Adatvédelmi tájékoztató

ALAP ADATOK

‍

A jelen adatvédelmi szabályzatot Kardiabet Kft. (székhelye: Magyarország, 2545 Dunaalmás, Almási utca 22.; adószáma: 12433548-1-11) adta ki.

‍

A VÁLLALKOZÁS ADATAI

‍

Cégnév: Kardiabet Egészségügyi és Szolgáltató Korlátolt Felelősségű Társaság

Rövidített cégnév: Kardiabet Kft.

Cím (székhely): 2545 Dunaalmás, Almási utca 22., Magyarország

Adószám: 12433548-1-11

Cégjegyzékszám: 11-09-016541

E-mail: drferenczypeter@gmail.com

Weblap: drferenczypeter.com

‍

A jelen szabályzatot kötelező felülvizsgálni olyan esetekben, amikor új kockázatértékelésre okot adó esemény, avagy az adatkezelés módjában és metodikájában egyéb lényeges változás történik. Az új kockázatértékelés elkészítésére olyan okból, avagy eseményből kerül sor, amikor valószínűsíthető, hogy az adatok kezelése az érintettekre kockázatot jelenthet (így különösen új adatkezelési technológia bevezetése, alkalmazása, a korábbitól eltérő módon történő adatgyűjtés vagy adattovábbítás stb.)

‍

BEVEZETŐ RENDELKEZÉSEK

‍

Kardiabet Kft.-nak a rendes ügymenethez a szokásos üzleti tevékenysége körében elengedhetetlenül szükséges személyes adatokat gyűjtenie és kezelnie. A begyűjtött adatok vonatkozhatnak vevőkre/ügyfelekre, együttműködő partnerekre (beszállítókra), munkavállalókra és egyéb olyan személyekre, akikkel a vállalkozás az üzleti tevékenysége folytatása során, avagy azon kívül, ámde az üzleti tevékenységgel érintetten (például ajánlások, stb.) kapcsolatba kerül.

A jelen szabályzatcélja az, hogy Kardiabet Kft. tevékenysége során a személyes adatok védelméhez fűződő jogok érvényesülését, továbbá, hogy az általa kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza a személyes és különleges adatok kezelése során irányadó adatvédelmi és adatbiztonsági szabályokat.

‍

A jelen adatvédelmi szabályzatban rögzítésre kerül a személyes adatok gyűjtésének, tárolásának és kezelésének módja, valamint rögzítésre kerülnek Kardiabet Kft. adatvédelmi elvei. A jelen szabályzat az adatvédelmi szabályoknak való megfelelést szolgálja.

‍

A jelen adatvédelmi szabályzat biztosítja, hogy Kardiabet Kft.

● megfelel az adatvédelmi jogi követelményeknek, és megfelelő adatvédelmi gyakorlatot és operatívtevékenységet folytat

● védi és figyelembe veszi a munkavállalók, egyéb alkalmazottak, együttműködő partnerek és beszállítók, valamint azügyfelek/megrendelők jogait és jogos érdekeit

● nyilvánvalóvá teszi az egyes adatkezelési műveleteket (gyűjtés, őrzés, tárolás, törlés, továbbítás)

● szabályozza az adatvédelmi incidensmegelőzésére vonatkozó teendőket

● szabályozza a teendőket adatvédelmi incidensesetére.

‍

ÉRTELMEZŐ RENDELKEZÉSEK

‍

A jelen szabályzat alkalmazásában

‍

1. „személyes adat”: azonosított vagy azonosítható természetes személyre (a jelen Szabályzatban: „érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármelyművelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

3. „az adatkezelés korlátozása”: a tároltszemélyes adatok megjelölése jövőbeli kezelésük korlátozása céljából

4. „profilalkotás”: személyes adatokautomatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

5. „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

6. „nyilvántartási rendszer”: a személyesadatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

7. „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállamijog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozókülönös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

8. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely azadatkezelő nevében személyes adatokat kezel;

9. „címzett”: az a természetes vagy jogiszemély, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nemminősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

10. „harmadik fél”: az a természetes vagy jogiszemély, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonosaz érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatta személyes adatok kezelésére felhatalmazást kaptak;

11. „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

12. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

13. adatbiztonság: a személyes adatok jogosulatlan kezelése, így különösen megszerzése, feldolgozása, megváltoztatása és megsemmisítése elleni szervezési, technikai megoldások és eljárási szabályok összessége; az adatkezelésnek az az állapota, amelyben a kockázati tényezőket –és ezzel a fenyegetettséget – a szervezési, műszaki megoldások és intézkedések a legkisebb mértékűre csökkentik;

14. hardver eszköz: valamennyi olyan eszköz, amelynek feladata az informatikai rendszer folyamatos működésének biztosítása, vagy amely bizton sági adatmentésre, avagy másolatok készítésére szolgál, valamint amely elektronikus vagy egyéb módon a számítógép külső behatás ellenivédelmét szolgálja;

15. hírközlő eszköz: bármilyen technikai eszköz, technológiai eljárás, amely egy vagy több fogadó személy számára jelzések, adatok és információk továbbítására vagy fogadására alkalmas.

