Adatvédelmi szabályzat és tájékoztató

1. Jelen szabályzat hatálya kiterjed a Shila-Medic Egészségügyi Tanácsadó és Szolgáltató Korlátolt Felelősségű Társaság (a továbbiakban: vállalkozás) által működtetett www.contractubex.hu domain név alatt elérhető weboldalra (a továbbiakban: weboldal), annak üzemeltetésére, a weboldalon keresztül gyűjtött személyes adatok kezelésére, feldolgozására, valamint a weboldalon keresztül folytatott tevékenységhez közvetlenül vagy közvetve kapcsolódó marketing tevékenység kifejtése során történő adatkezelésre. A vállalkozás a jelen szabályzat hatálya alá nem tartozó tevékenységek vonatkozásában külön, a vállalkozás egészére vonatkozó adatkezelési és adatbiztonsági szabályzattal rendelkezik.

2. Jelen szabályzat célja, hogy biztosítsa a vállalkozás által a weboldal üzemeltetésével közvetlenül vagy közvetve összefüggésben kezelt és feldolgozott személyes adatok Alaptörvény szerinti védelmének érvényesülését, az információs önrendelkezés megvalósulását, továbbá, hogy a vállalkozás által kezelt és feldolgozott személyes adatok tekintetében meghatározza az irányadó adatvédelmi és adatbiztonsági szabályokat, a magyar és az Európai Uniós jogszabályokkal összhangban, azok figyelembevételével.

3. A vállalkozás a weboldalon és azzal összefüggésben kifejtett adatkezelői és adatfeldolgozói tevékenysége során a következő jogszabályokban foglalt követelményeknek megfelelően jár el:
   • Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (a továbbiakban: GDPR);
   • Az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény (a továbbiakban: Infotv.);
   • A Polgári Törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.).

4. A jelen szabályzatban használt terminológiák a következők szerint értelmezendők:

a) Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

b) Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

c) Adatkezelő: A vállalkozás bizonyos tevékenységei vonatkozásában (pl. direkt üzenetküldés, hírlevélre feliratkozás lehetőségének biztosítása, rendezvények szervezése, kép- és hangfelvételek készítése stb.) adatkezelési tevékenységet végez, így adatkezelőnek minősül.

d) Adatfeldolgozó: az a szervezet vagy személy, amely a vállalkozás nevében személyes adatokat kezel (pl. szerver üzemeltetője, gyorsítótár szolgáltatás üzemeltetője, tárhely biztosítója, honlap karbantartója). A vállalkozás bizonyos tevékenységei vonatkozásában maga is végezhet adatfeldolgozói tevékenységet, míg más esetekben az adatfeldolgozó segítségét közvetített szolgáltatásként veszi igénybe.

e) Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik félnek minősül-e, vagy a vállalkozás tagja, alkalmazottja. Azon közhatalmi szervek azonban, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek.

f) Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.

g) Nyilvántartási rendszer: a személyes adatok funkcionális szempontok szerint tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető. A nyilvántartás a vállalkozás azon szisztematizált rendszereit is magában foglalja, melyek személyes adatokat csupán a vállalkozás által megjelölt korlátozott személyi kör (pl. a vállalkozás bizonyos munkavállalói, tagjai) számára tesz hozzáférhetővé.

h) Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

i) Képviselő: a vállalkozás szervezeti vagy eseti jelleggel kijelölt képviselője, aki az adatvédelmi incidensek rendezése során a hatósággal és az érintettel kapcsolatot tart, valamint az a személy, aki az érintett jogainak gyakorlásában a vállalkozás képviselőjének minősül. A képviselői minőség kapcsolódhat munkakör vagy tisztség ellátásához.

j) Adatvagyon leltár: az adatkezelő által kezelt személyes adatok körének és jellegének felmérését szolgáló dokumentum.

k) Technikai és szervezési intézkedések: az adatkezelő által az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelően meghatározott eljárásrend annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a GDPR-ral összhangban történik. Ezeket az intézkedéseket az adatkezelő rendszeresen felülvizsgálja és szükség esetén aktualizálja.

