Adatkezelési tájékoztató – vizsgálatok – Vascular Diagnostics Laboratórium

A jelen adatkezelési szabályzat alapján kezelt személyes adatok adatkezelője a Vascular Diagnostics Korlátolt Felelősségű Társaság (székhely: 1095 Budapest, Lechner Ödön fasor 3./C. III.em.1; cégjegyzékszám: 01-09-931151; a továbbiakban: „VD”, „Adatkezelő” vagy „Mi”), és mint ilyen, felelős annak biztosításáért, hogy az adatkezelésre az alkalmazandó jogszabályoknak megfelelő kerüljön sor.

Társaságunk egészségügyi szolgáltatóként személyes adatot csak az Adatkezelési szabályzatban meghatározott célból kezel, a leírtak szerint, a tájékoztatóban ismertetett módon.

A Szabályzat jóváhagyása az ügyvezető hatáskörébe tartozik.

3 Általános rendelkezések

3.1 Bevezetés

A tájékoztató az alábbi magyar és uniós jogszabályoknak való megfelelés alapján készült: • 2016/679 EU rendelet (Általános adatvédelmi rendelet „Rendelet” vagy „GDPR”) • 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról („Infotv.”) • 1997. évi CLIV. Törvény az egészségügyről (“Eütv.”) • 1997. évi XLVII. törvény az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről (“Eüak.”) • 2008.évi XXI. Törvény a humángenetikai adatok védelméről, a humángenetikai vizsgálatok és kutatások, valamint a biobankok működésének szabályairól („Humángenetikai tv.”)

3.2 A Szabályzat célja

A Szabályzat célja azon belső szabályok megállapítása és intézkedések megalapozása, amelyek biztosítják, hogy a Társaság adatkezelő tevékenysége megfeleljen a Rendelet és az Infotv. rendelkezéseinek.

Továbbá az adatkezelés elsődleges célja a célzott szolgáltatás (laboratóriumi vizsgálat) teljesítése, valamint ezen jogviszonyból eredő jogok és kötelezettségek érvényesítése, illetőleg a jogviszonnyal kapcsolatos jogszabályi kötelezettségek teljesítése.

Az adatkezelés céljai közé sorolandó társaságunk vagy harmadik személy jogos érdekének érvényesítése.

3.3 Fogalom meghatározások

E Szabályzat alkalmazásában irányadó fogalommeghatározásokat a Rendelet 4. cikke tartalmazza. Ennek megfelelően emeljük ki a főbb fogalmakat:

„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
„az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
„profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
„álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
„nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
„adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
„címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
„harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
„adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
„egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
„egészségügyi dokumentáció”: a gyógykezelés során a betegellátó (adatkezelő) tudomására jutott egészségügyi és személyazonosító adatokat tartalmazó feljegyzés, nyilvántartás vagy bármilyen más módon rögzített adat, függetlenül annak hordozójától vagy formájától
„genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;

4 A vizsgálatokhoz kapcsolódó adatkezelés leírása

A Vascular Diagnostics mikrobiológiai és humángenetikai vizsgálatot igénybe vevő természetes személyektől (a továbbiakban „Páciens”) gyűjtött személyes-, személyazonosító-, egészségügyi- és humán mintából kinyerhető genetikai adatkezelést végez.

Az adatkezelés célja és jogalapja:

A Páciensek az adott vizsgálatra vonatkozó Tájékoztató anyagok megismerését követően, a vizsgálatkérő lap kitöltésével jelentkeznek a Társaság által nyújtott vizsgálat elvégzésére. A Páciensek személyes adatának kezelése azon célból történik, hogy a mikrobiológiai, genetikai, valamint prenatális genetikai vizsgálatot elvégezhesse és kiértékelhesse a laboratórium, valamint az eredményeket továbbítsa az érintettek részére. A Páciensek kizárólag a melléklet helyes kitöltésével, beleegyező/hozzájáruló nyilatkozat aláírásával jelentkezhetnek a laboratóriumi szolgáltatásunkra.

Genetikai diagnosztikai vizsgálataink esetén, a pácienseknek lehetőségük van pre és post genetikai tanácsadáson részt venni.