16. információs önrendelkezési jog: azAlaptörvény VI. cikkében biztosított személyes adatok védelméhez való jognak aza tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról;

‍

AZ ADATVÉDELEM JOGI HÁTTERE

‍

Az adatvédelemre vonatkozó alapvetőszabályokat az Európai Parlament és Tanács (EU) 2016/679 Rendelete (2016.április 27.) szabályozza, mely a természetes személyeknek a személyes adatokkezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szól (általános adatvédelmi rendelet, a jelen szabályzatban a továbbiakban: GDPR).

‍

A vállalkozás a GDPR-t az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a jelen szabályzatban a továbbiakban: Infótörvény) mindenkor hatályos rendelkezéseivel összhangban, az abban foglalt szabályok betartásával értékeli és alkalmazza, azzal, hogy ahol az Infótörvény és a GDPR szabályai ellentmondanak egymással (jogszabályi összeütközés/kollízió) ott a GDPR rendelkezései irányadók.

‍

A GDPR és az Infótörvény a személyes adatokra vonatkozó valamennyi adatgyűjtési és adatkezelési műveletre alkalmazandó, tekintet nélkül az adatgyűjtés és az adatkezelés formájára (elektronikus, avagy papír alapú).

Kardiabet Kft. kötelezettséget vállal arra, hogy a további magyarországi szabályozókkal és jogszabályokkal összhangban, azoknak megfelelve, az ágazati szabályokfigyelembe vételével folytatja az adatkezelési és adatgyűjtési tevékenységét.

‍

TOVÁBBI ALKALMAZOTT JOGSZABÁLYOK

‍

● 2013. évi V. törvény – a Polgári Törvénykönyvről 2:43. § (e) pont

● 2011. évi CXII. törvény – az információsönrendelkezési jogról és az információszabadságról (a továbbiakban Infotv., adatvédelmi törvény);

● 2001. évi CVIII. törvény – az elektronikuskereskedelmi szolgáltatások, valamint az információs társadalommal összefüggőszolgáltatások egyes kérdéseiről (Eker. tv.);

● 2008. évi XLVIII. törvény – a gazdaságireklámtevékenység alapvető feltételeiről és egyes korlátairól (Grt.): Strasbourgban,1981. január 28. napján kelt Egyezmény kihirdetéséről szóló 1998. évi VI. törvény az egyének védelméről a személyes adatok gépi feldolgozása során;

● 1995. évi CXIX. Törvény („Katv.”)- a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcím adatok kezeléséről

● 2012. évi I. törvény a Munka Törvénykönyvéről

● 2013. évi V. törvény a Polgári Törvénykönyvről

● 2000. évi C. törvény a számvitelről

‍

A jogszabályi megfelelés érdekében Kardiabet Kft. vállalja, hogy a személyes adatok gyűjtésére és felhasználására jogszerűen kerül sor, az adatok biztonsága érdekében szükségeslépéseket és intézkedéseket megteszi, továbbá az adatokat jogosulatlanul nem hozza nyilvánosságra.

‍

ALAPELVEK

‍

Kardiabet Kft. által alkalmazott GDPR az alábbi fontos alapelvet tartalmazza

‍

1. Kardiabet Kft. tevékenysége során a cél megvalósulásához szükséges mértékben és ideig csakolyan személyes és különleges adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas. (adatkezeléscélja és ideje)

2. az adatgyűjtés és kezelés kizárólag pontosan meghatározott célból és jogcím alapján történik

3. csak annyi adat kerül gyűjtésre és kezelésre, amennyi a célok eléréséhez feltétlenül szükséges, a vállalkozó/vállalkozás kerüli a felesleges és irreleváns adatok gyűjtését és tárolását (adattakarékosság)

4. Kardiabet Kft. és külsőmegbízottjai (a továbbiakban: Kardiabet Kft. alkalmazottai) a feladataik ellátása körében személyes és különleges adatot csak a vonatkozó jogszabályok előírásainak betartásával kezelhetnek. (jogszabályi megfelelésbiztosítása)

5. A személyes adatok védelméhez való jog a természetes személyek Alaptörvényben biztosított alapjoga, amely garantálja azadatalanyok információs önrendelkezési jogát. Az információs önrendelkezési jogaz érintettek beleegyezésének hiányában kizárólag törvényi felhatalmazásalapján korlátozható. Az információs önrendelkezési jog tiszteletben tartása érdekében Kardiabet Kft., illetőleg meghatalmazottja és alkalmazottja személyes adatot csak az alábbi esetekben kezelhet:

● az érintett előzetes, önkéntes és kifejezetthozzájárulása

● szerződés teljesítése a teljesítéshez szükséges mértékben

● az érintett vagy Kardiabet Kft. jogos érdekeinek érvényesítése

● a Vállalkozó/Vállalkozás jogikötelezettségének teljesítése

● az érintett vagy más természetes személylétfontosságú érdeke

6. Személyes adat kezelésére csak a jelen szabályzatban meghatározott valamely jogalapon, jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. Törvényben elrendelt adatkezelés esetén kizárólag a felhatalmazást adó törvényben meghatározott célból valósulhat meg adatkezelés. Kardiabet Kft. által kezelt– vagy Kardiabet Kft. részére más adatkezelő által rendelkezésre bocsátott – személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.

