Szatmári-Med Kft. logó

Adatkezelési szabályzat

Adatkezelési Szabályzat

 

A Szatmári-Med Kft., mint a 1213 Budapest, Damjanich János út 127. sz. alatti orvosi rendelő (a továbbiakban: Anyagcserecentrum) üzemeltetője az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.), az egészségügyről szóló 1997. évi CLIV. törvény, az egészségügyi és hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény, valamint az Európai Parlament és a Tanács a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679. számú Rendelete (a továbbiakban: GDPR) alapján a következők szerint állapítja meg az Anyagcserecentrumban történő adatkezelés rendjét. 

 

  1. ÁLTALÁNOS RENDELKEZÉSEK

 

1.1. A Szabályzat célja

 

  1. § Az Anyagcserecentrum, mint adatkezelő által végzett adatkezelési tevékenység rendjének a meghatározása. 

 

1.2. A szabályzat hatálya

 

  1. § A Szabályzat hatálya kiterjed 
  2. a) az összes, a vonatkozó jogszabályok által személyesnek minősített adatra; 
  3. b) az Anyagcserecentrum minden foglalkoztatottjára (ideértve a személyes közreműködők közül azokat, akik orvosi tevékenységet végeznek), és más személyre, aki jogosult személyes adatot kezelni, és az Anyagcserecentrumban folytatott tevékenysége során személyes adatot ismer meg.

 

1.3. Az adatkezelés elvei, jogalapja és célja

 

  1. § (1) Az Anyagcserecentrum az adatkezelési tevékenységét a GDPR 5. cikk (1) bekezdésében megfogalmazott alapelvek, a jogszerűség, tisztességes eljárás és átláthatóság elve, a célhoz kötöttség, az adattakarékosság és a korlátozott tárolhatóság elve, a pontosság elve és az integritás és bizalmas jelleg biztosításának elve alapján végzi. 

 

(2) Az Anyagcserecentrum személyes adatot csak akkor kezel, ha 

  1. a) az érintett hozzájárulását adta személyes adatainak meghatározott cél elérése érdekében történő kezeléséhez; 
  2. b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; 
  3. c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  4. e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges; 
  5. f) az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. 

 

(3) Különleges adat akkor kezelhető, ha 

  1. a) az érintett kifejezett hozzájárulását adta a különleges személyes adatok egy vagy több meghatározott célból történő kezeléséhez, kivéve, ha az uniós vagy a tagállami jog úgy rendelkezik, hogy a különleges adatok kezelésére vonatkozó általános tilalom nem oldható fel az érintett hozzájárulásával; 
  2. b) az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkozást, valamint a szociális biztonságot és a szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, valamint a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi; 
  3. c) az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
  4. d) az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, vagy egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében; 
  5. e) az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem, vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan; 
  6. f) az adatkezelés közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő. 

 

(4) Az érintettel az adat felvétele előtt közölni kell, hogy a GDPR 13., valamint 14. cikkelyeire tekintettel mely információk alapján történik az adatkezelés. Ennek formája az adatvédelmi tájékoztató közzététele. 

 

(5) Hozzájárulás alapján, amikor az érintett önkéntes, kifejezett, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a személyét érintő adatok kezeléséhez, a következő szempontok figyelembevételével: 

  1. a) a hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed;  
  2. b) a több célt is szolgáló adatkezelés esetén a hozzájárulást az összes adatkezelési célra vonatkozóan egyenként meg kell adni;
  3. c) a hozzájárulással csak olyan adatkezelés folytatható, amelynek során az előzetes tájékoztatás követelményeinek betartása és az önkéntesség igazolható;  
  4. d) a hozzájárulás bármely olyan formában megadható, amelynek során az érintett azonosítható, és a hozzájárulás ténye rögzített; 
  5. e) nem adható hozzájárulás szóban, telefonon;  
  6. f) hozzájárulás adható különösen:
  7. fa) írásban (az érintett aláírásával); 
  8. fb) az érintett egyedi azonosítását (pl. a tanulmányi rendszerrel történő azonosítást) követően elektronikusan, amennyiben a hozzájárulás ténye rögzített (naplózott); 
  9. fc) elektronikus úton az érintett Anyagcserecentrum által nyilvántartott elektronikus levelezési címéről küldött üzenetben, amennyiben az üzenet változtatások nélküli rögzítése és megőrzése biztosított. 

