Adatkezelési Tájékoztató Páciensek és Magánszemélyek Részére

Adatkezelési Tájékoztató

A kutatásban, egészségügyi programokban résztvevő Személyek részére

1. A tájékoztató célja

Az eHealth Software Solutions Kft. (a továbbiakban: Adatkezelő) jelen, a kutatásban, egészségügyi programokban résztvevő Személyek (a továbbiakban: Személy vagy Érintett) részére készített tájékoztatóval tesz eleget

  • az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (Általános Adatvédelmi Rendelet, General Data Protection Regulation, továbbiakban GDPR), valamint
  • az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény(a továbbiakban: Infotv.) adatvédelmi jogszabályoknak az érintett tájékoztatására vonatkozó előírásainak.

 

A Tájékoztatóban használt fogalmak, definíciói a Fogalommeghatározások részben olvashatóak. További adatvédelmi információk az Adatkezelő honlapján találhatóak.

2. Az Adatkezelő és képviselője

Adatkezelő: eHealth Software Solutions Kft.

  • Székhely: 1037 Budapest, Montevideó utca 3/A. 1. em.
  • Levelezési cím: 1037 Budapest, Montevideó utca 3/A. 1. em.
  • E-mail cím: gdpr [kukac] ehealthss [pont] hu
  • Honlap: https://ehealthss.hu
  •  

Adatkezelő Képviselője: dr. Máté Attila

  • Beosztása: Ügyvezető
  • Levelezési cím: 1037 Budapest, Montevideó utca 3/A. 1. em.
  • E-mail cím: mate [pont] attila [kukac] ehealthss [pont] hu

3. Az ÉRINTETTEK adatainak kezelése

3.1 A személyes adatok kategóriái

Az Adatkezelő az Érintettek kezelése során a következő személyes és különleges személyes adatokat kezeli:

  • Azonosító adatok: Név, személyi igazolvány szám, társadalombiztosítási azonosító jel, születési hely és idő, nem, édesanya születési neve, nemzetiség, családi állapot, profilkép.
  • Elérhetőségi adatok: Telefonszám, cím, e-mail cím. Értesítendő személy neve címe, telefonszáma és e-mail címe. A választott kommunikációs csatornák (email / sms / push-üzenet / chat).
  • Egészségügyi adatok: Vércsoport, napi fizikai aktivitás, bőrtípus, terhesség adatai, korábbi betegségek adatai, korábbi kezelések adatai, szedett gyógyszerek, implantátumok adatai, gyógyszer-érzékenyég adatai, gyermekkori betegségek adatai, védőoltások adatai, családi anamnézis.
  • Szenzorok adatai: Vérnyomás, pulzus, vércukor, mozgás adatok, véroxigén-szint, mentálhigiéniás adatok, légzésszám, gyógyszerszedés, táplálkozás adatai, test-összetétel, testsúly, magasság, testhőmérséklet, véralvadás, EKG, inzulin, légzés adatok.

 

Harmadik féltől az Érintett beleegyezésével átvett adatok:

  • Google Fit adatok: aktivitás (mozgás, lépés, BMR,..), vércukor, vérnyomás, pulzus, véroxigén-szint, hőmérséklet, alvás adatok, hely és távolság adatok, testzsír-százalék, hőmérséklet, magasság, súly
  • Apple Health (AppleHealthKit) adatok: aktivitás, EKG, pulzus, vérnyomás, véroxigén-szint, inzulin, lépésszám, hőmérséklet, magasság, BMI, testzsír-százalék, derékbőség, távolság, elégetett kalória, vércukor, lépcsőfokok, vércukor, alvás adatok
  • Mobil/web alkalmazás által felhasznált egyéb adatok:
    • helyadatok – térképi keresés, navigáció támogatására
    • naptár hozzáférés – időpontfoglalások átadása az Érintett naptára számára
    • Kamera hozzáférés – QR kód, illetve vonalkód beolvasása, videókonzultáció során kamera hozzáférés
    • Mikrofon hozzáférés – videókonzultáció során kamera hozzáférés

 

A fenti adatok megadása, rendelkezésre állása elengedhetetlen annak érdekében, hogy a szolgáltató a vonatkozó szerződéses kötelezettségeit teljesíteni tudja.