5. A vállalkozás az adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi (jogszerűség, tisztességes eljárás és átláthatóság alapelve). A vállalkozás az ezen alapelvnek való megfelelés jegyében minden esetben, amikor személyes adatot gyűjt, letárol, azt az érintett egyértelmű tudomására hozzá, és ahhoz kifejezett hozzájárulását is kéri. A weboldalon keresztül elérhető hírlevél szolgáltatás vonatkozásában a vállalkozás – összhangban a jogszabályok előírásaival – az úgynevezett opt-in rendszert követi, azaz hírlevelet kéretlen elektronikus levél (spam) formájában egyetlen érintettnek sem küld. A hírlevél küldése kizárólag azon érintettek részére történik, akik a weboldal hírlevélre történő feliratkozás funkciójának használatával vagy más élethelyzetben, azonban írásos hozzájárulásukkal (pl. a vállalkozás által szervezett rendezvényen papír alapon adott hozzájárulással) kifejezetten kérik a hírlevélre történő feliratkozást és a hírlevél részükre történő kiküldését. A vállalkozás biztosítja az érintettek számára, hogy a hírlevélre történő feliratkozást követően bármikor lehetőségük legyen a hírlevélről leiratkozni. A leiratkozás funkciót a vállalkozás minden egyes kiküldött hírlevélben, valamint a weboldalon közvetlenül elérhető funkcióként is biztosítja. A vállalkozás kötelezettséget vállal arra, hogy amint a hírlevélről az érintett leiratkozik, így ezt az adatkezelés jogcímének megszűnéseként értékeli, és – amennyiben más, a jelen szabályzatban meg nem határozott adatkezelési jogcím nem áll fenn – a leiratkozó érintett hírlevél küldése céljából tárolt személyes adatait késedelem nélkül törli saját nyilvántartásaiból, és azokat a továbbiakban sem hírlevél kiküldése, sem más célból nem kezeli. Az adatok törlése ebben az esetben végleges, azaz a vállalkozás többé nem tudja azokat rekonstruálni.
6. A vállalkozás a személyes adatok gyűjtését csak meghatározott, egyértelmű és jogszerű célból végzi, és azokat nem kezeli ezekkel a célokkal össze nem egyeztethető módon (célhoz kötöttség alapelve). A vállalkozás a személyes adatok gyűjtése során az érintettől beszerzett felhatalmazás keretei között jár el. Ennek megfelelően a weboldalon vagy más formában a hírlevélre feliratkozó érintettek adatait kizárólag a hírlevél kiküldése, valamint a felhatalmazás/hozzájárulás által kifejezetten megjelölt célból kezeli, azokat más tevékenységgel nem kapcsolja össze.
7. A vállalkozás az adatkezelést annak célja(i) szempontjából megfelelően és relevánsan, és a szükségesre korlátozva végzi (adattakarékosság elve). Ennek megfelelően a vállalkozás nem gyűjt és nem tárol több és más adatot, mint amennyi az adatkezelés céljának a megvalósulásához elengedhetetlenül szükséges. A hírlevél funkcióhoz kapcsolódó adatkezelés érdekében a vállalkozás az érintett teljes nevét, email címét, valamint – a vállalkozás által kínált termékek és szolgáltatások sajátosságaiból adódóan – a nemét jogosult kezelni.
8. A vállalkozás adatkezelése pontos és naprakész. A vállalkozás minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatok haladéktalanul törlésre vagy helyesbítésre kerüljenek, és e körben lehetőséget biztosít az érintett számára a pontatlan személyes adatok kiigazításának vagy törlésének kezdeményezésére (pontosság elve). A vállalkozás azonban maga nem tesz intézkedéseket az általa kezelt személyes adatok pontosságának ellenőrzésére, ezáltal az érintett ilyen irányú jelzésének hiányában felelősség nem terheli az érintett által hibásan, valótlanul megadott vagy nem hatályosított adatok kezeléséből eredő károkért vagy nem vagyoni sérelmekért.
9. A vállalkozás a személyes adatokat olyan formában tárolja, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé, figyelemmel a vonatkozó jogszabályokban meghatározott tárolási kötelezettségre (korlátozott tárolhatóság elve). E körben a vállalkozás biztosítja, hogy az általa tárolt személyes adatokhoz csak a vállalkozás erre jogosult alkalmazottai, valamint az érintett által a betekintésre felhatalmazott más személyek férjenek hozzá.
10. A vállalkozás megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, ideértve a személyes adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet (integritás és bizalmas jelleg elve). E körben a vállalkozás számítástechnikai védelmi intézkedéseket (saját helyi számítógépen és szerveren tűzfal alkalmazása, az adatok tárolására szolgáló számítógép/szerver jelszóval történő levédése), valamint fizikai akadályokat megjelenítő intézkedéseket alkalmaz (számítógép/szerverszoba zárva tartása). A vállalkozás a személyes adatokkal nem kereskedik, azokat illetéktelen harmadik személynek nem adja át, sem ellenérték fejében, sem ingyenesen. A vállalkozás a titoktartási kötelezettségét tevékenységi köreinek jelentős részben bizalmi viszonyt feltételező jellege okán mind magántitok, mind üzleti titok vonatkozásában megtartja.
11. A vállalkozás felelős a fentiekben részletezett alapelveknek való megfelelésért, továbbá a vállalkozás igazolja az ezen alapelveknek való megfelelést (elszámoltathatóság). Ennek értelmében a vállalkozás gondoskodik a jelen adatkezelési szabályzatban foglaltak folyamatos érvényre juttatásáról, az adatkezelési rendszerének és módszereinek – különösen a személyes adatok védelme érdekében foganatosított védelem módszereinek – folyamatos felülvizsgálatáról, és szükség esetén az adatkezelési eljárások módosításáról, kiegészítéséről. Adatvédelmi incidens esetében a vállalkozás azonnal intézkedik a védelem megerősítéséről, kiegészítéséről.

