Adatvédelmi és adatkezelési szabályzat

Jelen adatvédelmi – adatkezelési szabályzat (továbbiakban: „Szabályzat”) célja, hogy a HESZ-HÁRS Családorvosi és Pszichológiai Szolgáltató és Tanácsadó Kft. (székhely:1101, Budapest, Szalonka köz 3/A törvényes képviselők: Hegyi Nóra, Hegyi Dorottya ügyvezetők, elektronikus levelezési cím:info@pszichologusa.hu), valamint a vele együttműködésben dolgozó Furmann Zsuzsa és Zupán Orsolya pszichológusok, közösen együtt a „Hársfa Pszichoműhely” (a továbbiakban együtt: „Adatkezelő”) által kezelt személyes adatok kezelését szabályozása, különös tekintettel a pszichológusi tanácsadói és terápiás tevékenység ellátása folyamán kezelt személyes adatokra.

Jelen szabályzat kiterjed minden az Adatkezelő által a pszichológusi tanácsadói és terápiás tevékenység ellátása folyamán az ügyféltől vagy hatóságtól megkapott, vagy más forrásokon keresztül összegyűjtött és feldolgozott adat kezelésére, feldolgozására, továbbítására, illetve más uniós és magyar jogszabálynak megfelelő felhasználására.

Jelen szabályozás célja, továbbá annak elérése, hogy az adatvédelem terén a legszélesebb körben tájékoztassa az érintetteket. További célja, hogy meghatározza az Adatkezelő által végzett adatkezelés rendjét, valamint biztosítsa az adatvédelem európai uniós és alkotmányos elveinek, az adatbiztonság követelményének érvényesülését, s megakadályozza a jogosulatlan hozzáférést, az adatok megváltoztatását és jogosulatlan nyilvánoságra hozatalát.

I. Fogalommeghatározások:

Jelen Szabályzat szempontjából:

1.1 személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

1.2 különleges adat: A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adat, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adat, az egészségügyi adat és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok

1.3 genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;

1.4 biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;

1.5 „egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

1.6 hozzájárulás: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez,

1.7 tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés korlátozását, megszüntetését, illetve a kezelt adatok törlését kéri

1.8 adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza,

1.9 adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés. Adatkezelésnek számít a fénykép-, hang- és képfelvétel készítése is,

1.10 adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

1.11 profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

1.12 álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

1.13 adattovábbítás: ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik

1.14 nyilvánosságra hozatal: ha az adatot bárki számára hozzáférhetővé teszik

1.15 adattörlés: az adatok felismerhetetlenné tétele olyan módon, hogy helyreállításuk többé nem lehetséges

1.16 az adatkezelés korlátozása és adatzárolás: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából, az adatok továbbításának, megismerésének, nyilvánosságra hozatalának, átalakításának, megváltoztatásának, megsemmisítésének, törlésének, összekapcsolásának vagy összehangolásának és felhasználásának véglegesen vagy meghatározott időre történő lehetetlenné tétele.

1.17 adatmegsemmisítés: az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítése,

1.18 adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől,

1.19 adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;,

1.20 nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

1.21 adatállomány: az egy nyilvántartó-rendszerben kezelt adatok összessége

1.22 harmadik fél vagy harmadik személy: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.

1.23 adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

1.24 címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

II. Adatkezelés, adatfeldolgozás elvei és gyakorlata:

2.1 Az adatkezelés alapelvei:

A személyes adatok

  1. kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);

  2. gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon [nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés] („célhoz kötöttség”);

  3. az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);

  4. pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);

  5. tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);

  6. kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).

Az Adatkezelő a fenti elvek megtartásáért felelős, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

2.2 Az adatkezelés jogalapja:

Személyes adat első sorban az érintett hozzájárulásával kezelhető. Az érintett hozzájárulását az Adatkezelő köteles igazolni, kétség esetén vélelmezni kell, hogy az hozzájárulást az érintett nem adta meg. Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt vagy nyilvánosságra hozatal céljából általa átadott adatok tekintetében. Az érintett kérelmére indult eljárásban szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az érintett figyelmét fel kell hívni. Amennyiben az érintett hozzájárulását más nyilatkozatokkal együtt adja meg, úgy a hozzájárulást a más nyilatkozatoktól jól elkülöníthetően kell előadni, érthető és könnyed formában, világos és egyszerű nyelvezettel.

