Adatkezelési tájékoztató

I. Szolgáltató (a továbbiakban: Adatfeldolgozó) a jelen Szerződés szerinti szolgáltatás nyújtása során a GDPR szerinti adatfeldolgozást hajt végre. A végrehajtott technikai műveletek kizárólag az adatok rendszerezésére, előhívására, lekérdezésre, a rögzítés, tárolás és törlés szakszerűségének biztosítására, vagy más a Megrendelő (a továbbiakban: Adatkezelő) kifejezett utasítása szerinti technikai feladatok elvégzésére irányulnak, azzal, hogy az Adatfeldolgozó az adatfeldolgozással érintett adatokat saját céljaira felhasználni nem jogosult, az Adatfeldolgozó az adatfeldolgozással kapcsolatos érdemi döntést nem hozhat.

II. Tekintettel arra, hogy Adatkezelő egészségügyi tevékenységgel kapcsolatos betegadminisztrációs tevékenység céljából jelentős számú személyes adatot kezel az Adatfeldolgozó által biztosított online felületen, jelen szerződés célja, hogy az az Adatfeldolgozó az Adatkezelő által a Szoftver használata során kezelt személyes adatok tekintetében adatfeldolgozóként eljárva szolgáltatást nyújtson az Adatkezelő részére. Mivel az adatfeldolgozás keretei a vonatkozó jogszabályoknak, így különösen az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (a továbbiakban: Eüak.), az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.), valamint az Európai Parlament és a Tanács (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (továbbiakban: GDPR) szóló rendeletek szabályainak megfelelően kerüljenek megállapításra, biztosítva az érintettek adatainak és jogainak védelmét.

III. Az adatfeldolgozás célja, az adatfeldolgozási tevékenység: Adatkezelő részére a Szoftver használatának biztosítása és a Szoftver használatához szükséges szakmai támogatás nyújtása (a továbbiakban együttesen: Szolgáltatás) során az Adatkezelő által meghatározott célból és eszközökkel kezelt adatokhoz való hozzáférés, azok adatfeldolgozóként való kezelése, különösen  tárolása az Adatfeldolgozó által.

IV. A jelen szerződés alapján Adatfeldolgozó a következő feltételek mentén végzi tevékenységét: A feldolgozandó személyes adatok köre: Adatfeldolgozó által biztosított Szoftver felhasználásával az Adatkezelő által rögzítésre kerülő személyes adatok, így különösen a természetes személy azonosítására szolgáló adatok: neve, azonosítója (TAJ), lakcíme, születésének helye és ideje, anyja neve, leánykori neve, neme, állampolgárság, telefon, mobiltelefon, email cím, személyi igazolvány szám, közgyógyellátási adatok (kártya száma, érvényességi dátuma); az Adatkezelő részéről eljáró felhasználó adatai úgy, mint felhasználó neve, email címe, jelszava, pecsétszáma, szakrendelés megnevezése, beutaló kód, ágazati azonosító kód, ANTSZ engedély szám; a páciens egészségügyi ellátásával kapcsolatos adatok: anamnézis, diagnózis, epikrízis, therápiás javaslatok, beutalók és nyomtatványok felvételéhez szükséges egyéb információk; receptíráshoz szükséges adatok, beleértve a gyógyszerkészítmények, magisztrális készítmények és segédeszközök vényírásához szükséges információkat, úgy mint: gyógyszer/magisztrális készítmény/segédeszköz neve, kiírási jogcím, BNO kód, mennyiség, mennyiségi egység, adagolás, szakorvosi javaslat adatai (pecsétszám, dátum); valamennyi olyan adat, amely a jelen szerződés és a Felek által a jövőben jelen szerződéshez kapcsolódóan megkötendő minden további szerződés teljesítéshez szükséges, valamint annak teljesítése során jutott az Adatfeldolgozó tudomására. Az adatkezeléssel érintett személyek: páciensek; Adatkezelő által foglalkoztatott egyészségügyi szakemberek, mint felhasználók; Az adatok kezelésének időtartama: A jelen szerződés hatálya alatt. Igénybe vehető-e további adatfeldolgozó(k): Az Adatfeldolgozó csak az alább meghatározott további adatfeldolgozókat veheti igénybe a jelen szerződés teljesítéséhez:

