Adatvédelmi szabályzat

 
 

 

1.   Cél

Jelen szabályzat az Affidea adatvédelmi jogszabályok betartásával kapcsolatos kötelezettség-vállalását rögzíti.  A személyes adatok kezelésével foglalkozó Affidea munkatársaknak tisztában kell lenniük azzal, hogy az Érintettek csak ideiglenesen adták át személyes adataikat az Affideának, de azok nem kerültek a tulajdonunkba. Érintetteknek minősülnek a betegek, az alkalmazottak, beszállítók és a partnerek.

Jelen szabályzat referenciakeretként hivatott szolgálni, és az egyes témákat konkrétabban és részletesebben tárgyaló további Affidea szabályzatokkal és eljárásokkal egészül ki (lásd 7. pont). Az Affidea Csoport valamennyi alkalmazottja köteles a témában tovább tájékozódni és az Adatvédelmi jogszabályok szerint eljárni, mely felelősség másra nem ruházható.

A szabályzat célja továbbá biztosítani, hogy az Affidea segítse (a 4.4 pont szerint) az Érintettek Jogai és Szabadságai gyakorlását, valamint lehetővé tenni, hogy az Affidea az uniós szabályozásokkal és a tagállami jogszabályokkal összhangban végezhesse a személyes adatok kezelését.

Az Affidea Adatvédelmi Szabályzat célja az Adatvédelmi keretrendszer alapjainak a lefektetése, ami a Szabályzat alapjául szolgáló Szabványos Működési Eljárások figyelembe vételével

biztosítja, hogy:

·         valamennyi Érintett legyen tisztában a GDPR rendeletben biztosított Jogaival és Szabadságaival, valamint azzal is, hogy az Affidea miért, hogyan, hol és mennyi ideig kezeli személyes adatait

·         az Affidea személyes adatokat kezelő valamennyi munkatársa, beszállítója és külső partnere maximálisan tisztában legyen a GDPR és a vonatkozó nemzeti jogszabályok szerinti kötelezettségeivel

·         az Affidea tanúsítani és igazolni tudja a GDPR-nak való megfelelését

·         az Affidea képes legyen proaktív módon észlelni és lereagálni az adatvédelmi incidenseket, valamint levonni belőlük a szükséges tanulságokat

·         az Affidea a személyes adatok feldolgozásával kapcsolatos tevékenységei során be tudja tartani a GDPR-ban foglalt hat alapelvet, és igazolni tudja, hogy megfelel a GDPR szerinti „elszámoltathatóság” elvének

lehetővé teszi

·         az Affidea számára a személyes adatok GDPR-nak és a vonatkozó nemzeti jogszabályoknak megfelelő, jogszerű kezelését, valamint az egészségügyi magatartási kódexekben rögzített kötelezettségei teljesítését

·         hogy az Érintett és az Affidea világosan lássa és ellenőrizni tudja a személyes adatok kezelésének jogalapját

·         az Érintettek GDPR szerinti Jogai és Szabadságai érvényesítését az Affideánál mindenütt

·         a személyes adatok Affideán belül és kívül történő jogszerű továbbítását

·         az Affidea számára Adatvédelmi hatásvizsgálatok végzését

·         hogy a munkatársak, beszállítók és harmadik felek segítséget tudjanak kérni, amennyiben megítélésük szerint az adatkezelés a GDPR-ba ütközik, vagy rendellenes dolog történik a személyes adatok kezelése során.

A munkatársak kötelesek jelen szabályzatot mindenkor betartani. Ellenkező esetben belső fegyelmi intézkedés indul ellenük.

2.   Hatály

Jelen szabályzat hatálya alá tartozik:

·         az Affidea Csoportnál alkalmazásban álló, állásra jelentkező, valamint nem munkaszerződés alapján munkát végző minden személy, beszállító, partner (az Affideának szolgáltatásokat nyújtó vállalatok nevében eljáró személy), valamint az Affidea Csoporthoz tartozó minden jogi személy és üzleti egység; továbbá

·         a GDPR rendeletben definiált valamennyi személyes adat kezelése – a személyes adatok Affidea vállalatok közti továbbítása érdekében az Európai Unió területén kívül kezelt személyes adatokra is kiterjedően.

Jelen dokumentum az Affidea Csoport vonatkozó szabályozó dokumentumaival együtt értelmezendő, a 7. pontban felsorolt dokumentumokat is beleértve. Amennyiben ezen dokumentumok és jelen szabályzat között bármilyen eltérés merül fel, abban az esetben a szigorúbb követelmények alkalmazandók.

