Adatkezelési és Adatbiztonsági Szabályzat

Medicop Egészség Centrum Korlátolt Felelősségű Társaság

1           Bevezetés

A Medicop Egészség Centrum Korlátolt Felelősségű Társaság („Adatkezelő”) jelen adatkezelési és adatbiztonsági szabályzatának („Szabályzat”) célja, hogy a hatályos és vonatkozó jogszabályi előírásoknak megfelelően részletesen és kimerítően tájékoztassa az érintetteket („Érintett”) az általa kezelt személyes adatainak köréről, az adatkezelés céljáról, módjáról, illetve az adatok kezelésével kapcsolatos minden egyéb tényről, így különösen, de nem kizárólagosan az adatkezeléssel kapcsolatos jogaikról és az általuk igénybe vehető jogorvoslati lehetőségekről. Továbbá meghatározza és szabályozza az Adatkezelő által folytatott adatkezelési tevékenységek jogi, műszaki, biztonsági és egyéb jellegű feltételeit és követelményeit.

2           Adatkezelő szolgáltatásai, adatai, adatvédelmi felelőse és adatvédelmi tisztviselője

2.1           Az Adatkezelő az alábbi szolgáltatásai során kezel személyes adatokat:

2.1.1             Pszichológiai tanácsadás

Az Adatkezelő képzett szakemberei segítenek az Érintett lelki vagy pszichés problémái, elakadásai, krízishelyzetei megoldásában.

2.1.2            Csoportos tanácsadás

Az Adatkezelő képzett szakemberei, és a megítélésük szerint ez Érintett részére megfelelő csoport segítenek az Érintett lelki vagy pszichés problémái, elakadásai, krízishelyzetei megoldásában.

2.1.3            Párterápia

Az Adatkezelő szakemberei feltérképezik a párkapcsolati konfliktusok mozgatórugóit és segítenek eltávolodni a kapcsolatot romboló negatív mintázatoktól.

2.1.4            Pszichoterápia

Az Adatkezelő klinikai szakpszichológusa feltárja a rejtett, tudattalan folyamatokat, megkeresi a mentális problémák gyökereit és elősegíti a gyógyulást.

2.1.5            Rendelési sáv bérlés

Az Adatkezelő rendelői közül tud az Érintett bérelni rendelési sávot, amely során ő használja az adott helyiséget kliensei fogadására.

2.2           Adatkezelő adatai

név: Medicop Egészség Centrum Korlátolt Felelősségű Társaság

székhely: 1053 Budapest, Képíró utca 8. 2. em. 2. ajtó

e-mail: mindset@mindsetpszichologia.hu

2.3           Adatvédelmi tisztviselő

Az Adatkezelő adatvédelmi tisztviselőjének jelen Szabályzat elfogadáskori adatai:

név: dr. Sallai Fruzsina egyéni ügyvéd

székhely: 1016 Budapest, Krisztina krt. 83-85.

e-mail: dpo@mindsetpszichologia.hu

3           Adatkezelő adatkezelését érintő jogszabályok

3.1           Adatkezelő adatkezelésének jogszabályi háttere:

-                 az Európai Parlament és a Tanács (EU) 2016/679 számú, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló rendeletet („GDPR”);

-                 információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényt („Infotv.”);

-                 az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésére és védelméről szóló 1997. XLVII. törvény („Eüak.tv.”);

-                 az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésének egyes kérdéseiről szóló 62/1997. (XII. 21.) NM rendelet („Eüak.rend.”);

-                 az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (           „Elker tv.”);

-                 Polgári Törvénykönyvről szóló 2013. évi V. törvény („Ptk.”);

-                 a számvitelről szóló 2000. évi C. törvény („Számv. tv.”);

-                 az adózás rendjéről szóló 2017. évi CL. törvény („Art.”).

4           Az Adatkezelő szolgáltatásával és az adatkezeléssel kapcsolatos fogalmak és meghatározásaik

“személyes adat”: azonosított vagy azonosítható természetes személyre (Érintett) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

“adatkezelő”: a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajttatja;

“adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

“különleges adat”: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok;

„egészségügyi adat”: az érintett testi, értelmi és lelki állapotára, kóros szenvedélyére, valamint a megbetegedés, illetve az elhalálozás körülményeire, a halál okára vonatkozó, általa vagy róla más személy által közölt, illetve az egészségügyi ellátó-hálózat által észlelt, vizsgált, mért, leképzett vagy származtatott adat; továbbá az előzőkkel kapcsolatba hozható, az azokat befolyásoló mindennemű adat (pl. magatartás, környezet, foglalkozás);

„pszichológiai adat”: az érintett értelmi és lelki állapotára, viselkedésmódjára, örökbefogadó szülői, nevelőszülői, gyámi, gondnoki feladatok ellátására, illetve e feladatok ellátására való alkalmasság kizárására, pályaalkalmasságára, illetve a pályaalkalmasság kizárására, kóros szenvedélyére vonatkozó, illetve észlelt, vizsgált, mért, leképezett vagy származtatott adat; továbbá az előzőekkel kapcsolatba hozható, az azokat befolyásoló mindennemű adat (pl. családi környezet, foglalkozás.) (Magyar Pszichológusok Érdekvédelmi Egyesületének és a Magyar Pszichológia Társaság közös Szakmai Etikai Kódexe 5.1.2. pontja)

„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

„közeli hozzátartozó”: a házastárs, az egyenes ági rokon, az örökbe fogadott, a mostoha- és nevelt gyermek, az örökbe fogadó, a mostoha- és nevelőszülő, valamint a testvér és az élettárs;

“adatfeldolgozó”: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel – az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel;

“adatfeldolgozás”: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;

“adattovábbítás”: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

“nyilvánosságra hozatal”: az adat bárki számára történő hozzáférhetővé tétele;

“adattörlés”: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges

“profilalkotás”: személyes adat bármely olyan – automatizált módon történő – kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciáihoz vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére, elemzésére vagy előrejelzésére irányul;

5           Alapelvek és alapvető rendelkezések

5.1           Jogszerűség, tisztességes eljárás és átláthatóság

A személyes adatok kezelését jogszerűen és tisztességesen, valamint az Érintett számára átlátható módon kell végezni. (GDPR 5. cikk (1) bekezdés a) pont)

5.2           Célhoz kötöttség

A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból, jog gyakorlása és kötelezettség teljesítése érdekében történhet, és azok nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. (GDPR 5. cikk (1) bekezdés b) pont)

5.3           Adattakarékosság

A személyes adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsaknak kell lenniük, és a szükségesre kell korlátozódniuk. (GDPR 5. cikk (1) bekezdés c) pont)

5.4           Pontosság

A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék. (GDPR 5. cikk (1) bekezdés d) pont)

5.5           Korlátozott tárolhatóság

A személyes adatok tárolásának olyan formában kell történnie, amely az Érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a vonatkozó jogszabályoknak megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az Érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel. (GDPR 5. cikk (1) bekezdés e) pont)

5.6           Integritás és bizalmas jelleg

A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve. (GDPR 5. cikk (1) bekezdés f) pont)

5.7           Elszámoltathatóság

Az Adatkezelő felelős az adatkezelési elveknek való megfelelésért, továbbá képesnek is kell lennie e megfelelés igazolására (GDPR 5. cikk (2) bekezdés)

6           Adatbiztonság biztosítása

6.1           Az Adatbiztonság általános elvei:

Az Adatkezelő és az általa igénybe vett adatfeldolgozó a tudomány és technológia állása és megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.

Az Adatkezelő gondoskodik az Érintettek személyes adatainak biztonságáról, megteszi továbbá azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek a GDPR, az Infotv., valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.

Az Adatkezelő a személyes adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

Minden adatkezeléssel foglalkozó személy munkája közben köteles az elvárható legnagyobb gondossággal eljárni az adatok hitelessége, megőrzése és az illetéktelen hozzáférés megakadályozása érdekében.

Mindenki csak ahhoz az adathoz és csak olyan mértékben férhet hozzá, amire a munkája elvégzéséhez feltétlenül szüksége van.

A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében az Adatkezelő megfelelő technikai megoldással biztosítja, hogy a nyilvántartásokban tárolt adatok – kivéve, ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az Érintetthez rendelhetők.

A biztonság fenntartása és GDPR-t vagy az Infotv.-t sértő adatkezelés megelőzése érdekében az Adatkezelő értékeli az adatkezelés természetéből fakadó kockázatokat, és szükség esetén az e kockázatok csökkentését szolgáló további intézkedéseket, például titkosítást, álnevesítést alkalmaz. Jelenleg ilyen intézkedéseket az Adatkezelő nem alkalmaz.

Az Adatkezelő a személyes adatok kezeléséhez a szolgáltatása nyújtása során alkalmazott informatikai eszközöket úgy választja meg és üzemelteti, hogy a kezelt személyes adat:

(a)              az arra feljogosítottak számára hozzáférhető („rendelkezésre állás”);

(b)              hitelessége és hitelesítése biztosított („adatkezelés hitelessége”);

(c)              változatlansága igazolható („adatintegritás”);

(d)              a jogosulatlan hozzáférés ellen védett („adat bizalmassága”) legyen.