3.2 Az adatkezelés célja

Az Érintett adatai kezelésének célja a betegségmegelőzés, a gyógykezelés, valamint az ezekkel kapcsolatos információk kezelése (azonosítás, a gyógykezelés adatai, életmód adatok stb.) a betegségek megelőzése, az Érintett gyógyítása, egészségi állapotának javítása, vagy egészségének megőrzése céljából („betegdokumentáció”).

Az adatkezelés célja a kezelt adatok szerint:

  • azonosító és elérhetőségi adatok tekintetében
    • az Érintett kutatásban / egészségügyi programokban, illetve egészségügyi ellátás során történő beazonosíthatósága céljából
    • az Érintettel történő kapcsolatfelvétel céljából
    • kötelező adatszolgáltatások, egészségügyi elszámolások teljesíthetősége céljából
  • egészségügyi adatok tekintetében
    • az Érintett kutatásba / egészségügyi programokban, illetve egészségügyi ellátások során az orvosi döntések során az Érintett egészségügyi állapotának figyelembe vétele céljából
  • szenzor adatok tekintetében
    • szenzorok által mért és különböző adatforrásokból érkező adatok egységes, strukturált, feldolgozható formában történő tárolása az Érintett számára a lentebb felsorolt célok támogatására. Adatforrások:
      • Érintett vagy kezelőorvosa, egészségügyi ellátója által mérési értékek manuális rögzítése és tárolása
      • Érintett vagy kezelőorvosa által eszközzel (szenzorral) végzett mérések átvétele és tárolása a mérőeszköztől
      • harmadik féltől átvett és tárolt adatok (Google Fit, Apple Health)
    • az Érintett számára egészségnaplók vezetése, a szenzor adatok listában és grafikonon történő megjelenítése
    • szenzor adatokra épülő egészségcélok teljesülésének követése céljából
    • az Érintett kutatásba / egészségügyi programokban, illetve egészségügyi ellátások során az orvosi döntések során az Érintett egészségügyi állapotának figyelembe vétele céljából

3.3 Az adatkezelés jogalapja

Az Érintett adatai kezelésének jogalapja egyfelől az Érintettel kötött Szolgáltatási szerződés (megállapodás), továbbá a gyógykezelés szabályozása tekintetében az egészségügyről szóló 1997. évi CLIV. törvény (a továbbiakban: Eütv.).

Harmadik féltől átvett adatok kezelésének, felhasználásának, továbbításának jogalapja az adatok átvételének engedélyezésekor a harmadik fél által biztosított felületen az Érintett által adott beleegyezés. Adatkezelő figyelembe veszi és betartja az adatok kezelése, felhasználása, továbbítása során harmadik fél adatkezelési irányelveit, ezen belül a korlátozott felhasználásra vonatkozó követelményeket:

3.4 Az adatkezelés időtartama

Az Adatkezelő az Érintett különleges személyes adatait az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (a továbbiakban: Eüak.) előírásai alapján 50 évig őrzi meg.

3.5 A személyes adatok átadása

Az Adatkezelő az Érintett különleges adatait a következő személyek, szervezetek részére adja át:

  • a vonatkozó jogszabályok, vagy egyedi szolgáltatási szerződések (3.3) alapján az Érintett gyógykezelésében, vagy egészségének megőrzésében részt vevő egészségügyi ellátó intézmény kezelőorvosa, egészségügyi szakszemélyzete (nővér, asszisztens), mint adatfeldolgozó részére a közöttük megkötött Szolgáltatási szerződés alapján,
  • az Országos Kórházi Főigazgatóság (a továbbiakban: OKFÖ) részére a vonatkozó 516/2020. (XI. 25.) Korm. rendelet (a továbbiakban: 516/2020. (XI. 25.) Korm. rendelet) alapján, valamint
  • az Elektronikus Egészségügyi Szolgáltatási Tér (a továbbiakban: EESZT) részére az Elektronikus Egészségügyi Szolgáltatási Térrel kapcsolatos részletes szabályokról szóló 39/2016. (XII. 21.) EMMI rendelet (a továbbiakban: 39/2016. (XII. 21.) EMMI rendelet) alapján.

