I. fejezet: Általános rendelkezések
1. A tájékoztató tartalma
A Privát Doktor Egészségügyi Szolgáltató és Adatfeldolgozó Zrt. (székhely: 1095 Budapest, Mester utca 5.; cégjegyzékszám: 01-10-045987; „Adatkezelő”) PrivátDoktor elnevezésű szolgáltatása egy olyan egészségügyi adattároló és monitorozó rendszer, ami az erre szolgáló eszközökkel mérést végző természetes személyek (továbbiakban: „Érintettek”; "Érintett") alapvető életfunkciókra vonatkozó méréseinek eredményeit gyűjti össze, és az alapján az Adatkezelővel szerződéses viszonyban álló operátorok és/vagy szakértők által nyújtott kiértékelési visszajelzést nyújt az Érintett egészségi állapotának megfigyelése és értékelése érdekében (továbbiakban: „Szolgáltatás”). A PrivátDoktor szolgáltatásainak működésére vonatkozó részletes leírás a http://www.PrivátDoktor.hu weboldalon található.
A PrivátDoktor értékesítésében részt vevő harmadik személyek az Adatkezelő adatfeldolgozójának minősülnek.
Jelen tájékoztató által használt fogalmak összhangban vannak
1.1. A TÁJÉKOZTATÓBAN TALÁLHATÓ LEGFONTOSABB FOGALMAK ÉS ÉRTELMEZÉSÜK:
1.2. AZ ADATKEZELÉS SORÁN ÉRVÉNYESÜLŐ ELVEK
Az Adatkezelő
Az Adatkezelési Tájékoztató és az Adatkezelő adatkezelésével összefüggő egyéb információ elérhető a http://www.privatdoktor.hu weboldalon (továbbiakban: „Weboldal”), illetve a PrivátDoktor mobilapplikációban. Amennyiben kérdése merülne fel az Adatkezelő adatkezelésével vagy a jelen Adatkezelési Tájékoztatóval kapcsolatban, kérjük, hogy keresse az Adatkezelő adatvédelmi tisztviselőjét, Piliskó Szilviát a dpo@privatdoktor.hu e-mail címen. Az Adatkezelő fenntartja magának a jogot a Tájékoztató megváltoztatására, amelyről rendszerüzenet formájában valamint a Weboldalon történő közzététellel a hatályos jogszabályoknak megfelelő tájékoztatást ad.
2. Adatkezelő, adatfeldolgozó és az adatkezelés helye
Az adatok kezelője (a továbbiakban: Adatkezelő vagy Működtető) a Privát Doktor Egészségügyi Szolgáltató és Adatfeldolgozó Zrt. (székhely: 1095 Budapest, Mester utca 5.; cégjegyzékszám: 01-10-045987; képviseli: Papp Tibor) Telefonszám: +36209444177
PrivátDoktor adatvédelmi tisztviselőjének neve és elérhetősége: Piliskó Szilvia Telefonszáma: (munkaidőben hívható telefonszám; +36203443733) E-mail cím: dpo@privatdoktor.hu
Az Adatkezelő az adatkezelés megvalósítása során adatfeldolgozót (azaz az adatkezelések technikai megvalósításában segítséget nyújtó szolgáltatót) vesz igénybe.
Az adatfeldolgozó neve:
Private Intelligence Kft.
Székhely: 2626 Nagymaros, Jánoshegy dűlő 12622. A Private Intelligence Kft. az Adatkezelő részére értékesítési, kapcsolattartási tevékenységet lát el.
S+H Informatikai Zrt.
Székhely: 1132 Budapest, Visegrádi utca 40. Az S+H Informatikai Zrt. az Adatkezelő részére rendelkezésre bocsátja a PrivátDoktor szoftvert, illetve biztosítja annak folyamatos működését.
Invitech ICT Services Kft.
Székhely: 2040 Budaörs, Edison utca 4. Az Invitech ICT Services Kft. biztosítja a fizikai védelmet az Adatkezelő szerveinél.
Az adatkezelés és adatfeldolgozás helye: Magyarország, harmadik országba vagy nemzetközi szervezet részére adattovábbítás nem valósul meg.