 

(6) Az Anyagcserecentrum új munkavállalója munkába lépésekor adatvédelmi tájékoztatásban részesül. 

 

1.4. Az adatvédelem elveinek érvényesítése és számon kérhetőségének biztosítása

 

  1. § (1) Az Anyagcserecentrum személyes adatot akkor kezelhet, ha: 
  2. a) az adatkezelést törvény elrendeli (kötelező adatkezelés). Ilyen adatkezelés különösen a felsőoktatási tevékenységgel, a foglalkoztatással, a köznevelési tevékenységgel vagy az egészségügyi szolgáltatások nyújtásával összefüggő adatkezelés; 
  3. b) az adatkezelés jogi kötelezettség teljesítéséhez szükséges. Ilyen adatkezelés különösen azon adatkezelés, amely valamely jogszabályban előírt kötelezettség (pl. adatszolgáltatás) teljesítése érdekében feltétlenül szükséges; 
  4. c) az érintett az adatkezeléshez az 3. § (2), (3) és (5) bekezdésnek megfelelő hozzájárulását adta. Ilyen adatkezelés különösen tudományos kutatásban való részvétellel, az önkéntes feliratkozáson alapuló hírlevelek küldésével, különböző eseményeken, nyereményjátékokban való részvétellel, kérdőívek kitöltésével összefüggő adatkezelések; 
  5. d) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. Ilyen adatkezelés lehet különösen valamely Anyagcserecentrum által nyújtott, önkéntesen igénybe vehető szolgáltatás során történő adatkezelés; 
  6. e) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  7. f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.

 

(2) Az Anyagcserecentrum a személyes adatok kezelése során, az adatkezelés elveinek érvényesítése érdekében az alábbi intézkedéseket teszi: 

  1. a) a jogszerűség, tisztességes eljárás és átláthatóság: a személyes adatok kezelését jogszerűen és tisztességesen, az érintett számára átlátható módon kell végezni. A személyes adatok kezelésekor a természetes személyek számára átláthatóvá kell tenni a rájuk vonatkozó személyes adataik gyűjtésének és felhasználásának jogalapját, módját, mikéntjét, a kezelt adatok körét, továbbá az azokba való betekintés lehetőségét és módját;
  2. b) célhoz kötöttség: A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet. A személyes adatok nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon; 
  3. c) adattakarékosság: A személyes adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük, valamint csak a szükségesre szabad korlátozódniuk;
  4. d) pontosság: A személyes adatoknak, pontosnak és naprakésznek kell lenniük, azaz minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék; 
  5. e) korlátozott tárolhatóság: A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, ha a személyes adatok kezelése ezt követően is igazolhatóan szükséges;
  6. f) integritás és bizalmas jelleg: A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai és szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve;

 

1.5. Az ügyintézés során történő adatkezelési és adatbiztonsági előírások

 

  1. § (1) Az Anyagcserecentrum munkatársa az Infotv., a GDPR és jelen szabályzat előírásai alapján személyes adatnak minősülő adatokat tartalmazó iratokat köteles munkaidőn túl – és amelyeket lehetséges, munkaidőben is – zárt szekrényben tartani. Az asztalon és az irodában egyéb helyen hivatalos iratok csak munkavégzés céljából és annak időtartama alatt tárolhatók. 

 

(2) Az ügyintézőnél vagy az irattárban lévő, személyes adatot tartalmazó iratba az ügyintézőn és az ügyintéző vezetőjén kívül más személy csak akkor tekinthet be, ha ezt törvény lehetővé, vagy az ügyintéző részére küldött megkeresésben igazolja, hogy a tevékenységével összefüggő feladatellátása szükségessé teszi. 

 

(3) Jogszabályi felhatalmazás hiányában csak az érintett hozzájárulása esetén lehet az adatot harmadik személy részére továbbítani. Amennyiben az érintett nem járul hozzá az adatai más szerv részére történő továbbításához, tájékoztatni kell arról, hogy kérelme ez esetben nem, vagy nem teljes egészében teljesíthető. 