Az érintett a hozzájárulását bármikor visszavonhatja, de az adatkezelés folytatható, ha van olyan más adatkezelési jogalap, amely az érintett hozzájárulása nélküli adatkezelést is lehetővé teszi. A visszavonás lehetőségéről, illetve az egyéb adatkezelési jogalapokról az érintettet még a hozzájárulás megadása előtt tájékoztatni kell.

Az érintett hozzájárulása nélkül is kezelhető személyes adat, ha:

  1. az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

  2. az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

  3. az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

  4. az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

  5. az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

A nem érintetti hozzájáruláson alapuló adatkezelés esetén is, kivéve, ha jogszabály az adatkezelés tekintetében a közérdek, nemzetbiztonság és egyéb kivételes tárgykörökre tekintettel eltérő szabályozást állapít meg, az adatkezelés tényéről tájékoztatni kell, és az adatkezelés folyamán a érintett jogainak aránytalan és szükségtelen veszélyeztetése, illetve megsértése nélkül kell eljárni. Jelen szabályzat tekintetében jogszabály az Európai Unió jogi aktusa, valamint a nemzeti jogi normák.

Adatkezelő a pszichológusi tanácsadói és terápiás tevékenység ellátása folyamán, amennyiben az érintett ügy megkívánja, különleges adatokat kezel. Különleges adat kezelése csak az érintett előzetes írásbeli hozzájárulása alapján történhet. Különleges adat kivételesen jogszabály alapján az érintett írásbeli hozzájárulása nélkül is kezelhető. Adatkezelő tekintettel arra, hogy a különleges adatokat olyan szerződés teljesítése érdekében kezeli, amelyben az érintett az egyik fél, vagy jogi kötelezettség teljesítéséhez szükséges az adatkezelés, azokat jogosult, illetve az egészségügyi tevékenység ellátására vonatkozó jogszabályok és kamarai szabályzatok alapján köteles, a jogi igény érvényesítése érdekében az érintett hozzájárulása nélkül is megőrizni.

Az egészségügyi tevékenység ellátása folyamán kezelt személyes és különleges adatok megőrzési ideje, a közegészségügyi előírásokra tekintettel, 30 év.

14 éven aluli gyermek esetében az adatkezeléshez való hozzájárulást kizárólag törvényes képviselője (szülője, gyámja) adhatja meg. Cselekvőképességet kizáró gondnokság, vagy a személyes adatairól való rendelkezés jogára tekintettel cselekvőképességet kizáró gondnokság alá helyezett személy helyett a hozzájárulást kizárólag törvényes képviselője (gondnoka) adhatja meg. Ilyen felhatalmazás hiányában gyerekek, gondnokoltak személyes adatait nem kerülnek rögzítésre.

Jogszabály közérdekből – az adatok körének kifejezett megjelölésével – elrendelheti személyes adat nyilvánosságra hozatalát.

Ha azok a célok, amelyekből az adatkezelő a személyes adatokat kezeli, nem vagy már nem teszik szükségessé az érintettnek az adatkezelő általi azonosítását, az adatkezelő nem köteles kiegészítő információkat megőrizni, beszerezni vagy kezelni annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen e rendeletnek. Ebben az esetben az érintetthez vissza nem követhető adatokat, mint álnevesített adatokat kezelheti a továbbiakban.

2.3. Adatfeldolgozás

Az Adatkezelő, mint egészségügyi tevékenységet végző szervezet, fő tevékenységi körét érintve végez adatkezelői tevékenységet. Az Adatkezelő az adatfeldolgozó feladatait maga látja el.