3. A PrivátDoktor adatkezelésének körülményei, az adatkezelés jogalapja, esetkörei
Az Adatkezelő adatkezelése a következő jogalapok szerint történik, a jogalapokhoz tartozó esetekben:
1) Hozzájáruláson alapuló adatkezelések - GDPR 6. cikk (1) bek. (a)
Idetartozó esetkörök (ideértve a kapcsolódó adatbeviteli, -módosítás, -törlési folyamatokat is, valamint az adatokhoz való hozzáférési jogosultságokat is):
regisztráció
A Weboldalon történő regisztráció során az Érintettnek meg kell adnia a szükséges adatokat. Adatkezelő ezt követően hitelesítő e-mailt küld a megadott e-mail címre, amely tartalmazza a regisztráció aktiválásához szükséges linket.
kapcsolattartási személyes adatok megadása
Az Érintett nyilatkozatával
életkor opcionális megadása
Az Érintett maga dönt arról, hogy életkorát megadja-e. A Szolgáltatást csak nagykorú személyek vehetik igénybe. Az életkor pontos megadása javíthatja a Szolgáltatás minőségét.
ügyfélszolgálatra beérkező telefonhívások rögzítése
Az ügyfélszolgálat telefonos felkeresése esetében az ügyfélszolgálat – amennyiben indokolt - rövid írásos feljegyzést készít a bejelentésről. Érintett kérésére számára e-mail formában a feljegyzést megküldi.
panasz, hibabejelentő e-mailek tárolása
Amennyiben a panasz vagy hibabejelentés e-mail útján történik, az elküldött e-mail minden esetben tárolásra kerül, így amennyiben a bejelentésben személyes adat is megadásra kerül, a bejelentéssel együtt tárolódik.
panasz-, hibabejelentésekben foglalt adatok rögzítése a ticketing rendszerben
A PrivátDoktorban a bejelentések nyomán észlelt panaszok, hibák kezelését segítő ún. ticketing (jegykezelő) rendszerek működnek. Ezek arra szolgálnak, hogy a hibák egy rendszerben történő összegyűjtése révén minél gyorsabban megoldást tudjon találni rá a lehető legkompetensebb személy.
2) érvényesítéséhez kapcsolódó adatkezelések – GDPR 6. cikk (1) bek. (c)
számlázási adatok megadása
A Szolgáltatás csak fizetés ellenében vehető igénybe, a Szolgáltatás díja számlázásra kerül, melyhez az irányadó jogszabályban felsorolt adatok bekérésére és kezelésre van szükség.
3) Jogos érdek érvényesítéséhez kapcsolódó adatkezelések – GDPR 6. cikk (1) bek. (f)
céges csatlakozásokhoz kapcsolódó adatkezelések: műszaki kapcsolattartó adatai stb.
A PrivátDoktor lehetőséget biztosít társaságok számára, hogy kollégáik részére PrivátDoktor előfizetést nyújtsanak. Ezen megállapodás esetében szükséges a társaságokkal való kapcsolattartás, ezért a csatlakozással összefüggésben rögzítésre kerülnek bizonyos jól definiált adatok pl. a kapcsolattartó elérhetőségei.
ügyfélszolgálat általi PrivátDoktor felhasználók nyilvántartása
A PrivátDoktor üzemeltetése kapcsán szükséges, hogy az ügyfélszolgálati, illetve számlázási feladatokat ellátó kollégák is rendelkezzenek a feladat ellátásához szükséges jogosultságú hozzáféréssel.
üzemeltetés általi PrivátDoktor felhasználók nyilvántartása
A PrivátDoktor üzemeltetése kapcsán szükséges, hogy az üzemeltetési feladatokat ellátó kollégák is rendelkezzenek hozzáféréssel.
Adminisztrátorok tevékenységének naplózása
A PrivátDoktor működtetése során biztonsági és visszakereshetőségi okokból az Operátorok, Ügyfélszolgálat és adminisztrátorok PrivátDoktorban végzett tevékenységei naplózásra kerülnek.
Biztonsági napló állományok
A PrivátDoktor működtetése során biztonsági és visszakereshetőségi okokból a biztonsági események naplózásra kerülnek.
Ezen jogalapok alapján kezelt személyes adatok kétféleképpen kerülhetnek az Adatkezelő birtokába:
1. Közvetlenül az Érintett bocsátja őket az Adatkezelő rendelkezésére
2. Nem közvetlenül az Érintettől kapja az Adatkezelő a személyes adatokat
Az alábbi táblázat összefoglalja a különböző jogalapokhoz tartozó adatkezelési esetköröket, az egyes esetkörökhöz tartozó személyes adatok körét, a kezelés célját és időtartamát, valamint az adatkezelési esetkört létrehozó jogszabályi rendelkezés számát, amennyiben létezik ilyen. Néhány esetben a kezelt adatok köre szélesebb, így ezen adatok felsorolását az 1. sz. melléklet tartalmazza.