Adatkezelő az adatkezelés során megőrzi:

(a)              a titkosságot: megvédi az Érintett személyes adatát, hogy csak az férhessen hozzá, aki erre jogosult;

(b)              a sértetlenséget: megvédi az információnak, és a feldolgozás módszerének a pontosságát és teljességét;

(c)              a rendelkezésre állást: gondoskodik arról, hogy amikor az Adatkezelő részéről eljáró, arra jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök.

Az Adatkezelő az adatbiztonság feltételeinek érvényesítése és biztosítása érdekében gondoskodik az érintett alkalmazottak, alvállalkozók és személyes közreműködők megfelelő és rendszeres felkészítéséről és továbbképzéséről.

6.2           Az Adatkezelő papíralapú adatkezelésének főbb adatbiztonsági jellemzői és eszközei:

Az Adatkezelő a szerződéseket megfelelő minőségű adathordozóra (hagyományos papír, formanyomtatvány) rögzíti. Az adatok olvashatóságáért az azokat rögzítő személy felel.

A személyes adatokat tartalmazó papír dokumentumok tárolásának és védelmének biztosítását Adatkezelő különösen:

(a)              a jogosulatlan hozzáférés elleni védelem, ideértve különösen a személyes adatokat tartalmazó okiratok elkülönített tárolását és csak az arra jogosultak számára történő hozzáférés biztosítását;

(b)              az okiratok fizikai védelmét, ideértve különösen az objektumvédelmi intézkedéseket, tűzkár, vízkár, villámcsapás, egyéb elemi kár védelmét.

Személyes adatot tartalmazó papír alapú dokumentum csak zárt borítékban továbbítható az Adatkezelő partnerei részére, amennyiben papír alapon is igénylik az adatszolgáltatást.

Az Adatkezelő a személyes adatokat tartalmazó okiratokhoz történő hozzáférési jogosultságokat egyéni szinten osztja ki.

6.3           Az Adatkezelő informatikai rendszereinek főbb adatbiztonsági jellemzői és eszközei:

Az Adatkezelő által igénybe vett informatikai szolgáltató az informatikai rendszer biztonságáról, és a rendszerelemek zártságáról a rendszerszintű adminisztratív, fizikai és logikai intézkedésekkel és védelmi eljárásokkal gondoskodik, amely intézkedések a technika mindenkori állása szerint észszerűen elvárható intézkedésekből állnak, és magukban foglalják különösen:

(a)              a jogosulatlan hozzáférés elleni védelmet, ideértve különösen a rendszerekhez, eszközökhöz történő hozzáférés erős jelszóval történő védelmét;

(b)              az adatállományok helyreállításának lehetőségét biztosító intézkedéseket, különösen a rendszeres biztonsági mentést és az ilyen biztonsági mentések (másolatok) elkülönített, biztonságos kezelését;

(c)              a tárolt, vagy egyéb módon kezelt adatállományok kártékony kódok, programok elleni védelmét (vírusvédelem, tűzfal stb.);

(d)              az ilyen adatállományok, illetve az adatokat hordozó eszközök fizikai védelmét, ideértve különösen az objektumvédelmi intézkedéseket, tűzkár, vízkár, villámcsapás, egyéb elemi kár védelmét, illetve az ilyen események következtében bekövetkező károsodások helyreállíthatóságát.

Az Adatkezelő az adatbiztonság biztosítása érdekében biztosítja továbbá informatikai rendszereinek belső megfigyelését, amely során minden, a szokásostól eltérő felhasználást, vagy egyéb biztonsági eltérést rögzíthet. A rendszermegfigyelés ezen kívül lehetővé teszi az alkalmazott óvintézkedések hatékonyságának ellenőrzését is.

Az Adatkezelő a személyes adatokat tartalmazó adatállományokhoz történő hozzáférési jogosultságokat egyéni szinten osztja ki.

Külső személy (pl. karbantartás) számára a számítástechnikai eszközökhöz való hozzáférést lehetőleg úgy kell biztosítani, hogy a kezelt adatokat ne ismerhesse meg.

6.3.1            Az informatikai rendszer fizikai védelme

(i)            Általános előírások

(a)        Informatikai berendezések csak biztonsági zárral ellátott helyiségben használhatók.

(b)        A monitort úgy kell elhelyezni, hogy a megjelenő adatokat illetéktelen személyek ne tudják elolvasni.

(c)        Az informatikai eszközöket csak a kijelölt dolgozók használhatják, ezért az eszközök rendeltetésszerű működéséért és a védelméért a felhasználó felelős.

(ii)           Hardver védelem

(a)        A berendezések üzemeltetése csak hibátlan állapotban és az eszköz rendeltetésének megfelelően történhet.

(b)        A szükséges karbantartási és szervizelési munkákat a költségvetésben biztosított feltételeknek megfelelően el kell végezni.

(c)        A karbantartási munkákat tervezetten, körültekintően és gondosan kell elvégezni. A munkák szervezésénél figyelembe kell venni: a gyártó előírásait, ajánlatait, a tapasztalatokat, a hardver tesztek által feltárt hibákat.

(d)        Alapgép szétbontását csak szakember végezheti el.

(e)        A számítástechnikai rendszer vagy bármely eleme csak az ügyvezető felhatalmazásával változtatható meg, minden eszköz cseréjének idejét dokumentálni kell.

(iii)          Tűzvédelem

(a)        A tűzvédelmi feladatok általános előírásait az Adatkezelő Tűzvédelmi szabályzata tartalmazza.

6.3.2            Az informatikai rendszer személyi védelme

(i)            Rendszerszoftver-védelem

(a)        Az informatikai adatbiztonság biztosításának érdekében az Adatkezelő által végzendő cselekmények és intézkedések kidolgozása, elvégzése, felügyelete, értékelése és ellenőrzése, valamint az egyéni hozzáférések megadása és felügyelése a mindenkori rendszergazda feladata.

(b)        A rendszergazda biztosítja, hogy a rendszerszoftver naprakész állapotban legyen és a segédprogramok, programkönyvtárak mindig hozzáférhetők legyenek a felhasználók számár. A rendszerszoftver módosítását csak a rendszergazda végezheti el, a változtatásokról nyilvántartást kell vezetni.

(c)        Programfejlesztés vagy próba céljára valódi adatok felhasználását kerülni kell.

(ii)           Felhasználói programok védelme

(a)        A programok használat során az illetéktelen hozzáférést meg kell akadályozni.

(b)        A programok nyilvántartásáért és működőképes állapotban való tartásáért a rendszergazda felelős.

(c)        A számítógépekre bármilyen programot csak a rendszergazda és a programfejlesztők telepíthetnek fel.

(d)        A programokról naprakész nyilvántartást kell vezetni, amelynek az alábbi adatokat kell tartalmaznia: rendszer megnevezése, a program azonosítója, a program készítőjének neve, példányszám, az átadás ideje, módosítások megnevezése és ideje.

(iii)          Az adatrögzítés védelme

(a)        Azonos adatállomány rögzítését és ellenőrzését ugyanaz a személy nem végezheti.

(b)        Az adatfeldolgozás során a mentést meghatározott időszakonként el kell végezni, jelen esetben a rendszergazda az adatokat külső adathordozóra menti minden hónapban egy alkalommal.

(iv)          Ellenőrzés

(a)        A munkafolyamatba épített ellenőrzés során a Szabályzat rendelkezéseinek betartását a folyamatosan ellenőrizni szükséges.

(b)        Az ellenőrzésnek elő kell segíteni, hogy az informatikai rendszerben meglévő veszélyhelyzetek ne alakuljanak ki. A kialakult veszélyhelyzet esetén a károk csökkentése, illetve az ismétlődés megakadályozása az elsődleges szempont.

6.3.3            Kárelhárítás 

Elemi csapás esetén a bekövetkezett részleges vagy teljes károsodáskor az alábbiakat kell haladéktalanul elvégezni az alábbi sorrendben: 

(a)           a még használható anyagot le kell menteni, 

(b)           biztonsági mentésekről, háttértárakról a megsérült adatokat vissza kell állítani, 

(c)           a károkozás ellen védett helyiség kialakítása, 

(d)           archivált anyagok használatával a feldolgozást folytatni kell.

6.4           Az Adatkezelő alapvető belső adatkezelési gyakorlati előírásai az informatika rendszer vonatkozásában az Adatkezelő kollegái részére:

Az Adatkezelő valamennyi kollegája és közreműködője a személyes adatok kezelése során az alábbi lényeges gyakorlati előírásokat köteles betartani:

(a)              Az Adatkezelő működése során csak az adott folyamathoz elengedhetetlenül szükséges személyes adatok tárolhatók, továbbíthatók, és egyéb módon kezelhetők. Adatkezelő ügyvezetője felel az adat- és munkafolyamatok ennek megfelelő kialakításáért (szükségtelen adathalmozás elkerülése).