1. RACKFOREST Informatikai Kereskedelmi Szolgáltató és Tanácsadó Kft. (1132 Budapest, Victor Hugo u. 18-22. 3. em. 3008 a). Adattárolás

2. MediaCenter Hungary Informatikai, Szolgáltató és Üzemeltető Kft. (6000 Kecskemét, Sosztakovics utca 3. 2. em. 6.) Adattárolás

3. MOD Számítástechnikai Zrt. 9024 (Győr, Szent Imre út 88.) Adattárolás

4. KBOSS.hu Kft. (1031 Budapest, Záhony utca 7.) szamlazz.hu - számlakiállítás

5. Google LLC Google Cloud Platform (1600 Amphitheatre Parkway, Mountain View, CA 94043, Amerikai Egyesült Államok.)
Szerverpark: Frankfurt (europe-west3), Belgium (europe-west1), Netherlands (europe-west4), Finland (europe-north1) Adattárolás

V. Az Adatfeldolgozó a 10.4. pontban felsorolt további adatfeldolgozókon kívül nem vehet igénybe további adatfeldolgozót az Adatkezelő előzetes kifejezett engedélye nélkül. Az Adatfeldolgozó további adatfeldolgozó igénybevétele előtt köteles tájékoztatni az Adatkezelőt a további adatfeldolgozók bevonását vagy helyettesítését érintő tervezett változásokról, lehetővé téve az Adatkezelő számára, hogy kifogást emeljen a változásokkal szemben.

VI. Ha az Adatfeldolgozó meghatározott adatfeldolgozási tevékenységek Adatkezelő nevében történő elvégzése céljából további adatfeldolgozót vesz igénybe, a jelen szerződés szerinti adatvédelmi kötelezettségek az igénybe vett további adatfeldolgozó tekintetében is irányadók. Ha a további adatfeldolgozó nem teljesíti az Adatfeldolgozó által a jelen szerződésben vállalt és a vonatkozó jogszabályok által előírt adatvédelemmel kapcsolatos kötelezettségeit, az Adatfeldolgozó teljes körű felelősséggel tartozik az Adatkezelő felé a további adatfeldolgozó cselekményeiért és mulasztásaiért.

VII. Az Adatfeldolgozó kizárólag az Adatkezelő előzetes írásbeli utasításai alapján végezheti az Adatkezelő kezelésében lévő személyes adatok feldolgozását és továbbítását. Kivétel ez alól, ha az Adatfeldolgozó az Adatkezelőre, vagy az Adatfeldolgozóra vonatkozó jogszabály előírása alapján végzi a személyes adatok feldolgozását, ilyen esetben az Adatfeldolgozó – ha jogszerűen lehetséges – köteles a feldolgozás megkezdése előtt tájékoztatni az Adatkezelőt a vonatkozó jogszabályi előírásról.

VIII. Az Adatfeldolgozó köteles biztosítani, hogy a személyes adatokon végzett műveletekben kizárólag olyan személyek vesznek részt, akiknek erre vonatkozó jogosultsága van, és akik – jogszabályon alapuló vagy más – titoktartási kötelezettség hatálya alatt állnak. Ennek biztosítására az Adatfeldolgozó köteles az Adatkezelő részére a jelen szerződés teljesítésében közreműködő alkalmazottainak, egyéb szerződés alapján eljáró megbízottainak/alvállalkozóinak a megfelelő tartalmú titoktartási nyilatkozatát

bemutatni az Adatkezelő kérésére az azt követő egy héten belül.