Az Adatkezelő rögzíti, hogy a kiskorúság miatt korlátozottan cselekvőképes, illetve cselekvőképtelen kiskorú vizsgálatához, illetve a magzat genetikai vizsgálatához törvényes képviselője hozzájárulása szükséges. Az Adatkezelő nem vizsgálja a kiskorú páciensek feletti szülői felügyeleti jog gyakorlásának jogszerűségét és mértékét. A vizsgálatok végzéséhez elegendőnek tartja az egyik törvényes képviselő, avagy a magzat vonatkozásában a várandós anya hozzájárulását beszerezni. Az Adatkezelő kizárja a felelősségét a szülői felügyeleti joggyakorlás túllépése miatt.

Az Adatkezelő rögzíti, hogy a kiskorú páciens, avagy a kiskorú pácienst érintő adat vonatkozásában a törléshez (elfeledtetéshez) való jog gyakorlása körében mindkét szülő (törvényes képviselő) hozzájárulásának beszerzését teszi szükségessé.

Az adatkezelés jogalapja a szerződéses kötelezettség teljesítése és hozzájárulás adása. Az érintett és a Társaság között létrejövő szerződés megjelenési formája a Vizsgálatkérő lap, ahol a jelen Tájékoztatóban és a Vizsgálatkérő lapon külön megjelölt adatkezelések kapcsán önkéntes hozzájárulását is meg tudja adni az érintett.

A vizsgálat elvégzését követően a vizsgálati eredményt a Társaság anonim módon, minőségbiztosítási és további diagnosztikai eljárások kutatási és fejlesztési céljára, szakmai publikációkban való megjelentetéséhez a páciens hozzájárulásával felhasználhatja.

4.1 Mikrobiológiai vizsgálat elvégzéséhez szükséges adatkezelés

Az adatkezelési hozzájárulás és beküldő lapon a páciens kezelt adata:

– Az érintett neve

– TAJ (Társadalom biztosítási azonosító jel) azonosító

– Születési dátuma

– Neme

– Lakcíme

– E-mail címe

– Telefonszáma

– Számlázási adatok

– Előzmények tünetek

– Meglévő oltások típusa, időpontja

A beküldőlapon továbbá a mintavételi helynek rögzítenie kell:

– a mintavétel helyét

– a mintavétel napját

– a mintavétel időpontját

– a vizsgálati anyag típusát

– a kért vizsgálat típusát

A mintát átvevő kolléga aláírásával igazolja, amennyiben a vizsgálatra szánt minta megfelelő állapotú, alkalmas a vizsgálat elvégzésére.

Az Adatkezelő ezen személyes adatokat az alábbi célokból kezeli: a kért vizsgálat elvégzése, az ügyféllel való kommunikáció. A VD a kért vizsgálat elvégzésével, valamint a tevékenységével összefüggésben igénybe veheti harmadik fél (külső laboratóriumi és diagnosztikai szolgáltatók) szolgáltatásait, akik e tevékenységük során a VD nevében és utasításai alapján, mint Adatfeldolgozók járnak el.

4.2 Genetikai vizsgálat elvégzéséhez szükséges adatkezelés

A betegtájékoztató elolvasását követően a páciens a beleegyező nyilatkozat és vizsgálatkérő lap kitöltésével kezelt adatok köre:

Genetikai vizsgálatok esetén:

– A páciens neve

– Neme

– Születési helye, ideje

– Anyja neve

– E-mail címe

– Telefonszáma

– Lakcíme

– Taj azonosító

– Taj hiányában egyéb személyi azonosító

– Számlázási név, cím

– Mintavétel dátuma

– Minta típusa

A non-invazív prenatális diagnosztikai vizsgálat esetén a kezelt adatok köre:

– Páciens neve

– TAJ azonosító

– Születési hely és idő

– Anyja neve

– Lakcíme

-E-mail

-Telefonszám

– Várandósság kora

– Várandós súlya

– Magassága

– Heparin terápia megléte

– IVF terhesség esetén a várandós kora a beültetéskor

– Ikervárandósság ténye

-Terhesség donor petesejttel

– Kezelő orvosa neve

– Terhesség hete

– Ikerterhességre vonatkozó információ

A beküldőlapon továbbá a mintavételi helynek rögzítenie kell:

– a beküldő intézmény/orvos nevét

– a beküldő intézmény/orvos címét

– a számlázási információkat

– a kért vizsgálat típusát

– a mintavétel időpontját

A mintát átvevő kolléga ellenőrzi, amennyiben a vizsgálatra szánt minta megfelelő állapotú, alkalmas a genetikai és non-invazív prenatális genetikai vizsgálat elvégzésére.