Jelen szabályzat kötelező érvényű dokumentum, melynek lefordításáról a Helyi minőségügyi vezető és a Helyi felső vezetés minden egyes Affidea országban köteles gondoskodni.

Jelen szabályzatot és a benne foglalt utasításokat mindaddig be kell tartani, amíg az adott országban részletesebb vagy szigorúbb jogszabályi előírások nem lépnek életbe. Ebben az esetben jelen szabályzat és a benne foglalt utasítások annyiban követendők, amennyiben a nemzeti jogszabályok ezektől eltérően vagy ezeknél szigorúbban nem rendelkeznek.

3.   Fogalom-meghatározások

 

GDPR A 2018. május 25-én hatályba lépő, nemzeti szinten közvetlenül alkalmazandó és az adatvédelmi jogszabályokat az Európai Unió egészében harmonizáló Általános adatvédelmi rendelet (2016/679), amely a jelenleg hatályos, 1995. évi Adatvédelmi Irányelv (a 95/46/EK Irányelv) helyébe lép. A GDPR az Európai Unióban bejegyzett Adatkezelőkre és Adatfeldolgozókra érvényes, és azon Adatkezelőre, illetve Adatfeldolgozókra is alkalmazandó lesz, akik termékeket vagy szolgáltatásokat biztosítanak az Európai Unió számára vagy az Európai Unió területén belül magánszemélyek magatartását ellenőrzik.
Affidea Az Affidea Csoporthoz tartozó minden jogi személy.
Affidea Csoport Az akár közvetve, akár közvetlenül az Affidea Group BV irányítása alatt álló vállalatok csoportja.
Adatkezelő Az Adatkezelő azt a természetes vagy jogi személyt, állami hatóságot, szervet vagy egyéb szervezetet jelenti, amely – akár önállóan, akár másokkal együttesen – a személyes adatok kezelésének céljáról és eszközeiről határoz; ahol az adatkezelés céljait és eszközeit uniós vagy tagállami jogszabályok rögzítik, ezen jogszabályok az adatkezelőt vagy az adatkezelő kinevezésére vonatkozó konkrét feltételeket is meghatározhatják.
Adatvédelmi tájékoztató Azt hivatott biztosítani, hogy az Érintettek és az Affidea egyaránt világos és érthető tájékoztatást kapjanak a személyes adatok biztonságával kapcsolatban.
Adatfeldolgozó Adatfeldolgozó alatt az a természetes vagy jogi személy, állami hatóság, szerv vagy egyéb szervezet értendő, amely az adatkezelő megbízásából a személyes adatok kezelését végzi.
Személyes adatok

A Személyes adatok körébe tartozik minden olyan információ, amely valamely azonosított vagy azonosítható természetes személyre (az „Érintettre”) vonatkozik; azonosíthatónak tekintendő valaki akkor, ha akár közvetlenül, akár közvetetten azonosítható, különösen valamilyen név, azonosítószám, helymeghatározó adat, online azonosító vagy az illető fizikai, pszichológiai, genetikai, mentális, gazdasági, kulturális vagy társadalmi identitását jellemző egy vagy több tényező alapján. Az Affideánál Személyes adatok alatt értendők egyebek mellett a/az

·         Betegek adatai: diagnosztikai képek, orvosi jelentések, az orvosi vizsgálat időpontja és helyszíne, marketingcélra használt betegjellemzők,

·         Alkalmazottak adatai: munkaszerződésekben szereplő személyes adatok, a munkaidő havi nyilvántartása és bérszámfejtési adatok, egészségügyi központokban és irodákban elhelyezett térfigyelő kamerák felvételei, beléptető kártya adatok, alkalmazottak e-mail címei,

·         Beszállítói adatok: szolgáltatási szerződésekben szereplő személyes adatok, partnerek –mail címei, stb.