II. fejezet: Adatkezelési összefoglaló
1. Közvetlenül az Érintettől gyűjtött személyes adatok kezelése
Adatkezelési eset:
Jogalap: Érintett hozzájárulásán alapuló adatkezelés (GDPR 6. cikk (1) bek. a) továbbá TAJ szám esetében a 9. cikk (2) bek. a) pontja). Cél: a PrivátDoktor által nyújtott szolgáltatások elérése Adattartalom: E-mail cím, jelszó, Keresztnév, vezetéknév, nem, születési év, nyelv, státusz, regisztráció dátuma, regisztráció megszüntetése, egyedi azonosító, TAJ szám vagy útlevél szám. Nem kötelezően: telefonszám, második e-mail cím, lakóhely, bejelentkezési hitelesítő Adatkezelés ideje: Nem kötelező adatok esetében: a Szolgáltatás igénybevételének időtartama, illetve a hozzájárulás visszavonásáig, kötelező adatok esetében: hozzájárulás visszavonásáig vagy a szolgáltatási jogviszony megszűnését követő 5 év.
Adatkezelési eset: kapcsolattartás
Jogalap: Érintett hozzájárulásán alapuló adatkezelés (GDPR 6. cikk (1) bek. a) pontja Cél: kapcsolattartás a felhasználóval Adattartalom: e-mail cím, telefonszám Adatkezelés ideje: hozzájárulás visszavonásáig
Adatkezelési eset: mérőeszközök által mért adatok
Jogalap: Érintett hozzájárulásán alapuló adatkezelés (GDPR 6. cikk (1) bek. a) pontja illetve illetve az egészségügyi adatok vonatkozásában a 9. cikk (2) bek. a) pontja Cél: az adattárolás és adatelemzés célját szolgálja Adattartalom: mérés típusa: testsúly, testösszetétel, pulzus, pulzus hullám, EKG, bőrhőmérséklet, vércukor, vérnyomás adatok, véroxigén szintje. mérés időpontja, összegyűjtés időpontja, feltöltés időpontja, szerverhez érkezés időpontja, mérési idő hossza, státusz, mérés szélességi foka, mérés hosszúsági foka, elfoglaltság, egyedi azonosító, adatfelküldést végző eszköz, előírás azonosítója. Adatkezelés ideje: visszavonásig (jellemzően a Szolgáltatásra vonatkozó előfizetés időtartama)
Adatkezelési eset: mérőeszközzel összefüggésben kezelt adatok
Jogalap: Érintett hozzájárulásán alapuló adatkezelés (GDPR 6. cikk (1) bek. a) pontja, illetve az egészségügyi adatok vonatkozásában a 9. cikk (2) bek. a) pontja Cél: eszközazonosítás Adattartalom: MAC azonosító, eszköz neve és típusa, állapot, tulajdonos, regisztráció dátuma, melyik felhasználónál van az eszköz, deregisztrálás dátuma, egyedi azonosító, eszközhöz rendelt felhasználó. Adatkezelés ideje: Szolgáltatás nyújtásának időtartama alatt
Adatkezelési eset: életkor
Jogalap: Érintett hozzájárulásán alapuló adatkezelés (GDPR 6(1)a) pontja Cél: Szolgáltatásnyúj-tás testreszabása, szerződéskötés jogi feltételeinek ellenőrzése Adattartalom: életkor (születési év) Adatkezelés ideje: hozzájárulás visszavonásáig
Adatkezelési eset: Operátorok általi kiértékelés
Jogalap: Érintett hozzájárulásán alapuló adatkezelés (GDPR 6. cikk (1) bek. a) pontja, illetve az egészségügyi adatok vonatkozásában a 9. cikk (2) bek. a) pontja. Cél: a mért adatok statisztikai szintű elemzése Adattartalom: mért adatok, életkor, nem, kapcsolattartási adatok Adatkezelés ideje: a hozzájárulás visszavonásáig, vagy az erre vonatkozó előfizetés időtartama alatt
Adatkezelési eset: Szakértői kiértékelés
Jogalap: Érintett hozzájárulásán alapuló adatkezelés (GDPR 6. cikk (1) bek. a) pontja illetve az egészségügyi adatok vonatkozásában a 9. cikk (2) bek. a) pontja Cél: Az Operátor által megküldött adatok kiértékelése Adattartalom: mért adatok, életkor, nem Adatkezelés ideje: a hozzájárulás visszavonásáig, vagy az erre vonatkozó előfizetés időtartama alatt
Adatkezelési eset: Ügyfélszolgálatra beérkező megkeresések rögzítése