A pácienstől a vizsgálat elvégzéséhez szükséges biológia minta vonalkóddal ellátva kerül továbbításra a laborba, ahol anonim módon, kizárólag a vonalkód alapján történik a minta kezelése. A vizsgálat elvégzése, kiértékelése során a minta genetika adata beleértve a magzat genetikai adatát olyan személyes adatkezelés, mely információt ad a magzat örökölt vagy szerzett genetikai jellemzőire.

5 Egyéb adatkezelések

Hírlevélre való feliratkozáskor az érintettnek a nevét és az e-mailcímét kezeli a Társaság, illetve a Beküldő orvos.

A hírlevéllel kapcsolatos adatkezelés vagy a Vizsgálatkérő lapon, az érintettek kifejezetten erre vonatkozó hozzájárulásán alapul, amelyet az erre beillesztett jelölőnégyzet kipipálásával adhatnak meg, vagy a Honlapon, az erre szolgáló aloldalon történő aktív beikszeléssel történő hozzájáruláson alapul. Az adatkezelés a hozzájáruló nyilatkozat visszavonásáig, azaz a Társasághoz eljuttatott értesítésig, vagy a hírlevélben található linken történő leiratkozásig tart.

Az adatkezelés célja, hogy az Adatkezelő az általa vagy a Beküldő orvos által nyújtott szolgáltatásokra vonatkozó információkat tartalmazó üzeneteket küldjön az érintett e-mail címére, tájékoztatást nyújtson az aktuálisan elérhető vagy újonnan bevezetett vizsgálatokról, szolgáltatásokról.

Az Adatkezelő a megadott személyes adatokat a fent meghatározott céloktól eltérő célokra nem használja, illetve használhatja fel. Személyes adatok harmadik személynek vagy hatóságok számára történő kiadása – hacsak törvény ettől eltérően nem rendelkezik – az Érintett, előzetes, kifejezett hozzájárulása esetén lehetséges. Minden olyan esetben, ha a szolgáltatott adatokat az Adatkezelő az eredeti adatfelvétel céljától eltérő célra kívánja felhasználni – ennek jogalapjától függően -, erről az Érintettet tájékoztatja, és ehhez előzetes, kifejezett hozzájárulását beszerzi, illetőleg lehetőséget biztosít számára, hogy a felhasználást megtiltsa. Adatkezelő a személyes adatokat az adatkezelés céljának fennállása alatt, így elsősorban az adott Érintettel fennálló jogviszony fennállásának időtartama alatt kezeli (mely időszak végeztével az Érintettre vonatkozó, általa megadott adatok törlésre kerülnek), illetve amíg az Érintett nem kéri az adatai törlését, illetve nem vonja vissza hozzájárulását.

6 Adatkezelés időtartama

Az adatokat az adatkezeléshez történő hozzájárulás visszavonásáig vagy az adatkezelő oldaláról felmerül jogos érdek fennállásáig kezeljük, a minta tekintetében a jogszabályban meghatározott időtartamig (annak figyelembevételével, hogy az érintett a kutatási célú vizsgálathoz hozzájárulását adta-e).

A szerződés teljesítése érdekében kezelt adatok esetén a szerződésben megjelölt ideig, illetve számviteli adatok esetében a jogszabályban meghatározott ideig.

A szolgáltatás teljesítését követően Társaságunk továbbra is tárolja azokat a személyes adatokat, amelyek megőrzésére az Eüak. alapján köteles. A Vizsgálatkérő lapon rögzített adatokat Társaságunk a vizsgálat kérelmezésétől a vizsgálat elvégzéséig, valamint azon túl, az egészségügyi dokumentációt az adatfelvételtől számított legalább 30 évig megőriz.

A biológiai minta a vizsgálat elvégzését követően nem kerül archiválásra biobankban történő tárolásra. A mintavételt követő legfeljebb 10 napon belül a vizsgálat sikeres validálását követően azonnal megsemmisítésre kerül. A biológiai minta ideiglenes megőrzésének kizárólagos célja, a mérési sikertelenségből fakadó ismétlő vizsgálat elvégzése. Zárójelentés esetén annak jogszabály által előírt megőrzési ideje 50 év. Képalkotó diagnosztikai eljárással készült felvételt az annak készítésétől számított 10 évig, a felvételről készített leletet a felvétel készítésétől számított 30 évig meg kell őrizni.