Személyes adatok Kezelése Kezelés alatt értendő bármely személyes adattal vagy adatokkal, akár automatizáltan, akár másként végzett művelet vagy műveletegyüttes, például gyűjtés, rögzítés, szervezés, rendezés, tárolás, adaptálás vagy módosítás, visszanyerés, egyeztetés, használat, továbbítással, terjesztéssel vagy egyéb módon történő közlés, igazítás vagy kombinálás, korlátozás, törlés vagy megsemmisítés.
Adatvédelmi incidens Adatvédelmi incidens alatt a biztonsági követelmények bármely megsértése értendő, amely a továbbított, tárolt vagy más módon feldolgozott személyes adatokhoz való véletlenszerű vagy jogellenes hozzáféréshez, megsemmisítésükhöz, módosításukhoz vagy jogosulatlan közlésükhöz vezethet.
A Személyes adatok kezelésének biztonsága A Személyes adatok Kezelésének biztonsága alatt a személyes adatok kezelése során felmerülő kockázatoknak megfelelő és 1) a természetes személyek Jogai és Szabadságai korlátozását, valamint 2) az Adatvédelmi incidensek bekövetkezését megelőzni hivatott technikai és szervezeti intézkedések értendők, az 1) és a 2) pontban foglaltak bekövetkezése esetén a helyreállító intézkedéseket is beleértve.
Személyes adatok anonimizálása A Személyes adatok anonomizálása azt a folyamatot jelöli, melynek során a Személyes adatok bizonyos elemei törlésre kerülnek, hogy az Adatkezelő a Személyes adatok kezelése vagy az azokhoz való hozzáférés során ne tudja azonosítani az Érintettet. Az anonimizálás visszafordíthatatlan: amennyiben mégis visszafordítható, úgy nem tekintendő megtörténtnek.
Profilalkotás Profilalkotás alatt értendő a személyes adatok bármely formában történő automatizált kezelése, s ezen belül a személyes adatoknak valamely természetes személlyel kapcsolatos egyéni jellemzők értékelése céljából történő felhasználása, különös tekintettel az illető természetes személy munkahelyi teljesítményével, anyagi helyzetével, egészségével, személyes preferenciáival, érdeklődési körével, megbízhatóságával, magatartásával, tartózkodási helyével vagy mozgásával kapcsolatos információk elemzése vagy előrejelzése.
Automatizált döntéshozatal Az automatizált döntéshozatal más tevékenységi kört foglal magába, mely azonban részben fedheti a profilalkotáshoz sorolt tevékenységek körét. A kizárólagos automatizált döntéshozatal a technikai eszközökkel, emberi beavatkozás nélkül történő döntés képességét jelenti. Gyakran Mesterséges intelligenciaként is említik.
  1. A Szabályzat
    • Bevezetés

Jelen Adatvédelmi Szabályzat mindenekelőtt azt hivatott megértetni az olvasóval, hogy a személyes adatok az Affidea „Személyes adatok életciklusa” szerint kezelendők. A 4. pont részletesen ismerteti azt az életciklust, valamint azon technikai és szervezeti intézkedéseket, amelyeket az Affidea az Általános adatvédelmi rendeletnek (GDPR), más uniós rendeleteknek, az Európai Adatvédelmi Szabályozók, valamint az Európai Adatvédelmi Testület iránymutatásainak és véleményének, továbbá a vonatkozó uniós Irányelvek célkitűzéseinek való megfelelés érdekében elfogadott. A tagállami jogszabályokkal átültetett uniós Irányelveknek, valamint a tagállami jogszabályoknak való megfelelést az Affidea adott országban működő, helyi szervezetei kötelesek biztosítani. Az Európai Unióban működő vállalatként az uniós jogszabályokat minimális követelménynek tekintjük és ekként tartjuk be, az Európai Unió területén kívül működő tagvállalatok pedig abban az esetben hivatkozhatnak helyi szabályozásaikra, ha azok az uniós előírásoknál szigorúbbak.

  • AZ AFFIDEA ÁLTAL KEZELT személyes adatok életciklusa

Az Affidea által kezelt személyes adatok életciklusának egyes szakaszait az alábbi ábra ismerteti.