Jogalap: Érintett hozzájárulásán alapuló adatkezelés (GDPR 6. cikk (1) bek. a) Cél: kapcsolattartás, visszakereshetőség Adattartalom: kapcsolattartási adatok, a beszélgetés lejegyzetelt tartalma Adatkezelés ideje: a hozzájárulás visszavonásáig, vagy az ügyintézés befejezését követő 1 év
Adatkezelési eset: Panasz, hibabejelentő emailek tárolása
Jogalap: Érintett hozzájárulásán alapuló adatkezelés (GDPR 6. cikk (1) bek. a) pontja Cél: kapcsolattartás, minőségbiztosítás, visszakereshetőség Adattartalom: Érintett által elküldött email Adatkezelés ideje: fogyasztóvédelmi kérdések esetében 3 évig
Adatkezelési eset: Hibabejelentésekben foglalt adatok rögzítése a ticketing rendszerben
Jogalap: Érintett hozzájárulásán alapuló adatkezelés (GDPR 6(1)a) illetve 9. cikk (2) bek. a) pontja Cél: hibajegyek hatékony kezelése, visszakereshetőség Adattartalom: Érintett által a hibabejelentésekben megadott személyes adatok Adatkezelés ideje: hibaelhárítást követő törlésig
2. Nem közvetlenül az Érintettől gyűjtött személyes adat kezelése
Adatkezelési eset: Társaság által nyújtott juttatások esetében a kapcsolódó adatkezelések
Jogalap: Jogos érdek (6(1)f) Cél: a szerződéshez és későbbi üzemeltetéshez kapcsolódó kapcsolattartás Adattartalom: szerződésben megjelölt adminisztratív kapcsolattartó neve, beosztása, telefonszáma, email címe; Adatkezelés ideje: szerződés fennállása alatt
Adatkezelési eset: Ügyfélszolgálat általi PrivátDoktor felhasználók nyilvántartása
Jogalap: jogos érdek (6(1)f) Cél: ügyfélszolgálati feladatok ellátása Adattartalom: Név, születési név, (születési idő,) e-mail cím, telefonszám, igénybevett szolgáltatás típusa Adatkezelés ideje: Érintettel fennálló jogviszony + 5 év
Adatkezelési eset: Operátor általi PrivátDoktor felhasználók nyilvántartása
Jogalap: jogos érdek (6(1)f) Cél: ügyfélszolgálati feladatok ellátása Adattartalom: Név, születési név, (születési idő,) e-mail cím, telefonszám, igénybevett szolgáltatás típusa, mért adatok Adatkezelés ideje: Érintettel fennálló jogviszony + 5 év
Adatkezelési eset: Üzemeltetés általi PrivátDoktor felhasználók nyilvántartása
Jogalap: jogos érdek (6(1)f) Cél: üzemeltetési feladatok ellátása Adattartalom: Név, születési név, (születési idő), e-mail cím, telefonszám, igénybevett szolgálatás típusa, egyéb adatai Adatkezelés ideje: munkakör betöltésének ideje +5 év
Adatkezelési eset: Operátorok, Adminisztrátorok tevékenységének naplózása
Jogalap: Jogos érdek (6(1)f) Cél: rendszert érintő műveletek nyomon követhetősége Adattartalom: események adatai Adatkezelés ideje: 5 évig
Adatkezelési eset: Biztonsági napló állományok
Jogalap: Jogos érdek (6(1)f) Cél: rendszert érintő műveletek nyomon követhetősége Adattartalom: események adatai Adatkezelés ideje: 5 évig
Adatkezelési eset: Offline működés alatt tárolásra kerülő sütik
Jogalap: Jogos érdek (6(1)f) Cél: a mérési pontossághoz szükséges felhasználói azonosítás Adattartalom: offline időszakban bejelentkezési adatokat tartalmazó sütik Adatkezelés ideje: előfizetési jogviszony fennállása
Adatkezelési eset: Számlázás
Jogalap: a GDPR 6. cikk (1) bek. c) pontja alapján az Számv. tv. 168. § Cél: A Szolgáltatás teljesítésének igazolására számla kiállítása. Adattartalom: számlázási információk (a mindenkor hatályos törvényi rendelkezések alapján) Adatkezelés ideje: törvényben meghatározott időtartam (kibocsátástól számított 8 évig)
III. fejezet: A GDPR által biztosított adatvédelmi rendelkezések
2. Az adatokhoz hozzáférő személyek, adattovábbítás a PrivátDoktorból
Az Adatkezelő a PrivátDoktorban fellehető adatokhoz történő hozzáférést a vonatkozó jogszabályok, és az Érintett által tett nyilatkozatok tartalma alapján határozza meg.