7. Kardiabet Kft. törekszik arra, hogy az általa kezelt adatok pontosak és naprakészek legyenek.

8.  Kardiabet Kft. csak addig kezeli a személyes adatokat, ameddig az feltétlenül szükséges.

9.  Kardiabet Kft. a szükségtelenné vált adatokat véglegesen és helyre nem állítható módon törli.

10. Az adatok feldolgozására csak az érintett jogainak figyelembevételével kerül sor.

11. Kardiabet Kft. minden tőle telhető és elvárható lépést megtesz az adatok védelme érdekében.

12. Kardiabet Kft. csak akkor továbbítja az Európai Gazdasági Térségen kívül eső harmadik országnak, szervezetnek, magánszemélynek vagy vállalkozásnak, amennyiben az adott harmadikország, szervezet, magánszemély vagy vállalkozás igazolhatóan biztosítja azadatok biztonságának kellő mértékét és módját.

‍

A SZABÁLYZAT SZEMÉLYI ÉS TÁRGYI HATÁLYA

‍

A jelen szabályzat rendelkezései kötelező alkalmazása az alábbi személyi körre terjed ki

‍

● Kardiabet Kft.

● Kardiabet Kft. valamennyibeszállítója/ szerződő partnere/ alvállalkozója/meghatalmazottja a vállalkozásérdekében vagy képviseletében Kardiabet Kft. kifejezett írásbeliengedélye szerint eljáró bármely más személy

A jelen szabályzat hatálya az alábbi adatok körére terjed ki

Valamennyi érintettel összefüggésbe hozható személyes adat, különösen az érintettek

● neve,

● postai és elektronikus levelezési címe,

● telefonszáma

● elektronikus levelezési címe

● személyes azonosító adatai

● egészségügyi adatai

● banki adatai

● valamennyi egyéb, az érintettel összefüggésben kezelt adat.

‍

KOCKÁZATOK

‍

A jelen szabályzat különösen az alábbi kockázatokkal szembeni védelmet hivatott elősegíteni

‍

● az adatok jogosulatlan személy vagy személyek általi megszerzése

● érintett adatokkal való rendelkezési jogának megsértése

● adatok biztonsági rendszer megsértésével/kijátszásával történő megszerzése

‍

SPECIFIKUS FELELŐSSÉGEK

‍

Kardiabet Kft-nak és valamennyi együttműködő partnerének kötelessége annak biztosítása, hogy azadatok gyűjtése, kezelése és tárolása jogszerűen történjen.

‍

Az egyes részfeladatok és felelősségi körök az alábbiak szerint kerülnek meghatározásra

‍

1. A teljes jogszabályi és jogi megfelelésbiztosítása az ügyvezető feladata.

2. A Kardiabet Kft. az adatkezelésiműködését és a kezelt adatok körét és mennyiségét megvizsgálva megállapította, hogy a jelenlegi adatkezelése okán adatvédelmi tisztségviselő kijelölése szükséges.

● Harmadik féllel kötött olyan megállapodások vizsgálata, amely adatkezelési- és továbbítási kérdéseket vet fel.

● Együttműködés a partnerek és beszállítók adatvédelmi tisztségviselőivel.

● Kapcsolattartás az illetékes adatvédelmihatósággal.

● Amennyiben az illetékes adatvédelmi hatóság előírja, a Hatóság által tartott továbbképzéseken és konferenciákon valórészvétel az adatvédelmi ismeretek naprakészen tartása érdekében.

● Ellátja a GDPR és az Infótörvény rendelkezéseiben meghatározott további feladatokat.

A Kardiabet Kft. adatvédelmi tisztségviselője szolgáltatási szerződés keretében, szigorú titoktartási szabályok mellett folytatja a tevékenységét. Az adatvédelmi tisztségviselő nevét és elérhetőségét a Kardiabet Kft. a weblapján nyilvánosságra hozza, és a Nemzeti Adatvédelmi- és Információszabadság Hatóságnak bejelenti

‍

VÁLLALATI STRUKTÚRA

‍

a) Vezetőség

A Kardiabet Kft. vezetője: Dr. Ferenczy Péter Miklós

A Kardiabet Kft. vezetője valamennyi, a Kardiabet Kft. rendelkezésére bocsátott adatot megismerhet, felelős a Kardiabet Kft. valamennyi adatkezelő és adatfeldolgozó tevékenységéért.

‍

b) Munkavállalók

Kezelt adatok köre: a munkaköri leírásban foglalt tevékenységek ellátására vonatkozó valamennyi adat

Felelőssége: az általa kezelt adatok körére terjed ki, a szabályzatok betartása

‍

A munkavállalók általános felelősségei

‍

Valamennyi munkavállaló (gyakornok, önkéntes), aki a jelen szabályzatban meghatározott adatokhoz hozzá fér, a megszerzett adatokat kizárólag a munkavégzése körében és céljából kezelheti, rögzítheti, tarthatja nyilván.

‍

A munkavégzés során megszerzett adatokat a munkavállaló erre vonatkozó külön írásos engedély nélkül nem oszthatja meg arra illetéktelen személyekkel, nem teheti közzé, adatot önkényesen nem kezelhet.

‍

A Kardiabet Kft. biztosítja, hogy a munkavállalók a munkavállalók képzés/oktatás keretében ismerhessék meg pontos teendőiket és feladatukat, valamint felelősségüket az adatvédelem és az adatkezelés tekintetében.