7 Az adatokat megismerők köre, adatfeldolgozás, adattovábbítás

Az érintett természetes személy személyes adataihoz Társaságunknál csak azok a személyek férnek hozzá, akik munkakörüknél fogva felelősek Társaságunk szerződéses és törvényes kötelezettségei teljesítésének elősegítéséért, valamint titoktartási kötelezettséget vállaltak és a GDPR rendelkezéseiről megfelelő tájékoztatást kaptak.

Adatfeldolgozók a jelen tájékoztatóban és a Vizsgálatkérő lapon megjelölt olyan társaságok és személyek, akik a vizsgálattal kapcsolatos tevékenységet végeznek (pl. laboratóriumi vagy diagnosztikai szolgáltatók, egészségügyi szakemberek).

Emellett Társaságunk – szerződéses és törvényi kötelezettségeinek teljesítéséhez – igénybe vesz adatfeldolgozóként harmadik személy szolgáltatókat (könyvelő cég, informatikai cég, szerződött partner) is, akiket úgyszintén titoktartási kötelezettség terhel, kötelesek továbbá a GDPR rendelkezéseinek maradéktalan betartására.

A Társasággal szerződéses partnerként együttműködő egészségügyi szakemberek (a továbbiakban „Beküldő orvos”), mint adatfeldolgozók listája az info@vdiagnostics.hu email címen igényelhető.

A vizsgálati eredmény továbbítása a páciens, a beküldő orvos és/vagy intézmény, valamint a kijelölt klinikai genetikai tanácsadó számára történhet, ahol a lelet megismerésére elektronikus úton, titkosítva, genetikai vizsgálatok esetén egyéniesített genetikai tanácsadás keretében van lehetősége a páciensnek.

Miután a genetikai teszt eredménye szigorúan bizalmas, ezért az nem kerül feltöltésre az Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) rendszerbe.

8 Az adatok őrzésének helye, biztonsági intézkedések

Társaságunk technikai és szervezeti intézkedéseket fogadott el a személyes adatok biztonsága érdekében. Ez magában foglalja a veszteség vagy kár, az illetéktelen módosítások, a hozzáférés vagy a feldolgozás, valamint egyéb olyan kockázatok megelőzését, amelyeknek emberi cselekvés vagy a fizikai vagy természeti környezet miatt van kitéve.

A következő intézkedések tekintendők minimális biztosítékoknak:

– Minden Személyes Adatot a legbiztonságosabb módon kezelnek, és a következő módokon tárolják:

szabályozott hozzáférésű, zárható helyiségben; és / vagy
zárt fiókban vagy iratszekrényben; és / vagy
számítógépes rendszer esetében a vállalati követelményeknek megfelelő jelszavas védelemmel rendelkezik; és / vagy
titkosított (eltávolítható) számítógépes adathordozón tárolják.

– A kézi nyilvántartások nem hagyhatók olyan helyen, ahol jogosulatlan személy hozzáfér-het, és külön engedély nélkül nem vihetőek el az érintett helyiségekből. Amint a napi ügyféltámogatáshoz kézi nyilvántartás már nem szükséges, azt el kell távolítani a biztonságos archiválásból.

– A Személyes Adatokat csak a Megőrzési Ütemtervvel összhangban lehet törölni vagy selejtezni.

– a Társulat gondoskodik arról, hogy a Személyes Adatokat ne hozzák jogosulatlan személyek tudomására, ideértve a családtagokat, a barátokat és az állami szerveket is, kivéve, ha ezt jogszabály írja elő. A fenti okokból történő adatközlési kérelmeket meg-felelő dokumentumokkal kell alátámasztani, és minden ilyen közzétételt az Adatvédelmi Tisztviselőnek kifejezetten jóvá kell hagynia.

– Minden harmadik felet vagy munkavállalót köt a titoktartási megállapodás.

– Az Adatfeldolgozó az összes olyan Személyes Adatot feltérképezte, amelyet kezel és ellenőriz, és erről Nyilvántartást vezet.