 

(4) Az érintett vagy képviselője betekintési jogának gyakorlása során úgy kell eljárni, hogy ezáltal mások jogai ne sérülhessenek (a más személyre vonatkozó személyes, vagy védett adatokat ki kell takarni vagy más módon felismerhetetlenné tenni). Ugyanígy kell eljárni a másolat, kivonat készítésekor is.

 

(5) Az (1) bekezdésben felsorolt iratok elzárásáért az az ügyintéző felelős, akinél azok a munkaidő befejezésekor találhatók. 

 

(6) Az ügyintéző köteles a számítógépet és az ahhoz alkalmazott adathordozókat úgy kezelni, tárolni, hogy a védelmet igénylő adatokat illetéktelen személy ne ismerhesse meg. Köteles továbbá a munkaidő végeztével a munkaállomást – a folyamatosan bekapcsolva és online tartandó munkaállomások kivételével – kikapcsolni, az ajtót bezárni. 

 

(7) Személyes adatokat is tartalmazó iratot az Anyagcserecentrum helyiségéből kivinni – munkaköri feladat ellátásának kivételével – csak az ügyvezető engedélyével lehet. Az ügyintéző ez esetben is köteles gondoskodni arról, hogy az ne vesszen el, ne rongálódjon vagy semmisüljön meg, és tartalma illetéktelen személy tudomására ne jusson.

 

(8) Az adatkezelés céljának eléréséhez már nem szükséges, és olyan adatokat, amelyekre nézve az adatkezelés célja megszűnt vagy módosult – az Iratkezelési Szabályzatban foglaltakkal összhangban – haladéktalanul, vagy az előírt megőrzési határidő leteltével meg kell semmisíteni. A személyes adatokat tartalmazó egyéb iratanyagok megsemmisítéséről szintén a szükséges biztonsági intézkedések mellett kell gondoskodni. 

 

(9) A hozzájáruláson alapuló adatkezeléséhez az érintett írásbeli hozzájárulását kell kikérni (amely tartalmazza a személyazonosításra alkalmas adatait, valamint azon nyilatkozatát, hogy az adatkezelő által közzétett és általa megismert adatkezelési tájékoztató (a tájékoztató neve és elérési helyének megnevezése) alapján önkéntes hozzájárulását adja az abban megjelölt célból és jogalappal az abban megjelölt személyes adatainak az adatkezelő általi kezeléséhez.

 

(10) Az ügyintézés során csak azok a személyes vagy különleges adatok kezelhetők, amelyek az ügy szempontjából feltétlenül szükségesek, és amelyeknek a célhoz kötöttsége igazolható. Az adatok csak az adott ügy intézése érdekében használhatók fel, más eljárásokkal és adatokkal – a törvény eltérő rendelkezése hiányában – nem kapcsolhatók össze.

 

(11) Az adatminőség biztosítása céljából személyes adat csak az érintett személyének azonosítására alkalmas és érvényes hatósági igazolványból, különleges adat az érintett írásos hozzájárulása szerint rögzíthető. 

 

(12) Az adatfelvétel és a további adatkezelés folyamán ügyelni kell a személyes adatok pontosságára, teljességére és időszerűségére, hogy emiatt az érintettek jogai ne sérülhessenek. 

 

(13) Az ügyiratba nem kerülő, papíralapú feljegyzésben rögzített, személyes és különleges adatokat – további felhasználásuk megakadályozása érdekében – azonosításra alkalmatlanná kell tenni. A számítástechnikai eljárás során keletkezett munkapéldányt, illetőleg rontott vagy egyéb okból feleslegessé vált példányokat meg kell semmisíteni.

 

1.6. Az adatkezelés általános céljai, az adatkezelési dokumentumok, nyilvántartások

 

  1. § (1) Az Anyagcserecentrum az adatkezelés eltérő célja alapján ügyviteli és nyilvántartási célú adatkezelést végez. 

 

(2) A jelen Szabályzat által előírt nyilvántartásokat és dokumentumokat az adatkezelési felelős vezeti, valamint készíti el. 

 

1.17. Adattovábbítás és a továbbított adatok nyilvántartása

 

  1. § (1) A személyes adatokat az érintetten kívül azon személyek részére kell továbbítani, akik az adatkezelés célját és jogalapját kifejezetten megjelölték és akiket az adat megismerésére jogszabály rendelkezése felhatalmaz. 