(b)              Az informatikai jogosultságok engedélyezésekor figyelemmel kell lenni arra, hogy személyes adathoz csak az férhessen hozzá, akinek a munkavégzéséhez az az adat, adatkör elengedhetetlenül szükséges.

E-mailben személyes adatot tartalmazó dokumentum csak csatolmányként és csak olyan módon úgy továbbítható, hogy biztosított legyen, hogy azt csak az arra jogosult tekintheti meg, ennek érdekében – minimálisan – a személyes adattartalomra utaló figyelmeztető mondatot kell elhelyezni a levél törzsszövegében, a következők szerint: „A jelen email csatolmánya személyes adatokat tartalmaz, ennek megismerésére csak és kizárólag a levél címzettje jogosult.” 

Az Adatkezelő által használt közös (több alkalmazott, személyes közreműködő stb. által elérhető) meghajtókon személyes adatot tartalmazó dokumentum csak olyan módon tárolható, ha biztosított, hogy azt csak az Adatkezelő arra jogosult alkalmazottai, személyes közreműködői stb. érhetik el.

Az Adatkezelő alkalmazottai és személyes közreműködői az általuk használt vagy birtokukban levő, személyes adatokat is tartalmazó adathordozókat – függetlenül az adatok rögzítésének módjától – kötelesek biztonságosan őrizni es védeni a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. 

7           Az Érintettek jogai

7.1           Hozzáférési jog (GDPR 15. cikk)

Az Érintett jogosult arra, hogy az Adatkezelőtől kérésére tájékoztatást kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és az alábbi információkhoz hozzáférést kapjon:

(a)              az adatkezelés céljai; 

(b)              a személyes adatok kategóriái; 

(c)              azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat az Adatkezelő közölte vagy közölni fogja (különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket); 

(d)              a személyes adatok tárolásának tervezett időtartama, ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

(e)              a Nemzeti Adatvédelmi Információszabadság Hatósághoz panasz benyújtásának joga; 

(f)               valamint amennyiben az adatokat nem közvetlenül az Érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ.

Az Adatkezelő indokolatlan késedelem nélkül, de legfeljebb a kérelem beérkezésétől számított 30 (harminc) napon belül tájékoztatja az Érintettet a kérelme nyomán hozott intézkedésekről.

Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további 60 (hatvan) nappal meghosszabbítható. A határidő meghosszabbításáról Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított 30 (harminc) napon belül tájékoztatja az Érintettet. Az Érintett részére a tájékoztatást lehetőség szerint azon az úton kell megadni, amelyen a kérelmet az Érintett előterjesztette, kivéve, ha az Érintett azt kifejezetten másként kéri.

7.2           A helyesbítéshez való jog (GDPR 16. cikk)

Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, valamint, hogy kérje a hiányos személyes adatok kiegészítését.

7.3           A törléshez való jog (GDPR 17. cikk)

Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:

(a)              a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

(b)              az Érintett visszavonja – GDPR 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében – az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

(c)              az Érintett – a GDPR 21. cikk (1) bekezdése alapján – tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az Érintett – a GDPR. 21. cikk (2) bekezdése alapján – tiltakozik az adatkezelés ellen;

(d)              a személyes adatokat az Adatkezelő jogellenesen kezelte;

(e)              ha a személyes adatokat jogszabály alapján törölni kell;

(f)               a személyes adatok gyűjtésére – a GDPR 8. cikk (1) bekezdésében említett – az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor (gyermek hozzájárulására vonatkozó feltételek).

A kezelt adatot az Adatkezelő az Érintett erre vonatkozó kérése esetén sem törli, amennyiben az adatkezelés a következő okok valamelyike miatt továbbra is szükséges:

(a)              a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;

(b)              a személyes adatok kezelését előíró jog szerinti kötelezettség teljesítése céljából;

(c)              vagy jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.

A fenti esetben Adatkezelő az Érintett személyes adatainak kezelését a fenti célokból történő adatkezelésre korlátozza.

7.4           Az adatkezelés korlátozásához való jog (GDPR 18. cikk)

Az Érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, amennyiben az alábbi feltételek bármelyike megvalósul:

(a)              az Érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;

(b)              az adatkezelés jogellenes, és az Érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

(c)              az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

(d)              az Érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben.

Az adatkezelés korlátozása esetén a korlátozással érintett személyes adatokat a tárolás kivételével csak az Érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Európai Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

A korlátozás feloldásáról az Adatkezelő előzetesen tájékoztatást nyújt az azt kérelmező Érintettnek.

7.5           Az adathordozhatósághoz való jog (GDPR 20. cikk)

Az Érintett jogosult arra, hogy a rá vonatkozó személyes adatait tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, feltéve, hogy:

(a)              az adatkezelés – a GDPR. 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti – hozzájáruláson, vagy – a GDPR 6. cikk (1) bekezdésének b) pontja szerinti – szerződésen alapul; és

(b)              az adatkezelés automatizált módon történik.

Adatkezelőnél jelenleg automatizált módon történő adatkezelés nem zajlik.

7.6           A tiltakozáshoz való jog (GDPR 21. cikk)

Az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló esetleges profilalkotást is. Az Érintett jogszerű tiltakozása esetén az Adatkezelő az Érintett személyes adatait nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

7.7           Titokvédelem különös szabályai

Az Adatkezelőt és foglalkoztatott szakembereit titoktartási kötelezettség terheli minden – az Érintett ellátása során tudomására jutott pszichológiai és személyes adatai vonatkozásában, amelyek a pszichológusi titokkörbe tartoznak. Ezeket az adatokat csak az arra jogosulttal közölheti, és köteles azokat bizalmasan kezelni. A titoktartási kötelezettség az Érintettel való kapcsolatának lezárása után is fennáll. 

A pszichológusi titok körébe tartozik minden, a szakmai tevékenység során a Adatkezelő és a foglalkozatott szakemberei tudomására jutott pszichológiai és személyazonosító adat, továbbá a szükséges vagy folyamatban lévő, illetve befejezett kezelésre vonatkozó, valamint a kezeléssel kapcsolatban megismert egyéb adat, függetlenül attól, hogy az írásbeli, vagy szóbeli közléssel, vagy bármely pszichológiai vizsgálat során ismert meg

Az Adatkezelőnek és az általa foglalkozatott szakembereinek a pszichológiai adatok 

Az Adatkezelő és az általa foglalkozatott szakemberei tiszteletben tartják az Érintettek azon igényét, hogy a pszichológiai vizsgálat várható kimeneteléről, eredményéről kiknek adható felvilágosítás, illetve, hogy az Érintett kiket zár ki pszichológiai adatainak részleges vagy teljes megismeréséből. 

Az Érintett pszichológiai adatait az Érintett hozzájárulása hiányában is közölni kell, amennyiben ezt 

(a)              törvény elrendeli, illetve 

(b)              mások védelme szükségessé teszi. 

Az Érintett gondozását végző személlyel az Érintett hozzájárulása nélkül is közölni lehet azokat a pszichológiai adatokat, amelyek ismeretének hiánya az Érintett pszichés állapotát hátrányosan befolyásolja. Ezen belül megoszthatja a szülővel a rábízott titkot, amennyiben a gyermeknek ebből nem származik kára. Ha azonban a pszichológus úgy ítéli meg, hogy a gyermek érdekét súlyosan sértheti a tudomására jutott bizalmas információ kiadása, továbbra is köteles megőrizni azt. 

Az Adatkezelő és szakemberi az Érintett felé biztosíja, hogy vizsgálata és ellátása során csak azok a személyek legyenek jelen, akiknek részvétele az ellátásban szükséges, illetve azok, akiknek jelenlétéhez az Érintett hozzájárult. A titoktartás kötelezettség terheli az Érintett vizsgálata és ellátása során jelenlévő és az ellátásban résztvevő személyeket is. Az Adatkezelő és szakemberi kötelesek e személyek figyelmét titoktartási kötelezettségükre felhívni, és őket a titoktartási kötelezettség tartalmáról tájékoztatni.

Azokkal a személyekkel (vagy legális képviselőikkel) vagy szervezetekkel, amelyekkel szakmai vagy tudományos kapcsolatba kerül, – lehetőség szerint előzetesen, illetve amint új körülmények merülnek fel – megtárgyalja 

(a)              a titoktartás megfelelő határait, mértékét,

(b)              a kapcsolat során nyert információk előrelátható felhasználását.

Megőrizi az őt alkalmazó, illetve megbízó szervezet szolgálati titkait is.

A különböző elektronikus médiákban szolgáltatást, információt nyújtó szakember felhívja az Érintettek figyelmét azokra a kockázatokra, amelyek a bizalmas adatokat és a titoktartást érinthetik. 