‍

A munkavállalók kötelesek valamennyi birtokukba jutott adatot biztonságosan kezelni, munkavégzésük során elővigyázatosnak lenni, és a jelen adatvédelmi szabályzatban meghatározott feladatokat végrehajtani.

‍

A munkavállaló köteles a szoftveres hozzáférés esetén erős és titkos jelszavakat alkalmazni, a jelszót megosztani, másnak felfedni szigorúan tilos.

‍

Arra fel nem hatalmazott személyjel vagy személyekkel a munkavállaló nem oszthat meg személyes adatokat, sem a vállalkozáson belül, sem azon kívül.

‍

A munkavállaló köteles rendszeresen felülvizsgálni és aktualizálni a rendelkezésekre álló adatokat, annak érdekében, hogy személyes adat szükségtelenül ne kerüljön sem tárolásra, sem egyéb kezelésre. A már szükségtelenné váló adatok törlése a munkavállaló felelőssége.

‍

Amennyiben a munkavállaló bizonytalan a helyes adatkezelés, vagy az adatvédelmi szempontok tekintetében, úgy köteles tanácsért a vezetőjéhez vagy az adatvédelmi tisztségviselőhöz fordulni.

‍

Ha a munkavállaló tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy időszerűtlen, köteles azt helyesbíteni, vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.

‍

A Kardiabet Kft. adatkezelést végző alkalmazottja fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a munkavégzése során tudomására jutott személyes adatok jogszerű kezeléséért, a Kardiabet Kft. nyilvántartásaihoz rendelkezésére álló hozzáférési jogosultságok jogszerű gyakorlásáért.

‍

INFORMATIKAI ÉS FIZIKAI VÉDELEM

‍

A Vállalkozás az alábbi informatikai védelmi eszközöket és módokat alkalmazza

‍

a) fizikai védelem

● zárható iroda (biztonsági ajtó)

● zárható lépcsőház

‍

b) IT védelem

● tűzfal

● vírusirtó

● kémprogram eltávolító

● kódok

● rendszertisztító eszközök

● biztonsági mentések

● internet elérés biztonsága (router)

● rendszeres számítástechnikai felülvizsgálat

● felesleges programok és programnyomok törlése

● zárt forráskódok

‍

ADATTÁROLÁS

‍

A jelen bekezdés célja annak meghatározása, hogy az adatokat hol és milyen módon szükséges kezelni ahhoz, hogy az adatok biztonsága biztosítható legyen. Az adattárolásra vonatkozó további esetleges kérdésekkel a Rendszergazdához, illetőleg az adatvédelmi tisztségviselőhöz fordulhat a Kardiabet Kft. munkatársa.

‍

Az adatokat tilos a vállalat tulajdonában nem álló számítógépre, illetőleg egyéb adattároló eszközre menteni.

‍

A különleges adatokat is tartalmazó fájlokat csak annyi ideig szabad online rendszerben (akár levelező rendszeren) tárolni, ameddig az feltétlenül szükséges, egyéb esetekben a megőrzési időtartamra szükséges biztonsági mentés keretében elmenteni.

‍

A különleges adatokat tartalmazó fájlokat vagy álnevesítve, vagy kódolva szabad csak tárolni, a jogosulatlan hozzáférés megelőzése érdekében.

‍

Partnereknek nyújtott informatikai szolgáltatás esetében a weblapok és internetes oldalak adatainak tárolását és őrzését a weblap mindenkori kezelője/fejlesztője köteles elvégezni, a Partnerszerződés keretei és az abban meghatározott rendelkezések alapján.

‍

A Kardiabet Kft. az adatokat fő szabály szerint internetes felhő alapú tárhelyre menti, a vállalkozás számítógépein és egyéb munkavégzési eszközökön- a biztonsági mentések tárolására szolgáló adathordozón túl- adattárolás nem megengedett.

‍

Távoli eléréssel végzett munka esetén a Kardiabet Kft. vezetősége és dolgozói minden esetben kötelesek biztosítani, hogy a belépésre használt informatikai eszköz biztonságos és megfelelő.

‍

a) Papír alapú adatkezelés

‍

A papír alapon kezelt adatokat olyan biztonságos helyen szükséges tárolni, ahol arra jogosulatlan személy azokat nem ismerheti meg. A Kardiabet Kft.-nél e célból irattároló szekrény van, melybe kötelező az iratokat az alkalmazott irattárolási rendnek megfelelően a használatot követően azonnal visszahelyezni, illetőleg újonnan bele tenni.

‍

Azokat az elektronikus úton érkezett vagy kezelt adatokat, melyek valamely okból nyomtatásra kerülnek elzárt irattárolóban, illetőleg elkülönítetten szükséges kezelni. A Kardiabet Kft. munkatársai kötelesek gondoskodni arról, hogy a kinyomtatott iratokhoz arra jogosulatlan személyek ne férjenek hozzá. A kinyomtatott adatokat tartalmazó iratokat azonnal szükséges megsemmisíteni akkor, amikor a kinyomtatás oka megszűnik.

‍

b) Elektronikus adatkezelés

‍

Az elektronikusan tárolt adatokat védeni szükséges a jogosulatlan eléréstől, véletlen törléstől, és kémprogramokkal/vírusokkal/illetéktelen rendszerfeltörésekkel és rendszertámadásokkal szemben.