Adatkezelő az adatfeldolgozás érdekében, akár csak adott adatgyűjtésre kiterjedően is, írásbeli felhatalmazás alapján adatfeldolgozót vehet igénybe. Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit az adatkezelő határozza meg. Az adatkezelési műveletekre vonatkozó adatkezelési utasítások jogszerűségéért az adatkezelő felel. Az adatfeldolgozó tevékenységi körén belől, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért, és nyilvánosságra hozataláért. Az Adatkezelő csak olyan adatfeldolgozót vehet igénybe, aki az uniós és magyar jogszabályoknak megfelelő adatkezelést vállalja és biztosítja, valamint az ellátásához szükséges felszereltséggel rendelkezik.

Az adatfeldolgozó tevékenységének ellátása során írásbeli megállapodás alapján, Adatkezelő hozzájárulásával további adatfeldolgozót igénybe vehet. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései alapján köteles tárolni és megőrizni. Ha az adatfeldolgozó a részére az Adatkezelő által adott meghatalmazáson túlterjeszkedve, az Adatkezelő utasításait megszegve, vagy felróható módon jogszabálysértő módon jár el, akkor cselekményéért adatkezelőként felel.

Az Adatkezelő a begyűjtött adatokat, adatgyűjtésenként elkülönítve, külön nyilvántartási-rendszerekben tárolja. Adatkezelő az adatkezelést a tudomány és technológia jelenlegi állásának megfelelő biztonságú eszközökkel és szoftverekkel, elektronikus formában végzi. Az adatkezeléssel érintett eszközök és szoftverek Adatkezelő tulajdonában állnak, fenntartásukért és működtetésükért Adatkezelő felel.

Az Adatkezelő szervei, szervezeti egységei közül az adatvédelmi, adatkezelési feladatok irányítását és koordinációját Hegyi Nóra Ügyvezető látja el.

2.4 Az adatkezelés célja és a nyilvántartott adatok:

Személyes adatot csak meghatározott cél érdekében lehet kezelni. Az adatkezelésnek minden szakaszában meg kell felelnie a célnak. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig.

Adatkezelő tevékenységének ellátása körében főszabályként az alábbi célból kezel adatokat:az Adatkezelő tagjainak, munkavállalóinak nyilvántartása, ideértve a Hársfa Pszichoműhellyel egy rendelőintézetben dolgozó pszichológusokat, valamint az egészségügyi szolgáltatás nyújtása folyamán páciens, ügyfél minőségben fellépő személyek nyilvántartása, a szolgáltatás nyújtásával kapcsolatos adatok, közöttük betegkarton nyilvántartása, és kapcsolattartás érdekében.

A tagnyilvántartással, illetve az együttműködő pszichológusokkal kapcsolatosan az alábbi személyes adatok kerülnek kezelésre: név, születési név, születési hely, születési idő, édesanyja neve, lakóhely, tartózkodási hely (ha van), személyi azonosító jel, személyi azonosító igazolvány száma, lakcímkártya száma, e-mail címe, telefonszáma.

A munkavállalói nyilvántartással kapcsolatosan az alábbi személyes adatok kerülnek kezelésre. név, születési név, születési hely, név, születési név, születési hely, születési idő, édesanyja neve, lakóhely, tartózkodási hely (ha van), személyi azonosító jel, személyi azonosító igazolvány (vagy más fényképes személyazonosításra alkalmas igazolvány) száma, lakcímkártya száma, telefonszáma, e-mailcíme.

Természetes személy ügyfelek esetében az alábbi személyes adatok kerülnek nyilvántartásra: név, születési név, születési hely, születési idő, édesanyja neve, lakóhely, tartózkodási hely (ha van), telefonszáma, e-mail címe.

A terápiás anyagok nyilvántartása esetén az alábbi adatok kerülnek nyilvántartásra: paciens neve, igénybe vett szolgáltatás jellege, elvégzett vizsgálatok, vizsgálati eredmények.

Az Adatkezelő, ha tevékenységi köre megkívánja, más adatok gyűjtését és kezelését is elrendelheti. Ebben az esetben Adatkezelő a célt és a gyűjtendő adatok körét belső döntéssel határozza meg. Az erre vonatkozó döntést az érintettel számára köteles elérhetővé tenni.