Az Adatkezelő ügyel arra, hogy publikációiban, beszámolóiban, előadásaiban, oktatási tevékenysége vagy a médiában tett nyilatkozatai során – az Érintettek előzetes beleegyezése vagy törvényi felhatalmazás nélkül – a szakmai titoktartás kötelezettsége alá eső információk ne jussanak illetéktelen személy tudomására. Gondoskodik arról, hogy a személyre, szervezetre, illetőleg a körülményekre vonatkozó adatokat úgy elfedje, hogy azok alapján az érintettek ne legyenek felismerhetők. (Magyar Pszichológusok Érdekvédelmi Egyesületének és a Magyar Pszichológia Társaság közös Szakmai Etikai Kódexe 5. pontja)

8           Az adatkezelés szabályai

8.1           Az Érintett tájékoztatása az adatkezelésről

Az Érintett jogosult a személyes adatai kezeléséről tömör, átlátható és könnyen hozzáférhető formában, világosan és közérthetően tájékoztatást kapni. Az Érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell az Érintett részére megadni, illetve, ha az adatokat nem az Érintettől, hanem más forrásból gyűjtötték, az ügy körülményeit figyelembe véve, észszerű határidőn belül kell rendelkezésre bocsátani.

Ha a személyes adatokat az Érintettől gyűjtik, az Érintettet arról is tájékoztatni kell, hogy köteles-e a személyes adatokat közölni, valamint, hogy az adatszolgáltatás elmaradása milyen következményekkel jár.

Az Érintettet a profilalkotás és automatizált döntéshozatal tényéről és annak következményeiről tájékoztatni kell. Ha a személyes adatok jogszerűen közölhetők más címzettel, a címzettel történő első közléskor arról az Érintettet tájékoztatni kell. Ha az Adatkezelő a személyes adatokat a gyűjtésük eredeti céljától eltérő célból kívánja kezelni, a további adatkezelést megelőzően az Érintettet erről az eltérő célról és minden egyéb szükséges tudnivalóról tájékoztatnia kell.

Ha az Adatkezelő nem tud tájékoztatást nyújtani az Érintett részére a személyes adatok eredetéről, mivel azok különböző forrásokból származnak, általános tájékoztatást kell adni.

A tájékoztatásnak ki kell terjednie (i) az Adatkezelő kilétére és elérhetőségére; (ii) az Adatkezelő adatvédelmi tisztviselőjének elérhetőségeire (ha van ilyen);(iii) a személyes adatok tervezett kezelésének céljára, valamint az adatkezelés jogalapjára; (iv) a „jogos érdeken” alapuló adatkezelés esetén ezen jogos érdekekre; (v) a személyes adatok címzettjeire; (vi) az adatkezelés tervezett időtartamára; (vii) az Érintett azon jogára, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az Érintett adathordozhatósághoz való jogára; (viii) a felügyeleti hatósághoz címzett panasz benyújtásának jogára; (ix) arra, hogy a szerződés kötésének előfeltétele-e az adatok megadása, illetve milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása; és (x) az esetleges automatizált döntéshozatalra, ideértve a profilalkotást is.

8.2           Az adatkezelés jogszerűsége

A személyes adatok kezelése akkor jogszerű, amennyiben legalább az alábbiak egyike teljesül:

(a)              az Érintett hozzájárulását adta személyes adatainak kezeléséhez (GDPR 6. cikk (1) bekezdés a) pont), vagy

(b)              az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az egyik fél, vagy az a szerződés megkötését megelőzően az Érintett kérésére történő lépések megtételéhez szükséges, (GDPR 6. cikk (1) bekezdés b) pont) vagy

(c)              az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (GDPR 6. cikk (1) bekezdés c) pont), vagy

(d)              az adatkezelés az Érintett vagy egy más természetes személy létfontosságú érdekeinek védelme miatt szükséges (GDPR 6. cikk (1) bekezdés d) pont), vagy

(e)              az adatkezelés közérdekű feladat végrehajtásához szükséges (GDPR 6. cikk (1) bekezdés e) pont), vagy

(f)               az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az Érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az Érintett gyermek. (GDPR 6. cikk (1) bekezdés f) pont)

9           Adatkezelő által kezelt személyes adatok köre, az egyes adatkezelések célja, jogalapja és időtartama

9.1           Pszichológiai tanácsadás

Az Adatkezelő a pszichológiai tanácsadást igénylő vagy ténylegesen igénybe vevő magánszemélyek (illetve a törvényes képviselő) (együttesen) mint Érintettek azonosításhoz szükséges és elégséges személyazonosító adatait, egészségügyi adatait az alábbi fő célokból kezelheti (az Eüak.tv. 4. §. (1) bekezdése alapján):

(a)              tanácsadás időpontjának rögzítése, Érintett igényének felmérése;

(b)              tanácsadás biztosítása;

(c)              az egészség megőrzésének, javításának, fenntartásának előmozdítása;

(d)              az Érintett állapotának nyomon követése.

Az Érintett a hozzájárulását bármikor visszavonhatja. A hozzájárulás visszavonása nem érinti a visszavonást megelőző adatkezelés jogszerűségét.

Az Adatkezelés során előfordul, hogy az Adatkezelő harmadik személyektől (például hozzátartozóktól) kap az Érintettre vonatkozó személyes adatokat.

Az Adatkezelő – az általa foglalkozatott – adatfeldolgozót vesz igénybe, akinek továbbítja AZ Érintett személyes adatait a pszichológiai tanácsadáshoz.

Az Eüak.tv. 28. § alapján az Adatkezelő – az általa foglalkoztatottak közül – az Érintett igényeinek megfelelő szakembert választ ki és a részére az Érintettről és állapotáról adatokat átadni.

Az Érintett személyes adatai papíralapon, illetve elektronikus adatbázisban találhatóak.

Az Eütv. vonatkozó rendelkezése értelmében az Érintett köteles a személyes adatait hitelt érdemlően igazolni.

Az egészségügyi dokumentációnak az Eüak.tv-ben előírt határidőt követően történő megőrzésére abban az esetben van lehetőség, ha (i) az az Érintett egyéb, 30 (harminc) évnél nem régebbi egészségügyi adatkezelésével kapcsolatba hozható, valamint (ii) a betegség természete, (iii) a kezelés jellege, (iv) az Érintett személy, vagy (v) általános tudomány- és kultúrtörténeti okok miatt annak tudományos jelentősége van.

Az egészségügyi és a személyazonosító adatoknak (egészségügyi vonatkozásban) az Érintett részéről történő szolgáltatása önkéntes.

9.2           Csoportos tanácsadás

Az Adatkezelő a csoportos tanácsadást igénylő vagy ténylegesen igénybe vevő magánszemélyek (illetve a törvényes képviselő) (együttesen) mint Érintettek azonosításhoz szükséges és elégséges személyazonosító adatait, egészségügyi adatait az alábbi fő célokból kezelheti (az Eüak.tv. 4. §. (1) bekezdése alapján):

(e)              tanácsadás időpontjának rögzítése, Érintett igényének felmérése;

(f)               tanácsadás biztosítása;

(g)              az egészség megőrzésének, javításának, fenntartásának előmozdítása;

(h)              az Érintett állapotának nyomon követése.

Az Érintett a hozzájárulását bármikor visszavonhatja. A hozzájárulás visszavonása nem érinti a visszavonást megelőző adatkezelés jogszerűségét.

Az Adatkezelés során előfordul, hogy az Adatkezelő harmadik személyektől (például hozzátartozóktól) kap az Érintettre vonatkozó személyes adatokat.

Az Adatkezelő – az általa foglalkozatott – adatfeldolgozót vesz igénybe, akinek továbbítja az Érintett személyes adatait a csoportos tanácsadáshoz.

Az Eüak.tv. 28. § alapján az Adatkezelő – az általa foglalkoztatottak közül – az Érintett igényeinek megfelelő szakembert választ ki és a részére az Érintettről és állapotáról adatokat átadni.

Az Érintett személyes adatai papíralapon, illetve elektronikus adatbázisban találhatóak.

Az Eütv. vonatkozó rendelkezése értelmében az Érintett köteles a személyes adatait hitelt érdemlően igazolni.

Az egészségügyi dokumentációnak az Eüak.tv-ben előírt határidőt követően történő megőrzésére abban az esetben van lehetőség, ha (i) az az Érintett egyéb, 30 (harminc) évnél nem régebbi egészségügyi adatkezelésével kapcsolatba hozható, valamint (ii) a betegség természete, (iii) a kezelés jellege, (iv) az Érintett személy, vagy (v) általános tudomány- és kultúrtörténeti okok miatt annak tudományos jelentősége van.

Az egészségügyi és a személyazonosító adatoknak (egészségügyi vonatkozásban) az Érintett részéről történő szolgáltatása önkéntes.

9.3           Párterápia

Az Adatkezelő párterápia szolgáltatását igénylő és igénybe vevő magánszemélyek, mint Érintettek azonosításhoz és szükséges, elégséges személyazonosító adatait az alábbiak alapján kezelheti:

Az Érintett a hozzájárulását bármikor visszavonhatja. A hozzájárulás visszavonása nem érinti a visszavonást megelőző adatkezelés jogszerűségét.

Az Adatkezelés során előfordul, hogy az Adatkezelő harmadik személyektől (például hozzátartozóktól) kap az Érintettre vonatkozó személyes adatokat.

