Adatkezelési és adatvédelmi szabályzat

ADATKEZELÉSI ÉS ADATVÉDELMI SZABÁLYZAT

  1. Az adatkezelő személye és tevékenysége 

Adatkezelő megnevezése: Magyar Ápolási Egyesület

Adatkezelő székhelye: 1085 Budapest, Gyulai Pál utca 2.

Képviselő: Bugarszki Miklós elnök

Nyilvántartási szám: 01-02-0000278

Adószám: 19623317-1-42

Az adatkezelő Magyarországon nyilvántartásba vett egyesület (civil szervezet), amely tevékenységét Magyarország területén fejti ki. Az adatkezelő azon – egészségügyi és szociális ellátás területén működő – szakdolgozók (ápolók) független szervezete, akik munkájukkal és magatartásukkal az egészség építését, megőrzését és helyreállítását kívánják közhasznú tevékenységükkel szolgálni. 

  1. A szabályzat célja

Jelen adatkezelési és adatvédelmi szabályzat (a továbbiakban: szabályzat) célja, hogy

  • a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR) és
  • az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) által rögzített rendelkezések figyelembe vételével rögzítse a Magyar Ápolási Egyesület (a továbbiakban: egyesület) személyes adatokra vonatkozó adatkezelési és adatvédelmi elveket és részletszabályokat továbbá, meghatározza az egyesület személyes adatokra vonatkozó adatkezelési és adatvédelmi politikáját.
  • A szabályzat személyi hatálya

Jelen szabályzat személyi hatálya az egyesület tagságára, az egyesület alapszabályában rögzített tevékenységeket igénybe vevő nem tagjaira, valamint az egyesülettel szerződéses jogviszonyban álló természetes személyekre és jogi személyek nevében eljáró természetes személyekre terjed ki.

  1. A szabályzat tárgyi hatálya

Jelen szabályzat tárgya az egyesület által kezelt azon személyes adatokkal kapcsolatos rendelkezések, jogok és kötelezettségek meghatározása és rögzítése, amelyek az egyesület tevékenységének ellátása során jut az egyesület tudomására és kezelésébe.

  1. Értelmező rendelkezések

„személyes adat”: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ;

azonosítható természetes személy”: aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége;

„adatkezelő”: az I. pontban meghatározott személy, aki az adatkezelés céljait és eszközeit – önállóan vagy másokkal – meghatározza;

„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi,

„adatfeldolgozó”: az a harmadik szervezet, aki részére az egyesület az általa kezelt egyes személyes adatokat feladatának ellátása céljából továbbítja.

  1. A személyes adatok kezelésére vonatkozó alapelvek 

„célhoz kötöttség”: a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet meg;

„jogszerűség, tisztességes eljárás és átláthatóság”: a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni;

„adattakarékosság”: az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükséges re kell korlátozódniuk;

„pontosság”: a kezelt személyes adatoknak pontosnak és szükség esetén naprakészeknek kell lenniük;

Az egyesület az adatkezelése során a fentiekben részletesen definiált alapelvek mentén, a jóhiszeműség, a tisztesség és a transzparencia követelményeinek megfelelően jár el.

Az egyesület csak és kizárólag jogszabályban meghatározott, vagy a jelen szabályzat személyi hatálya alá tartozó természetes személyek által megadott személyes adatokat kezeli. Az egyesület által kezelt személyes adatok köre teljes mértékben arányban áll az adatkezelés céljával, azon semmi esetre sem terjeszkedik túl.