A Vascular Diagnostics Kft. kötelezettséget vállal arra, hogy megfelel az IT-biztonsággal kapcsolatos legjobbnak tartott iparági gyakorlatnak. Ezek a technikai intézkedések folyamatosan frissülnek, de többek között az alábbiakat foglalják magukba:

– A Társulat megfelelően konfigurált tűzfalakkal rendelkezik, és a legfrissebb szoftvereket használja. Ez a tűzfal megakadályozza az esetleges betöréseket, mielőtt még behatolnának a hálózatba;

– A Társulat bűnözőkre irányuló webszűréssel rendelkezik a veszélyes URL-ekhez való hozzáférés megakadályozása érdekében. Az internet gateway (átjáró) megakadályozza, hogy Vascular bármely felhasználója olyan a weboldalakat vagy egyéb online szolgáltatásokat keressen fel, amelyek fenyegetést jelentenek vagy amelyek-ben az Adatfeldolgozó nem bízik meg.

– A Vascular rendelkezik Felhasználói Hozzáférés-vezérléssel (User Access Control), amelynek révén minden felhasználó korlátozott hozzáféréssel rendelkezik. Az Adatfeldolgozó-rendszerekhez való minden hozzáférés olyan felhasználókra és forrásokra korlátozódik, amelyekben megbízik. Minden felhasználó saját felhasználónévvel és jelszóval rendelkezik és azokat használja. Minden felhasználó csak olyan fiókot használ, amely az általa az adott időben végzett munkához megfelelő engedélyekkel rendelkezik.

– Minden felhasználó egyedi, megfelelően összetett és rendszeres (de nem túl gyakori) lejáratú jelszóval rendelkezik minden eszközön. Minden szoftver vagy hardver által használt alapértelmezett jelszót az első használatkor mindig megváltoztatnak. A sikertelen bejelentkezési kísérletek vagy egyéb sikertelen jelszóhasználatok száma korlátozott. A jelszavakat vagy egyéb hozzáféréseket azonnal törlik, ha egy alkalmazott elhagyja a szervezetet vagy 30 napos használatot követően.

– A Vascular rendelkezik javítócsomag (patch)-kezelő szoftverrel, hogy biztosítsa a számítógépes berendezések és a szoftverek rendszeres karbantartását, a szabályos működés fenntartása és a biztonsági réseket kijavítása érdekében.

– Mind a hardverek, mind a szoftverek megfelelő időben leszerelésre (cserére) kerülnek, oly módon, mely minden adat visszanyerését lehetetlenné teszi.

– A Vascular rendelkezik vírusvédelmi és kártevő ellenes (anti-malware) termékek-kel, melyek rendszeresen vizsgálják a hálózatot a fenyegetések megelőzése vagy felderítése érdekében. Ezt a biztonsági szoftvert rendszeresen frissítik annak érdekében, hogy folyamatosan megfelelő védelmet nyújtson. A biztonsági szoftver be van kapcsolva és folyamatosan figyeli a fájlokat. A Vascular a biztonsági szoftver által kiadott valamennyi figyelmeztető jelzést megkapja és haladéktalanul eljár azokkal kapcsolatban.

– A Wi-Fi jelszavak bizalmasak és rendszeresen megváltoztatják azokat, hogy megelőzzék a “gonosz iker” (“evil twin”) Wi-Fi hozzáférési pontok létrehozását. A vállalati hálózathoz való bármely Wi-Fi hozzáférésnek a WPA-TKIP protokollt kell használnia, amely központilag igazolt hitelesítési módszer, és csak a hitelesített felhasználók számára biztosít hozzáférést.

– A Vascular minden ésszerű erőfeszítést megtesz az összes (hordozható) eszköz titkosításának biztosítására. Továbbá minden céges mobiltelefon távolról törölhető.

– Többtényezős hitelesítés (multifactor authentication) működik a távoli elérés esetén.

– Az átmenő személyes adatok titkosítása megfelelő titkosítási megoldásokkal történik, például SMB2, https, pgp, VPN (titkosított) vagy SSL (Outlook webapp, ecloud).

– Komoly adatmentési stratégia készült a vészhelyzetek, valamint rosszindulatú programok (malware), mint például váltságdíjat követelő programok (ransomware) elleni védekezés céljából. A biztonsági másolatok olyan módon vannak tárolva, hogy a hálózat többi része számára láthatatlanok maradjanak, elkerülve azt, hogy rosszindulatú programok (malware-ek) a mentést titkosítsák, vagy egyébként a fájlokat véletlenül töröljék.

9 Adatvédelmi incidensek kezelése

9.1 Az adatvédelmi incidens fogalma

(1) Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; (Rendelet 4. cikk 12.)