 

(2) Az adattovábbítást nyilván kell tartani annak érdekében, hogy megállapítható legyen, hogy az adatkezelő mely adatot, kinek, milyen felhatalmazás alapján, mikor továbbította, vagy szolgáltatta (pl. inzulinpumpa, szenzor és szerelékek, stb.).

 

(3) A nyilvántartást az adatkezelési felelős vezeti. 

 

(4) Amennyiben az adattovábbítást nem lehet jogszerűen teljesíteni, vagy a kérelem elbírálásához szükséges információkat az adat kérője a felhívást követően sem jelölte meg, az adattovábbítást meg kell tagadni. 

 

(5) Az adattovábbítás megtagadásáról – annak indokolásával együtt – írásban kell értesíteni az igénylőt. 

 

(6) Az érintettet a kérelmére indult eljárásban az adattovábbításra vonatkozó törvényi felhatalmazás hiányában nyilatkoztatni kell – különleges adatai tekintetében írásban –, hogy hozzájárul-e személyes adatainak továbbításához, amennyiben ügye elintézéséhez más szerv megkeresése szükséges. 

 

(7) Az érintettet megilleti az a jog, hogy személyes adatai kezeléséről tájékoztatást kérjen, továbbá kérheti személyes adatainak helyesbítését, vagy – a kötelező adatkezelés kivételével – azok törlését vagy zárolását. Az adatkezelésről szóló tájékoztatásra vonatkozó kérelmeket a jogszabályi feltételek fennállása esetén legfeljebb 30 napon belül, lehetőség szerint azonban soron kívül teljesíteni kell.

(8) A személyes adatokat továbbítani, vagy adatszolgáltatást teljesíteni, és a különböző adatkezeléseket összekapcsolni csak akkor lehet, ha ahhoz az érintett hozzájárult, vagy törvény ezt előírja, vagy megengedi és az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek. 

 

(9) Az adatkezelési felelős az adattovábbítási nyilvántartást minden év december 31-ig felülvizsgálja, amennyiben szükséges, módosítja. 



1.8. Rendelkezési Nyilvántartás

 

  1. § (1) Az adatkezelési felelős a GDPR 15-22. cikkében meghatározott az érintettet megillető, a következő felsorolásban szereplő jogok teljesítéséről Rendelkezési Nyilvántartást vezet.
  2. a) tájékoztatás, 
  3. b) hozzáférés, 
  4. c) helyesbítés, 
  5. d) korlátozás, 
  6. e) törlés/felejtés, 
  7. f) adathordozás, 
  8. g) tiltakozás, 
  9. h) hozzájárulás.

 

(2) Az adatkezelési felelős a Rendelkezési Nyilvántartást minden év december 31-ig felülvizsgálja, amennyiben szükséges módosítja. 

 

1.9. Adatvédelmi incidensek és nyilvántartásuk

 

  1. § (1) A munkatársak kötelesek az észlelt adatvédelmi incidensek (a továbbiakban: incidens) gyanúját – tudomásukra jutásától számított 24 órán belül – az adatkezelési felelősnek bejelenteni. 

 

(2) Az Anyagcserecentrum – az adatkezelési felelős útján – az incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az incidenssel érintettek körét és számát, az incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. 

 

(3) Az adatkezelési felelős a bejelentést követő 48 órán belül döntést hoz arról, hogy az incidenssel kapcsolatban terheli-e jelentéstételi kötelezettség az Anyagcserecentrumot, és gondoskodik arról, hogy a jelentés megtételére 72 órán belül sor kerülhessen. 

 

(4) Az incidens kockázatelemzésekor az adatkezelési felelős vizsgálja: 

  1. a) az adatvédelmi incidens jellegét; 
  2. b) az érintettek körét és hozzávetőleges számát;
  3. c) az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  4. d) az incidensből eredő, valószínűsíthető következményeket;
  5. f) az incidens orvoslására tett, vagy tervezett intézkedéseket, beleértve adott esetben az incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. 

 

(5) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintett jogaira és szabadságaira nézve, az Anyagcserecentrum – indokolatlan késedelem nélkül – de legfeljebb 30 napon belül tájékoztatja az érintettet. 