  • A személyes adatok kezelésének és az adatfelvételek célja

Az egyesület személyes adatot kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezel. Az egyesület az adatkezelés minden szakaszában megfelel a konkrét és releváns adatkezelési célnak. A személyes adatok felvétele és kezelése minden esetben tisztességesen és törvényesen történik meg. Az egyesület minden esetben törekszik arra, hogy csak és kizárólag olyan személyes adat kezelésére kerüljön sor, amely az adatkezelés céljának megvalósulásához elengedhetetlen és az adatkezelési cél eléréséhez alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

Az adatkezelés célja:

  • az érintett azonosítása, az érintettel való kapcsolattartás, az érintettet megillető jogosultságok gyakorlásának, illetve az érintettet terhelő kötelezettségek teljesítésének elősegítése,
  • az egyesületet terhelő kötelezettségek teljesítése, az egyesületet érintő jogok gyakorlása,
  • az érintettek jogainak teljes körű védelme.
  • A személyes adatok eltérő célból történő felhasználása 

Minden olyan esetben, amikor az egyesület adatkezelőként az általa kezelt személyes adatokat az eredeti adatfelvétel céljától eltérő célra kívánja felhasználni, akkor – törvényben meghatározott érdeksérelem fennállásának esetét leszámítva – az egyesület erről az érintettet tájékoztatja; előzetes, kifejezett hozzájárulását beszerzi, illetőleg lehetőséget biztosít arra, hogy az érintett az új felhasználási módot megtiltsa.

  1. A személyes adatok átadása és továbbítása harmadik személy részére

Az egyesület az adatkezelés céljának teljesítése érdekében – adatfeldolgozás céljából – meghatározott személyek és szervezetek részére továbbíthatja az általa kezelt személyes adatokat.

Szervezet megnevezése:      Medical Marketing Group
Szervezet címe:                     H-2440 Százhalombatta,
Bláthy Ottó u. 17.
Adattovábbítás célja:            Ápolásügy periodikummal kapcsolatos feladatok,
nyomdai előkészítésétől
a terjesztési pontra való eljuttatásáig.

Szervezet megnevezése:      Bozsa Bau Bt.
Szervezet címe:                     1145 Budapest Róna utca 157.
Adattovábbítás célja:            Könyvelési feladatok ellátása

Szervezet megnevezése:      Dr. Göböl Edina jogi képviselő
Szervezet címe:                     1117 Budapest, Sopron út 40.
Adattovábbítás célja:            Jogi segítség nyújtás, szerződések előkészítése

Az egyesület az általa kezelt személyes adatokat e személyeken, illetve szervezeteken kívül nem adja át és nem továbbítja harmadik személy részére, kizárólag csak akkor, ha ahhoz az érintett kifejezetten hozzájárult.

A jelen pontban foglalt rendelkezés alól kivételt képez a személyes adatok statisztikailag összetett formában történő felhasználása, amelyek nem köthetők egyik érintetthez sem.

Az egyesület egyes esetekben – bírósági, büntetőeljárásban történő megkeresés, illetve egyéb jogsértés esetén – a megkereső szerv számára a szükséges mértékben hozzáférhetővé teszi az általa kezelt személyes adatokat.

Az egyesület jogosult és köteles minden olyan rendelkezésre álló és általa szabályszerűen tárolt személyes adatot az illetékes hatóságoknak továbbítani, amely személyes adat továbbítására őt jogszabály vagy jogerős hatósági kötelezi.

Az érintett az előbbiekben meghatározott adattovábbításból származó következmények felelőssé nem tehető.

Az egyesület az adattovábbításokat minden esetben dokumentálja, azokról elektronikus nyilvántartást vezet.

  1. A személyes adatok kezelésének jogalapja 

Figyelemmel az egyesület alapszabályban meghatározott céljára, illetve az ott tevékenységeire, az egyesület adatkezelésének jogalapja a GDPR 6. cikk (1) bekezdés a) pontja alapján az érintett önkéntes, megfelelő tájékoztatáson alapuló kifejezett hozzájárulása.

Az érintett jogosult arra, hogy az általa megadott személyes adataira vonatkozó hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.

Az egyesület a jelen szabályzat IX. pontjában megjelölt személyek és szervezetek részére történő adattovábbításokat az érintett külön hozzájárulása nélkül végezheti el.