(2) A leggyakoribb jelentett incidensek lehetnek például: a laptop vagy mobil telefon elvesztése, személyes adatok nem biztonságos tárolása (pl. szemetesbe dobott fizetési papírok); adatok nem biztonságos továbbítása, ügyfél- és vevő- partnerlisták illetéktelen másolása, továbbítása, szerver elleni támadások, honlap feltörése.

9.2 Adatvédelmi incidensek kezelés, orvoslása

(1) Adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások betartása a Társaság vezetőjének feladata.

(2) Az informatikai rendszereken naplózni kell a hozzáféréseket és hozzáférési kisérleteket, és ezeket folyamatosan elemezni kell.

(3) Amennyiben a társaság ellenőrzésre jogosult munkavállalói a feladataik ellátása során adatvédelmi incidenst észlelnek, haladéktalanul értesíteniük kell a Társaság vezetőjét, illetve az adatvédelmi tisztviselőt.

(4) A Társaság munkavállalói kötelesek jelenteni a Társaság vezetőjének, vagy a munkáltatói jogok gyakorlójának, és az adatvédelmi tisztviselőnek, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek.

(5) Adatvédelmi incidens bejelenthető az adatvédelmi tisztviselő elérhetőségein, illetve a Társaság központi e-mail címén, telefonszámán, amelyen a munkavállalók, szerződő partnerek, érintettek jelenteni tudják az alapul szolgáló eseményeket, biztonsági gyengeségeket.

(6) Adatvédelmi incidens bejelentése esetén a Társaság vezetője – az informatikai, pénzügyi és működési vezető, valamint az adatvédelmi tisztviselő bevonásával – haladéktalanul megvizsgálja a bejelentést, ennek során azonosítani kell az incidenst, el kell dönteni, hogy valódi incidensről, vagy téves riasztásról van szó. Haladéktalanul meg kell vizsgálni és meg kell állapítani:

a.) az incidens bekövetkezésének időpontját és helyét,

b.) az incidens leírását, körülményeit, hatásait,

c.) az incidens során kompromittálódott adatok körét, számosságát,

d.) a kompromittálódott adatokkal érintett személyek körét,

e.) az incidens elhárítása érdekében tett intézkedések leírását,

f.) a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását;

e.) az incidenssel érintettek értesítésének és az incidens hatóságnak történő bejelentésének szükségességét.

(7) Adatvédelmi incidens bekövetkezése esetén az érintett rendszereket, személyeket, adatokat be kell határolni és el kell különíteni és gondoskodni kell az incidens bekövetkezését alátámasztó bizonyítékok begyűjtéséről és megőrzéséről. Ezt követően lehet megkezdeni a károk helyreállítását és a jogszerű működés visszaállítását.

9.3 Adatvédelmi incidensek nyilvántartása

(1) Az adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza:

a) az érintett személyes adatok körét,
b) az adatvédelmi incidenssel érintettek körét és számát,
c) az adatvédelmi incidens időpontját,
d) az adatvédelmi incidens körülményeit, hatásait,
e) az adatvédelmi incidens orvoslására megtett intézkedéseket,
f) az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

(2) A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.

10 Az érintett személy jogai

10.1. Tájékoztatás és a személyes adatokhoz való hozzáférés

Az Érintettnek joga van arra, hogy a Társaság által tárolt személyes adatait és a kezelésükkel kapcsolatos információkat megismerhesse, bármikor kikérje, ellenőrizze, hogy a Társaság milyen adatot tart nyilván róla, továbbá jogosult arra, hogy a személyes adatokhoz hozzáférést kapjon. Az Érintett az adatokhoz való hozzáférésre irányuló kérelmét írásban köteles eljuttatni a Társaság részére és az igényelt adatokat írásban (elektronikusan vagy postai úton küldött levélben) adja meg az Adatkezelő, szóbeli tájékoztatást ezzel összefüggésben nem ad. Hozzáférési jog gyakorlása esetén a tájékoztatás a következő adatokra terjed ki:

kezelt adatok körének meghatározása;
adatkezelés célja, ideje, jogalapja a kezelt adatok körének tekintetében;
adattovábbítás: kinek a részére kerültek továbbításra az adatok, vagy kerülnek továbbításra a későbbiekben;
adatforrás megjelölése.