2.5 Az érintett tájékoztatása adatgyűjtésről:

Az érintettől történő adatgyűjtés esetén az érintettel az adatgyűjtést megelőzően közölni kell:

  1. az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei

  2. adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

  3. a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

  4. a más jogos érdekének érvényesítésén alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;

  5. adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

  6. adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.

Az adatok megszerzését követően az Adatkezelő köteles az érintettet tájékoztatni:

  1. a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

  2. az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;

  3. a az érintett hozzájárulásán alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

  4. a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;

  5. arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;

  6. az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

Amennyiben az adatszerzés nem az érintettektől történik, hanem más forrásból (például másik adatkezelőtől adattovábbítás formájában), a fenti adatokat az érintettel közölni kell:

  1. a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;

  2. ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy

  3. ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.

Az érintettel az még az adatok felvétele előtt közölni kell, hogy az adatszolgáltatás önkéntes-e vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt. Az érintettet – egyértelműen és részletesen – tájékoztatni kell az adatkezelés céljáról és jogalapjáról, az adatkezelésre és feldolgozásra jogosult személyekről, az adatkezelés időtartamáról, illetve arról, hogy kik fogják az adatokat megismerni. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Az érintettek tájékoztatását minden alkalommal, különös tekintettel, ha Adatkezelő további adatkezelést kíván az adatokon végezni, úgy kell megadni, hogy minden információ rendelkezésükre álljon, de a korábban megismert tájékoztatást megismételni nem kell.

Az Adatkezelő adatkezelést az adatkezelésre vonatkozó tájékoztatást papír alapon, az erre rendszeresített dokumentumban adja meg, amelynek aláírásával érintett a tájékoztatást tudomásul veszi. A tájékoztató dokumentumokat Adatkezelő elektronikus formában a honlapján is elérhetővé teszi. Amennyiben az adatgyűjtésre nem a jelen szabályzatban meghatározott jogalapból, vagy célból kerülne sor a tájékoztatás szövegéről Adatkezelő belső döntéssel dönt, és az kiegészítő tájékoztatást is elektronikus formában is közzéteszi.

Tekintettel az előbbiekre Adatkezelő minden esetben tájékoztatja az érintettet, hogy amennyiben személyes adatainak kezeléséhez nem kíván hozzájárulni, úgy azokat részére ne adja meg.

2.6 Az adatkezelés céljának, módjának, vagy gyakorlatának megváltoztatása

Az Adatkezelő amennyiben bármilyen módon változtatna a személyes adatok kezelésére vonatkozó elvein vagy gyakorlatán, ezekről a változtatásokról köteles előzetesen értesíteni az érintetteket, hogy azok mindig pontosan és folyamatosan ismerjék az Adatkezelő által érvényesített adatkezelési elveket és gyakorlatot. A személyes adatok kezeléséről és védelméről szóló jelen Szabályzat mindig a ténylegesen alkalmazott elveket és gyakorlatot tükrözi.

Ha Adatkezelő a személyes adatokat olyan célból vagy módon szeretné felhasználni, hogy az eltérne a személyes adatok gyűjtésekor meghirdetett módoktól, elvektől és céloktól, akkor erről előzetesen e-mail útján, ha a kapcsolattartás ilyen módja nem lehetséges, írásban értesíti az érintetteket. Az értesítéssel együtt Adatkezelő tájékoztatja az érintetteket, hogy a megváltozott adatkezelésre tekintettel kérheti az adatkezelés korlátozását, vagy hozzájárulásukat a további adatkezelés tekintetében megvonhatják.

Az érintettek által biztosított személyes, illetve egyéb adatokat Adatkezelő önkényes módon nem egészíti ki és nem kapcsoljuk össze már forrásokból származó adatokkal, vagy információval. Amennyiben a jövőben különböző forrásokból származó adatok ilyenfajta összekapcsolásra kerülne sor, ezt a tényt kizárólag a megfelelő tájékoztatást követően, előzetesen az adott érintett hozzájárulása esetén teszi meg Adatkezelő.