4. Az Egészségügyi ellátások elszámolásával kapcsolatos adatkezelés

4.1 A személyes adatok kategóriái

Az Adatkezelő az Egészségügyi ellátások során a következő személyes adatokat kezeli:

  • Elszámolási adatok: Teljesítményadatok, elszámolások

4.2 Az adatkezelés célja

Az Egészségügyi ellátások elszámolásának célja az Érintett gyógyellátása érdekében végzett beavatkozások, szolgáltatások elszámolása, a finanszírozás érdekében a Hatóság (NEAK) számára történő jelentése.

4.3 Az adatkezelés jogalapja

Az Egészségügyi ellátások elszámolásának jogalapja – a vonatkozó Szolgáltatási szerződés mellett – az Eütv., valamint az egészségügyi szolgáltatások Egészségbiztosítási Alapból történő finanszírozásának részletes szabályairól szóló 43/1999. (III. 3.) Korm. rendelet (a továbbiakban: 43/1999. (III. 3.) Korm. rendelet).

4.4 Az adatkezelés időtartama

Az Adatkezelő az Egészségügyi ellátások elszámolásával kapcsolatos személyes adatokat az Eüak. értelmében 50 évig őrzi meg.

4.5 A személyes adatok átadása

Az Adatkezelő az Egészségügyi ellátások elszámolásával kapcsolatos személyes adatokat – a 43/1999. (III. 3.) Korm. rendelet értelmében – a Nemzeti Egészségbiztosítási Alapkezelő (a továbbiakban: NEAK) részére adja át.

5. Az adatokhoz való hozzáférés

Az Érintett által megadott személyes adatokhoz az Adatkezelő munkatársai férhetnek hozzá az Érintett részére történő ajánlatadás érdekében, az ahhoz szükséges módon és mértékben (hozzáférés-kezelés).

5.1 Adatbiztonsági intézkedések

Az Adatkezelő az Érintett által megadott adatokat az Invitech DC-10 Adatközpontban (1108 Budapest, Kozma utca 2.) található fájlszerverén tárolja.

Az Adatkezelő a kor követelményeinek megfelelő megoldásokkal gondoskodik arról, hogy az Érintett személyes adatait védje a jogosulatlan hozzáféréssel, azok jogosulatlan megváltoztatásával, illetve elvesztésével vagy megsemmisülésével szemben.

Ennek keretében az Adatkezelő a ClinCoreSys medikai információtechnológiai rendszerében biztosítja, hogy a kutatásban, egészségügyi programokban résztvevők (Páciens, Egészséges Személy, Orvos, egyéb egészségügyi és kutatási szakszemélyzet), valamint az Adatkezelő munkatársai feladatuk ellátása, a szoftver használata során csak az ahhoz szükséges, a számukra engedélyezett adatokhoz, a szükséges módon és mértékben férhessenek hozzá.

Az Adatkezelő a ClinCoreSys medikai információtechnológiai rendszerben nyilvántartja a személyes adatokkal kapcsolatban végzett adatkezelési tevékenységeket (naplózás), biztosítva ezzel – szükség esetén – az utólagos ellenőrzések elvégzését, az elszámoltathatóságát.

6. Az Érintett adatkezeléssel kapcsolatos jogai

6.1 A tájékoztatáshoz való jog

Az Adatkezelő jelen Tájékoztatóval megfelelő méretű, nyelvű, egyszerű nyelvezetű és könnyen fellelhető információt igyekszik adni az adatkezelés lényeges szempontjairól.

6.2 A hozzájárulás visszavonásához való jog

Ha az adatkezelés jogalapja az Érintett hozzájárulása, akkor az Érintett jogosult arra, hogy hozzájárulását bármikor írásban visszavonja. A hozzájárulás visszavonására formai vagy tartalmi követelmények nem vonatkoznak.