 

(6) Az adatkezelési felelős az általa vezetett incidensek nyilvántartását minden év december 31-ig felülvizsgálja, amennyiben szükséges módosítja. 

 

  1. AZ ÉRINTETTEK ADATKEZELÉSSEL KAPCSOLATOS JOGAINAK BIZTOSÍTÁSA

 

2.1. Az érintett jogainak biztosítása

 

  1. § (1) Az Anyagcserecentrum elősegíti az érintett jogainak a gyakorlását. Az érintett jogai gyakorlásához a kérelem benyújtásakor köteles személyazonosságát és jogosultságát igazolni. Amennyiben a kérelmet nem az arra jogosult terjeszti elő, vagy a kérelmező nem azonosítható, a kérelmet el kell utasítani. 

 

(2) A kérelmet írásban kell benyújtani az Anyagcserecentrum címére küldött tértivevényes ajánlott levélben (1213 Budapest, Damjanich János út 127.) vagy személyesen. 

 

(3) A kérelem hiányos benyújtása esetén a kérelmezőt 8 napon belül hiánypótlásra hívja fel az adatkezelési felelős. A hiánypótlási határidő nem számít bele a kérelem teljesítésére előírt 30 napos határidőbe. 

 

(4) Az ügyvezető indokolatlan késedelem nélkül, legfeljebb a kérelem beérkezésétől számított 20 napon belül tájékoztatja az érintettet a kérelem nyomán hozott intézkedésekről.

 

(5) A kérelmet vizsgáló adatkezelési felelős a kérelem elutasításáról a beérkezésétől számított egy hónapon belül írásban, indokolva tájékoztatja a kérelmezőt. 

 

(6) A beérkezett kérelmekről és azok teljesítéséről, elutasításáról az adatkezelési felelős nyilvántartást vezet. A nyilvántartás tartalmazza: 

  1. a) az ügyirat számát, 
  2. b) a kérelmező azonosító adatait, 
  3. c) a kérelem tárgyát és az érintett jogának típusát, 
  4. d) a kérelem beérkezésének napját, 
  5. e) a kérelem teljesítését és annak idejét,
  6. f) a kérelem elutasításának okát és idejét, 
  7. g) a kérelem elbírálásának időtartamát. 

 

2.2. Az érintettek tájékoztatása

 

  1. § (1) Az Anyagcserecentrum az érintettek megfelelő tájékoztatása érdekében az adatkezeléséről adatkezelési tájékoztatót ad ki. 

 

(2) Az adatkezelési tájékoztató tartalmazza a személyes adatok kezeléséről készített nyilvántartásban rögzítetteken túlmenően a tájékoztatást arról, hogy az érintett 

  1. a) jogában áll megerősítést és tájékoztatást kapni a róla kezelt adatokról, 
  2. b) milyen módon gyakorolhatja az adatkezeléssel összefüggésben őt megillető jogokat, c) kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok módosítását, helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, 
  3. d) adatainak hordozhatóságát kérheti az adatkezelőtől, 
  4. e) az adatkezeléshez adott hozzájárulását bármely időpontban visszavonhatja, amely nem érinti a visszavonás előtt – a hozzájárulás alapján – végrehajtott adatkezelés jogszerűségét, 
  5. f) jogai védelmében a felügyeleti hatósághoz panasszal fordulhat, 
  6. g) a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, 
  7. h) köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása. 

 

(3) A jogszabály rendelkezése, közérdekű vagy közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtása, az Anyagcserecentrumra vonatkozó jogi kötelezettség teljesítése, szerződéses kötelezettség, saját, vagy harmadik személy jogos érdeke, az érintett érdeke alapján végzett adatkezelés esetén az Anyagcserecentrum a tájékoztatást elektronikusan teszi meg; a tájékoztatók elérhetőségét az Anyagcserecentrum a honlapján biztosítja. 

 

(4) Az érintett hozzájárulása alapján történő adatkezelés esetében a tájékoztatót az érintett részére – átvétel, postai kézbesítés, elektronikus levél formájában – át kell adni és az átvétel tényét igazoló dokumentumot az adatkezelés mellett meg kell őrizni. A tájékoztatást az érintett részére – az átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó megfelelő intézkedések érvényesülése érdekében – az érintettől történő adatfelvétel előtt kell megadni. Amennyiben nem az érintettől származnak az adatok, erről 30 napon belül meg kell történnie az érintett tájékoztatásának. 