A PrivátDoktorban kezelt egészségügyi és hozzájuk kapcsolódó személyes adatok megismerésére kizárólag az Operátor, a Szakértő és az Érintett által meghatalmazott személy lehet jogosult, amennyiben ezt az Érintett nem korlátozza.
Az Adatkezelő részéről az Érintett adataihoz az alkalmazások üzemeltetésével kapcsolatos feladatok ellátásával megbízott személyek kizárólag feladatuk ellátása érdekében férhetnek hozzá.
A PrivátDoktor nyilvántartásaiból történő adattovábbítás kizárólag megfelelő jogalappal, egyedi elbírálás alapján lehetséges, ez nem érinti az Érintett saját adataira vonatkozó adattovábbítási lehetőségét. Az Adatkezelő a Szolgáltatással kapcsolatban adattovábbítást alkalmaz az alábbi szolgáltató felé az alább megjelölt céllal:
Mobil4 Kereskedelmi és Szolgáltató Zrt.
Székhely: 1016 Budapest, Krisztina krt. 75B
A Mobil4 Kereskedelmi és Szolgáltató Zrt. az Adatkezelő partnere és önálló adatkezelő, amely az Adatkezelővel való szerződés alapján díjbeszedési és behajtási szolgáltatásokat végez. A felek közötti adattovábbítás részleteit és feltételeit a felek külön adattovábbítási megállapodásban rendezik.
3. Adatbiztonság
A PrivátDoktor adatkezelője különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás elleni adminisztratív, fizikai és logikai védelmi intézkedéseket tesz.
A jogosulatlan hozzáférés megakadályozására az adatok titkosított tárolása mellett az azokhoz való hozzáférés kizárólag megbízható azonosítás (tanúsítvány alapú, vagy kétfaktoros azonosítás) után lehetséges. A PrivátDoktor tekintetében minden üzleti és rendszeresemény naplózásra, az adminisztrációs tevékenységek a módosítást ellehetetlenítő módon rögzítésre kerülnek. Az elektronikus módon történő adatkezelések kizárólagos helye az Adatkezelő saját szerverei, amelyet az Adatkezelő tűzfallal és külső szolgáltató szoftverével (azonosítás, titkosítás, adatvédelem) véd. A szerverek fizikai védelmét az Invitech ICT Services Kft. látja el, a szerverek az Invitech ICT Services Kft. szervertermében, folyamatos őrizet alatt állnak.
Az adatok véletlen megsemmisülésének, sérülésének megakadályozása érdekében az adatállományok rendszeresen mentésre kerülnek.
A PrivátDoktor, mint adatkezelő fokozott figyelmet fordít arra, hogy megakadályozza az Érintettek adatainak helytelen rögzítését, valamint azt is, hogy az Érintettek adati más Érintetthez kerüljenek rögzítésre. Az Érintett azonosítását szolgáló adatkezelések mind azt a célt szolgálják, hogy a kezelés biztonságossága, megbízhatósága biztosított legyen.
4. Harmadik személyek személyes adatainak kezelése
Annak érdekében, hogy az Érintett harmadik személyt (pl. kezelőorvos, szakorvos) az adatai megismerésére meghatalmazzon és az adatokat vele megossza szükséges e harmadik személy e-mail címének és nevének megadása. Érintett kötelezettsége e harmadik személytől a meghatalmazás folyamatához szükséges mértékű adatkezelési hozzájárulást beszerezni. Amennyiben a meghatalmazásra felkért személy a felkérést 5 munkanapon belül nem fogadja el, a felkérés hatályát veszti, továbbá egy már elfogadott felkérés bármikor visszavonható.