Az egyesület személyes adatkezelésének jogalapja lehet továbbá az egyesület lényeges jogos érdeke. Ebben az esetben az egyesület a GDPR vonatkozó rendelkezéseivel összhangban ún. érdekmérlegelési tesztet végez el, amely alátámasztja, hogy az adott személyes adatkezelés az egyesület jogos érdekeinek érvényesítéséhez szükséges és ezen érdekekkel szemben nem élveznek elsőbbséget az érintett olyan jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.

  1. Az érintettek jogai és érvényesítésük módja 

Az érintett kérelmére az egyesület – az érintettet megillető hozzáférési jogának megfelelő érvényesítése érdekében – tájékoztatást ad az érintett által kezelt adatairól, azok forrásairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az esetleges adatvédelmi incidens körülményeiről, hatásairól.

Az egyesület köteles a kérelem benyújtásától számított legrövidebb időn belül, legfeljebb azonban 25 napon belül, közérthető formában, az érintett megkeresésének megfelelően formában megadni a tájékoztatást. A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan még nem nyújtott be tájékoztatási kérelmet, egyéb esetekben pedig költségtérítés állapítható meg a vonatkozó jogszabályok alapján.

Az érintett kérheti, hogy a tévesen szereplő személyes adatát az egyesület helyesbítse, illetve a jogszabályban elrendelt adatkezelések kivételével kérheti a személyes adatai törlését („elfeledtetését”), személyes adatainak zárolását, illetve tiltakozhat személyes adatainak kezelése ellen. Az egyesület a törlés tényének bekövetkeztéről az érintettet tájékoztatja.

Az egyesület az érintettet a személyes adatai felvételével egyidejűleg tájékoztatja a személyes adatok kezeléséről. Az érintett bármikor jogosult arra, hogy az egyesület személyes adatainak kezeléséről tájékoztatást kérjen.

Abban az esetben, amennyiben az egyesület az érintett tájékoztatás, helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, az azokra irányuló kérelem kézhezvételét követő 25 napon belül közli a tájékoztatás, helyesbítés, zárolás, vagy törlés iránti kérelem elutasításának indokait. A helyesbítés, zárolás vagy törlés iránti kérelem elutasítása esetén az egyesület tájékoztatja az érintettet az általa igénybe vehető jogorvoslati lehetőségekről, úgymint az ellenőrző hatóság, illetve a bírósághoz való fordulás lehetőségeiről.

  • A személyes adatok védelme

Az egyesület gondoskodik az adatok biztonságáról és megteszi azokat a technikai és szervezési intézkedéseket, továbbá kialakítja azokat az eljárási szabályokat, amelyek az adatvédelmi szabályok érvényesítéséhez szükséges.

Az egyesület a személyes adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

Az érintett a személyes adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel van a technika mindenkor fejlettségére.

Az egyesület több lehetséges adatkezelési megoldás közül azt választja, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az egyesület részére.

Az egyesülettel kapcsolatban lévő adatkezelésben résztvevő egyéb személyek, szervezetek, illetve vállalkozások megbízottjai kötelesek a megismert adatokat üzleti titokként megőrizni.

Az egyesület a személyes adatok kezelése során kiemelt figyelmet szentel a biztonságos adatkezelés megvalósítására. Ennek megfelelően kockázatelemzést végez, amelynek eredménye határozza meg a személyes adatok védelme során kifejtendő konkrét intézkedéseket.

Személyes adatok kezelése 

  1. Az egyesület tagságának személyes adatainak kezelése 

Az adatkezelés célja:
Az egyesület tagjainak tagsági jogviszonnyal kapcsolatos adatkezelés célja a tagsági jogviszony létesítése és fenntartása.

A kezelhető adatok köre:

  • a tag viselt neve
  • születési neve
  • születési helye, ideje
  • állampolgársága
  • édesanyja születési neve
  • lakcíme, tartózkodási helye
  • adóazonosító jele
  • telefonszáma
  • elektronikus elérhetősége
  • munkáltatója neve és címe
  • bankszámla száma, ahonnan pénzügyi kötelezettségeit teljesíti
  • a tagsági jogviszony kezdete és vége
  • szakképesítése, beosztása
  • működési nyilvántartási száma

Az adatkezelés jogalapja:
A GDPR 6. cikk (1) bekezdés a) pontja alapján a személyek önkéntes hozzájárulása. 