‍

Az adatokat erős jelszavakkal szükséges védeni, melyek cseréjére rendszeresen, de legalább fél évente sor kerül. A jelszavaknak titkosnak, hozzáférhetetlennek kell lenniük, a munkavállalók/vezetők nem oszthatják meg azt sem egymás között, sem más személyekkel.

‍

Amennyiben az adat hordozható adattárolón (CD, DVD, pendrive, egyéb külső adattároló) kerül rögzítésre, ezek az adattároló eszközöket a használatot követően biztonságos helyen, jogosulatlan személyek számára hozzáférhetetlenül szükséges tárolni.

‍

Adatokat csak az arra kijelölt szervereken és hardver eszközökön szabad tárolni. Felhő alapú szolgáltatás igénybevételével adat csak a kijelölt és meghatározott szolgáltatóval kötött szerződés alapján és szerint tárolható. A Kardiabet Kft. vezetője az adattárolás megkezdése előtt meggyőződik arról, hogy a felhő alapú szolgáltatást biztosító partner megfelel az adatvédelem jogszabályi és technikai követelményeknek.

‍

Valamennyi adattárolásra szolgáló szervert és számítógépet szükséges tűzfallal, kémprogram védelemmel és vírusirtóval védeni.

‍

A tárolt adatokat rendszeresen szükséges felülvizsgálni.

‍

Az adattárolásra alkalmazott szoftvereket rendszeresen frissíteni szükséges. A frissítés megkezdése előtt a szoftverfrissítési metódust az adatvesztés elkerülése érdekében tesztelni szükséges.

‍

c) Postai küldeményekre vonatkozó speciális szabályok

‍

A postai küldemények átvételére a Kardiabet Kft. vezetője jogosult. Átvételre jogosult lehet más, a vezető által meghatározott személy is, azzal, hogy a küldemények bontására továbbra is a vezető jogosult.

‍

AZ ADATOK FELHASZNÁLÁSA

‍

A Kardiabet Kft. ügyviteli és nyilvántartási célú adatkezeléseket végez. Az ügyvitelhez kapcsolódó adatkezelés a szerződés/megállapodás nyilvántartásához (iktatásához), feldolgozásához, illetőleg a Partnereknek nyújtott szolgáltatási feladatok ellátásához kapcsolódik. Alapvető célja az adott szerződéshez/megállapodáshoz tartozó feladatok elvégzéséhez (szerződések teljesítése), az adatkezelés szereplőinek azonosításához és a szerződés lezárásához szükséges adatok biztosítása. Az ügyviteli célú adatkezelés során a személyes adatok kizárólag az adott szerződés irataiban és a papír alapú és elektronikus formában tárolt ügyviteli segédletekben szerepelnek; kezelésük ebből a célból csak az alapul szolgáló irat selejtezéséig lehetséges.

‍

A nyilvántartási célú adatkezelés az egyes adatfajtákból álló adatállományt hoz létre, az adatkezelés időtartama alatt biztosítva az adatok különböző jellemzők alapján történő visszakereshetőségét, lekérdezhetőségét.

‍

Az adatok jogszerű és célhoz kötött használata során az alábbi intézkedések megtétele kötelező annak érdekében, hogy

‍

1. az adatkezelővel munkavégzésre irányuló jogviszonyban álló személyek adatait tartalmazza;

2. a foglalkozás-egészségügyi ellátásban kezelt személy betegségére, egészségi állapotára vonatkozó személyes adatokat tartalmaz, gyógykezelés, vagy az egészség megőrzése, társadalombiztosítási igény érvényesítése céljából;

3. az érintett anyagi és egyéb szociális támogatása céljából nyilvántartott személyes adatokra vonatkozik;

4. a Vállalattal szerződéses kapcsolatba került személyek személyes adataira, vagy azzal összefüggésben kezelt személyes adatokra vonatkozik (ügyviteli célú adatkezelés);

5. A Kardiabet Kft. a partnerek, ügyfelek és munkavállalók adatait internetes felhőben, közös, de egyedi kóddal védett eléréssel tárolja.

‍

A személyes adatok kezelésének célja a Kardiabet Kft. üzletviteli tevékenysége során történő felhasználása, ennek megfelelően az alábbi feladatok azonosíthatók

‍

● a személyes adatokkal dolgozó munkavállalók a munkaterület elhagyása során kötelesek a felhasznált eszközt képernyőzárral védeni, melyhez egyedi belépési azonosító, illetőleg kód kapcsolódik

● személyes adat csak olyan levelezőrendszeren küldhető tovább, melynek biztonsága és zárt jellege garantált, továbbá olyan címzett számára, aki megfelelő és biztos módon beazonosítható olyan személyként, aki a fogadott személyes adatokat jogszerűen megismerheti

● a személyes adatokat tartalmazó file-okat, üzeneteket kóddal, vagy egyéb módon titkosítani szükséges

● a személyes adatok Európai Gazdasági Térségen túli továbbítása fő szabály szerint tilos; amennyiben annak továbbítása mégis szükségessé válik, úgy azt csak olyan fogadó részére szabad továbbítani, aki igazoltan megfelel a GDPR-ban foglalt valamennyi adatvédelmi követelménynek.