2.7 Az adatok felvétele és kezelése:

A tagok, valamint az együttműködő pszichológusok adatainak rögzítésére Adatkezelő létesítő okiratával együttesen, valamint az együttműködési megállapodás megkötésekor került sor. Azt követően tagok, valamint az együttműködő pszichológusok a személyes adataikban bekövetkezett változást Adatkezelő felé 5 munkanapon belül kötelesek bejelenteni, tekintettel az arra, hogy az adatkezelés jogszabályi kötelezettségen alapul.

A munkavállalók adatainak rögzítésére a munkaszerződéssel egyidejűleg került sor. A munkavállalók a munkaszerződés alapján kötelesek az adataikban bekövetkezett változásokat haladéktalanul bejelenteni Adatkezelő felé, tekintettel arra, hogy az adatkezelés jogszabályi kötelezettségen alapul.

Páciensek esetén az adatok rögzítésére a szolgáltatás megrendelésekor, legkésőbb a szolgáltatás igénybevételekor kerül sor. Az első terápiás óra előtt a páciensek adatlapot töltenek ki, melyben rögzítésre kerül nevük, lakcímük, elektronikus levelezési címük, telefonszámuk, terápiás kérésük.

A tanácsadó és terápiás tevékenységről, amennyiben azt a körülmények megkívánják, Adatkezelő érintett írásbeli hozzájárulása alapján hang- és/vagy képfelvételt készít. Az így készült hang- és/vagy képfelvétel jelen szabályzat hatálya alá tartozik. Párterápia esetén a hang- és képfelvétel elkészítése a terápia elmaradhatatlan eleme, ezt a szolgáltatást érintett hozzájárulása nélkül adatkezelő nem tudja nyújtani. A hang- és képfelvételek elektronikus formában kerülnek megőrzésre.

Az adatokat Adatkezelő elsősorban papír alapon, az ügyfél nevével jelzett mappába veszi fel, ezen adatfelvételeket elzárt helyen tárolja. Az adatokat a felvételt követően Adatkezelő elektronikus nyilvántartásában haladéktalanul felviszi.

2.8 Az orvosi titok és a személyes adatok harmadik személy részére történő kiadása

Jelen szabályzat az egészségügyi tevékenységről szóló törvény, valamint más jogszabályok és a kamara által meghatározott ügyvédi titoktartási kötelezettséget nem érinti, annak megtartására a pszichológus harmadik személyek felé a vonatkozó jogszabályok szerint köteles.

Az érintettek által az Adatkezelő rendelkezésére bocsátott személyes adatokat ez irányú hozzájárulás, felhatalmazás hiányában Adatkezelő semmilyen körülmények között nem adja tovább harmadik fél számára.

Az Adatkezelő adott tanácsadások, terápiák keretében gyakran együtt működik általa jól ismert, átlátható módon dolgozó harmadik személyekkel. Amennyiben a tanácsadás, terápia azt kívánná, hogy orvosi konzílium érdekében ilyen harmadik személy kerülne bevonásra, és ennek keretében harmadik személy részére adatok kerülnének átadásra, erről az érintettet haladéktalanul értesíti. A vizsgálatba közreműködőként csak olyan személy vonható be, és részére csak akkor adható ki, hogy vállalja, hogy a tudomására jutott személyes adatokat a hatályos adatkezelési és adatvédelmi jogszabályoknak és az orvosi titoknak megfelelően kezeli.

Amennyiben az arra feljogosított hatóságok a jogszabályokban előírt módon kérik fel személyes adatok átadására az Adatkezelőt, törvényi kötelezettségének eleget téve, az ügyvédi titoktartásra figyelemmel, átadja a kért és rendelkezésre álló információkat. Az Adatkezelő az adatátadásról az érintettet azonnal köteles tájékoztatni, kivéve, ha jogszabály által nevesített érdek (pl. nyomozás eredményessége) megkívánja, hogy a tájékoztatás ne történjen meg.