6.3 Az Érintett hozzáférési joga

Az Érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a következő információkhoz hozzáférést kapjon:

  • az adatkezelés céljai;
  • a személyes adatok kategóriái és az Érintettel kapcsolatban ennek megfelelően kezelt személyes adatok;
  • azon címzettek, amelyekkel a személyes adatokat közölték vagy közölni fogják (ideértve a harmadik országbeli címzetteket is);
  • a személyes adatok tárolásának tervezett időtartama;
  • ha az adatokat nem az Érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
  • az automatizált döntéshozatal ténye, ideértve a profilalkotást is (az ilyen adatkezelés milyen jelentőséggel bír, és az Érintettre nézve milyen várható következményekkel jár).

6.4 Az adathordozhatósághoz való jog

Az Érintett jogosult arra, hogy a rá vonatkozó, általa egy Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa, ha:

  • az adatkezelés az Érintett hozzájárulásán, vagy szerződésen alapul; és
  • az adatkezelés automatizált módon történik.

6.5 A helyesbítéshez való jog

Az Érintett jogosult arra, hogy kérésére az Adatkezelő helyesbítse a rá vonatkozó pontatlan személyes adatokat.

6.6 A törléshez való jog (az „elfeledtetés joga”)

Az Érintett jogosult arra, hogy kérésére Adatkezelő indokolatlan késedelem nélkül, de legkésőbb a bejelentéstől számított 30 napon belül törölje a rá vonatkozó személyes adatokat. Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje:

  • ha a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték;
  • ha hozzájáruláson alapuló adatkezelésről van szó, és az érintett visszavonja az adatkezelés jogalapjául szolgáló hozzájárulását;
  • ha az érintett tiltakozik az adatkezeléssel szemben, és nincs elsőbbséget élvező ok az adatkezelésre;
  • ha a személyes adatokat jogellenesen kezelték.

6.7 Az adatkezelés korlátozásához való jog

Az Érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha

  • az Érintett vitatja a személyes adatok pontosságát;
  • az adatkezelés jogellenes, és az Érintett ellenezi a személyes adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
  • az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
  • az Érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben.

6.8 A tiltakozáshoz való jog

Az Érintett jogosult arra, hogy bármikor tiltakozzon személyes adatainak jogos érdeken alapuló kezelése ellen. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett természetes személy érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

7. A felügyeleti hatósághoz címzett panasz benyújtásának joga, jogorvoslati lehetőségek

7.1 Felügyeleti hatósághoz címzett panasz benyújtása

Adatkezelő tevékenységére panasz tehető, az adatkezeléssel kapcsolatosan az Érintett természetes személy bejelentést tehet az 2011. évi CXII. törvény 52. § alapján, valamint a GDPR Rendelet 57. cikk (1) bekezdésének alapján a kijelölt felügyeleti hatóságnál:

  • Név: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
  • Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/c.
  • Postacím: 1534 Budapest, Pf.: 834
  • Telefon: +36 (1) 391-1400
  • Telefax: +36 (1) 391-1410
  • E-mail: ugyfelszolgalat [kukac] naih [pont] hu

7.2 Bírósági eljárás kezdeményezése

Az Érintett az adatkezelés esetleg tapasztalt jogellenessége esetén polgári pert kezdeményezhet az Adatkezelő ellen. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az Érintett választása szerint – az Érintett lakóhelye szerinti törvényszék előtt is megindítható (a törvényszékek felsorolása és elérhetősége az alábbi linken keresztül tekinthető meg: https://birosag.hu/torvenyszekek).

8. Fogalommeghatározások

A Tájékoztatóban használt fogalmak meghatározásai az alábbiakban olvashatóak:

  • adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adaton végzik;
  • adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi;
  • adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
  • adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
  • hozzájárulás:
az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez;
  • különleges személyes adat: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adat, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adat, az egészségügyi adat és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adat;
  • személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Adatkezelési Tájékoztató Letöltése