● a Kardiabet Kft. napi operatív tevékenysége során tilos a saját gépre személyes adatokat menteniük, valamennyi adatot kötelező a Kardiabet Kft. felhő alapú rendszerére menteni.

● a Kardiabet Kft. működése során nem vihető ki személyes adatokat tartalmazó iratok a Kardiabet Kft. székhelyéről vagy telephelyéről. Amennyiben ez mégis szükségessé válna, úgy e tekintetben a munkavállalók kötelesek azt bejelenteni, és egyedi jóváhagyást kérni a felettesüktől.

‍

A KEZELT ADATOK PONTOSSÁGA

‍

A Kardiabet Kft.-nek jogszabályi kötelezettsége az általa kezelt személyes adatok naprakész és pontos nyilvántartása.

A Kardiabet Kft. kiemelt figyelmet fordít az esetlegesen (és szükségesen) nyilvántartott különleges adatok naprakészségére és pontosságára.

‍

A fentiek okán a Kardiabet Kft. valamennyi munkavállalójának kiemelt feladata, hogy a tőle telhető legjobb módon az adatokat naprakészen és pontosan tartsa nyilván.

‍

Az adatokat a lehető legkevesebb adattároló helyen szükséges tartani, a Kardiabet Kft. munkavállalói feleslegesen és engedély nélkül semmilyen egyéb nyilvántartást, vagy személyes adatokat tartalmazó egyéb forrást nem készíthetnek.

A Kardiabet Kft. valamennyi munkatársa köteles azon lenni, hogy a személyes adatok naprakészek legyenek, és kötelesek az adatokat az ügyfél- és egyéb kapcsolatok során folyamatosan egyeztetni.

‍

A Kardiabet Kft. az érintettek számára folyamatosan biztosítja az adatpontosítás lehetőségét.

‍

Amennyiben a kezelt adatok körében pontatlan adatok kerülnek elő, azt haladéktalanul pontosítani szükséges, így különösen, ha az ügyfél az általa megadott telefonszámon vagy elektronikus levelezési címen már nem érhető el. Az elektronikus levelezés mindaddig elérhetőnek tekinthető, ameddig az ügyfél a cím megváltozását nem jelenti be, vagy onnan a kézbesítés sikertelenségére vonatkozó rendszerüzenet vissza nem érkezik. Az érintett jelzésének hiányában is pontatlannak bizonyult adatot valamennyi rendszerből és adattárolóról a pontatlanság megállapítását követően haladéktalanul törölni szükséges.

‍

Az érintettek jogai

‍

Valamennyi érintett, akinek a Kardiabet Kft. a személyes adatait kezeli jogosult

● tájékoztatást kérni arról, hogy milyen okból és mely adatait kezeli a Kardiabet Kft.

● tájékoztatást kérni azon címzettekről vagy címzettek kategóriáiról, akikkel, illetve amelyekkel a személyes adatokat közölni fogják, ideértve különösen a harmadik országbeli címzetteket, nemzetközi szervezeteket

● adott esetben a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, az időtartam meghatározásának szempontjai

● kérheti az adatok helyesbítését, törlését vagy kezelésének korlátozását, tiltakozhat a személyes adatok kezelése ellen

● ha az adatokat a Kardiabet Kft. nem az érintettől gyűjtötte, a forrásukra vonatkozó valamennyi fellelhető információ

● a Hatósághoz fordulás lehetőségéről

● tájékoztatást kérni arról, hogy hogyan érheti el a Kardiabet Kft. által kezelt adatokat

● tájékoztatást kérni arról, hogy a Kardiabet Kft. naprakészen tartja- e az adatait, és milyen intézkedéseket hozott a naprakészen tartás érdekében

● tájékoztatást kérni arról, hogy a Kardiabet Kft. hogyan teljesíti az adatvédelmi kötelezettségeit.

Amennyiben valamely érintett a fenti tájékoztatások egyikét kéri, azt az „érintett hozzáférési jogának” hívjuk.

‍

Az érintett hozzáférési joga e-mailen érkezhet, a Kardiabet Kft. drferenczypeter@gmail.com elektronikus levelezési címeire, továbbá a Kardiabet Kft. adatvédelmi megbízottja vagy munkavállalója útján, valamint a Kardiabet Kft. postai levelezési címére érkezett megkereséssel, végül személyes vagy telefonos megkeresés útján. A Kardiabet Kft. az ilyen igények bejelentésére űrlapot alkalmazhat, melyet az érintetteknek azonban nem kötelező alkalmazni, az egyéb úton történő bejelentés is érvényes bejelentésnek minősül.

‍

A Kardiabet Kft. az érintett hozzáférési kérelmének fél éven belüli megismételt teljesítéséért 2000.- Ft, azaz kettőezer forint adminisztrációs díjat kérhet kérésenként. A Kardiabet Kft. az érintett kérelmét 14 (tizennégy) napon belül köteles teljesíteni.

‍

Az érintettnek joga van továbbá

● hozzájáruláson alapuló adatkezelés esetén a hozzájárulását visszavonni

● tiltakozni a személyes adatai kezelése ellen

● kérni az adatai más szerv/személy részére történő hiánytalan továbbítását (adathordozhatóság)

A Kardiabet Kft. minden esetben pontosan azonosítja az adatkérő személyét a kért információ kiadását megelőzően.

