eszköz csak az Európai Unió területén átmenő adatforgalom célját szolgálja. Az ilyen adatkezelőnek Magyarország területén képviselőt kell kineveznie. A törvény hatálya egyben megalapozza a Hatóság illetékességi területét is.

Az új általános adatvédelmi rendelet esetében a felügyeleti hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására.

Fő felügyeleti hatóság illetékessége: nemzetközi vállalatok, határon átnyúló adatkezelések esetében a rendelet kijelöl egy fő felügyeleti hatóságot, amelyet az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye fog meghatározni. A fő felügyeleti hatóság jogosult eljárni az adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében. A fő felügyeleti hatóság az érintett felügyeleti hatóságokkal információcserét folytat és együttműködik, valamint hatáskört ruházhat át.