5. Egyéb adatkezelések
5.1. HARMADIK SZEMÉLYEK SZEMÉLYES ADATAINAK KEZELÉSE
Amennyiben az Érintett harmadik személyek személyes adatait adja meg, az Érintett kötelessége annak biztosítása, hogy az adatközléshez szükséges hozzájárulást beszerezze vagy az egyéb jogalapot teljesítse, és értesítse az Adatkezelőt az ezzel kapcsolatos bármely változás esetén. Az Érintetteknek tartózkodnia kell harmadik személyek személyes adatainak átadásától, kivéve, ha az adatközlés az Adatkezelővel fennálló szerződés teljesítéséhez szükséges.
5.2. MÁSODLAGOS FELHASZNÁLÓ
Az harmadik személy, akit az Érintett felhatalmazott a PrivátDoktor rendszerben tárolt személyes adatainak megismerésére, méréseket azonban a másodlagos felhasználó nem kezdeményezhet.
Amennyiben az Érintett hozzáférési jogot ad másodlagos felhasználónak, a hozzáférési jog megadása során az Érintettnek az Adatkezelési Tájékoztató 3. pontjában megjelölt adatokon felül a TAJ számát is meg kell adnia annak érdekében, hogy az egészségügyi adatokhoz hozzáférést szerző kezelőorvos az Érintettet megfelelően azonosítani tudja. A TAJ szám kezelésére az Adatkezelési Tájékoztató 3.1. pontja az irányadó azzal, hogy az Orvosok nem rendelkeznek hozzáféréssel az adathoz.
5.3. CSOPORTOS ADATMÉRÉSEK
A PrivátDoktor rendszere lehetőség biztosít arra is, hogy a csoportos mérések során egy vagy több személy egy meghatározott csoport tagjainak adataihoz hozzáférjen.
Felügyelt csoportos mérés: A csoportot létrehozó személy saját eszközén regisztrálja a csoport tagjainak adatait, majd az egyes regisztrációkhoz képzett egyedi azonosítóval (QR-kód) minden mérést megelőzően azonosítja a regisztrált személyeket. Felügyelt csoportos mérés esetén a csoportot létrehozó személy önálló adatkezelőnek minősül, aki felelős azért, hogy a csoport tagjai az adatkezelés körülményeit, illetve a jelen Adatkezelési Tájékoztatót megismerjék, a Privát Doktor Egészségügyi Szolgáltató és Adatfeldolgozó Zrt. ebben az esetben adatfeldolgozónak minősül.
Eszköz továbbadásos csoportos mérés: A csoport tagjai saját eszközükön hajtják végre a regisztrációt, majd ezt követően a csoportot létrehozó személy mérőeszközén található QR-kód megadását követően a mérőeszközzel végrehajtják a mérést, amelyet a saját eszközük továbbít a csoportot létrehozó személyhez. A csoportot létrehozó személy önálló adatkezelőnek minősül.
5.4. MARKETING CÉLÚ ADATKEZELÉS
Az Adatkezelő az Érintett előzetes hozzájárulásával saját vagy harmadik fél szolgáltatását vagy termékét bemutathatja vagy ajánlhatja az Érintettnek. A hozzájárulását az Érintett bármikor visszavonhatja e-mailben (info@privatdoktor.hu). Mivel a marketing célú adatkezelés során profilalkotás valósul meg, az Adatkezelő elvégezte a szükséges hatásvizsgálatot.
5.5. STATISZTIKAI CÉLÚ ADATKEZELÉS
Az Adatkezelő a PrivátDoktor rendszerben kezelt egyes adatokat (nem, életkor, mérési eredmények) anonimizálást követően, személyes jellegüktől megfosztva, statisztikai célból kezeli. Az adatok anonimizálást követően nem minősülnek személyes adatnak.
6. Az Érintett adatkezeléssel kapcsolatos jogai
6.1. TÁJÉKOZTATÁS KÉRÉSE ÉS HOZZÁFÉRÉSI JOG GYAKORLÁSA
Az Érintett bármikor jogosult tájékoztatást kérni az Adatkezelő által kezelt, rá vonatkozó személyes adatokról és a kezelésükkel kapcsolatos információkról. Az Érintett az adatokhoz való hozzáférésre irányuló kérelmét írásban köteles eljuttatni az Adatkezelő részére és az igényelt adatokat írásban (elektronikusan vagy postai úton küldött levélben) adja meg az Adatkezelő, szóbeli tájékoztatást ezzel összefüggésben nem ad. Az Érintett személyazonosságát Adatkezelő ellenőrzi.