A Kardiabet Kft. vezetője- az adatvédelmi tisztségviselővel való egyeztetést követően- jogosult dönteni az érintett kérelméről. Ha munkavállalóhoz érkezik a megkeresés, azt haladéktalanul köteles a Kardiabet Kft. vezetője részére továbbítani.

‍

AZ ADATOK EGYÉB OKBÓL TÖRTÉNŐ HOZZÁFÉRHETŐVÉ TÉTELE

‍

Meghatározott feltételek mellett a GDPR Rendelet megengedhetővé teszi azt, hogy jogérvényesítési okokból az érintett hozzájárulása nélkül is más számára megismerhetővé tegye az egyes személyes adatokat.

‍

A Kardiabet Kft. jogosult a személyes adatokat másokkal megosztani, azzal, hogy a megosztás kizárólag az igényérvényesítéshez szükséges terjedelemben és okból, illetőleg kizárólag jogszerű megkeresés alapján, szükség esetén ügyvéd tanácsának kikérése mellett történik.

‍

Az adatok adatfeldolgozó részére történő átadása

‍

A Kardiabet Kft. szervezetén kívül a Kardiabet Kft. saját ügymenetének biztosítása végett azalábbi okból és személyekkel (a jelen szabályzatban a továbbiakban: Szolgáltató Partner) osztja meg az érintettre vonatkozó személyes adatokat:

A Kardiabet Kft. valamennyi partnerrel írásbeli szerződést köt, melyben rögzítésre kerül:

● az adatkezelés módja

● az adatkezelés időtartama

● a közös adatkezelők közötti felelősség- és feladatmegosztást

● a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat

‍

A Kardiabet Kft. minden esetben biztosítja, hogy a közös adatkezelők közötti megállapodás kivonatolt személyesadatok kezelésére vonatkozó lényegi megállapításait az érintettek tudomására hozza.

‍

A Kardiabet Kft. szervezetén kívül adatfeldolgozási céllal megosztott adatok tekintetében az adatfeldolgozási tevékenységre azalábbi tartalommal feltétlenül rendelkező szerződéseket köt:

● A Szerződő felek pontosan meghatározzák azt az adatfeldolgozási tevékenységet, amelyre a szerződés létrejött (tárgy).

● A Szerződő felek meghatározzák az adatfeldolgozás célját.

● A Szerződő Felek meghatározzák azokat a személyes adatokat (jelleg, típus szerint), melyekre az adatfeldolgozási tevékenység irányul.

● A Szerződő Felek meghatározzák általánosan, de az érintetti kör tekintetében azonosíthatóan az érintettek körét (akiknek az adatai feldolgozásra kerülnek).

● A Szerződő Felek meghatározzák azt az időtartamot, ameddig az adatfeldolgozási tevékenységet folytatja az adatfeldolgozó (ha folyamatos a szerződés, akkor határozatlan időre kötik).

● A Szerződő Felek kikötik, hogy az adatfeldolgozó a Kardiabet Kft.-től elkülönült szervezetként kizárólag a Kardiabet Kft. által adott írásbeli utasításai alapján dolgozza fel, az adatfeldolgozó önálló adatkezelési tevékenységet az adatfeldolgozási szerződéssel érintett adatokkal kapcsolatban nem végez.

● A Szerződő Felek kikötik, hogy az adatfeldolgozónak haladéktalanul tájékoztatnia kell arról a Kardiabet Kft.-t, ha az adatfeldolgozási utasítás adatvédelmi rendelkezésekbe ütközik.

● A Szerződő Felek kikötik az adatfeldolgozó titoktartási kötelezettségét, illetőleg rögzítik azt, ha az adatfeldolgozó titoktartási szakmai szabályok hatálya alá tartozik.

● A Szerződő Felek kikötik, hogy az adatfeldolgozó az adatbiztonsági követelményeknek megfelel, a szükséges titkosítási, álnevesítési intézkedéseket az adatok biztonsága érdekében végrehajtja.

● A Szerződő Felek kikötik, hogy az adatfeldolgozó csak a Kardiabet Kft. Külön írásbeli hozzájárulásával vehet igénybe további adatfeldolgozót, illetőleg rögzítik, hogy az adatfeldolgozónál pontosan milyen további adatfeldolgozók igénybevétele történik, kikötve a további adatfeldolgozással szembeni tiltakozás jogát, azzal, hogy az adatfeldolgozó partner biztosítja, hogy az általa igénybe vett további adatfeldolgozóra a Kardiabet Kft.-vel kötött szerződésben foglaltaknak megfelelő kötelezettségeket telepít.

● A Szerződő Felek kikötik, hogy az adatfeldolgozási szerződés teljesítése során kölcsönösen együttműködnek az érintetti jogok biztosítása és érvényre juttatása érdekében.

● A Szerződő Felek rögzítik, hogy az adatfeldolgozási szerződés megszűnését, avagy megszüntetését követően az adatfeldolgozó a Kardiabet Kft. által az adatfeldolgozó részére továbbított adatokat, illetőleg az adatfeldolgozás során keletkezett valamennyi további adatot a Kardiabet Kft. döntésének megfelelően törtöl, avagy visszajuttatja azt a Kardiabet Kft.-nek.