  1. ábra: Az Affidea által kezelt személyes adatok életciklusa
  1. Személyes adatok gyűjtése és a személyes adatok jogszerű kezelésére vonatkozó követelmények teljesítése: a személyes adatokat vagy közvetlenül az Érintettek vagy más Adatkezelők bocsátják az Affidea rendelkezésre.
  2. Az adatok besorolása az Affidea besorolási rendje alapján: az Affidea rendszereken kezelt minden adatot be kell sorolni az Affidea besorolási rendje szerint. Ez lehetővé teszi, hogy – egyéb tevékenységek mellett – megfelelő szervezeti és technikai intézkedésekre kerülhessen sor.
  3. Az adatokért felelős személy kijelölése: az Affideánál kezelt minden adatot hozzá kell rendelni egy adatfelelőshöz, aki felügyeli az adatok célnak való megfelelőségét, valamint jelen szabályzat betartását.
  4. A személyes adatok célnak megfelelő, biztonságos kezelése: a személyes adatok kizárólag az Adatvédelmi tájékoztatóban meghatározott célból és csak az Információ-biztonsági szabályzatnak megfelelően kezelhetők.
  5. Személyes adatokhoz való hozzáférés és a személyes adatok karbantartása: Személyes adatokhoz hozzáférés csak azoknak engedhető, akiknek arra indokoltan szükségük van. Az elsődleges indok az Adatvédelmi tájékoztatóban rögzített célok teljesítése.
  6. A személyes adatok megőrzése és tárolása: A személyes adatokat az Adatmegőrzési ütemtervnek megfelelően őrizzük meg. Az adatmegőrzési idő lejártával az adatokat biztonságosan törölni kell.
  7. A személyes adatok szükség szerinti anonimizálása: Az Affidea bizonyos esetekben anonomizált személyes adatok kezelésével érheti el a célját. A személyes adatok anonimizálásával az adatkezelés lényegesen biztonságosabbá válik, az adatok más felekkel történő megosztása pedig jelentősen leegyszerűsödik.
  8. Személyes adatok törlése és selejtezése: az adatmegőrzési idő végén a (digitális vagy fizikai formában tárolt) személyes adatokat a legmegfelelőbb eljárás alkalmazásával töröljük. Az egyes adat mezők vagy fizikai nyilvántartások időközi selejtezése ezt megelőzően is megtörténhet, az Adatmegőrzési ütemtervben rögzítettek szerint.
  9. Az Érintettek Jogaikkal és Szabadságaikkal kapcsolatos kéréseinek teljesítése Az Érintetteknek személyes adataik kezelése során lehetőségük van a GDPR szerinti és a 4.4. pontban ismertetett Jogaik és Szabadságaik gyakorlására.
  10. A vonatkozó Adatvédelmi hatásvizsgálat folyamatos felülvizsgálata: magas kockázattal járó adatkezelés esetében, melyre vonatkozóan Adatvédelmi hatásvizsgálatra is sor került, folyamatos felülvizsgálatra van szükség annak ellenőrzése érdekében, hogy nem indokolt-e az eredeti vizsgálati eredmények módosítása.

A fenti életciklus folyamatos érvényességét, valamint a technikai és szervezeti intézkedések megfelelőségét a vonatkozó Adatvédelmi hatásvizsgálatok felülvizsgálatával és frissítésével kell biztosítani az egyes Affidea társaságoknál, ami kulcsfontosságú a GDPR-nak és más uniós rendeleteknek való megfelelés megteremtése és igazolása szempontjából.

A GDPR HAT ALAPELVE

Valamennyi Adatvédelmi jogszabálynak meg kell felelnie az alább felsorolt hat alapelvnek, illetve tartalmaznia kell azokat. A személyes adatok:

  1. kezelését jogszerűen és tisztességesen, valamint átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
  2. kezelése csak az Adatvédelmi tájékoztatóban meghatározott célból történjen („célhoz kötöttség”);
  3. megfelelőek és relevánsak kell, hogy legyenek, és az Adatvédelmi tájékoztatóban foglalt célokhoz szükségesre kell koncentrálódniuk („adattakarékosság”);
  4. pontosnak és szükség esetén naprakésznek kell lenniük az Adatvédelmi tájékoztatóban foglalt célok teljesítése érdekében („pontosság”);
  5. csak az Adatvédelmi tájékoztatóban és az adott tagállam jogszabályaiban rögzített célok teljesüléséhez szükséges ideig kezelhetők („korlátozott tárolhatóság”);
  6. kezelését oly módon kell végezni, hogy az Affidea Információ-biztonsági szabályzatának megfelelően biztosítva legyen a személyes adatok megfelelő biztonsága (“integritás és bizalmas jelleg”).

Ezeket az alapelveket a személyes adatok Affidea által végzett kezelése esetén mindenkor be kell tartani. A GDPR-ban rögzített szankciók értelmében a fenti alapelvek közül egynél több alapelv nem teljesítése súlyos következményekkel járna az Affideára nézve, ezért betartásuk kötelező.

A személyes adatok jogszerű kezelését az adatkezelés megfelelő jogalapjának megválasztása biztosítja. A választásról belső dokumentációt kell felvenni és az Érintettnek a vonatkozó Adatvédelmi tájékoztatóban el kell magyarázni. Az Adatvédelmi tájékoztató átláthatóan ismerteti az Érintettel az Affidea vonatkozó adatkezelési tevékenységét.