 

2.3. Az adatok módosításához és helyesbítéséhez való jog biztosítása

 

  1. § (1) A helyesbítéshez való jog biztosítása során az érintett jogosult arra, hogy kérésére az Anyagcserecentrum indokolatlan késedelem nélkül módosítsa, vagy helyesbítse a rá vonatkozó személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését. 

 

(2) Egészségügyi adat módosítását, törlését csak úgy szabad elvégezni, hogy az eredetileg felvett adat olvasható maradjon. 

 

2.4. Az adatok törlésére irányuló jog biztosítása

 

  1. § (1) Az adatkezelés törlésére irányuló jog biztosítása során az érintett jogosult arra, hogy kérésére az Anyagcserecentrum indokolatlan késedelem nélkül vizsgálja meg, hogy: 
  2. a) a személyes adatok kezelésére szükség van-e még abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték; 
  3. b) az érintett visszavonta-e az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek van-e más jogalapja;
  4. c) az érintett tiltakozott-e az adatkezelése ellen, és nincs elsőbbséget élvező jogalap az adatkezelésre;
  5. d) az adatkezelés közvetlen üzletszerzés érdekében történt és az érintett tiltakozott-e az adatkezelés ellen; 
  6. e) a személyes adatot jogellenesen kezelték-e;
  7. f) a személyes adatot az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítése miatt kell-e törölni;
  8. g) a személyes adat gyűjtésére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került-e sor.

 

(2) Az Anyagcserecentrum, amennyiben az adatok törlésének feltételei fennállnak, indokolatlan késedelem nélkül elvégzi azok törlését az érintett rendelkezésének megfelelően.

 

(3) Amennyiben az adat kezelését jogszabály rendeli el, valamint ad rá felhatalmazást, úgy az adatkezelő – a kérelem elutasításával egyidejűleg – erről tájékoztatja az érintettet. 

 

2.5. Az adatkezelés korlátozásához való jog biztosítása

 

  1. § (1) Az adatkezelés korlátozására való jog biztosítása során az érintett jogosult arra, hogy kérésére az Anyagcserecentrum indokolatlan késedelem nélkül korlátozza az adatkezelést az alábbiak esetén: 
  2. a) amennyiben az érintett vitatja a személyes adatok pontosságát, akkor a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
  3. b) amennyiben az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kérte azok felhasználásának korlátozását;
  4. c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
  5. d) az érintett tiltakozott az adatkezelés ellen. Ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben. 

 

(2) Az Anyagcserecentrum – amennyiben az adatkezelés korlátozásnak feltételei fennállnak – indokolatlan késedelem nélkül az érintett rendelkezésének megfelelően jár el. 

 

2.6. Az adatok hordozhatóságára irányuló jog biztosítása

 

  1. § (1) Az adatok hordozhatóságára irányuló jog biztosítása során az érintett jogosult arra, hogy kérésére az Anyagcserecentrum indokolatlan késedelem nélkül vizsgálja meg, hogy: 
  2. a) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges, vagy 
  3. b) az érintett hozzájárulása alapján kerül sor. 

 

(2) Amennyiben az adatok hordozhatóságának feltételei fennállnak, az Anyagcserecentrum indokolatlan késedelem nélkül az érintett rendelkezésének megfelelően, az érintett költségén: 

  1. a) az érintett rendelkezésére bocsátja az adatokat tagolt, széles körben használt, géppel olvasható formátumban;
  2. b) az érintett által meghatározott adatkezelőnek közvetlenül továbbítja az adatokat. 

 

2.7. Az adatkezelés elleni tiltakozás jogának biztosítása

 

  1. § (1) Az adatkezelés elleni tiltakozás jogának biztosítása során az érintett jogosult arra, hogy kérésére az Anyagcserecentrum indokolatlan késedelem nélkül vizsgálja meg, hogy az adatkezelés elleni tiltakozás joga érvényesíthető-e, azaz: 
  2. a) az adatkezelés közérdekű feladat végrehajtásához szükséges volt-e; 
  3. b) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges volt-e?