A Szerződő Felek megállapodnak abban, hogy azadatfeldolgozó minden olyan adatot kiad és visszaszolgáltat a Kardiabet Kft.-nak, amely ahhoz szükséges, hogy Kardiabet Kft. adatvédelmi kötelezettségeit teljesíteni tudja, különös tekintettel az érintettek tájékoztatására vonatkozó feladatokra.

● A Szerződő Felek megállapodnak abban, hogy Kardiabet Kft., vagy az erre a feladatra szerződött partnere azadatfeldolgozónál auditot tarthat annak érdekében, hogy az adatfeldolgozásitevékenységre vonatkozó adatvédelmi követelmények adatfeldolgozó általiteljesítését ellenőrizze, és az érintetti jogok érvényre juttatását biztosíthassa.

● A Szerződő Felek kikötik, hogy adatvédelmiincidens esetén az adatfeldolgozó haladéktalanul köteles értesíteni Kardiabet Kft.-t, valamint a kárfelmérésben és a kárenyhítésben, illetőleg az adatvédelmi elemzés és vizsgálat során kölcsönösen együttműködnek, továbbá minden szükséges információt közösen megadnak egymásnak ahhoz, hogy azérintetti jogok sérelmét enyhítsék vagy megelőzzék.

‍

TÁJÉKOZTATÁSI KÖTELEZETTSÉG TELJESÍTÉSE

‍

Kardiabet Kft. biztosítja, hogy az érintettek tisztában legyenek azzal, hogy a személyes adataik feldolgozásra kerülnek, és felvilágosítást kapjanak arról, hogy

‍

● hogyan használják/dolgozzák fel az adataikat

● hogyan érvényesíthetik a jogaikat.

‍

A fenti okból Kardiabet Kft. adatvédelmi tájékoztatót készít, és könnyen hozzáférhetővé teszi a magánszemélyek számára még az adatkezelés megkezdését megelőzően. Az adatvédelmi tájékoztató minden adatkezelési művelet vagy műveletsorozat tekintetében külön- külön meghatározza az érintettek jogait, továbbá rögzíti az adatkezelés célját, módját, idejét.

‍

Az adatkezelési tájékoztatót Kardiabet Kft. az érintett kérésére bármikor megküldi, azzal, hogy az adatvédelmi tájékoztató a Kardiabet Kft. weblapján is megtalálható.

‍

A SZEMÉLYES ADATOK TÖRLÉSE

‍

Kardiabet Kft. törli a személyes adatokat, ha

‍

● a személyes adatra nincsen szükség abból acélból, amelyből gyűjtötte vagy más módon kezelte

● az érintett a hozzájárulását visszavonja, és az adatkezelésnek más jogalapja nincsen

● a személyes adatok kezelése valamely okból jogellenesen történt

● a személyes adatokat jogi kötelezettség teljesítése érdekében törölni kell

● a személyes adat gyermekre vonatkozik.

‍

A törlés szükségességének felismerése a munkavállaló feladata, aki azt - amennyiben a törlés szükségessége tekintetében bizonytalan- köteles a vezetőjének, illetőleg az adatvédelmi tisztségviselőnek jelezni. Az adattörlés szükségességének észlelése az ügyvezető feladatkörébe is bele tartozik.

‍

Kardiabet Kft. nem töröl olyan adatot, mely a jogi kötelezettsége teljesítéséhez, illetőleg a jogai érvényesítéséhez szükséges.

‍

A személyes adatok törlése végleges, és helyreállíthatatlan módon, igazolhatóan valósul meg, melyet vagy digitális bejegyzés, vagy egyéb feljegyzés igazol.

‍

INTÉZKEDÉSEK ADATVÉDELMI INCIDENS ESETÉN

‍

Kardiabet Kft., valamint Megbízott partnere, munkavállalója és egyéb bármely együttműködő Partnere adatvédelmi incidens esetén azonnal köteles Kardiabet Kft.t, akiknek haladéktalanul vizsgálatot kell indítaniuk azincidens kockázatának felmérésére.

‍

Amennyiben az adatvédelmi incidens magas kockázatot jelent az érintett jogaira nézve, úgy Kardiabet Kft. legkésőbb 72 (hetvenkét) órán belül köteles azt bejelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóság incidens- bejelentésinyilvántartási rendszerébe.

‍

A bejelentésben

‍

● ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát

● közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit

● ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket

● ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket

● ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

Kardiabet Kft. nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, Kardiabet Kft. indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell

● az adatvédelmi tisztségviselő neve és elérhetősége

● az adatvédelmi incidensből eredő, valószínűsíthető következményeket

● Kardiabet Kft. által azadatvédelmi incidens orvoslásár atett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Kardiabet Kft. mellőzi az érintett tájékoztatását, ha a következő feltételek bármelyike teljesül

● Kardiabet Kft. megfelelőtechnikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket azintézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosításalkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat

● Kardiabet Kft. az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázata továbbiakban valószínűsíthetően nem valósul meg

● a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

‍

EGYÉB RENDELKEZÉSEK

‍

Kardiabet Kft. az adatvédelmi szabályzat megváltoztatására vonatkozó jogát fenntartja.

Kelt: Budapest, 2021.09.26.

‍