12. A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben a 13-18. pontban meghatározott jogalapok valamelyikének megfelel.
13. Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez (a továbbiakban: hozzájáruláson alapuló adatkezelés). A weboldal hírlevél funkciójának igénybevétele során a vállalkozás ezt az adatkezelési jogcímet tekinti elsődlegesnek.
14. Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez személyes adatainak kezelése szükséges (a továbbiakban: szerződésen alapuló adatkezelés).
15. Az adatkezelés a vállalkozásra vonatkozó jogi kötelezettség teljesítéséhez szükséges (a továbbiakban: jogi kötelezettségen alapuló adatkezelés).
16. Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges (a továbbiakban: létfontosságú érdeken alapuló adatkezelés).
17. Az adatkezelés közérdekű vagy a vállalkozásra ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges (a továbbiakban: közhatalmi jogosítványon alapuló adatkezelés).
18. Az adatkezelés a vállalkozás vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges (pl. az érintettel szembeni követelések érvényesítésére tett lépések érdekében történik), kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett kiskorú (a továbbiakban: jogos érdeken alapuló adatkezelés).
19. A vállalkozás egy adott személyes adatkör kezelése vonatkozásában mindig csak egy jogalap alapján végzi az adatkezelést. Az adatkezelés jogalapja az adatkezelés során változhat, azonban ez esetben is meg kell, hogy feleljen a jelen szabályzat 13-18. pontjaiban meghatározott jogalapok valamelyikének.

20. A vállalkozás a tevékenysége körében végzett adatkezelésre vonatkozó, a GDPR és a jogszabályok által előírt kötelezettségeknek megfelelő technikai és szervezési intézkedések megalkotása céljából jelen szabályzat részeként határozza meg az adatvagyon leltárt. Az adatvagyon leltár tartalmazza a vállalkozás által kezelt összes adatkört, az adatok típusaira lebontva.
21. A vállalkozás adatkezelési tevékenységével összefüggésben az adatvagyon leltárban a következők szerint határozza meg:

a) az érintett teljes neve (családi név és keresztnév, utó- és előtagokkal);

b) az adatkezelés megnevezése és célja (hírlevél rendszeres kiküldése érdekében);

c) a kezelt adatok köre (név, email cím, az érintett neme);

d) az adatkezelés jogalapja (hozzájáruláson alapuló adatkezelés);

e) az adatkezelés időtartama, mely főszabály szerint a hírlevélre történő feliratkozási szándék visszavonásáig (leiratkozásig) tart, azzal, hogy a feliratkozástól számított öt éven túl a vállalkozás az érintettől megerősítést kér a hírlevelek további kiküldéséhez;

f) az érintettek személyes adataihoz az adatkezelési tájékoztatóban rögzített munkakört betöltő személyek férhetnek hozzá, akik a vállalkozáshoz fűződő jogviszonyuk alapját jelentő szerződésben (munkaszerződés) vállalták a személyes adatok védelmére vonatkozó intézkedések betartását;

g) a vállalkozás által kezelt adatokat a vállalkozás kizárólag jogszabályi kötelezettségeinek teljesítése érdekében továbbíthatja, a jogszabályokban megjelölt hatóságok/bíróságok részére; egyebekben más címzetti kör számára a személyes adatokat nem adja át;

h) a vállalkozás által alkalmazott adatfeldolgozók a weboldal üzemeltetésével kapcsolatban, a weboldal működését és a hírlevél funkció működését segítő közvetített szolgáltatások nyújtásával kapcsolatban férhetnek hozzá az adatvagyon leltárban meghatározott személyes adatokhoz.

22. A vállalkozás a GDPR rendelkezéseivel összhangban az alábbiakat biztosítja az érintettek számára.

Tájékoztatáshoz való jog

23. A tájékoztatáshoz való jog minden adatkezelési jogalap vonatkozásában megilleti az érintettet.
24. A vállalkozás átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújt tájékoztatást az érintettek számára.
25. Az információkat a vállalkozás az adatkezelési tájékoztatóban megjelölt email címre küldött kérés esetén, szintén email formájában adja meg.
26. A vállalkozás indokolatlan késedelem nélkül, legkésőbb a tájékoztatási kérelem beérkezésétől számított 30 napon belül tájékoztatja az érintettet a kérelme nyomán foganatosított intézkedésekről.
27. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, a 30 napos határidő további 60 nappal meghosszabbítható. A határidő meghosszabbításáról a vállalkozás a késedelem okainak megjelölésével a kérelem kézhezvételétől számított 30 napon belül emailben tájékoztatja az érintettet.
28. A tájékoztatást és intézkedést díjmentesen kell biztosítani, illetve foganatosítani az érintett számára.
29. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, úgy a vállalkozás, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:

a) észszerű összegű díjat számíthat fel, vagy

b) megtagadhatja a kérelem alapján történő intézkedést.

30. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása – jogvita esetén – a vállalkozást terheli. Egyértelműen megalapozatlan azonban az a kérelem, amely az adatkezelési tájékoztatóban foglalt információkra kérdez rá, kivéve, ha a kérdés az adatkezelési tájékoztatóban szereplő valamely elem értelmezésére, tisztázására irányul.
31. Tekintettel arra, hogy a vállalkozás a személyes adatokat közvetlenül az érintettől szerzi meg, a vállalkozás a jelen adatkezelési és adatbiztonsági szabályzat, valamint az adatkezelési tájékoztató weboldalon történő közzététele segítségével nyújt tájékoztatást az érintett számára az adatkezelés alapvető szabályairól, az érintetti jogokról, valamint az adatbiztonsági eszközökről, eljárásokról.
32. A személyes adatok első megszerzésének időpontjában (a hírlevél szolgáltatásra történő feliratkozás folyamatában) a vállalkozás az érintettek részére oly módon nyújt általános tájékoztatást, hogy a jelen szabályzatban foglaltak elfogadását a hírlevélre történő feliratkozás folyamatában megköveteli, enélkül a feliratkozást nem fogadja el, valamint utal és a weboldalon állandó jelleggel megjeleníti az adatkezelési tájékoztatót. Abban az esetben, amennyiben az érintett a hírlevélre nem a weboldalon keresztül iratkozik fel (pl. rendezvényen papír alapon ad a hírlevél kiküldéséhez hozzájárulást), úgy az adatkezelési szabályzat és az adatkezelési tájékoztató elfogadását az írásos hozzájárulásnak kifejezetten tartalmaznia kell, és a hozzájárulás megadását megelőzően lehetővé kell tenni az érintettnek, hogy e dokumentumok tartalmát megismerhesse. A jelen adatkezelési szabályzat a következő, általános tájékoztatást foglalja magában:

a) a személyes adatok tárolásának időtartama a hírlevélre történő leiratkozásig tart, azonban az öt évet nem haladhatja meg; öt év elteltével az érintettől megerősítő hozzájárulást kell kérni;

b) az érintettnek joga van arra, hogy a jelen szabályzatban foglalt eljárásrend szerint kérelmezheti a vállalkozástól a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, egyes jogalapokhoz tartozó adatkezelés esetében törlését vagy kezelésének korlátozását, és egyes jogalapokhoz tartozó adatkezelés esetében tiltakozhat az ilyen személyes adatok kezelése ellen;

c) tekintettel arra, hogy a vállalkozás nem automatizált módon kezeli a személyes adatokat, így az adathordozhatósághoz való jogot nem biztosítja az érintettek számára;

d) a hozzájáruláson alapuló adatkezelés bármely időpontban történő visszavonásához joga van az érintettnek, a weboldalon megjelenített vagy a hírlevelekben szereplő leiratkozás funkció segítségével; a visszavonáshoz való jog gyakorlásra nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

e) az érintettek a felügyeleti hatósághoz (Nemzeti Adatvédelmi Hatóság, továbbiakban: Hatóság vagy NAIH) panasszal élhetnek a vállalkozás adatkezelési tevékenységével kapcsolatban.

33. Ha a vállalkozás a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően egyedileg tájékoztatja az érintettet erről az eltérő célról és a 32. pontban említett valamennyi releváns kiegészítő információról.
34. A vállalkozás a kötelező tájékoztatásnak a következő formákban tehet eleget:

a) A 32. pontban foglalt információkat a vállalkozás ("Adatkezelési tájékoztató" címen és a jelen szabályzat teljes közlésével) közzéteszi a weboldalon olyan módon, hogy az könnyen megtalálható és könnyen elérhető legyen bárki számára.

b) A weboldalon való közzététel mellett a vállalkozás választhatja az "Adatkezelési tájékoztató" szerződés vagy papír alapú hozzájárulás mellékleteként történő hozzáférhetővé tételét. Ebben az esetben elegendő az adott érintetti körre vonatkozó adatkezelési tájékoztatást az érintett rendelkezésére bocsátani. Általános Szerződési Feltétel (ÁSZF) részét azonban nem képezheti az "Adatkezelési tájékoztató".

c) Az érintett részére egyedileg megadott, írásbeli tájékoztatás formájában is nyújthat a vállalkozás információkat. Olyan esetekben azonban, amikor a vállalkozás harmadik személy megrendelésére/megbízásából kép- és/vagy hangfelvételeket készít, azokon utólagos munkálatokat végez, a vállalkozás adatfeldolgozónak minősül, és az adatkezelőt terhelő tájékoztatási kötelezettséget a harmadik személy köteles teljesíteni. A vállalkozást azonban az ilyen esetekben is terheli az adatfeldolgozókra vonatkozó valamennyi, jogszabályban és a jelen szabályzatban meghatározott kötelezettség.