Az Adatkezelő a személyes adatok papíralapú vagy elektronikus másolatát első alkalommal ingyenesen biztosítja az Érintett részére. Az Érintett által kért további másolatokért Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az Érintett elektronikus úton kéri a másolat kiadást, úgy az információkat emailben, széles körben használt elektronikus formátumban bocsátja az Adatkezelő az Érintett rendelkezésére. Az Érintett a tájékoztatást követően, amennyiben az adatkezeléssel, a kezelt adatok helyességével nem ért egyet úgy a 10.2. pontban meghatározottak szerint kérelmezheti a rá vonatkozó személyes adatok helyesbítését, kiegészítését, törlését, kezelésének korlátozását, tiltakozhat az ilyen személyes adatok kezelése ellen, illetve a 10.4. pontban meghatározott eljárást kezdeményezhet.

10.3. Kezelt személyes adatok helyesbítéséhez, kiegészítéséhez való jog

Az Érintett kérelmére a Társaság indokolatlan késedelem nélkül helyesbíti az Érintett által, írásban megjelölt pontatlan személyes adatokat, illetve a hiányos adatok kiegészítését elvégzi az Érintett által megjelölt tartalommal. Adatkezelő minden olyan címzettet tájékoztat a helyesbítésről, kiegészítésről, akivel a személyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az Érintettet ezen címzettek adatairól tájékoztatja, ha ezt írásban kérelmezi.

A Társaság tájékoztatja az érintetteket, hogy a Társaság a megadott személyes adatok helyességét nem ellenőrzi. A megadott adatok megfelelősségéért kizárólag az azt megadó fél felel.

10.3. Adatkezelés korlátozásához való jog

Az Érintett jogosult arra, hogy írásbeli kérelme esetén Adatkezelő korlátozza az adatkezelést, ha:

az Érintett vitatja a személyes adatok pontosságát. Ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;

az adatkezelés jogellenes, és az Érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;

Érintett tiltakozik az adatkezelés ellen, ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben.

10.4. Törléshez (elfeledtetéshez) való jog

Az Érintett kérésére az Adatkezelő indokolatlan késedelem nélkül törli az Érintettre vonatkozó

személyes adatokat, ha a meghatározott indokok valamelyike fennáll:

a személyes adatokra már nincs szükség abból a célból, amelyből azokat Adatkezelő gyűjtötte vagy más módon kezelte;
Érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
Érintett saját helyzetével kapcsolatos okokból tiltakozik az adatkezelés ellen, és nincs jogszerű ok az adatkezelésre,
Érintett tiltakozik a rá vonatkozó személyes adatok közvetlen üzletszerzés célból történő adatainak kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik
a személyes adatokat Adatkezelő jogellenesen kezeli;
a személyes adatok gyűjtésére közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

Az Érintett a törléshez, elfeledtetéshez való jogával nem élhet, ha az adatkezelés szükséges:

a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
népegészségügy területét érintő közérdek alapján;
a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog gyakorlása lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez

10.5. Adathordozhatósághoz való jog

Az adathordozhatóság azt teszi lehetővé, hogy az Érintett megszerezhesse és a továbbiakban felhasználhassa Adatkezelő rendszerében megtalálható általa átadott „saját” adatait, saját céljaira és különböző szolgáltatókon keresztül. Minden esetben az Érintett által átadott adatokra korlátozódik a jogosultság, egyéb adatok hordozhatóságára lehetőség nincs. (pl. statisztika, tranzakciós adatok stb.) Az Érintett a személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, jogosult más adatkezelőhöz továbbítani, kérheti az adatok közvetlen továbbítását a másik adatkezelőhöz – ha ez technikailag megvalósítható Adatkezelő rendszerében. Adatkezelő az adathordozhatóságra vonatkozó kérelmet kizárólag emailben vagy postai úton írt kérelem alapján teljesíti. A kérelem teljesítéséhez szükséges, hogy az Adatkezelő meggyőződjön arról, hogy valóban az arra jogosult Érintett kíván élni e jogával. Ehhez szükséges, hogy az Érintett kérelmében megadja azon adatait, amelyek lehetővé teszik beazonosítását. Ezen adatok legalább: név, email cím, számlázási név, cím, telefonszám (igénybe vett szolgáltatástól függően). Az Érintett e jog keretében kizárólag azon adatainak a hordozhatóságát igényelheti, melyeket közvetlenül ő adott meg a honlap használata során. A jog gyakorlása nem jár automatikusan az adatnak az Adatkezelő rendszereiből való törlésével, ezért az Érintett e jogának gyakorlását követően is használhatja Adatkezelő szolgáltatásait. Csak abban az esetben kerül törlésre adat, ha azt az Érintett kifejezetten kéri.