Az Adatkezelő – az általa foglalkozatott – adatfeldolgozót vesz igénybe, akinek továbbítja a párterápiához.

Az Eüak.tv. 28. § alapján az Adatkezelő – az általa foglalkoztatottak közül – az Érintett igényeinek megfelelő szakembert választ ki és a részére az Érintettről és állapotáról adatokat átadni.

Az Érintett személyes adatai papíralapon, illetve elektronikus adatbázisban találhatóak.

Az Eütv. vonatkozó rendelkezése értelmében az Érintett köteles a személyes adatait hitelt érdemlően igazolni.

Az egészségügyi dokumentációnak az Eüak.tv-ben előírt határidőt követően történő megőrzésére abban az esetben van lehetőség, ha (i) az az Érintett egyéb, 30 (harminc) évnél nem régebbi egészségügyi adatkezelésével kapcsolatba hozható, valamint (ii) a betegség természete, (iii) a kezelés jellege, (iv) az Érintett személy, vagy (v) általános tudomány- és kultúrtörténeti okok miatt annak tudományos jelentősége van.

Az egészségügyi és a személyazonosító adatoknak (egészségügyi vonatkozásban) az Érintett részéről történő szolgáltatása önkéntes. 

9.4           Pszichoterápia

Az Adatkezelő a pszichoterápiát igénylő vagy ténylegesen igénybe vevő magánszemélyek (illetve a törvényes képviselő) (együttesen) mint Érintettek azonosításhoz szükséges és elégséges személyazonosító adatait, egészségügyi adatait az alábbi fő célokból kezelheti (az Eüak.tv. 4. §. (1) bekezdése alapján):

(a)              terápia időpontjának rögzítése, Érintett igényének felmérése;

(b)              terápia biztosítása;

(c)              az egészség megőrzésének, javításának, fenntartásának előmozdítása;

(d)              az Érintett állapotának nyomon követése.

Az Érintett a hozzájárulását bármikor visszavonhatja. A hozzájárulás visszavonása nem érinti a visszavonást megelőző adatkezelés jogszerűségét.

Az Adatkezelés során előfordul, hogy az Adatkezelő harmadik személyektől (például hozzátartozóktól) kap az Érintettre vonatkozó személyes adatokat.

Az Eüak.tv. 28. § alapján az az Adatkezelő – az általa foglalkoztatottak közül – az Érintett igényeinek megfelelő szakembert választ ki és a részére az Érintettről és állapotáról adatokat átadni.

Az Adatkezelő – az általa foglalkozatott – adatfeldolgozót vesz igénybe, akinek továbbítja a pszichoterápiához.

Az Érintett beteg személyes adatai papíralapon, illetve elektronikus adatbázisban találhatóak.

Az Eütv. vonatkozó rendelkezése értelmében az Érintett köteles a személyes adatait hitelt érdemlően igazolni.

Egészségügyi és személyazonosító adatot (egészségügyi vonatkozásban) – törvényben meghatározott esetekben – az Eüak.tv. 4. § (2) bekezdésben meghatározott célokból is lehet kezelni.

Az Eüak.tv. alapján a jelen Szabályzatban fentebb meghatározott céloktól eltérő célra is lehet az Érintett, illetve törvényes vagy meghatalmazott képviselője – megfelelő tájékoztatáson alapuló önkéntes, egyértelműen kifejezett akaratot tartalmazó, és a szabályszerű nyilatkozat megtételét hitelt érdemlően bizonyító módon tett – hozzájárulásával egészségügyi adatot kezelni teljeskörűen vagy egyes adatkezelési tevékenységre kiterjedően.

Az egészségügyi dokumentációnak az Eüak.tv-ben előírt határidőt követően történő megőrzésére abban az esetben van lehetőség, ha (i) az az Érintett egyéb, 30 (harminc) évnél nem régebbi egészségügyi adatkezelésével kapcsolatba hozható, valamint (ii) a betegség természete, (iii) a kezelés jellege, (iv) az Érintett személy, vagy (v) általános tudomány- és kultúrtörténeti okok miatt annak tudományos jelentősége van.

Az egészségügyi és a személyazonosító adatoknak (egészségügyi vonatkozásban) az Érintett részéről történő szolgáltatása – az egészségügyi ellátás igénybevételéhez kötelezően előírt személyazonosító adatok és az Eüak.tv. 13. §-ban foglaltak kivételével – önkéntes.

Abban az esetben, ha az Érintett önként fordul az egészségügyi ellátóhálózathoz, a gyógykezeléssel összefüggő egészségügyi és személyazonosító adatainak kezelésére szolgáló hozzájárulását – ellenkező nyilatkozat hiányában – megadottnak kell tekinteni, és erről az Érintettet (törvényes képviselőjét, hozzátartozóját) tájékoztatni kell. Sürgős szükség, valamint az Érintett belátási képességének hiánya esetén az önkéntességet vélelmezni kell.

Az Eüak.tv. 4. § (1) bekezdése szerinti adatkezelés és adatfeldolgozás esetén az érintett betegségével kapcsolatba hozható minden olyan egészségügyi adat továbbítható, amely a kezelőorvos döntése alapján a gyógykezelés érdekében fontos, kivéve, ha ezt az Érintett írásban vagy önrendelkezési nyilvántartásba vett nyilatkozatában megtiltja. Ennek lehetőségéről a továbbítás előtt az Érintettet tájékoztatni kell. Az Eüak.tv. 13. § szerinti esetekben az Érintett tiltása ellenére is továbbítani kell az egészségügyi és személyazonosító adatot.

9.5           Rendelési sáv bérlése

Az Adatkezelő az helyiségeit igénybe vevő magánszemélyek mint Érintettek azonosításhoz szükséges és elégséges személyazonosító adatait, egészségügyi adatait az alábbi fő célokból kezelheti:

9.6           Munkavállalókkal összefüggő személyes adatok kezelése

Az Adatkezelő a vele munkaviszonyban álló, vagy ilyen jogviszonyt létesíteni kívánó magánszemélyek személyes adatait a jelen Szabályzat 1. számú mellékletét képező munkáltatói adatkezelési szabályzat és tájékoztatóban foglaltak szerint kezeli.

9.7           Megbízottakkal, vállalkozókkal összefüggő személyes adatok kezelése

Az Adatkezelő a vele megbízotti, vállalkozói jogviszonyban álló, vagy ilyen jogviszonyt létesíteni kívánó magánszemélyek személyes adatait a jelen Szabályzat 2. számú mellékletét képező megbízotti, vállalkozói adatkezelési szabályzat és tájékoztatóban foglaltak szerint kezeli.

9.8           Adatkezelő honlapján folytatott adatkezelés

9.8.1            Sütik használata

Az Adatkezelő a honlapján (https://mindsetpszichologia.hu/ vagy https://avomed.hu/) ún. “sütiket” (cookiek) használ a honlap szolgáltatásainak személyre szabása és annak minősége javítása céljából.

A süti (angolul: cookie) egy olyan adat, amit a meglátogatott weboldal küld a látogató eszközén (számítógép, tablet, mobil stb.)  futó böngészőnek, hogy az eltárolja és később ugyanaz a weboldal be is tudja tölteni a tartalmát. A sütinek lehet érvényessége, érvényes lehet a böngésző bezárásáig, de korlátlan ideig is. A süti nem a felhasználót, hanem az általa használt eszközt, böngészőt azonosítja, de ezen keresztül alkalmas a személy azonosítására.  A veszélye abban rejlik, hogy erről a felhasználónak nem minden esetben van tudomása és alkalmas lehet arra, hogy felhasználót kövesse a weboldal üzemeltetője vagy más (harmadik) szolgáltató, akinek a tartalma be van építve az oldalban (pl. Facebook, Google Analytics), ezáltal profil jön létre róla, ebben az esetben pedig a süti tartalma személyes adatnak tekinthető.

A sütik fajtáit a betöltött funkciók, vagy alkalmazási célok szerint szokás megkülönböztetni, egységes terminológiája ennek nincs, és az egyes csoportok között is lehet átfedés.

(a)              Technikailag elengedhetetlen sütik. Nevezik ezeket munkamenet (session) sütiknek, vagy funkcionális sütiknek is. Lényegük, hogy ezek nélkül az oldal egyszerűen nem működne funkcionálisan, a honlap helyes működéséhez szükséges minimális feltételeket biztosítják.  Ezek a felhasználó azonosításához szükségesek, pl. annak kezeléséhez, hogy belépett-e, mit tett a kosárba, stb. Ez jellemzően egy session-id letárolása, a többi adat a szerveren kerül tárolásra, ami így biztonságosabb.  Más terminológiák session cookie-nak hívnak minden sütit, amik a böngészőből való kilépéskor törlődnek (egy session egy böngészőhasználat az elindítástól a bezárásig). Ezen sütik adatkezelésének időtartama kizárólag a látogató aktuális látogatására vonatkozik, a munkamenet végeztével, illetve a böngésző bezárásával a sütik e fajtája automatikusan törlődik a számítógépéről.