Hozzáférés joga

35. A hozzáférés joga minden adatkezelési jogalap vonatkozásában megilleti az érintettet.
36. Az érintett jogosult arra, hogy a vállalkozástól visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon, amennyiben emailben erre vonatkozóan kérdést tesz fel a vállalkozásnak:

a) az adatkezelés céljai;

b) az érintett személyes adatok kategóriái;

c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat a vállalkozás közölte vagy közölni fogja;

d) adott esetben – a hozzájáruláson alapuló adatkezelés kivételével – a személyes adatok tárolásának tervezett időtartama;

e) az érintett azon joga, hogy kérelmezheti a vállalkozástól a rá vonatkozó személyes adatok helyesbítését, egyes jogalapokhoz kötött adatkezelés esetén ezen adatok törlését vagy kezelésének korlátozását, és egyes jogalapokhoz kötött adatkezelés esetén tiltakozhat az ilyen személyes adatok kezelése ellen;

f) a felügyeleti hatósághoz címzett panasz benyújtásának joga;

g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ.

37. A vállalkozás az adatkezelés tárgyát képező személyes adatok elektronikus másolatát az érintett rendelkezésére bocsátja emailben.
38. Az érintett által kért fizikai hordozón megjelenő másolatokért a vállalkozás az adminisztratív költségeken alapuló, észszerű mértékű díjat számít fel, melynek mértéke nem haladhatja meg a másolat előállításának költségét.

Helyesbítéshez való jog

39. A helyesbítéshez való jog minden adatkezelési jogalap vonatkozásában megilleti az érintettet, amennyiben erre vonatkozóan emailen jelzi a vállalkozás számára igényét.
40. A vállalkozás, az érintett erre irányuló kérelme esetén indokolatlan késedelem nélkül helyesbíti az érintettre vonatkozóan pontatlanul kezelt személyes adatokat. Az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

Törléshez (elfeledtetéshez) való jog

41. A törléshez (elfeledtetéshez) való jogot az érintettek a hírlevélről történő leiratkozás formájában, kifejezett nyilatkozatukkal gyakorolhatják.
42. A vállalkozás indokolatlan késedelem nélkül törli az érintettre vonatkozó személyes adatokat a következő esetekben:

a) az érintett a hírlevélről a weboldalon keresztül leiratkozott;

b) az érintett valamely hírlevél leiratkozás linkjét használva leiratkozik;

c) az érintett írásban vagy emailben közvetlenül jelzi törlési igényét a vállalkozás felé, az adatkezelési tájékoztatóban megjelölt postacímre, illetve email címre küldött nyilatkozatával;

d) az érintett tiltakozik az adatkezelés ellen (pl. nevében és adataival más személy iratkozott fel a hírlevélre);

e) a személyes adatok jogellenesen kerültek kezelésre;

f) a személyes adatokat a vállalkozásra alkalmazandó uniós vagy magyar jog által előírt jogi kötelezettség teljesítéséhez törölni szükséges.

43. Az érintett törlési kérelmének a vállalkozás nem tesz eleget, amennyiben az adatkezelés szükséges a személyes adatok kezelését előíró, a vállalkozásra alkalmazandó jogszabályi kötelezettség teljesítéséhez (pl. hatóságok felé fennálló kötelezettségek teljesítése).
44. Amennyiben a vállalkozáshoz törlési kérelem érkezik, a vállalkozás első lépésként megvizsgálja, hogy a törlési kérelem valóban a jogosulttól származik-e. Ennek érdekében a vállalkozás az érintettről nyilvántartott személyazonosító adatok megadását kérheti, azonban nem kér azonosításként olyan plusz adatot, amelyet az érintettről nem tart nyilván.
45. Amennyiben a vállalkozásnak eleget kell tennie a törlési kérelemnek, úgy a személyes adat a vállalkozás összes adatbázisából és nyilvántartásából törlésre kerül, helyreállíthatatlan módon.
46. A vállalkozás tájékoztatja a törlési kötelezettségről mindazokat, akik számára a törléssel érintett személyes adatot továbbította (adatfeldolgozók).

Az adatkezelés korlátozásához való jog

47. A korlátozáshoz való jog minden adatkezelési jogalap vonatkozásában megilleti az érintettet.
48. A vállalkozás az érintett emailben érkező kérésére korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az vállalkozás ellenőrizze a személyes adatok pontosságát;

b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

c) a vállalkozásnak már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

d) az érintett a 17. és 18. pontok szerint alkalmazott adatkezelés jogalapok esetében (közhatalmi jogosítványon alapuló vagy jogos érdeken alapuló adatkezelés) tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a vállalkozás jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

49. Ha az adatkezelés az előző pont alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében lehet kezelni.
50. A vállalkozás tájékoztatja a kötelezettségről mindazokat, akik számára a személyes adat továbbításra került.