2.9 Adatvédelem

Amennyiben az érintettek személyes adatokat bocsátanak az Adatkezelő rendelkezésére, ő minden személyes lépést megtesz, hogy biztosítsa ezeknek az adatoknak a biztonságát.

A személyes adatokhoz csak az adatkezelésre jogosult munkaköröket betöltő személyek férhetnek hozzá – az adatvédelemért és adatkezelésért felelő személy magas szintű kontrollja mellett.

2.10 Adatvédelmi incidens:

Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az adatvédelmi hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

A bejelentésben legalább:

  1. ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

  2. közölni kell a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

  3. ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

  4. ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést.

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

III. Érintettek jogai

3.1 Az érintett az adatkezelés időtartama alatt tájékoztatást kérhet személyese adatainak kezeléséről, valamint kérheti személyes adatainak helyesbítését, törlését (elfeledtetését), valamint az adatkezelés korlátozását, a nyilvántartott adatainak kiadását (adathordozáshoz való joga), és tiltakozhat az Adatkezelő általa jogellenesnek vélt intézkedésével szemben.

3.2 A hozzáférés joga:

Az érintett kérelmére bármikor jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

  1. az adatkezelés céljai;

  2. az érintett személyes adatok kategóriái;

  3. azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;

  4. adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

  5. az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;

  6. a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;

ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;

  1. az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

Az érintett jogosult, hogy a tájékoztatással egyidejűleg részére írásbeli kérelme alapján a róla nyilvántartott adatokat megküldjék. Az adatszolgáltatást, ha a kérelem elektronikus formában érkezett, elektronikus formában kell teljesíteni, kivéve, ha a kérelmező eltérő utasítást nem ad.

A megkeresést 25 napon belül kell teljesíteni. A tájékoztatás nyújtása ingyenes. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel.

Az érintett tájékoztatását az adatkezelő csak akkor tagadhatja meg, hogy azt uniós vagy nemzeti jogszabály, az állam külső vagy belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűnmegelőzés vagy bűnüldözés érdekében, továbbá állami vagy helyi önkormányzati pénzügyi érdekből, valamint az érintett vagy mások jogainak védelme érdekében lehetővé teszi. Az adatkezelő köteles az érintettel a felvilágosítás megtagadásának indokát közölni. Az elutasított kérelmekről az adatkezelő az adatvédelmi hatóságot évente tájékoztatja.

3.3 Helyesbítéshez való jog:

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését. A valóságnak meg nem felelő adatot az adatkezelő helyesbíteni köteles.

3.4 A törléshez való jog (elfeledéshez való jog)

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

  1. a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

  2. az érintett visszavonja a az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

  3. az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett közvetlen üzletszerzésre használt adatgyűjtés körében tiltakozik az adatkezelés ellen;

  4. a személyes adatokat jogellenesen kezelték;

  5. a személyes adatokat az adatkezelőre alkalmazandó uniós vagy nemzeti jogban előírt jogi kötelezettség teljesítéséhez törölni kell, különös tekintettel bírósági döntésre vagy az adatvédelmi hatóság döntésére;

  6. a személyes adatok gyűjtésére a közvetlenül gyermekek számára nyújtott információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

Az Adatkezelő az érintett hozzájárulásának visszavonása esetén nem köteles törölni az adatot, ha az adatkezelésnek más jogalapja is fennáll. Az Adatkezelő az érintett hozzájárulásának visszavonása esetén is köteles azon adatokat továbbra is megőrizni, amelyek megőrzésére és nyilvántartására, jogszabály kötelezi. Adatkezelő jogszabály alapján jogosult és köteles a személyes adatokat tovább kezelni és megőrizni az egészségügyi tevékenység ellátásáról szóló törvény rendelkezései alapján közegészségügyi célokból, vagy ha jogszabály más okból előírja a további adatkezelést.

A különleges adatot a hozzájárulás visszavonása esetén haladéktalanul törölni kell, kivéve, ha jogszabály lehetővé teszi azok további kezelését. Adatkezelő a különleges adatokat érintett kifejezett írásbeli hozzájárulásának visszavonása esetén is tovább kezelheti és kezeli az egészségügyi tevékenység ellátásáról szóló törvény rendelkezései alapján közegészségügyi célokból.