10.6. Tiltakozás személyes adatok kezelése ellen

Az Érintett a saját helyzetével kapcsolatos okokból bármikor tiltakozhat személyes adatainak kezelése ellen, ideértve a profilalkotást is, illetve az Érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok közvetlen üzletszerzés célból történő kezelése ellen, ideértve a profilalkotást is. Ha az Érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezeli Adatkezelő. Az Érintett tiltakozni írásban (emailben vagy postai úton) illetve hírlevélben, bármely részére küldött értesítő levélben esetén a levélben található leiratkozás linkre kattintva tud.

10.7. Kérelem teljesítésének határideje

Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a 10.1.-10.6. pont szerinti bármely kérelem beérkezésétől számított egy hónapon belül tájékoztatja az Érintettet a hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható, de ez esetben a késedelem okainak megjelölésével Adatkezelő a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az Érintettet. Ha az Érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást Adatkezelő elektronikus úton adja meg, kivéve, ha azt az Érintett másként kéri.

11 Jogérvényesítési lehetőségek

Az Érintett jogait emailben vagy postai úton küldött kérelemben gyakorolhatja. Telefonon keresztül bármely jog érvényesítésére nincs lehetőség. Érintett a jogait az alábbi elérhetőségeken gyakorolhatja:

Név: Vascular Diagnostics Kft.

Levelezési cím: 1095 Budapest, Lechner Ödön fasor 3. C. lház. 3. em. 1.

Email cím: info@vdiagnostics.hu

Érintett jogait érvényesíteni nem tudja, ha Adatkezelő bizonyítja, hogy nincs abban a helyzetben, hogy azonosítsa az Érintettet. Ha az Érintett kérelme egyértelműen megalapozatlan vagy túlzó (különösen az ismétlődő jellegre figyelemmel) Adatkezelő a kérelem teljesítéséért észszerű mértékű díjat számíthat fel vagy megtagadhatja az intézkedést. Ennek bizonyítása az Adatkezelőt terheli. Ha az Adatkezelőnek kétsége merül fel a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, a kérelmező személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti. Ha az Érintett nem ért egyet az Adatkezelő döntésével az Infotv., a Rendelet, valamint a Polgári Törvénykönyv (2013. évi V. törvény) alapján a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (1055 Budapest, Falk Miksa u. 9-11.; www.naih.hu) fordulhat vagy bíróság előtt érvényesítheti jogait.

12 Egyéb rendelkezések

A Társaság jelen adatkezelési tájékoztatóját a Honlapon a láblécben elérhetővé teszi az Érintettek számára. E tájékoztató célja, hogy az Érintetteket az adatkezelés megkezdése előtt és annak folyamán is egyértelműen és részletesen tájékoztassa az adataik kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő az Infotv. 6. § (5) bekezdése alapján (jogi kötelezettség teljesítése céljából, illetve az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is) kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.

A jogi kötelezettség teljesítése jogcímén alapuló adatkezelés az Érintett hozzájárulásától független, mivel az adatkezelést jogszabály határozta meg. Az Érintettel az adatkezelés megkezdése előtt ez esetben közölni kell, hogy az adatkezelés kötelező, továbbá az Érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos tényekről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az Érintett személyes adatait az adatkezelő a rá vonatkozó jogi kötelezettség alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az Érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés esetén a tájékoztatás megtörténhet az előbbi információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.

Adatkezelő fenntartja a jogot a jelen tájékoztatót az Érintetteknek a vizsgálat megadott pontján történő személyes értesítésével, illetve a Honlapon keresztül történő előzetes értesítése mellett egyoldalúan módosítsa. A módosítás hatályba lépését követően az Érintett – a tiltakozás esetét kivéve – a vizsgálat folytatásával (a Vizsgálatkérő lap szerinti vizsgálat fenntartásával), illetve a Honlap további használatával ráutaló magatartással elfogadja a módosított Adatkezelési Tájékoztatóban foglaltakat.

Érvénybe lép: 2023. 09. 01.