Tiltakozás

51. A tiltakozás joga az érintettet a közhatalmi jogosítványon alapuló vagy jogos érdeken alapuló adatkezelési jogalapok esetében illeti meg.
52. A vállalkozás az érintett emailben érkezett tiltakozás iránti kérelme esetén a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

53. Az adatkezelési tevékenységek nyilvántartását a vállalkozás az elszámoltathatóság elvéből következően annak érdekében végzi, hogy az GDPR-nak való megfelelést nyomon tudja követni, és igazolni tudja.
54. A vállalkozás a felelősségébe tartozóan végzett adatkezelési tevékenységekről legalább az alábbi nyilvántartásokat vezeti:

a) hírlevélre feliratkozottak nyilvántartása;

b) érintetti jogok érvényesítése iránti kérelmek és az arra a vállalkozás által adott válaszok nyilvántartása;

c) adatkezelés megszüntetése iránti kérelmek nyilvántartása;

d) adatvédelmi incidensek nyilvántartása.

55. A nyilvántartásokat a vállalkozás elektronikus formátumban vezeti.

56. A vállalkozás a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.
57. Előzőek értelmében a vállalkozás köteles garantálni az általa kezelt adatok bizalmasságát, sérthetetlenségét és rendelkezésre állását.
58. Az adatkezelés biztonsága megvalósítása érdekében a vállalkozás fizikai, logikai és adminisztratív kontrollokat alkalmaz együttesen.
59. A vállalkozás legalább az alábbi fizikai kontrollokat alkalmazza:

a) a vállalkozás a jogosulatlan személyek belépésének kiszűrésére alkalmas beléptetési rendszer működtetésével biztosítja, hogy épületébe/irodájába jogosulatlan személyek ne léphessenek be [kulcsos beléptetés, ahol a kulcs csak a belépésre jogosultaknak áll rendelkezésre];

b) a vállalkozás az általa kezelt adatokhoz való jogosulatlan hozzáférés elkerülése érdekében biztosítja, hogy a kezelt adatokhoz fizikailag ne férhessen hozzá arra jogosulatlan személy [irodák, szerver szobák zárása, vagy bármi más, olyan módszer, amely a cél megvalósulását biztosítja].

60. A vállalkozás legalább az alábbi logikai kontrollokat alkalmazza:

a) a vállalkozás biztosítja, hogy az általa kezelt adatokhoz kizárólag az arra megfelelő jogosultsággal rendelkezők férjenek hozzá [meghatározott munkakörhöz rendelt jogosultság; a számítógépes hálózatba vagy magára a számítógépre történő belépés felhasználó névhez és jelszóhoz kötése].

61. A vállalkozás legalább az alábbi adminisztratív kontrollt alkalmazza:

a) a vállalkozás biztosítja, hogy a személyes adatokhoz való esetleges hozzáférés a dokumentációkban nyomon követhető legyen [irodába való beengedés naplózása; vagy bármi más, olyan módszer, amely a cél megvalósulását biztosítja].

62. Az adatvédelmi incidenst a vállalkozás indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a hatóságnak.
63. Az adatvédelmi incidenst nem kell a hatóságnak bejelenteni, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
64. Amennyiben a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
65. Amennyiben az adatvédelmi incidens hatóság számára történő bejelentése szükséges, úgy a bejelentésben:

a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

b) közölni kell a vállalkozás nevében a hatóság felé további tájékoztatást nyújtó kapcsolattartó személy nevét és elérhető­ségeit;

c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

d) ismertetni kell a vállalkozás által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

66. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a vállalkozás indokolatlan késedelem nélkül emailben tájékoztatja az érintettet az adatvédelmi incidensről.
67. Az érintettet nem kell tájékoztatni az adatvédelmi incidensről, ha a következő feltételek bármelyike teljesül:

a) a vállalkozás megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

b) a vállalkozás az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg.

68. A vállalkozás az általa alkalmazott adatfeldolgozók felé kikényszeríti, hogy az adatfeldolgozók kötelesek a náluk bekövetkezett adatvédelmi incidenseket haladéktalanul bejelenteni a vállalkozásnak.

69. Tekintettel arra, hogy a weboldal üzemeltetéséhez kapcsolódóan a vállalkozás nevében az adatfeldolgozást más végzi, a vállalkozás olyan adatfeldolgozókat vesz igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására. Ezen kötelezettségének eleget tesz a vállalkozás azzal, ha az adatfeldolgozóval kötött szerződésben az erre vonatkozó követelményeket megjeleníti, illetve utal arra, hogy a vele szerződő adatfeldolgozó a jogszabályokban és a jelen szabályzatban az adatfeldolgozásra vonatkozó közelezettségeket a szerződés teljesítése során érvényre juttatja. A vállalkozás nem vállal felelősséget a tevékenységi körében felhasznált internetes közösségi média (pl. Facebook, Instagram) működésének adatvédelmi szempontú jogszerűségéért, megfelelőségéért. A vállalkozás nem köteles az érintett olyan személyes adatainak védelmére, amelyek a közösségi médiában közzétett információkhoz, fényképekhez, videofelvételekhez az érintett saját akaratelhatározásából történő hozzászólása, illetve azokkal kapcsolatos saját vélemény kifejezése következtében válnak ismertté, valamint azokban az esetekben sem, amikor az érintett a vállalkozás által közzétett információkat, fényképeket, videofelvételeket megosztja vagy saját profilja alatt tünteti fel őket. A vállalkozás a Ptk.-ban meghatározott, a képmás és hangfelvétel védelméhez fűződő jogok tiszteletben tartásával az internetes közösségi médiában kizárólag olyan, a saját rendezvényein készült vagy az érintettek hozzájárulásán alapuló fényképeket/videofelvételeket tesz közzé, amelyeket vagy nyilvános közszereplés (pl. nyilvános tömegrendezvény) során készített az érintettről, illetve amelynek készítéséhez és közzétételéhez az érintett – különösen olyan esetben, amikor az érintettet egyediesítő fényképről, videofelvételről van szó – kifejezetten és a felvétel elkészítését és felhasználását megelőzően hozzájárult. Az egyediesítés esetén a hozzájárulásnak bizonyítható formában kell megtörténnie (írásbeli nyilatkozat, email). A bizonyítás e körben a vállalkozást terheli.
70. Az adatfeldolgozó a vállalkozás előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe.