Nem köteles törölni a kezelt adatot az Adatkezelő, ha az adatkezelés szükséges:

  1. a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;

  2. a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;

  3. a népegészségügy területét érintő közérdek alapján;

  4. a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törlés valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy

  5. jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

3.5 Az adatkezelés korlátozása (adatzárolás)

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

  1. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;

  2. az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

  3. az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

  4. az érintett a tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni. Az Adatkezelő a korlátozással érintett adatokat zárolja.

Az adatkezelő az érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

3.6 Adathordozáshoz való jog:

Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:

  1. az adatkezelés az érintett hozzájárulásán, vagy olyan szerződésen alapul, amely teljesítéséhez vagy megkötéséhez az adatszolgáltatás szükséges és a szerződésben legalábbaz egyik fél érintett; és

  2. az adatkezelés automatizált módon történik.

Az érintett kérheti, hogy az adatokat az Adatkezelő közvetlenül a másik adatkezelő részére továbbítsa. Az adathordozás joga nem sértheti az érintett törléshez való jogának gyakorlását. Az adathordozás joga nem alkalmazható közérdekű adatkezelés, vagy ha az az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges. Az adathordozás jogának gyakorlása nem sértheti mások jogait és szabadságát.

3.7 A helyesbítéssel, törléssel, korlátozással és adathordozással kapcsolatos kérelmek elbírálása

Az Adatkezelő az érintettet helyesbítésre, törlésre, korlátozásra, adathordozásra irányuló kérelme esetén a kérelem elbírálásáról és az elrendelt intézkedésről haladéktalanul, de legkésőbb 25 napon belül írásban tájékoztatja. Az Adatkezelő a kérelem megtagadása esetén köteles a kérelmezőt a megtagadás indokairól tájékoztatni. Az elutasított kérelmekről az Adatkezelő az adatvédelmi hatóságot évente tájékoztatja.

Az Adatkezelő minden olyan címzettet tájékoztat az általa kezelt adatokat érintő valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról (adatzárolásról), akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

3.8 Tiltakozás az adatkezeléssel szemben

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a kezelése ellen, iudeértve az említett rendelkezésen alapuló profilalkotást is, ha

  1. az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges vagy

  2. az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek

Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

Az adatkezelő – az adatkezelés egyidejű felfüggesztésével – a tiltakozást köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálni, és annak eredményéről a kérelmezőt írásban tájékoztatni. Amennyiben a tiltakozás indokolt, az adatkezelő köteles az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszüntetni, és az adatokat zárolni, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. Amennyiben az érintett az adatkezelőnek ezen döntésével nem ért egyet, vagy az Adatkezelő a 15 napos határidőt elmulasztja, az ellen annak közlésétől, illetve a döntésre nyitva álló 15 napos határidő utlsó napjától számított 30 napon belül bírósághoz fordulhat.

3.7 Jogorvoslathoz való jog

Az érintett jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat. Annak bizonyítása, hogy az adatkezelés a jogszabályoknak és jelen adatkezelési szabályzatnak megfelelően történt az Adatkezelőt terheli. A bíróság marasztaló döntse estén a jogsértően kezelt adatot 3 napon belül törölni kell. Az adatvédelmi szabályok megsértése esetén, a személyiségi jogi jogsértésre tekintettel az érintett sérelemdíjra is jogosult lehet. A fentiekről az érintettet az adatkezelés megkezdésével egyidejűleg tájékoztatni kell.

Az érintett bármikor panasszal fordulhat az adatvédelmi hatósághoz (jelenleg: Nemzeti Adatvédelmi és Információszabadság Hatóság). Erről az érintettet az adatkezelés megkezdésével egyidejűleg tájékoztatni kell.

Az adatkezelők az adatvédelmi és adatkezelési szabályzatot elfogadják.

Készült:

Budapest, 2018.05.25.