 

(2) Amennyiben adatkezelés elleni tiltakozás jog érvényesítésének feltételei fennállnak, és más jogalapja nincs az adat kezelésének, úgy az Anyagcserecentrum az érintett rendelkezésének megfelelően késedelem nélkül megszünteti az adat kezelését. 

 

2.8. Az adatokhoz való hozzáférési jog biztosítása

 

  1. § (1) Az adatokhoz való hozzáférési jog alapján az érintett jogosult arra, hogy az adatkezelőtől tájékoztatást kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon: 
  2. a) az érintett személyes adatok kategóriái; 
  3. b) az adatkezelés céljai;
  4. c) azon címzettek vagy címzettek kategóriái, akikkel, vagy amelyekkel a személyes adatokat közölték, vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, valamint a nemzetközi szervezeteket; 
  5. d) a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai; 
  6. e) kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen; 
  7. f) megilleti a felügyeleti hatósághoz történő panasz benyújtásának joga; 
  8. g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ; 
  9. h) a GDPR 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár. 

 

(2) Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a GDPR 46. cikke szerinti megfelelő garanciákról.

 

  1. AZ ANYAGCSERECENTRUM ADATVÉDELMI RENDSZERE

 

3.1. Az adatkezelési felelős

 

  1. § (1) Az adatkezelési felelős az Anyagcserecentrumban az adatkezelési rendelkezések megtartásáért felelős és felhatalmazott személy. Feladatai ellátásához jogosult betekinteni a kezelt adatokba és adatokat kérni. 

 

(2) Az adatkezelési felelőst e tevékenységével összefüggésben időbeli korlát nélkül, a jogviszony fennállásától függetlenül titoktartási kötelezettség terheli. 

 

(3) Az adatkezelési felelős feladatai különösen: 

  1. köteles rendszeresen ellenőrzéseket végezni arra vonatkozóan, hogy a jelen Szabályzat rendelkezéseit az Egyesület mindennapi működése során az arra kötelezettek megtartják-e;
  2. felelős köteles megvizsgálni az Anyagcserecentrumhoz – a személyes adatok jogosultjai részéről érkezett – kérelmeket, és a nyilvánvalóan nem alaptalan és jogosult személy által előterjesztett kérelmek esetén köteles megtenni a szükséges intézkedéseket.
  3. köteles kapcsolatot tartani és együttműködni az adatvédelmi hatósággal;
  4. adatvédelmi incidens lehetőségének felmerülése esetén köteles azt kivizsgálni és megalapozott lehetőség esetén az incidens által jelentett kockázatokat megakadályozni vagy mérsékelni, illetve a biztonság sérülését helyreállítani;
  5. köteles az olyan adatvédelmi incidens esetén, amely természetes személy jogaira és szabadságaira kockázatot jelent, bejelentést tenni a hatóságnak; magas kockázat esetén köteles azt bejelenteni a hatóságnak, illetve arról tájékoztatni a személyes adat jogosultját;
  6. jogosult javaslattal élni az Anyagcserecentrum adatkezelési gyakorlatának módosítása vonatkozásában;
  7. g) jogosult a jelen szabályzattal összefüggő mindenkori jogszabályi módosítások átvezetésére és a jelen szabályzat változással egységes szerkezetbe foglalt hatályosított változatának összeállítására és közzétételére.

(4) Az adatkezelési felelős jogosult 

  1. a) minden, e szabályzat hatálya alá tartozó adatkezelést vizsgálni és minden olyan helyiségbe belépni, ahol adatkezelés folyik,
  2. b) tájékoztatást, felvilágosítást kérni minden, e szabályzat hatálya alá tartozó adatkezelésről.
  3. TUDOMÁNYOS KUTATÁSSAL KAPCSOLATOS ADATVÉDELMI RENDELKEZÉSEK
  4. § (1) Amennyiben a tudományos kutatás során személyes adatok kezelésére kerül sor, a jogszabályokban és az Anyagcserecentrum belső szabályzataiban előírt adatvédelmi és adatbiztonsági előírások maradéktalan betartásáért a kutatás vezetője a felelős. 