Adatkezelő az Érintett kérésére tájékoztatást ad a rá vonatkozó, általa kezelt adatokról, az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, továbbá az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá az esetleges adattovábbítás jogalapjáról és címzettjéről. Adatkezelő a kérelem benyújtásától számított 30 napon belül írásban adja meg a kért tájékoztatást.
Az Érintett a tájékoztatást követően, amennyiben az adatkezeléssel, a kezelt adatok helyességével nem ért egyet, úgy a 4.2. pontban meghatározottak szerint kérelmezheti a rá vonatkozó személyes adatok helyesbítését, kiegészítését, törlését, kezelésének korlátozását, tiltakozhat az ilyen személyes adatok kezelése ellen, illetve a 5. pontban meghatározottak szerint jogorvoslattal élhet.
Az Érintett bármely, az adatkezeléssel kapcsolatos kérdéssel, illetve észrevétellel PrivátDoktor adatvédelmi tisztviselőjéhez fordulhat.
6.2. SZEMÉLYES ADAT HELYESBÍTÉSE, KIEGÉSZÍTÉSE, TÖRLÉSE, AZ ADATKEZELÉS KORLÁTOZÁSA
6.2.1. Kezelt személyes adatok helyesbítéséhez, kiegészítéséhez való jog
Az Érintett jogosult arra, hogy kérésére indokolatlan késedelem nélkül helyesbítésre kerüljenek a rá vonatkozó pontatlan személyes adatok. Figyelembe véve az adatkezelés célját, az Érintett jogosult arra, hogy kérje a hiányos személyes adatok kiegészítését.
6.2.2. Törléshez (elfeledtetéshez) való jog
Az Érintett kérésére az Adatkezelő indokolatlan késedelem nélkül törli az Érintettre vonatkozó személyes adatokat, ha a meghatározott indokok valamelyike fennáll:
i) a személyes adatokra már nincs szükség abból a célból, amelyből azokat az Adatkezelő gyűjtötte vagy más módon kezelte;
ii) az Érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
iii) az Érintett saját helyzetével kapcsolatos okokból tiltakozik az adatkezelés ellen, és nincs jogszerű ok az adatkezelésre, vagy az Érintett tiltakozik a rá vonatkozó személyes adatok közvetlen üzletszerzés célból történő adatainak kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik;
iv) a személyes adatokat az Adatkezelő jogellenesen kezeli;
v) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
vi) a személyes adatok gyűjtésére közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Az Érintett a törléshez, elfeledtetéshez való jogával nem élhet, ha az adatkezelés szükséges
i) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
ii) népegészségügy területét érintő közérdek alapján;
iii) a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog gyakorlása lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
iv) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
A hozzájáruláson alapuló adatkezelés esetén a megadott adatok törlése az Adatkezelő részére küldött e-mail formájában kezdeményezhető, illetve a saját profil szerkesztése során történhet.
6.2.3. Adatkezelés korlátozáshoz való jog
Az Érintett jogosult arra, hogy kérelme esetén az Adatkezelő korlátozza az adatkezelést, ha a
i) az Érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát,
ii) az adatkezelés jogellenes, és az Érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását,
iii) Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez,
iv) az Érintett tiltakozik az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben.
Az Adatkezelő az Érintettet, akinek kérelmére korlátozta az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
6.3. TILTAKOZÁS SZEMÉLYES ADATOK KEZELÉSE ELLEN
Az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a kezelése ellen a törvény által elrendelt, illetve a jogos érdeken alapuló adatkezelések esetében. Ezen adatkezelési esetek pontos köréről jelen tájékoztató 3. 3. pontjából, az ezekben az esetekben kezelt adatok köréről pedig a II. fejezetben szereplő táblázatból tájékozódhat.
Ha az Érintett tiltakozik a személyes adatok kezelése ellen, Adatkezelő az adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Az Érintett e-mailben saját szavaival megfogalmazott igénnyel tud tiltakozni az előbbiekben meghatározott körben személyes adatainak kezelése ellen.
6.4. ADATHORDOZHATÓSÁGHOZ VALÓ JOG
Az adathordozhatóság azt teszi lehetővé, hogy az Érintett megszerezhesse és a továbbiakban felhasználhassa az Adatkezelő rendszerében megtalálható általa átadott adatait. Minden esetben az Érintett által átadott adatokra korlátozódik a jogosultság, egyéb adatok hordozhatóságára lehetőség nincs. (pl. statisztika, tranzakciós adatok stb.) Az említettek alapján az adathordozhatósághoz való jog a digitális önrendelkezés keretében megadott elérhetőségi adatokra és a rendelkezési beállításokra vonatkozik.
