Adatvédelmi Szabályzat
A Fitpuli Kft. (székhely: 9024 Győr, Katód utca 6. 1. em. 3., cégjegyzékszám: 08-09-029303, adószám: 26103639-2-08, adatkezelési nyilvántartási azonosító: NAIH-141195/2018., a továbbiakban: „Fitpuli Kft.”) mint az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény 7.§ (1) pontja szerinti adatkezelő (a továbbiakban: „adatkezelő”), az alábbi adatvédelmi szabályzatot teszi közzé az e törvényben, valamint a 2011. évi CXII. törvényben foglalt rendelkezések végrehajtása érdekében.
A személyes adatok kezelésére vonatkozó jogszabályok és azok rövidítései
A polgári perrendtartásról szóló 2016. évi CXXX. törvény („Pp.”)
A polgári törvénykönyvről szóló 2013. évi V. törvény („Ptk.”)
Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Info tv.”)
Az egészségügyről szóló 1997. évi CLIV. törvény („Eü. tv.”)
Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény („Einfotv.”)
A személyes adatkezelésre vonatkozó főbb fogalmak
Egészségügyi adat: az érintett testi, értelmi és lelki állapotára, kóros szenvedélyére, valamint a megbetegedés, illetve az elhalálozás körülményeire, a halál okára vonatkozó, általa vagy róla más személy által közölt, illetve az egészségügyi ellátóhálózat által észlelt, vizsgált, mért, leképzett vagy származtatott adat; továbbá az előzőekkel kapcsolatba hozható, az azokat befolyásoló mindennemű adat (pl. magatartás, környezet, foglalkozás);
Személyazonosító adat: a családi és utónév, leánykori név, a nem, a születési hely és idő, az anya leánykori családi és utóneve, a lakóhely, a tartózkodási hely, a társadalombiztosítási azonosító jel (a továbbiakban: TAJ szám) együttesen vagy ezek közül bármelyik, amennyiben alkalmas vagy alkalmas lehet az érintett azonosítására;
Gyógykezelés: minden olyan tevékenység, amely az egészség megőrzésére, továbbá a megbetegedések megelőzése, korai felismerése, megállapítása, gyógyítása, a megbetegedés következtében kialakult állapotromlás szinten tartása vagy javítása céljából az érintett közvetlen vizsgálatára, kezelésére, ápolására, orvosi rehabilitációjára, illetve mindezek érdekében az érintett vizsgálati anyagainak feldolgozására irányul, ideértve a gyógyszerek, gyógyászati segédeszközök, gyógyászati ellátások kiszolgálását, a mentést és betegszállítást, valamint a szülészeti ellátást is;
Orvosi titok: a gyógykezelés során az adatkezelő tudomására jutott egészségügyi és személyazonosító adat, továbbá a szükséges vagy folyamatban lévő, illetve befejezett gyógykezelésre vonatkozó, valamint a gyógykezeléssel kapcsolatban megismert egyéb adat;
Egészségügyi dokumentáció: a gyógykezelés során a betegellátó tudomására jutott egészségügyi és személyazonosító adatokat tartalmazó feljegyzés, nyilvántartás vagy bármilyen más módon rögzített adat, függetlenül annak hordozójától vagy formájától;
Kezelést végző orvos: az egészségügyről szóló 1997. évi CLIV. törvény 3. § b) pontja szerinti kezelőorvos;
Betegellátó: a kezelést végző orvos, az egészségügyi szakdolgozó, az érintett gyógykezelésével kapcsolatos tevékenységet végző egyéb személy, a gyógyszerész;
Adatkezelő: az a természetes vagy jogi személy, jogi személyiség nélküli szervezet, aki vagy amely az e törvény szerinti adatkezelési célból egészségügyi és a hozzá kapcsolódó személyes vagy személyazonosító adat kezelésére jogosult, jelen esetben a Fitpuli Kft.
Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;
Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől feltéve, hogy a technikai feladatot az adaton végzik;
Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi;
Adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés;
Hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/c., honlap: www. naih.hu)
Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;
Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés
Felhasználó: az érintett, és/vagy az érintett nevében az adatkezelés alapját képező szolgáltatás megrendelője
i. Az adatkezelés jogalapja, célja és az adatkezelés időtartama
- A személyes adatok kezelése az Infotv. 5. § (1) bekezdése szerint az Érintett jelen tájékoztatás ismeretében adott önkéntes és kifejezett hozzájárulásán, valamint az Einfotv. 4. § (1) bekezdés a.) – c.) pontjain alapul.