Az adatkezelés időtartama:
A tagsági jogviszony megszűnésétől számított 5 év.

  1. Az egyesület tevékenységét igénybe vevő nem tagok személyes adatainak rögzítése 

Az adatkezelés célja:
Az egyesületben tagsági jogviszonnyal nem rendelkező, ugyanakkor az egyesület tevékenységét igénybe vevő személyeivel kapcsolatos adatkezelés célja az egyesület tevékenységének érintettek általi igénybevételének lehetővé tétele és fenntartása. 

A kezelhető adatok köre:

  • a tagsági jogviszonnyal nem rendelkező érintett viselt neve,
  • születési neve,
  • születési helye, ideje,
  • állampolgársága,
  • édesanyja születési neve,
  • lakcíme, tartózkodási helye,
  • adóazonosító jele,
  • telefonszáma,
  • elektronikus elérhetősége,
  • munkáltatójának neve és címe,
  • bankszámla száma, ahonnan pénzügyi kötelezettségeit teljesíti,
  • a létesítendő vagy létesített jogviszony kezdete és vége.
  • működési nyilvántartási száma

Az adatkezelés jogalapja:
A GDPR 6. cikk (1) bekezdés a) pontja alapján a személyek önkéntes hozzájárulása.

 Az adatkezelés időtartama:
A létesített jogviszony megszűnésétől számított 5 év.

  1. Az egyesület munkavállalóival kapcsolatos személyes adatok kezelése

 Az adatkezelés célja:

Az egyesület munkavállalóival kapcsolatos adatkezelés célja az adott munkaviszony létesítése és fenntartása.

 Az egyesület a munkaviszony létesítésével és fennállásával kapcsolatban az alábbi személyes adatokat kezelheti:

  • a munkavállaló neve,
  • születési neve,
  • születési helye, ideje,
  • állampolgársága,
  • édesanyja születési neve,
  • lakcíme, tartózkodási helye,
  • adóazonosító jele,
  • TAJ száma,
  • telefonszáma,
  • elektronikus elérhetősége,
  • bankszámla száma, ahova az érintettet megillető munkabér utalásra kerül,
  • a munkaviszony kezdete és vége.

Az adatkezelés jogalapja:
A GDPR 6. cikk (1) bekezdés a) pontja alapján az érintett önkéntes hozzájárulása.

 Az adatkezelés időtartama:
Kizárólag a jogviszony fennállásáig, ill. ha az adatkezelést törvény rendeli el, a Polgári Törvénykönyvről szóló 2013. évi V. törvény előírásainak figyelembevételével.

  1. Az egyesülettel egyéb jogviszonyban álló személyes és szervezetek képviselőinek személyes adatai

 Az adatkezelés célja:

Az egyesülettel egyéb jogviszonyban álló személyekkel, illetve szervezetek képviselőivel kapcsolatos adatkezelés célja az egyesület tevékenységének elősegítése.

 A kezelhető adatok köre:

  • az érintett viselt neve,
  • lakcíme vagy annak a szervezetnek székhelye, akinek képviseletében eljár,
  • telefonszáma,
  • elektronikus elérhetősége,
  • a létesítendő vagy létesített jogviszony kezdete és vége.

Az adatkezelés jogalapja:

A GDPR 6. cikk (1) bekezdés a) pontja alapján a személyek önkéntes hozzájárulása.

 Az adatkezelés időtartama:

A létesített jogviszony megszűnésétől számított 5 év.

