Spicy Analytics Korlátolt Felelősségű Társaság A Klinikai Kutatási Iránytű programra vonatkozó ADATKEZELÉSI TÁJÉKOZTATÓ 2015. március 23. 1. BEVEZETÉS... 2 2. ÁLTALÁNOS RENDELKEZÉSEK... 2 3. DEFINÍCIÓK... 4 4. A SZEMÉLYES ADATOK KÖRE, AZ ADATKEZELÉS CÉLJA, JOGCÍME ÉS IDŐTARTAMA... 5 4.1. A REGISZTRÁCIÓ SORÁN RÖGZÍTETT ADATOK KEZELÉSE... 5 4.2. A SZOLGÁLTATÁSSAL KAPCSOLATOS ÜGYFÉLLEVELEZÉSE (PANASZOK, BEJELENTÉSEK ÉS KÉRELMEK)... 5 4.3. EGYÉB ADATKEZELÉSEK... 6 5. A SZEMÉLYES ADATOK TÁROLÁSÁNAK MÓDJA, AZ ADATKEZELÉS BIZTONSÁGA... 6 6. AZ ADATKEZELŐ ADATAI, ELÉRHETŐSÉGE... 7 7. AZ ADATFELDOLGOZÓK ADATAI, ELÉRHETŐSÉGEI... 7 8. JOGORVOSLATI LEHETŐSÉGEK... 7
1. BEVEZETÉS A Spicy Analytics Kft. (székhelye: 2500 Esztergom, Petőfi S. u. 19. B. ép. fsz/1.; a továbbiakban: Szolgáltató ) által szervezett Klinikai Kutatási Iránytű program célja, hogy klinikai kutatásokban részt venni kívánó emberek számára tájékoztatást nyújtson az aktuális és releváns klinikai kutatásokról (a továbbiakban: Szolgáltatás ). A program megvalósításához elengedhetetlenül szükséges az, hogy az érintett személyek személyes adatait is kezelje a Szolgáltató. A jelen adatkezelési tájékoztató (a továbbiakban: Tájékoztató ) célja, hogy az érintetteket tájékoztassa a Szolgáltatással összefüggő adatkezeléseinek legfontosabb körülményeiről. 2. ÁLTALÁNOS RENDELKEZÉSEK A Szolgáltató a Szolgáltatás nyújtása során adatkezelőként jár el és magára nézve kötelezőnek ismeri el a jelen Tájékoztató tartalmát. A Szolgáltató kötelezettséget vállal arra, hogy a Szolgáltatással kapcsolatos minden adatkezelés megfelel a jelen Tájékoztatóban és a hatályos jogszabályokban meghatározott elvárásoknak. A Szolgáltatást igénybe venni kívánó érintett adatait kizárólag a Szolgáltató kezeli a jelen Tájékoztatóban megjelölt adatfeldolgozók közreműködésével. A személyes adatok kezelésére kizárólag Magyarországon, más EGT-államban vagy más olyan harmadik országban kerül sor, amelyben biztosított a személyes adatok megfelelő szintű védelme. A Szolgáltató a Szolgáltatáshoz kapcsolódóan kezelt személyes adatokat a jelen Tájékoztatóban megjelölt adatfeldolgozókon kívüli személyeknek nem továbbítja. A Szolgáltató adatkezeléseivel kapcsolatosan felmerülő adatvédelmi szabályok és információk folyamatosan elérhetők a http://kutatasiranytu.hu internetcím alatt található honlapon. A Szolgáltató fenntartja magának a jogot a Tájékoztató megváltoztatására, melyről a hatályos jogszabályoknak megfelelő tájékoztatást ad. Amennyiben kérdése merülne fel a Tájékoztatóhoz kapcsolódóan, kérjük, a ugyfelszolgalat@kutatasiranytu.hu e-mail címen írjon nekünk, és kollégánk megválaszolja kérdését. A Szolgáltató elkötelezett az érintettek személyes adatainak védelmében, és kiemelten fontosnak tartja az érintettek információs önrendelkezési jogának tiszteletben tartását. A Szolgáltató a személyes adatokat bizalmasan kezeli, és megtesz minden olyan biztonsági, technikai és szervezési intézkedést, mely az adatok biztonságát garantálja. A Szolgáltató adatkezelési alapelvei összhangban állnak az adatvédelemmel kapcsolatos hatályos jogszabályokkal, így különösen az alábbiakkal: Magyarország Alaptörvénye (Szabadság és felelősség, VI. cikk); a személyszállítási szolgáltatásokról szóló 2012. évi XLI. törvény (Sztv.); 2
az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.); a Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.); az egészségügyről szóló 1997. évi CLIV. törvény (Eütv.). 3
3. DEFINÍCIÓK A Tájékoztatóban található kifejezések tartalmára az Infotv. szerinti definíciók irányadóak, így különösen: 3.1. Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik. 3.2. Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely az adatkezelővel kötött szerződése alapján beleértve a jogszabály rendelkezése alapján történő szerződéskötést is az adatok feldolgozását végzi. 3.3. Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők rögzítése. 3.4. Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja. 3.5. Adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából. 3.6. Adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése. 3.7. Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele. 3.8. Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges. 3.9. Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából. 3.10. EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez. 3.11. Érintett: bármely meghatározott, személyes adat alapján azonosított vagy közvetlenül vagy közvetve azonosítható természetes személy. 