  • Adatvédelmi tájékoztatók

Minden egyes Adatvédelmi tájékoztatónak tartalmaznia kell a következő információkat:

  1. Az adatkezelő, valamint – ha van ilyen – az adatkezelő helyi képviselője, illetve az adatvédelmi tisztviselő kilétét és elérhetőségeit;
  2. Az adatkezelés céljait;
  3. Az adatkezelés jogalapját (valamint „jogos érdekre” hivatkozással történő adatkezelés esetén a jogos érdek meghatározását);
  4. A személyes adatok címzettjeit, illetve a címzettek kategóriáit, ha van ilyen, az Európai Gazdasági Térségen („EGT”) kívüli címzetteket is beleértve;
  5. annak megerősítését, hogy az adatkezelő kívánja-e harmadik országba vagy az EGT-n kívüli címzett részére továbbítani a személyes adatokat, és amennyiben igen, úgy a címzett kilétét és a célország megnevezését, valamint az adatok védelmének szintjét, a különböző kategóriájú személyes adatok törlésének várható határidejét, ha pedig ez nem lehetséges, úgy e határidő meghatározásának a feltételeit;
  6. Az Érintettek jogait;
  7. Az Érintettek hozzájárulása alapján történő adatkezelés esetén azt a tényt, hogy az Érintettek hozzájárulásukat bármikor visszavonhatják;
  8. Az Érintettek jogát az esetleges problémának a felügyeleti hatósághoz történő bejelentésére;
  9. Arra vonatkozó tájékoztatást, hogy a személyes adatok átadása jogszabályon alapuló vagy szerződésben előírt követelmény vagy a szerződéskötés feltétele-e, az adatközlés elmaradásának esetleges következményeit is beleértve;
  10. Azt, hogy az adatközlés kötelező vagy önkéntes jellegű;
  11. Az adatközlés elmaradásának lehetséges következményeit;
  12. Ha releváns, az automatizált döntéshozatallal (különösen a profilalkotással) kapcsolatos információkat, az alkalmazott logikára vonatkozó fontosabb információkat, valamint az ily módon történő adatkezelés lehetséges következményeit;
  13. ha az adatok begyűjtése nem közvetlenül az Érintettől történik: a személyes adatok érintett kategóriáit, valamint az adatok forrását, továbbá (ha releváns) azt is, hogy nyilvánosan hozzáférhető forrás(ok)ról van-e szó.

AZ ÉRINTETTEK JOGAI ÉS SZABADSÁGAI

Az Érintetteket a vonatkozó Adatvédelmi tájékoztatóban tájékoztatni kell Jogaikról és Szabadságaikról, melyek az alábbiak:

  1. Hozzáférési jog: Az Érintett visszajelzést kérhet arról, hogy kezeljük a személyes adatait, továbbá elektronikus vagy fizikai (pl. papír alapú) másolatot kérhet személyes adatairól. Minden technikai kérdést el kell magyarázni. Léteznek bizonyosi tagállami irányelvek, amelyek meghatározzák, hogy milyen adatok oszthatók meg az egészségügyben, illetve az alkalmazottakkal. A hozzáférési jog Hozzáférési kérelem kitöltésével gyakorolható. A Hozzáférési kérelem kitöltésének az elmaradása esetén az Érintett panaszt tehet a Felügyeleti hatóságnál, amely azután kivizsgálja az ügyet. A Hozzáférési kérelmeket kötelező szakszerűen és a vonatkozó eljárásnak megfelelően kitölteni.
  2. A helyesbítéshez való jog: Az Érintett kérheti az esetlegesen pontatlanul rögzített személyes adatai helyesbítését, valamint hiányos személyes adatainak az általa szolgáltatott további személyes adatokkal történő kiegészítését.
  3. A törléshez való jog: Az Érintett kérheti személyes adatai törlését, ugyanakkor az Affidea jogszabályi kötelezettség teljesítése érdekében köteles lehet a személyes adatokat megőrizni, amint arról az Affidea Adatmegőrzési Ütemterve is rendelkezik. Ebben az esetben az Affidea nem kötelezhető a személyes adatok törlésére.
  4. Az adatkezelés korlátozásához való jog: Az Érintett kérheti, hogy a tárolás és a hozzáférés kivételével valamennyi adatkezelési művelet kerüljön felfüggesztésre. Ez sok esetben akkor következik be, ha jogvita merül fel az Érintettel, a jogvita megoldását követően azonban megszűnhet ez a gyakran ideiglenes állapot.
  5. Az adathordozhatósághoz való jog: Az Érintett személyes adatairól elektronikus másolatot kérhet, továbbá kérheti, hogy az Adatkezelő egy másolatot közvetlenül továbbítson egy másik Adatkezelőnek.
  6. A tiltakozáshoz való jog: Ahol valamely jogos érdek szolgál az adatkezelés jogalapjául, az Érintettek tiltakozhatnak ellene, és tiltakozásuk eredményessége esetén az Affidea köteles felhagyni személyes adataik kezelésével.
  7. Egyedi ügyekben automatizált döntéshozatal elleni tiltakozás joga: A GDPR világos különbséget tesz a profilalkotás és az automatizált döntéshozatal között. A profilalkotást és az automatizált döntéshozatalt az adatvédelmi tisztségviselővel történő egyeztetésnek, valamint Adatvédelmi hatásvizsgálatnak kell megelőznie. Az Érintettet ilyen típusú adatkezelés esetén tájékoztatni kell, és jogosult ellene tiltakozni.