Az adatkezelő az adatkezelő által kezelt egyes adatok kezelésére vonatkozóan az adatkezelés célját és időtartamát az alábbiak szerint foglalja össze. - A személyes adatok kezelésének célja a felhasználó anonim módon történtő egészségügyi állapotának, valamint egyes – egészségügyi szempontból jelentőséggel bíró – jellemzőinek nyomon követése, opcionálisan a felhasználó részére célzott egészségügyi információ megjelenítése és küldése, a felhasználóval történő kapcsolattartás, valamint egészségügyi, és az alkalmazás használatára vonatkozó anonim statisztikák, elemzések készítése és az anonim módon való felhasználása és továbbítása egészségügyi, munkaegészségügyi, rehabilitációs és biztosítási valamint egészségbiztosítási feladatok elvégzése céljából.
- Az alábbi személyes adatok kerülnek összegyűjtésre:
– az érintett a saját profiljában megadja nevét, nemét, születési dátumát, munkahelyének és otthonának címét
– vérnyomás, vércukor, pulzus, rendszeresen szedett gyógyszerek, kórelőzmény, krónikus betegségek, gyógyszer és egyéb allergiák, táplálkozási szokások, étrend
– automatikusan mért paraméterek a felhasználó életmódjáról – lépésszám, megtett távolság, emeletek száma, fizikálisan aktív percek, elégetett kalória, alvási paraméterek, GPS koordináta
-az érintett opcionálisan megadhatja hangulatát
– látás-, hallásvizsgálat egy, a FitPuli Kft. által fejlesztett vizsgálat alapján - Az adatkezelés időtartama: Az érintett által a hozzájárulásában megjelölt időtartam azzal, hogy az adatok személyes jellegének megszüntetését követően az anonimizált adat korlátlan időtartamban statisztikai, tudományos és egészségügyi célból kezelhető.
ii. Az adatkezelés alapelvei
- Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.
- Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.
- A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.
- Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.
Személyes adat akkor kezelhető, ha
a) ahhoz az érintett hozzájárul, vagy
b) azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (a továbbiakban: kötelező adatkezelés). - A személyes adatok – törvényi előírás hiányában – kizárólag az érintett hozzájárulása esetén kezelhetőek.
- Az adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az e törvény és az adatkezelésre vonatkozó más szabályok alkalmazása során biztosítsa az érintettek magánszférájának védelmét.
Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. - Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
- A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok – kivéve ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
A személyes adatok automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel biztosítja
a) a jogosulatlan adatbevitel megakadályozását;
b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön. - Az adatkezelőnek és az adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek.
- Az adatkezelés céljának teljesülésével egyidejűleg az adatok törlését a jogszabályi előírások alapján kell elvégezni.
- Az adatok akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárult, vagy törvény azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek.
iii. Az érintett hozzájárulása az adatkezeléshez
- Az érintett önkéntes és feltétel nélkül hozzájárulását adja ahhoz, hogy az adatkezelő személyes adatait az adatkezelés céljához kötötten és szükséges mértékben kezelje.
- Az érintett a hozzájárulását személyes adatai kezeléséhez bármikor visszavonhatja.
- Az érintett hozzájárulásának visszavonása nem érinti a jogszabályon alapuló, kötelező adatkezelés folytatását.
- Az adatkezelő a iii.1. pontban foglalt hozzájárulásának tekinti azt, ha az érintett az adatkezelő honlapján (www.fitpuli.hu) található Adatlapot személyes adataival kitölti, és azt az Adatvédelmi Szabályzatban foglaltak tudomásulvételét és elfogadását követően elektronikus úton az adatkezelőnek megküldi vagy a FitPuli applikáció okostelefonra való letöltését és aktiválását követően ugyanezen cselekményeket megteszi. A személyes adatok valóságtartamáért és megfelelőségéért, valamint annak az érintettől való származásáért kizárólag az Adatlap benyújtója vagy az applikáció letöltője és aktiválója felel.
- Az adatkezelő a iii.1. pontban foglalt hozzájárulásának tekinti azt is, ha az érintett az adatkezelővel folytatott levelezése vagy bármely más kommunikációja során bármely formában megtett nyilatkozatában személyes adatot közöl az adatkezelővel, és azt az Adatvédelmi Szabályzatban foglaltak tudomásulvételét és elfogadását követően az adatkezelőnek megküldi vagy átadja. A személyes adatok valóságtartamáért és megfelelőségéért, valamint annak az érintettől való származásáért kizárólag az adat benyújtója felel.