(2) Személyes adatokat tudományos kutatás céljából kezelni csak írásban lefektetett és az etikai bizottság által írásban jóváhagyott kutatási terv (a továbbiakban: kutatási terv) alapján lehet. 

(3) A Kutató a tudományos kutatás során kizárólag a szakmai-etikai normáknak, a hazai és nemzetközi jogszabályoknak és az Anyagcserecentrum belső szabályzatainak (a továbbiakban: valamennyi szabály) megfelelő, igazolt forrásból származó adatokat kezelhet. Az adatok forrásának igazolásáért a Kutató felel. 

 

(4) A Kutató a tudományos kutatás során személyes adatokat kizárólag 

  1. a) valamennyi szabálynak megfelelő jogosultsággal; 
  2. b) a kutatási tervben meghatározott célból és a kutatás céljához szükséges adatkörben; c) a kutatási tervben meghatározott célok eléréséhez szükséges ideig; 
  3. d) a személyazonosításra alkalmas adatoktól anonimizálási, vagy álnevesítési eljárással elválasztott formában kezelheti. 

(5) Tudományos kutatás során a tárolt adatokról nem készíthető személyes adatokat is tartalmazó másolat. 

(6) A személyes adatok anonimizálása esetén a kutatás vezetője köteles gondoskodni róla, hogy a jogszabályoknak megfelelően valódi anonimizálást hajtsanak végre és gondoskodnak róla, hogy az anonimizálás visszafordíthatatlan legyen. 

 

(7) A személyes adatok álnevesítése (pszeudonimizálása) esetén a kutatás vezetője köteles gondoskodni róla, hogy a jogszabályoknak megfelelően valódi álnevesítést hajtsanak végre. A természetes személyek visszaazonosítását lehetővé tevő további információk csak akkor adhatóak át a kutatónak, ha a tudományos kutatás jogalapja az érintett előzetes tájékoztatáson alapuló hozzájárulása, vagy a visszaazonosításra hitelt érdemlő módon az érintett létfontosságú érdekében kerül sor. 

 

(8) A kutatás vezetője köteles gondoskodni róla, hogy a tudományos kutatás során felhasznált személyes adatokat más kutatás céljából ne használják fel, kivéve, ha a tudományos kutatás jogalapja az érintett tájékoztatáson alapuló hozzájárulása.

 

(9) Amennyiben a tudományos kutatással összefüggésben nem szabályozott módon személyes adat kerül egy kutató birtokába, a Kutató zárolja azokat az adatokat és haladéktalanul értesíti a kutatás vezetőjét és az Anyagcserecentrum adatkezelési felelősét. 

 

(10) A tudományos kutatással összefüggő megfelelő szintű védelem kialakítása a kutatás vezetőjének a felelőssége. 

 

(11) A védelem kialakítása során törekedni kell arra, hogy a mindenkori technikai fejlettségnek megfelelő műszaki, szervezeti, programozási, jogi intézkedéseket, valamint olyan eszközöket alkalmazzanak, amelyek a védelem tárgyának különböző veszélyforrásokból származó kárt okozó hatásokkal, szándékokkal szembeni megóvását a rendelkezésükre álló ismeretek alapján a leghatékonyabban elősegítik, illetve biztosítják. 

 

(12) A tudományos kutatás során megismert személyes adatok tekintetében is szükséges betartani az adatvédelmi előírásokat, különösen a GDPR-ban meghatározott: 

  1. a) az adatvédelmi alapelveket; 
  2. b) az adatkezelési tevékenységek, valamint az egyedi adatátadások, egyedi adattovábbításokra vonatkozó nyilvántartás vezetésére vonatkozó szabályokat; 
  3. c) adatkezelési tájékoztató elkészítésére és közzétételére vonatkozó rendelkezéseket; valamint d) az adatbiztonsági előírásokat. 

 

(13) Amennyiben a tudományos kutatás nemzetközi vagy hazai együttműködésen alapul, a kutatással összefüggő adatkezelés tekintetében irányadó továbbá a kutatáshoz kapcsolódó, az érintett felek között kötött adatvédelmi tárgyú megállapodás is. 

  1. ZÁRÓ RENDELKEZÉS

20. § Az Adatkezelési szabályzat 2026. március 2-án lép hatályba.