(b)              Használatot elősegítő sütik: ezeket is többféleképpen nevezik: analizáló, elmező oldalfejlesztési vagy statisztika süti. Ezek a sütik megjegyzik a felhasználó választásait, például milyen formában szeretné a felhasználó az oldalt látni. Ezek a fajta sütik lényegében a sütiben tárolt beállítási adatokat jelentik.

(c)              Reklámmegjelenítést biztosító és közösségi médiával kapcsolatos sütik. Ezeket nevezik még teljesítményt biztosító sütiknek, élményt biztosító sütiknek, marketing sütiknek. Nem sok közük van a "teljesítmény"-hez, általában így nevezik azokat a sütiket, amelyek információkat gyűjtenek a felhasználónak a meglátogatott weboldalon belüli viselkedéséről, eltöltött idejéről, kattintásairól. A közösségi médiához is kapcsolódnak.  Ezek jellemzően harmadik fél alkalmazásai (pl. Google Analytics, AdWords, Facebook Like Box vagy Yandex.ru sütik). Ezek a látogatóról profilalkotás készítésére alkalmasak.

Ilyen sütik esetén harmadik országba is történhet adattovábbítás – a sütik alkalmazásának elfogadása a felhasználó részéről a harmadik országba történő adattovábbításhoz való hozzájárulást is jelenti.

A Google Analytics sütikről itt tájékozódhat:

https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage

A Google AdWords sütikről itt tájékozódhat:

https://support.google.com/adwords/answer/2407785?hl=hu

A Facebook sütikről itt tájékozódhat.

https://www.facebook.com/policies/cookies/

A sütik használatának elfogadása, engedélyezése nem kötelező. Visszaállíthatja böngészője beállításait, hogy az utasítsa el az összes cookie-t, vagy hogy jelezze, ha a rendszer éppen egy cookie-t küld.  A legtöbb böngésző ugyan alapértelmezettként automatikusan elfogadja a sütiket, de ezek általában megváltoztathatóak annak érdekében, hogy megakadályozható legyen az automatikus elfogadás és minden alkalommal felajánlja a választás lehetőségét.

A legnépszerűbb böngészők süti beállításairól az alábbi linkeken tájékozódhat:

GoogleChrome: https://support.google.com/accounts/answer/61416?hl=hu

Firefox: https://support.mozilla.org/hu/kb/sutik-engedelyezese-es-tiltasa-amit-weboldak-haszn

Microsoft Internet Explorer 11: http://windows.microsoft.com/hu-hu/internet-explorer/delete-manage-cookies#ie=ie-11

Microsoft Internet Explorer 10: http://windows.microsoft.com/hu-hu/internet-explorer/delete-manage-cookies#ie=ie-10-win-7

Microsoft Internet Explorer 9: http://windows.microsoft.com/hu-hu/internet-explorer/delete-manage-cookies#ie=ie-9

Microsoft Internet Explorer 8: http://windows.microsoft.com/hu-hu/internet-explorer/delete-manage-cookies#ie=ie-8

MicrosoftEdge: http://windows.microsoft.com/hu-hu/windows-10/edge-privacy-faq

Safari: https://support.apple.com/hu-hu/HT201265

Mindezek mellett azonban felhívjuk a figyelmet arra, hogy előfordulhat, hogy bizonyos webhelyfunkciók vagy -szolgáltatások nem fognak megfelelően működni cookie-k nélkül.

Az egyes weboldalak eltérő intenzitással alkalmaznak sütiket, előfordulhat az is, hogy egy weboldal nem alkalmaz, mert nem szükséges a működéséhez, vagy csak minimális mértékben alkalmaz.

9.8.2            Kérdés feltevés

Az Adatkezelő honlapján keresztül az Érintettek fel tudják tenni a kérdéseiket az Adatkezelőnek, amennyiben bármilyen kérdésük merülne fel. Az Adatkezelő az Érintett által megadott adatokat az alábbi fő célokból kezelheti:

Az Érintett a hozzájárulását bármikor visszavonhatja. A hozzájárulás visszavonása nem érinti a visszavonást megelőző adatkezelés jogszerűségét.

9.8.3            Kapcsolatfelvétel

Az Adatkezelő honlapján keresztül az Érintettek fel tudják venni a kapcsolatot az Adatkezelővel, amennyiben bármilyen kérdésük merülne fel a szolgáltatásával kapcsolatban. Az Adatkezelő az Érintett által megadott adatokat az alábbi fő célokból kezelheti:

Az Érintett a hozzájárulását bármikor visszavonhatja. A hozzájárulás visszavonása nem érinti a visszavonást megelőző adatkezelés jogszerűségét.

9.8.4            Online időpontfoglalás

Az Adatkezelő honlapján keresztül az Érintettek időpontot tudnak foglalni, az Adatkezelő szolgáltatásaihoz. Az Adatkezelő az Érintett által megadott adatokat az alábbi fő célokból kezelheti:

Az Érintett a hozzájárulását bármikor visszavonhatja. A hozzájárulás visszavonása nem érinti a visszavonást megelőző adatkezelés jogszerűségét.

9.9           Hírlevél

Az Adatkezelő hírlevélre feliratkozó Érintett által megadott adatokat az alábbi fő célokból kezelheti:

Az Érintett a hozzájárulását bármikor visszavonhatja. A hozzájárulás visszavonása nem érinti a visszavonást megelőző adatkezelés jogszerűségét.

9.10         Az Adatkezelő Facebook, Instagram és LinkedIn oldalán folytatott adatkezelés

A Facebook lapját, a https://www.facebook.com/ weboldalt a Facebook Inc. (1601 S. California Ave, Palo Alto, CA 94304, USA) üzemelteti, melyért a Facebook Ireland Limited (Hanover Reach, 5-7 Hanover Quay, Dublin 2, Írország) a felelős Európában. A beépülő modulok általában Facebook logóval vannak megjelölve.

A Instagram lapját, a https://www.instagram.com/ weboldalt a Facebook Inc. (1601 S. California Ave, Palo Alto, CA 94304, USA) üzemelteti, melyért a Facebook Ireland Limited (Hanover Reach, 5-7 Hanover Quay, Dublin 2, Írország) a felelős Európában. A beépülő modulok általában Instagram logóval vannak megjelölve.

A LinkedIn lapját, a https://www.linkedin.com/ weboldalt a LinkedIn Ireland Unlimited Company (Wilton Place, Dublin 2, Írország) üzemelteti. A beépülő modulok általában LinkedIn logóval vannak megjelölve.

Adatkezelőnek nincsen ráhatása arra, hogy a közösségi hálók milyen jellegű és terjedelmű adatokat gyűjtenek és maga kizárólag a honlap által használt Facebook, Instagram és LinkedIn beépülő modul által mindenkor esetlegesen gyűjtött és kezelt adatokat ad át a Facebook, Instagram és LinkedIn részére, amennyiben ehhez az Érintett a fentiek szerinti kifejezett hozzájárulását adja, vagy a Facebook, Instagram és LinkedIn modult használja.

A Facebook és Instagram közösségi háló szolgáltató – mindenkori gyakorlata és szabályzata szerint – felhasználói profilként tárolja az érintettről gyűjtött adatokat és azokat reklámozás, piackutatás és/vagy a honlap keresletorientált tervezése céljából használja. Az ilyen értékelés különösen a keresletnek megfelelő reklámtevékenység kialakítása érdekében történik (a nem bejelentkezett felhasználóknak is), valamint azért, hogy a közösségi háló más felhasználóit tájékoztassa az Érintettnek a honlapon folytatott tevékenységeiről. Érintett jogosult tiltakozni ezen felhasználói profilok létrehozása ellen, amely esetben e jog gyakorlása érdekében fel kell vennie a kapcsolatot az adott beépülő modul szolgáltatójával.

Fontos, hogy a böngészéssel kapcsolatban fentiek szerint gyűjtött adatok arra tekintet nélkül kerülnek továbbításra, hogy van-e az Érintettnek fiókja a beépülő modul szolgáltatójánál és be van-e oda jelentkezve.

A LinkedIn vállalati profilra vonatkozó anonimizált statisztikai adatokat bocsát az Adatkezelő LinkedIn-oldalának felhasználóiról és látogatóiról. Ezek az úgynevezett „Profile-Insights” statisztikák összesített statisztikák, amelyek bizonyos tevékenységek esetén keletkeznek és amelyeket a LinkedIn rögzít, amikor a felhasználók és a látogatók kapcsolatba kerülnek az Adatkezelő vállalati profiljával és a kapcsolódó tartalmakkal.

A Facebook, Instagram és a LinkedIn általi adatgyűjtés céljával és terjedelmével, valamint a Facebook, Instagram és LinkedIn általi adatkezeléssel kapcsolatos további információkat a Facebook, Instagram és LinkedIn mindenkori adatvédelmi szabályzataiban talál, amelyben további információkat találhat az Érintett a jogairól, valamint az adatainak védelmét szolgáló beállítási lehetőségekről.

10        Adatkezelési tevékenységek nyilvántartása

Az Adatkezelő és képviselője (adatvédelmi tisztviselője) a felelősségében tartozó adatkezelési tevékenységekről adatkezelési nyilvántartást a GDPR 30. cikk rendelkezéseire tekintettel vezet.