71. A jelen szabályzat 2019. június hó 5. napján lép hatályba.

a Shila-Medic Egészségügyi Tanácsadó és Szolgáltató Korlátolt Felelősségű Társaság www.contractubex.hu domain néven elérhető weboldalához kapcsolódó adatkezelésekről

1. Az adatkezelő megnevezése és elérhetőségei

 
Shila-Medic Egészségügyi Tanácsadó és Szolgáltató Korlátolt Felelősségű Társaság

(a továbbiakban: Shila-Medic Kft. vagy adatkezelő)

Székhely: 4030 Debrecen, Puttony u. 35.

Postai cím: 1022 Budapest, Törökvész út 30/A.

Email cím: info@shilamedic.com

Telefonszám: +36 1 326 55 91

Valamennyi, az adatkezelési és adatbiztonsági szabályzatban megjelölt és az érintett rendelkezésére álló, a vállalkozáshoz címzett jognyilatkozatot az adatkezelő fent megjelölt email címére kell megküldeni!

2. Az adatkezelésre vonatkozó jogszabályok

A Shila-Medic Kft. adatkezelésére a következő jogszabályok rendelkezései vonatkoznak:

2016. A személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete (a továbbiakban: GDPR).
2017. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény
2018. A Polgári Törvénykönyvről szóló 2013. évi V. törvény

3. Az adatkezelő által a weboldalon végzett adatkezelések, a hírlevél szolgáltatással összefüggésben

3.1. Az adatkezelés célja: a Shila-Medic Kft. termékei, szolgáltatásai iránt érdeklődők – függetlenül attól, hogy a hírlevélre történő feliratkozás pillanatában a Shila-Medic Kft. ügyfelei-e vagy sem – számára rendszeres tájékoztatás nyújtása a termékekről, szolgáltatásokról.

3.2. A kezelt adatok köre:

1. Teljes név (családi név és keresztnév)
2. Email cím
3. Nem (férfi/nő)

3.3. Az adatkezelés jogalapja: az érintett hozzájárulásán alapuló jogkezelés

3.4. Az adatkezelés időtartama: az adatkezelés mindaddig tart, amíg az érintett a hírlevélről történő leiratkozási (hozzájárulás visszavonási) szándékát a Shila-Medic Kft.-nek be nem jelenti emailben vagy papír alapon, de legfeljebb a hírlevélre történő feliratkozástól számított öt évig.

4. A weboldal látogatottságának mérésével összefüggő adatkezelés a Google Analytics szolgáltatás segítségével és igénybe vételével

4.1. Az érintettek köre: A weboldal valamennyi látogatója. Az adatkezelő által üzemeltetett weboldal html kódja webanalitikai mérések céljából független, külső szerverről érkező és külső szerverre mutató hivatkozásokat tartalmaz. A webanalitikai szolgáltató (Google) személyes adatokat nem, csak a böngészéssel kapcsolatos, az érintettek beazonosítására nem alkalmas adatokat kezel és dolgoz fel.

4.2. A kezelt adatok köre: A Google Analytics rendszere látogatási előzményeket, cookie-kat (egyszerű, rövid és kisméretű fájlokat) tárol el a weboldalra látogató valamennyi személy számítógépén, informatikai eszközén, és ezek segítségével elemzi a weboldal látogatottságát, használatát. A cookie-ban rögzített, weboldal látogatottságára vonatkozó adatok köre a következő: a látogatás időpontja, a látogató IP címe és a weboldalon eltöltött idő mértéke. Az adatkezelő igénybe veszi az IP cím elmaszkolása funkciót is, amely segítségével nem a teljes IP cím, annak csupán egy része (a vége) kerül megszerzésre és kezelésre. Minden, a weboldalra látogató személyhez egy anonim azonosítót rendel az adatkezelő, mely alapján a felhasználói munkamenet tanulmányozható, a hozzá kapcsolódó felhasználói változásról bekövetkező események statisztikai adatlapként gyűjthetők. A látogató részéről a törlés és a hordozás joga ezen adatokkal összefüggésben érvényesíthető, azaz a felhasználó kérésére az adatok törölhetők és listázhatók. A felhasználónak ezen jogok gyakorlása érdekében meg kell adnia a saját internetes böngészőjében, a cookie által letárolt felhasználói azonosítót a tájékoztatóban megjelölt csatornán.