A Jogok és Szabadságok nem abszolút módon illetik meg az Érintettet: kérésének teljesítése előtt meg kell vizsgálni a vonatkozó törvényeket és jogszabályokat. Az Érintett Jogainak és Szabadságainak gyakorlására vonatkozó kérelem megtagadása esetén a dokumentált indoklást az Érintett rendelkezésére kell bocsátani. A kérelem csak az Adatvédelmi tisztviselő engedélyével tagadható meg.

Hozzáférési kérelem megválaszolásakor a GDPR alapján nem számítható fel semmilyen díj az Érintetteknek, kivéve, ha az nyilvánvalóan indokolatlan vagy túlzott mértékű. A személyazonosság ellenőrzése minden tevékenység előtt kulcsfontosságú.

Az Érintettel folytatott kommunikációval szemben mindenkor elvárt a tömörség, átláthatóság, érthetőség, könnyű hozzáférhetőség, valamint az esetleges orvosi szakkifejezések egyszerű nyelven történő magyarázata. Minden levélhez Adatvédelmi tájékoztatót kell mellékelni, hogy az Érintett tisztában lehessen a jogaival. Ahol az Affidea megtagadja egy bizonyos jog gyakorlását, tájékoztatjuk az Érintetteket annak okairól, valamint a Felügyeleti Hatóságnál történő panasztétel és a jogorvoslat iránti folyamodás lehetőségéről.

Az Affidea Betegportálok is biztosítják e Jogok és Szabadságok egy részét, és hozzáférést engednek a betegeknek személyes adataikhoz. Amennyiben az Affidea a személyes adatokat más feleknek (Adatfeldolgozóknak) továbbította, és az Érintettek személyes adataik módosítását, törlését vagy kezelésük korlátozását kérik, köteles tájékoztatni erről az Adatfeldolgozókat.

  • AZ ADATFELDOLGOZÓK KÖTELEZETTSÉGEI ÉS A VELÜK KÖTÖTT SZERZŐDÉSEK

Az Affidea nevében eljáró Adatfeldolgozók kötelesek szerződést kötni az Affideával. Az adatkezelési szerződésnek tartalmaznia kell a GDPR-ban és a helyi jogszabályokban előírt elemeket. A szerződés elkészítéséhez alapesetben a jelen szabályzat 7. pontjában hivatkozott mintát kell használni, kivéve, ha az Adatvédelmi tisztviselő mást hagy jóvá. Adatfeldolgozóink az adatkezelés biztonsága érdekében kötelesek az általunk előírt technikai és szervezeti intézkedéseknek megfelelően eljárni.

  • SZEMÉLYES ADATOK MÁS FELEK RÉSZÉRE TÖRTÉNŐ TOVÁBBÍTÁSA

A személyes adatok továbbítása érvényes szerződés alapján és jóváhagyott, biztonságos módon történik. Az Európai Unió területén kívüli adattovábbítás esetén az Európai Adatvédelmi Testület legújabb szabványos szerződéses feltételei alkalmazandók.

  • ADATVÉDELMI HATÁSVIZSGÁLATOK

Minden olyan adatkezelési tevékenységet megelőzően Adatvédelmi hatásvizsgálatot kell végezni, ahol az adatkezelés valószínűsíthetően magas kockázattal jár bármely személy jogaira és szabadságaira nézve.