11        Adatvédelmi hatásvizsgálat

A tervezett adatkezelési műveletek személyes adatok védelmére vonatkozó hatása tekintetében az Adatkezelő az adatkezelés megkezdését megelőzően hatásvizsgálatot folytat le, amennyiben a tervezett adatkezelés – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Ha az elvégzett kockázatbecslés alapján a tervezett adatkezelés valószínűsíthetően az Érintetteket megillető, valamely alapvető jog érvényesülését lényegesen befolyásolja, az Adatkezelő – a kötelező adatkezelés eseteit kivéve – az adatkezelés megkezdését megelőzően írásban elemzést készít arról, hogy a tervezett adatkezelés az Érintetteket megillető alapvető jogok érvényesülésére milyen várható hatásokat fog gyakorolni, amelynek tartalmaznia kell továbbá a kockázatok kezelése céljából tervezett, valamint a személyes adatokhoz fűződő jog érvényesülésének biztosítására irányuló, az Adatkezelő által alkalmazott intézkedéseket.

12        Adatok megőrzése és törlése

Az Adatkezelő az Érintett személyes adatait csak a lehető legrövidebb ideig tárolhatja. Ennek az időtartamnak a meghatározásánál figyelembe kell venni az adatkezelés okát, valamint az Adatkezelőre irányadó, az adatok meghatározott ideig történő megőrzésére irányuló jogszabályi előírásokat.

Az Adatkezelő a személyes adatot törli, ha:

(a)           annak kezelése jogellenes;

(b)           az Érintett azt a jelen Szabályzat 7.3. pontjával összhangban kéri, és a kivételek között felsorolt és meghatározott esetek egyike sem áll fenn;

(c)           az adat hiányos vagy téves – és ez az állapot jogszerűen nem orvosolható –, feltéve, hogy a törlést jogszabály nem zárja ki;

(d)           az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;

(e)           azt bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság elrendelte;

(f)            az adat törlését jogszabály elrendeli.

Az Adatkezelő a létre nem jött szolgáltatási szerződéssel kapcsolatos banktitkot képező személyes adatokat addig kezelheti, ameddig a szerződés létrejöttének meghiúsulásával kapcsolatban igény érvényesíthető, ezt követően azokat köteles törölni. a létre nem jött szolgáltatási szerződéssel kapcsolatos banktitkot képező ügyféladatokat, személyes adatokat addig kezelheti, ameddig a szerződés létrejöttének meghiúsulásával kapcsolatban igény érvényesíthető. Az igényérvényesítés szempontjából – törvény eltérő rendelkezése hiányában – a Ptk.-ban meghatározott általános elévülési idő az irányadó.

Törlés esetén az Adatkezelő az adatokat személyazonosításra alkalmatlanná teszi. Amennyiben jogszabály azt előírja, az Adatkezelő a személyes adatot tartalmazó adathordozót megsemmisíti. Az Adatkezelő fenntartja a jogot, hogy a törölt adatokat személyazonosításra alkalmatlan módon nyilvántartsa.

13        Adattovábbítás

Az Adatkezelő szervezetén belül az Érintettek személyes adatait kizárólag a célhoz kötöttség elvével összhangban továbbíthatók és csak megfelelő cél esetén biztosítható ilyen adatokhoz hozzáférés.

Az Adatkezelő az Érintettek személyes adatait közvetlen üzletszerzésre, direkt marketing vagy tájékoztatási célra, így különösen saját üzletszerzési céljaira kizárólag az Érintett kifejezett és előzetes hozzájárulásával használhatja fel.

13.1         Az Adatkezelőn kívüli, harmadik személy részére történő adattovábbítás általános szabályai

Személyes adatot továbbítani harmadik személy részére csak jogszabályi felhatalmazás alapján vagy az Érintett előzetes hozzájárulásával lehet.

Az adattovábbítást megelőzően az Adatkezelő kötelessége megvizsgálni, hogy annak törvényi feltételei fennállnak-e, illetve a továbbítást követően az adatkezelés feltételei minden egyes személyes adatra megvalósulnak-e.

Ugyanazon adatkezelők számára történő, azonos Érintettre vonatkozó és azonos célú adattovábbítás előtt az adattovábbítás jogszerűségének vizsgálatába az adatvédelmi tisztviselőt is be kell vonni. Az ezt követő adattovábbítások során külön vizsgálatot lefolytatni nem kell.

13.2         Továbbítás külföldre vagy harmadik országba

Az adattovábbítást megelőzően – az adatvédelmi tisztviselő bevonásával – az Adatkezelő kötelessége megvizsgálni, hogy annak törvényi feltételei fennállnak-e, illetve, hogy a továbbítást követően az adatkezelés feltételei minden egyes, a továbbítással érintett személyes adatra megvalósulnak-e.

Az Adatkezelő a GDPR 13. cikk (1) bekezdés f) pontja alapján rögzíti, hogy a jelen Szabályzat hatálybalépésének időpontjában nemzetközi szervezet részére nem továbbít általa kezelt adatot.

Az Adatkezelő a GDPR 13. cikk (1) bekezdés f) pontja alapján rögzíti, hogy a jelen Szabályzat hatálybalépésének időpontjában harmadik országba kizárólag a jelen Szabályzatban foglaltak szerint, amennyiben az alábbi feltételek legalább egyike teljesül:

-                 az Érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról;

-                 az adattovábbítás az Érintett és az Adatkezelő közötti szerződés teljesítéséhez, vagy az Érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;

-                 az adattovábbítás az Érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az Érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására.

Más esetben az Adatkezelő harmadik országba nem továbbít általa kezelt adatot.

13.3         Adatszolgáltatások hatósági megkeresés alapján

Hivatalos szervektől (különösen, de nem kizárólag bíróság, ügyészség, nyomozó hatóság, szabálysértési hatóság, közigazgatási hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság, illetőleg jogszabály felhatalmazása alapján más szervek) beérkező adatkérés alapján – az abban megjelölt módon és tartalommal – tájékoztatás adására, adatok közlésére, átadására, illetőleg iratok rendelkezésre bocsátására akkor kerül sor az Adatkezelő részéről, amennyiben a kérelmező hatóság adatkérése az Adatkezelő legjobb tudomása szerint valószínűsíthetően jogszerű. Az Adatkezelő személyes adatok hivatalos szervek részére történő átadásának esetleges jogszerűtlenségével kapcsolatos ezen felüli felelősségét kizárja.

13.4         Az Adatkezelő által kezelt személyes adatok az Érintett hozzájárulása nélkül átadhatóak:

(a)              az Adatkezelő és az Érintett közötti esetleg jogviták rendezésére jogszabály alapján jogosult szervek (békéltető testület, felügyeleti hatóság stb.) részére;

(b)              ha az Érintett elháríthatatlan okból nem képes hozzájárulását megadni, az Érintett vagy más személy létfontosságú érdekeinek védelme, vagy a személyek életét, testi épségét vagy javait fenyegető veszély elhárítása vagy megelőzése érdekében, az adatok megismerésére külön törvényben felhatalmazott szerv kérelme alapján a felhatalmazott szerv részére;

(c)              az Adatkezelő jogainak érvényesítése érdekében esetenként közreműködő jogi képviselők (ügyvédi irodák) részére;

(d)              az Adatkezelő az Érintettel vagy az általa képviselt/tulajdonolt vállalattal szembeni követelése harmadik személyek részére történő (tovább)engedményezése esetén az érintett követelésekre, valamint a követelések kötelezettjeire vonatkozó adatokat az engedményes, illetve a követelésre ajánlatot tevő személy részére;

(e)              az Adatkezelő az Érintettel vagy az általa képviselt/tulajdonolt vállalattal szembeni követelése érvényesítése érdekében azon további igazgatási szerv, hatóság, bíróság, végrehajtó részére, aki (amely) a követelésbehajtáshoz szükséges bármely jogi eljárást lefolytatja;

(f)               azon további hatósági szerveknek, amely részére az adatszolgáltatást a mindenkor hatályos jogszabályok előírják, az ilyen jogszabályban előírt módon és terjedelemben;

(g)              azon további személyeknek vagy szervezeteknek, akik az Adatkezelő megbízása alapján az Érintett és az Adatkezelő közötti szerződéses jogviszony előkészítésében vagy teljesítésében adatfeldolgozóként egyéb módon részt vesznek.

14        Adatfeldolgozók

14.1         Az Adatfeldolgozókra vonatkozó általános szabályok

Az Adatkezelő működése során, az Érintettek részére nyújtandó szolgáltatások biztosítása céljából adatfeldolgozót vehet igénybe, akinek az Érintett személyes adatainak részét vagy egészét továbbítja.

Az adatfeldolgozó további adatfeldolgozót igénybe vehet. Az igénybe vett további adatfeldolgozóról az Adatkezelőt az Adatfeldolgozó tájékoztatni köteles.

Az Adatkezelő tájékoztatja az Érintetteket, hogy adatfeldolgozásra azon személyek köre jogosult, amelyek feladatellátásához a személyes adatok megismerése elengedhetetlen.