4.3. Az adatkezelés célja: A weboldal üzemeltetőjének megbízásából a Google Analytics rendszere a megszerzett információkat arra használja, hogy azokat kiértékelve a weboldal üzemeltetőjének a weboldal látogatottságával, használatával összefüggő jelentéseket készítsen, segítve ezzel a weboldal és a felhasználói élmény fokozását. A cookie-k tárolását a látogató a böngészőjének megfelelő beállításával megtilthatja, illetve a saját számítógépéről törölni tudja, illetve telepítheti a Google Analytics letiltó böngésző bővítményét. Ezek a lehetőségek tipikusan a Beállítások/Adatvédelem menüpontokban érhetők el, jellemzően a böngészőtől függetlenül.

4.4. Az adatkezelés jogalapja: jogos érdek

4.5. Az adatkezelés időtartama: Az adatok 26 havonta kerülnek törlésre, azonban felhasználói kérésre törölhetők ezt megelőzően is.

4.6. Hozzáféréssel rendelkezők köre: az adatkezelő valamennyi alkalmazottja és tagja.

5. Az érintett joggyakorlására vonatkozó szabályok

5.1. Tájékoztatáshoz való jog

Az érintett bármikor tájékoztatást kérhet emailben az adatkezelőtől az róla kezelt személyes adatokról. A tájékoztatást az adatkezelő emailben továbbítja, amennyiben email címét megadja a tájékoztatás kérésekor. A tájékoztatással érintett információk köre:

1. az érintettről kezelt személyes adatok;
2. adatkezelés célja;
3. adattovábbítás, amennyiben ilyen történt;
4. az adatkezelés időtartama;
5. az érintett jogai
6. a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: NAIH) címzett panasz benyújtásának lehetősége.

5.2. Helyesbítéshez való jog

Az érintett kérésére az adatkezelő pontosítja személyes adatait, amennyiben azok a valóságnak nem felelnek meg.

5.3. Törléshez való jog

Az érintett kérheti az adatkezelőtől a róla nyilvántartott adatok törlését.

5.4. Korlátozáshoz való jog

Az érintett kérheti az adatkezelés korlátozását, a következő esetekben:

1. amennyiben az érintett vitatja a személyes adatok pontosságát, az adatkezelő addig korlátozza az adatkezelést, amíg az adatkezelő ellenőrzi az adatok pontosságát;
2. amennyiben az adatkezelés jogellenes és az érintett ellenzi az adatok törlését, helyette a felhasználás korlátozását választhatja;
3. az adatkezelőnek már nincs szüksége a személyes adatokra, azonban az érintett igényli azokat jogi igényeinek előterjesztéséhez, érvényesítéséhez vagy védelméhez;
4. amennyiben az érintett a tiltakozás jogát gyakorolja, akkor arra az időtartamra korlátozódik az adatkezelés, amíg a kérelem jogszerűségét az adatkezelő megvizsgálja.

A korlátozásra irányuló kérelemben meg kell jelölni a korlátozás okát.

Az adatkezelő a korlátozásra irányuló kérelmet úgy teljesíti, hogy a személyes adatokat minden más személyes adattól elkülönítetten tárolja.

5.5. Tiltakozás

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozzon a jogos érdek mérlegelése alapján végzett adatkezelés ellen. Ebben az esetben az adatkezelő megvizsgálja az érintett vonatkozásában az érdekmérlegelés jogalapján végzett adatkezelését, és amennyiben megalapozottnak találja a kérelmet, törli a személyes adatokat. A vizsgálat eredményéről az érintett tájékoztatást kap.

5.6. A joggyakorlás közös szabályai

Az adatkezelő a kérelmet legfeljebb egy hónapon belül teljesíti. A kérelem megtagadása esetén az adatkezelő a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a megtagadás indokairól, valamint arról, hogy panaszt nyújthat be a NAIH-hoz, és élhet a bírósági jogorvoslati jogával.

Az adatkezelő fenntartja magának azt a jogot, hogy ha megalapozott kétségei vannak a kérelmet benyújtó személy kilétét illetően, akkor az érintett személyazonosságának megerősítéséhez szükséges információk megadását kérje.

6. Az érintett jogérvényesítési lehetőségei

Amennyiben az érintett megítélése szerint az adatkezelés nem felel meg a jogszabályi követelményeknek, akkor a Nemzeti Adatvédelmi és Információszabadság Hatóság (Postacím: 1530 Budapest, Pf.: 5., e-mail cím: ugyfelszolgalat@naih.hu) eljárását kezdeményezheti, illetve bírósághoz fordulhat.

Budapest, 2019. június 5.