- Amennyiben az adatkezelő egyértelmű bizonyosságot szerez arról, hogy a személyes adatokat nem az érintett, hanem arra való jogosultság nélkül más, harmadik személy használta fel és küldte meg, úgy a személyes adatokat az adatkezelő haladéktalanul törli, ha annak további kezelésére törvényi lehetőség vagy kötelezés már nem áll fenn.
- Az érintett hozzájárulása kiterjed az adatkezelőnek a szolgáltatás nyújtásához igénybe vett közreműködői részére az adatvédelmi szabályok betartása és titoktartási kötelezettség vállalása mellett a személyes adatok átadására. Az érintett hozzájárulása ugyancsak kiterjed a személyes adatok átadására az érintettel szemben fennálló követelés átruházása, vagy az adatkezelő jogutódlása esetében a személyes adatok átadására a követelés megszerzője, vagy az adatkezelő jogutódjának részére.
- Az adatfeldolgozónak történő adatátadás nem minősül az Infotv. 3. § 11. és 22. pontja szerint adattovábbításnak, ezért nincs szükség az érintett hozzájárulására, vagy más jogcímre.
- Az adatkezelő a szolgáltatás igénybevételével kapcsolatos adatokat bármely eltérő célból – így különösen az érintetnek címzett elektronikus hirdetés vagy egyéb címzett tartalom eljuttatása, piackutatás céljából – csak az adatkezelési cél előzetes meghatározása mellett és az érintett hozzájárulása alapján kezelhet.
iv. Az érintett jogai és azok érvényesítése
- Az érintett írásban kérelmezheti az adatkezelőnél
a) tájékoztatását személyes adatai kezeléséről,
b) személyes adatainak helyesbítését, valamint
c) személyes adatainak – a kötelező adatkezelés kivételével – törlését vagy zárolását. - Az érintett írásbeli, ajánlott küldeményként megküldött kérelmére az adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.
- Az adatkezelő az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
- Az adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
- Az adatkezelő köteles az írásbeli kérelem kézbesítésétől számított legrövidebb idő alatt, legfeljebb azonban 25 napon belül, közérthető formában, az érintett erre irányuló kérelmére írásban megadni a tájékoztatást.
A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A költségtérítés mértékét a felek között létrejött szerződés is rögzítheti. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett. - Az érintett tájékoztatását az adatkezelő csak az Infotv. 9. § (1) bekezdésében, valamint a 19. §-ban meghatározott esetekben tagadhatja meg.
A tájékoztatás megtagadása esetén az adatkezelő írásban közli az érintettel, hogy a felvilágosítás megtagadására e törvény mely rendelkezése alapján került sor. A felvilágosítás megtagadása esetén az adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről. - Az elutasított kérelmekről az adatkezelő a Hatóságot évente a tárgyévet követő év január 31-éig értesíti.
- Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az adatkezelő rendelkezésére áll, a személyes adatot az adatkezelő helyesbíti. Az érintett a helyesbítést írásban, ajánlott levélben kérheti az adatkezelőnél.
- A személyes adatot törölni kell, ha
a) kezelése jogellenes;
b) az érintett kéri;
c) az hiányos vagy téves – és ez az állapot jogszerűen nem orvosolható -, feltéve, hogy a törlést törvény nem zárja ki;
d) az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;
e) azt a bíróság vagy a Hatóság elrendelte.
Az érintett az adat törlését és zárolásátírásban, ajánlott levélben kérheti az adatkezelőtől. - A helyesbítésről, a zárolásról, a megjelölésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.
v. Jogorvoslat
- Az érintett a jogainak megsértése esetén, valamint az Infotv. 21. §-ban meghatározott esetekben az adatátvevő az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el.
- Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az adatkezelő köteles bizonyítani. Az Infotv. 21. § (5) és (6) bekezdése szerinti esetben a részére történő adattovábbítás jogszerűségét az adatátvevő köteles bizonyítani.
- A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
- Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, zárolására, törlésére, az automatizált adatfeldolgozással hozott döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére, illetve az Infotv. 21. §-ban meghatározott adatátvevő által kért adat kiadására kötelezi.
vi. Adatvédelmi felelős, adatfeldolgozó
- Az adatkezelő szervezetén belül, közvetlenül a szerv vezetőjének felügyelete alá tartozó – jogi, közigazgatási, informatikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező – belső adatvédelmi felelőst kell kinevezni a szervezetnél.
- A belső adatvédelmi felelős
a) közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
b) ellenőrzi az adatkezelésre vonatkozó jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;
c) kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót;
d) elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot;
e) vezeti a belső adatvédelmi nyilvántartást;
f) gondoskodik az adatvédelmi ismeretek oktatásáról.