Az adatfeldolgozó személyében bekövetkezett változással az Adatkezelő minden esetben frissíti jelen Szabályzatot. Az adatfeldolgozó további adatfeldolgozót igénybe vehet. Az igénybe vett további adatfeldolgozóról az Adatkezelőt az adatfeldolgozó tájékoztatni köteles, ezt követően az Adatkezelő a további adatfeldolgozó személyét jelen Szabályzatban köteles feltüntetni.

14.2         Az Adatkezelő által igénybe vett adatfeldolgozók

Adatfeldolgozó: Adatkezelő által foglalkoztatott szakemberek
Adatkezeléssel összefüggő tevékenysége: pszichológiai tanácsadás, párterápia, pszichoterápia
Adatfeldolgozással érintett adatok köre: a szerveren, számítástechnikai eszközökön kezelt valamennyi személyes adat.

Adatfeldolgozó: Mindset Pszichológia Korlátolt Felelősségű Társaság
Adatkezeléssel összefüggő tevékenysége: csoportos fejlesztések, egyéni fejlesztések
E-mail:   mindset@mindsetpszichologia.hu
Adatfeldolgozás technológiája: számítógépes program
Adatfeldolgozással érintett adatok köre: a szerveren, számítástechnikai eszközökön kezelt valamennyi személyes adat.

Adatfeldolgozó: Mathias Corvinus Collegium Alapítvány
Adatkezeléssel összefüggő tevékenysége: szerződéses partner
E-mail: adatvedelem@mcc.hu
Adatfeldolgozás technológiája: számítógépes program
Adatfeldolgozással érintett adatok köre: a szerveren, számítástechnikai eszközökön kezelt valamennyi személyes adat.

Adatfeldolgozó: Budapest Airport Budapest Liszt Ferenc Nemzetközi Repülőtér Üzemeltető Zártkörűen Működő Részvénytársaság.
Adatkezeléssel összefüggő tevékenysége: szerződéses partner
E-mail: dpo@bud.hu
Adatfeldolgozás technológiája: számítógépes program
Adatfeldolgozással érintett adatok köre: a szerveren, számítástechnikai eszközökön kezelt valamennyi személyes adat.

Adatfeldolgozó: Budapesti Corvinus Egyetem
Adatkezeléssel összefüggő tevékenysége: szerződéses partner
E-mail: adatvedelem@uni-corvinus.hu
Adatfeldolgozás technológiája: számítógépes program
Adatfeldolgozással érintett adatok köre: a szerveren, számítástechnikai eszközökön kezelt valamennyi személyes adat.

Adatfeldolgozó: Szabadosné Tolner Mónika E.V.
Adatkezeléssel összefüggő tevékenysége: könyvelés
E-mail: penzugy@mindsetpszichologia.hu
Adatfeldolgozás technológiája: számítógépes program
Adatfeldolgozással érintett adatok köre: a szerveren, számítástechnikai eszközökön kezelt valamennyi személyes adat.

Adatfeldolgozó: Skvad Digital Kft.
Adatkezeléssel összefüggő tevékenysége: informatikus
E-mail: hello@skvad.com
Adatfeldolgozás technológiája: számítógépes program
Adatfeldolgozással érintett adatok köre: a szerveren, számítástechnikai eszközökön kezelt valamennyi személyes adat.

Adatfeldolgozó: Salonic International Korlátolt Felelősségű Társaság
Adatkezeléssel összefüggő tevékenysége: belső szervezési rendszer, hírlevél
E-mail: info@salonic.hu
Adatfeldolgozás technológiája: számítógépes program
Adatfeldolgozással érintett adatok köre: a szerveren, számítástechnikai eszközökön kezelt valamennyi személyes adat.

Adatfeldolgozó: DrTM'67 Kft.
Adatkezeléssel összefüggő tevékenysége: bérszámfejtés
E-mail: konyveloiroda1133@gmail.com
Adatfeldolgozás technológiája: számítógépes program
Adatfeldolgozással érintett adatok köre: a szerveren, számítástechnikai eszközökön kezelt valamennyi személyes adat.

Adatfeldolgozó: Volumen Communications Kft.
Adatkezeléssel összefüggő tevékenysége: marketing
E-mail: info@volumencommunications.com
Adatfeldolgozás technológiája: számítógépes program
Adatfeldolgozással érintett adatok köre: a szerveren, számítástechnikai eszközökön kezelt valamennyi személyes adat.

Adatfeldolgozó: ZeroTime Services Kft.
Adatkezeléssel összefüggő tevékenysége: hosting szolgáltató
E-mail: info@volumencommunications.com
Adatfeldolgozás technológiája: számítógépes program
Adatfeldolgozással érintett adatok köre: a szerveren, számítástechnikai eszközökön kezelt valamennyi személyes adat.

15        Adatvédelmi incidens

Adatvédelmi incidens alatt a GDPR értelmében a biztonság olyan sérülését értjük, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az Adatkezelő adatvédelmi incidenst észlelő munkatársa, adatfeldolgozója vagy egyéb közreműködője az Adatkezelőnek késedelem nélkül köteles bejelenteni az Adatkezelő képviselőjének vagy az adatvédelmi tisztviselőjének, aki haladéktalanul kivizsgálja, és javaslatot tesz a szükséges intézkedések vonatkozásában, valamint biztosítja és ellenőrzi az alább intézkedések végrehajtását.

15.1         Adatvédelmi incidens bejelentése

Az adatvédelmi incidenst az Adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órán belül, hogy az adatvédelmi incidens a tudomására jutott, köteles bejelenti az illetékes felügyeleti hatóságnak (NAIH), kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

Az adatszolgáltatásnak tartalmaznia kell

-                 az incidens jellegét, beleértve – ha lehetséges – az Érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

-                 az Adatkezelő képviselőjének vagy adatvédelmi tisztviselőjének, mint kapcsolattartónak a nevét és elérhetőségeit;

-                 az incidensből eredő, valószínűsíthető következményeket;

-                 az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

15.2         Az Érintettek tájékoztatása

Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő képviselője indokolatlan késedelem nélkül köteles az Érintettet az adatvédelmi incidensről tájékoztatni, közölve annak jellegét, az Adatkezelő kapcsolattartójának nevét és elérhetőségét, a valószínűsíthető következményeket, valamint az adatvédelmi incidens orvosolására, enyhítésére tett vagy tervezett intézkedéseket, kivéve, ha a GDPR 34. cikkelyének (3) bekezdésében foglalt esetek valamelyike fennáll.

15.3         Adatvédelmi incidens kivizsgálása, kezelése

Az adatvédelmi incidens elhárítása érdekében megvalósított egyes intézkedésekről az adatok kezelését vagy feldolgozását végző folyamat felelőse, az adott intézkedések végrehajtását követően haladéktalanul, de legkésőbb 2 (kettő) munkanapon belül köteles az Adatkezelő képviselőjét vagy az adatvédelmi tisztviselőt tájékoztatni.

15.4         Adatvédelmi incidensek nyilvántartása

Az Adatkezelő köteles az adatvédelmi incidensek nyilvántartására, amely tartalmazza az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

16        Adatvédelmi tisztviselő

Az Adatkezelő a GDPR 37. Cikk (1) bekezdés c) pontjára tekintettel adatvédelmi tisztviselőt jelölt ki, akinek neve és elérhetősége a jelen Szabályzat 2.3 pontjában találhatóak.

Az Adatkezelő adatvédelmi tisztviselője ellátja a GDPR-ban ráruházott feladatokat, így többek között:

-              tájékoztat és szakmai tanácsot ad az Adatkezelő, továbbá az adatkezelést végző alkalmazottak részére a GDPR, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;

-              ellenőrzi a GDPR-nek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az Adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;

-              kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;

-              együttműködik a felügyeleti hatósággal; és

-              az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

17        Panasz és jogorvoslat

Az Érintett a jogainak megsértése esetén az Adatkezelővel szemben bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az Adatkezelő köteles bizonyítani. A per elbírálása a törvényszék, a fővárosban a Fővárosi Törvényszék hatáskörébe tartozik. A per az Érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.

Az Adatkezelő az Érintett adatainak jogellenes kezelésével, vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Az Adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.

Az Érintett a személyes adatai kezelésével kapcsolatos panasz esetén a Nemzeti Adatvédelmi és Információszabadság Hatósághoz is fordulhat (dr. Péterfalvi Attila a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke, postai cím: 1363 Budapest, Pf.: 9., cím: 1055 Budapest, Falk Miksa utca 9-11.; Telefon: +36 (1) 391-1400; Fax: +36 (1) 391-1410; E-mail: ugyfelszolgalat@naih.hu; honlap: www.naih.hu). 

18        Záró rendelkezések

A jelen Szabályzatot az Adatkezelő képviselője módosíthatja a jogszabályokban meghatározottak szerint. 

A jelen Szabályzat hatálybalépésével a korábbi, adatvédelmi és adatbiztonsági szabályzat hatályát veszti.