  1. Az egyesület honlapjával kapcsolatos adatok kezelése

Az adatkezelés célja:

Az egyesület honlapjához és az egyesület által közölt információkhoz bármely külső látogató hozzáférhet. A honlap látogatása során a honlap tárhely szolgáltatója a szolgáltatás működésének ellenőrzése, a visszaélések megakadályozása, és az üzemszerű működés biztosítása érdekében rögzíti a látogatói adatokat. A rögzítés célja a honlap használatára vonatkozó információk gyűjtése, látogatottsági statisztikák készítése.

A külső szolgáltatók a felhasználó számítógépén, ún. sütit (cookie) helyeznek el, így lehetőségük nyílik összekapcsolni a felhasználó aktuális látogatását a korábbiakkal. A felhasználó a honlapon felugró ablakban a sütikre vonatkozó kérelmet bármikor visszautasíthatja.

 A kezelhető adatok köre:

  • dátum,
  • időpont,
  • felhasználó számítógépének IP címe,
  • meglátogatott oldal IP címe,
  • előzőleg meglátogatott oldal IP címe,
  • felhasználó operációs rendszerével kapcsolatos adatok.

Az adatkezelés jogalapja:

A GDPR 6. cikk (1) bekezdés a) pontja alapján a személyek önkéntes hozzájárulása.

 Az adatkezelés időtartama:
5 év.

  1. Belső nyilvántartás az egyesület által történő adattovábbításról

 Az egyesület az Infotv. 25/E. § alapján az adattovábbítási folyamatról adattovábbítási nyilvántartást elektronikus úton vezet.

  • Adatkezelési és adatvédelmi, illetve adattovábbítási nyilvántartás

Az egyesület papíralapon, ill. számítógépes hálózaton végzi a személyes adatok tárolását. A papíralapú adattárolás kizárólag megfelelően zárható helyiségben történik oly módon, hogy az illetéktelen személy által ne legyen hozzáférhető vagy megismerhető.

  • Adatvédelmi incidens

 Abban az esetben, amennyiben a jelen szabályzat hatálya alá tartozó személyes adatok kezelése során bármely, adatvédelmi incidensnek minősülő zavar vagy nem rendeltetésszerű esemény következik be, az egyesület indokolatlan késedelem nélkül, legkésőbb 72 órán belül bejelentést tesz a Nemzeti Adatvédelmi és Információszabadság Hatóság részére.

A bejelentés legalább az alábbiakat tartalmazza:

  • az adatvédelmi incidens fajtájának és jellegének meghatározása, beleértve az érintettek kategóriáit és hozzávetőleges számát,
  • az adatvédelmi incidenssel érintett adatok kategóriáit és hozzávetőleges számát,
  • az adatvédelmi tisztviselő vagy a kapcsolattartó személy nevét és elérhetőségeit,
  • az adatvédelmi incidensből eredő, valószínűsíthető következményeket,
  • az adatvédelmi incidens orvoslására megtett intézkedéseket.

Abban az esetben, amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintett jogaira és szabadságaira nézve, az egyesület tájékoztatja az érintettet az adatvédelmi incidens bekövetkeztéről és szükség szerint közérthető módon az annak orvoslására megtett intézkedésekről.

  1. Az adatvédelmi tisztviselő

Figyelemmel a GDPR adatvédelmi tisztviselőre vonatkozó rendelkezéseire, az egyesület nem köteles adatvédelmi tisztviselő kinevezésére, mivel az egyesület nem minősül közhatalmi szervnek vagy közfeladatot ellátó szervnek, az egyesület tevékenységei nem foglalnak magukban olyan műveletet, amely az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését tenné szükségessé, továbbá az egyesület nem kezel különleges adatot, illetve büntetőjogi felelősség megállapítására alkalmas személyes adatot.

  • Az adatvédelmi felügyeleti szerv

Szerv neve:                Nemzeti Adatvédelmi és Információszabadság Hivatala
Szerv székhelye:       1125 Budapest, Szilágyi Erzsébet fasor 22/C.
Web:                          www.naih.hu
Email:                        ugyfelszolgalat@naih.hu

Budapest, 2019. 01. 02.