Az Affidea magas kockázatúnak tekinti az alábbi adattípusok feldolgozását:

  1. személyazonosító adatok,
  2. személyes pénzügyekkel kapcsolatos adatok,
  3. személyek helymeghatározó adatai,
  4. egyéni eszközök azonosítói,

Az Affidea rendkívül magas kockázatúnak tekinti az alábbi adattípusok feldolgozását:

  1. speciális személyes adatok (az Érintett testi vagy mentális egészségére vagy egészségügyi állapotára vonatkozó adatokat is beleértve),
  2. egyéni biometrikus adatok,
  3. egyéni genetikai adatok,
  4. gyermekek személyes adatai,
  5. kiszolgáltatott személyek személyes adatai.

Az Adatvédelmi hatásvizsgálat a megfelelés megteremtését és bizonyítását célzó folyamat, és Elszámoltathatósági eszköz is egyben. Az Adatvédelmi hatásvizsgálattal kapcsolatban követendő eljárás dokumentált. Magas kockázatú személyes adatok új típusainak a kezelése csak Adatvédelmi hatásvizsgálatot követően kezdhető meg.

A magas kockázatú személyes adatok Adatvédelmi hatásvizsgálat alapján történő kezelését az Érintett kockázati szintjében bekövetkező változás esetén felül kell vizsgálni. A felülvizsgálat célja az esetleges technikai és szervezeti intézkedések szükségességének az ellenőrzése. Különös figyelmet kell fordítani a profilalkotásra és az automatizált döntéshozatalra, illetve a Mesterséges Intelligenciára, mivel az adatfeldolgozás ezen típusai esetében a megfelelőség bizonyítása, valamint az Érintett Jogait és Szabadságait érintő kockázatok csökkentése érdekében kötelező Adatvédelmi hatásvizsgálatot végezni.

  • BIZTONSÁGI INCIDENSEK ÉS A GDPR MEGSÉRTÉSÉNEK LEHETSÉGES ESETEI

Minden adatvédelmi incidens biztonsági incidensnek tekintendő, ugyanakkor nem minden biztonsági incidens minősül feltétlenül adatvédelmi incidensnek. Éppen ezért a biztonsági incidenseket minden esetben jelenteni kell az Információ-biztonsági incidensek kezelésére vonatkozó SOP-IT-002-01számú eljárásnak megfelelően. Az Információ-biztonsági incidensek kezelésére vonatkozó eljáráshoz kapcsolódik az Adatvédelmi incidensek rögzítésével, ellenőrzésével, felmérésével, kezelésével és a Felügyeleti hatósághoz történő jelentésével kapcsolatos eljárás. A jelentésnek az Affidea mint Adatkezelő értesülésétől számított 72 órán belül meg kell történnie, és minden munkatárs, illetve harmadik fél köteles biztonsági ellenőrzést indítani, amint tudomást szerez a problémáról.

Amennyiben valamely munkatárs vagy harmadik fél megítélése szerint fennáll a GDPR megszegésének a lehetősége, a személyes adatok továbbítását vagy kezelését megelőzően köteles egyeztetni az adatvédelmi tisztviselővel. Az adatvédelmi tisztviselő véleményét nem csupán a szokásos üzleti tevékenységgel kapcsolatos adatkezelési tevékenységekkel, hanem az egyedi vagy rendkívüli adatkezelési tevékenységekkel kapcsolatban felmerülő kétely esetén is ki kell kérni.

  • ADATOKAT ÉRINTŐ INCIDENSEK PROAKTÍV ÉSZLELÉSE, LEREAGÁLÁSA ÉS A TANULSÁGOK LEVONÁSA

Az Affidea egy folyamatosan változó világban kezel személyes adatokat, ahol a nap huszonnégy órájában bármikor felmerülhetnek technikai vagy a biztonságot érintő fenyegetések. Jelentős biztonsági incidenseket követően az Adatvédelmi tisztviselő munkacsoportja az Adatbiztonsági vezetővel közösen ellenőrzi a biztonsági naplókat, majd a változó fenyegetésekre figyelemmel javaslatokat tesz a személyes adatok kezelésének biztonságosabbá tételére. A levont tanulságok ily módon beépülnek a biztonsági incidensek proaktív észlelésére és lereagálására szolgáló technikai és szervezeti intézkedésekbe.