Az Érintett a rá vonatkozó, az Adatkezelő rendszerében megtalálható személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban kaphatja meg ha:
i) az adatkezelés a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és
ii) az adatkezelés automatizált módon történik.
6.5. AUTOMATIZÁLT DÖNTÉSHOZATAL EGYEDI ÜGYEKBEN
Az Érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
7. Adatvédelmi incidensek kezelése
Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Az adatkezelő az incidens kezelése során az Incidenskezelési szabályzatban jóváhagyottak szerint köteles eljárni. Az Adatkezelő az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, a felügyeleti hatóság tájékoztatása, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az incidenssel érintett személyes adatok körét, az érintettek körét és számát, az incidens időpontját, körülményeit, hatásait, az elhárítására megtett intézkedéseket. Ha az Adatkezelő úgy ítéli meg, hogy egy adott incidens valószínűsíthetően kockázattal jár az érintettek jogaira és szabadságaira nézve, indokolatlan késedelem nélkül, de legfeljebb 72 órán belül tájékoztatja a felügyeleti hatóságot az adatvédelmi incidensről. Ha az Adatkezelő úgy ítéli meg, hogy egy adott incidens valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
8. Jogorvoslati lehetőségek
A GDPR 77. cikkével összhangban az Érintett – amennyiben megítélése szerint a rá vonatkozó személyes adatok kezelése nem felel meg a GDPR követelményeinek – e-mailben vagy postai úton küldött panasszal fordulhat a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH). Telefonon keresztül bármely jog érvényesítésére nincs lehetőség.
Az Érintett a jogait az alábbi elérhetőségeken gyakorolhatja:
Név: Nemzeti Adatvédelmi és Információszabadság Hatóság
Levelezési cím: 1363 Budapest, Pf. 9.
E-mail cím: ugyfelszolgalat@naih.hu
web: http://naih.hu
Az Érintett lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is érvényesítheti jogait.
IV. Adatkezelő által megtett intézkedések
1. Vírusvédelem biztosítása
Adatkezelő a közvetlen ügyfélkapcsolati forgalmat lebonyolító szervereken automatikus vírusvédelmet biztosít és automatikusan frissíti a víruskönyvtárat mindenkori legfrissebb verzióra, ezzel biztosítva a vírusvédelmi megoldás naprakészen tartását.
2. Sértetlenség biztosítása
A sértetlenség elve alapján az Adatkezelő biztosítja, hogy az adat módosítása megállapítható legyen.
3. Bizalmasság biztosítása
Az Adatkezelő azonosítási és jogosultságkezelési nyilvántartásán keresztül biztosítja, hogy a PrivátDoktorban tárolt és elérhető személyes adatokat kizárólag az arra jogosult személyek ismerhessék meg.
Az azonosítási és jogosultságkezelési nyilvántartás adatai titkosítottan kerülnek tárolásra.
4. Rendelkezésre állás biztosítása
Az Adatkezelő a PrivátDoktor működésével kapcsolatban fizikai adathordozón tárolt adatokról biztonsági mentéseket készít a mindenkori belső előírások szerint.:
Minden nap 05:00-kor automatikusan létrjön egy teljes mentés a PROD_PrivatDoktor, a TST_privatdoktor és a DEV_privatdoktor adatbázisokról.
A mentések elkülönítve kerülnek tárolására egy erre a célra dedikált külön szerveren, amely ssh-n keresztül tudja fogadni a mentett adatokat, ezért sikeres mentést követően a keletkezett állományok átmásolódnak erre a szerverre is.
Ezzel jelenleg automatikusan napi 1 alkalommal mentésre kerülnek az MSSQL adatbázisok (05:00)-kor.
A mentett állományok automatikus törlésekor a mentés folyamán a forrás szerverről napló állomány készül, így az események egymásutánisága nyomonkövethető, hiba és/vagy sikeres mentéskor értesítő levél generálása történik. A megőrzési idő lejártát követően a régi mentési állományok törlésre kerülnek.
V. Záró rendelkezések
A jelen Tájékoztató rendelkezéseit a PrivátDoktorral kapcsolatos feladatokat ellátó, személyes adatokat kezelő vagy feldolgozó személyekkel ismertetni kell. Jelen Tájékoztatót a PrivátDoktor honlapján is közzé kell tenni.