IX. Az Adatfeldolgozó köteles az adatfeldolgozás által a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő szintű védelmet biztosító műszaki és szervezési intézkedéseket alkalmazni, többek között, adott esetben:

  • az adatok biztonságának garantálása érdekében az adatok robosztus relációs adatbázis-kezelő rendszerben tárolódnak (MS SQL), a szerver elérése csak 2 faktoros autentikációval lehetséges;

  • a védelmi szint növelése érdekében a DokiRex-ben szintén van lehetőség 2 faktoros autentikációra és IP szűrésre;

  • a böngésző és az alkalmazás között az adatok titkosított (https) csatornán keresztül közlekednek;

  • napi szintű biztonsági mentés készítése;

  • a személyes adatok feldolgozására használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;

  • fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani (adatbázis biztonsági mentésből);

  • az adatfeldolgozás biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást;

  • az adatfeldolgozással járó kockázatok (pl. de nem kizárólag, adatvesztés, nyilvánosságra kerülés, adatok megsérülése stb.) feltárására és kivédésére irányuló eljárást;

  • az adatfeldolgozás biztonságát az Adatfeldolgozó szoftveres tűzfallal és vírusirtó rendszerrel, az Adatkezelő adatbázisának egyedi azonosítóval való ellátásával, továbbá az adatbázis hozzáféréséhez szükséges felhasználónév/jelszó alkalmazásával biztosítja.

Adatkezelő jogosult a szervezési és technikai intézkedések bizonyítását kérni az Adatfeldolgozótól.

X. Az Adatfeldolgozó köteles az Adatkezelő számára hozzáférést biztosítani a jelen szerződés betartásának bizonyításához, ellenőrzéséhez szükséges információkhoz, és köteles az Adatkezelő vagy az általa megbízott más személy által végzett adatvédelmi és/vagy információbiztonsági vizsgálatokat és ellenőrzéseket lehetővé tenni és támogatni. A Felek maguk viselik a vizsgálatokkal kapcsolatban felmerülő költségeiket.

XI. Az adatfeldolgozás és az Adatfeldolgozó számára elérhető adatok jellegére figyelemmel az Adatfeldolgozó köteles támogatást nyújtani az Adatkezelő részére az alábbiak Adatkezelő általi teljesítése tekintetében:

  • Adatkezelő azon kötelezettségének teljesítése, hogy az érintettek alkalmazandó jogszabályok szerinti jogainak gyakorlásával összefüggő megkeresésekre választ adjon;

  • A jelen szerződés szerinti kockázatoknak megfelelő szintű védelmet biztosító műszaki és szervezési intézkedések alkalmazása;

  • Adatvédelmi hatásvizsgálat végzése az Adatkezelő észszerű kérése szerint;

  • Kapcsolattartás a Nemzeti Adatvédelmi és Információszabadság Hatósággal.

XII. Adatvédelmi incidensről való tudomásszerzése esetén Adatfeldolgozó köteles indokolatlan késedelem nélkül, de legfeljebb a tudomásszerzést követő 48 órán belül írásban bejelenteni az incidenst az Adatkezelő részére az Adatkezelő ügyvezetője, a 9.1. pontban meghatározott képviselője és az Adatkezelő mindenkori adatvédelmi tisztviselője részére küldött elektronikus levél útján. Az Adatkezelő köteles írásban értesíteni a jelen pont szerint értesítendő személyek elérhetőségéről. Ennek hiányában az Adatfeldolgozó nem felel a jelen pont szerinti kötelezettsége elmulasztásából fakadó károkért. Az említett bejelentésben legalább

  • ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az Érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

  • közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

  • ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; valamint

  • ismertetni kell az Adatfeldolgozó által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az

  • adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

XIII. A jelen szerződés megszűnésének napján, vagy azt megelőzően, a kezelt adatok egészét, vagy meghatározott részét illetően az Adatkezelő írásban, akár elektronikus levél útján történő felszólítására az Adatfeldolgozó köteles – az Adatkezelő választása szerint – a személyes adatokat és az azokról készült másolatokat haladéktalanul törölni, vagy visszaszolgáltatni és ennek megtörténtét az Adatkezelőnek írásban, akár elektronikus levél útján igazolni.