  1. Képzési követelmények

Az Adatvédelem az Affidea minden alkalmazottjának feladata, ezért a GDPR mindnyájukra vonatkozik, és valamennyien részt kell, hogy vegyenek Információ-biztonsági képzéseken. Az általános Adatvédelmi oktatást minden alkalmazottnak évente meg kell ismételnie. Azoknak, akiknek a munkaköre személyes adatok kezelésére is kiterjed, gyakorlati területüknek megfelelő képzésre is szükségük van.

A képzésről a SOP-QM-003 – Minőségügyi nyilvántartások kezelése című eljárásnak megfelelően nyilvántartást kell vezetni.

  1. Hivatkozások

A GDPR a személyes adatok kezelésére irányadó és azt szabályozó uniós rendeletek és irányelvek egyike. Az Adatvédelmi szabályzat összeállítása az alábbiakban felsorolt főbb dokumentumokra figyelemmel történt. Egyes dokumentumok azért szerepelnek a felsorolásban, mert az uniós jogszabályokban rögzített fontos definíciókat tartalmaznak, ezért kihatnak az általunk végzett adatkezelés tárgyi és területi hatályára.

 

Cím Link
2016/679 Általános adatvédelmi rendelet (GDPR) http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG
(EU) 2016/680 Bűnügyi adatvédelmi irányelv http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0089.01.ENG&toc=OJ:L:2016:119:TOC
2011/34/EU Irányelv a határon átnyúló egészségügyi ellátásra vonatkozó betegjogokról http://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A32011L0024
95/46/EK Adatvédelmi Irányelv http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML
2016/1148. Európai Hálózat- és információ-biztonsági Irányelv (NIS) http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.194.01.0001.01.ENG&toc=OJ:L:2016:194:TOC
A 2002/58/EK (Adatvédelem és elektronikus hírközlés) Irányelv hatályon kívül helyezéséről szóló rendelettervezet https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications
A Adatvédelemről és elektronikus hírközlésről szóló 2002/58/EK Irányelv http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:en:HTML
A GDPR 29. cikke alapján létrehozott munkacsoport Iránymutatása az Adatvédelmi hatásvizsgálat elvégzéséhez és annak megállapításához, hogy az adatkezelés „valószínűsíthetően magas kockázattal jár-e” WP248 rev0. 1. Az elfogadás időpontja: 2017. október 4. http://ec.europa.eu/newsroom/document.cfm?doc_id=47711
A GDPR 29. cikke alapján létrehozott munkacsoport Iránymutatása az Adatvédelmi incidensről szóló értesítéssel kapcsolatban WP250 rev. 01. Az elfogadás időpontja: 2018. február 6. http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=49827
A GDPR 29. cikke alapján létrehozott munkacsoport Iránymutatása az Automatizált döntéshozatallal és a Profilalkotással kapcsolatban. WP251 rev. 01. Az elfogadás időpontja: 2018. február 6. http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=49826
A GDPR 29. cikke alapján létrehozott munkacsoport Iránymutatása a közigazgatási bírságok megállapításával kapcsolatban WP253 Az elfogadás időpontja: 2017. október 3. http://ec.europa.eu/newsroom/just/document.cfm?doc_id=47889
A GDPR 29. cikke alapján létrehozott munkacsoport 2/2017 véleménye a munkahelyi adatkezelésről WP249 Az elfogadás időpontja: 2017. június 8. http://ec.europa.eu/newsroom/document.cfm?doc_id=45631
  1. Kapcsolódó dokumentumok
P-IT-001 Információ-biztonsági szabályzat
SOP-IT-002-02 Információ-biztonságot érintő incidensek kezelésére vonatkozó eljárás
SOP-QM-003 Minőségügyi nyilvántartások ellenőrzése
  1. Verziótörténet

 

Módosítás A változás leírása A változás oka
00 Első kiadás Nem releváns

 

Affidea Corporate jóváhagyási folyamata:

 

A dokumentumot készítette: Csarnai Gergő Zoltán- Data Protection Compliance Analyst

Ellenőrizte: Fényi Róbert- Group DPO

Jóváhagyta: Carole Ducrest- Group Legal Counsel

Hatályba lépés: 2018.április.25

 

 

Affidea Diagnosztika jóváhagyási folyamata:

Fordította: Anglofon Stúdió Jogi fordító iroda

Ellenőrizte: Kiss Angéla -DPO

Jóváhagyta: Leitner György -CEO

Hatályba lépés: 2018.05.23