3.12. Harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval. 3.13. Harmadik ország: minden olyan állam, amely nem EGT-állam. 3.14. Hozzájárulás: az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű vagy egyes műveletekre kiterjedő kezeléséhez. 3.15. Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele. 3.16. Személyes adat: az érintettel kapcsolatba hozható adat különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret, valamint az abból levonható, az érintettre vonatkozó következtetés. 3.17. Tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri. 4
4. A SZEMÉLYES ADATOK KÖRE, AZ ADATKEZELÉS CÉLJA, JOGCÍME ÉS IDŐTARTAMA Felhívjuk a Szolgáltató részére adatközlők figyelmét, hogy amennyiben nem saját személyes adataikat adják meg, az adatközlő kötelessége az érintett hozzájárulásának beszerzése. 4.1. A REGISZTRÁCIÓ SORÁN RÖGZÍTETT ADATOK KEZELÉSE Az adatkezelés célja: a Szolgáltatás megfelelő működtetése, az érintett akaratának megfelelő tájékoztatás nyújtása. Az adatkezelés tartalma: az adatkezelés céljához szükséges bármilyen adatkezelési művelet végrehajtása, így különösen az adatok rögzítése, tárolása, olvasása, felhasználása, módosítása, rendszerezése, anonimizálása, egyéb (nem személyes) adatokkal összekapcsolása, törlése, megsemmisítése, anonimizált formában történő statisztikai adatszolgáltatás. Az adatkezelés jogalapja: Az Infotv. 5. (1) a) pont szerinti hozzájárulást adnak az érintettek az adatkezeléshez elektronikus úton, szóban vagy papír alapon. A kezelt adatok köre: az érintett családi és utóneve, születési ideje, TAJ-száma, lakcíme, telefonszáma, e-mail címe. Kivételes esetben egy konkrét klinikai kutatással kapcsolatban a regisztrációt követően a Szolgáltató rögzítheti és kezelheti a következő adatokat: gyógyszeres kezelés adatai, jelenleg szedett vagy múltban szedett készítmények, jelenlegi vagy múltbeli betegségek, azok BNO kódjai, kezeléssel kapcsolatos bioparaméterek, laborleletek, egyéb diagnosztikai leletek eredményei. A kezelt adatok forrása: közvetlenül az érintettől felvett adatok (személyesen, telefonon, interneten, postai úton stb.). Az adatkezelés időtartama: az érintettől származó törlési kérelem beérkezéséig. A regisztráció után egy konkrét klinikai kutatással kapcsolatban felvett adatokat a Szolgáltató sikeres klinikai kutatásba való beválasztást követően haladéktalanul megsemmisíti. Az adatkezelés nyilvántartási száma: folyamatban. 4.2. A SZOLGÁLTATÁSSAL KAPCSOLATOS ÜGYFÉLLEVELEZÉSE (PANASZOK, BEJELENTÉSEK ÉS KÉRELMEK) Amennyiben a Szolgáltatással kapcsolatban az érintett személyesen, telefonon, e-mailben vagy egyéb úton panasszal, egyéb bejelentéssel vagy kérelemmel fordul a Szolgáltatóhoz, úgy azt a Szolgáltató rögzíti és nyilvántartja, valamint intézi és megválaszolja a fogyasztóvédelemről szóló 1997. évi CLV. törvény ( Fogy. tv. ) 17/A-C. -ai alapján. Amennyiben a nyilvántartásba kerülő adatok között személyes adatok is vannak, akkor azok kezelésére a jelen Tájékoztatóban foglaltak megfelelően irányadóak, azzal hogy Fogy. tv. 17/A. (7) bekezdésében meghatározottak szerint a Szolgáltató a panaszról felvett jegyzőkönyvet öt évig köteles megőrizni. 5
4.3. EGYÉB ADATKEZELÉSEK A Tájékoztatóban fel nem sorolt adatkezelésekről az adat felvételekor adunk tájékoztatást. Tájékoztatjuk az érintetteket, hogy a bíróság, az ügyész, a nyomozó hatóság, a szabálysértési hatóság, a közigazgatási hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság ( NAIH ), illetőleg jogszabály felhatalmazása alapján más szervek tájékoztatás adása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása érdekében megkereshetik a Szolgáltatót. A Szolgáltató a hatóságok részére amennyiben a hatóság a pontos célt és az adatok körét megjelölte személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges. 5. A SZEMÉLYES ADATOK TÁROLÁSÁNAK MÓDJA, AZ ADATKEZELÉS BIZTONSÁGA A Szolgáltató az elektronikus úton rögzített személyes adatokat a 1026 Budapest, Harangvirág u. 5. szám alatt működő szervereken és az Amazon Web Services, Inc. által üzemeltetett szervereken tárolja. A Szolgáltató a 1026 Budapest, Harangvirág u. 5. szám alatt őrzi a Szolgáltatás nyújtása során keletkezett papír alapú iratokat. A Szolgáltató a személyes adatok kezeléséhez a Szolgáltatás nyújtása során alkalmazott informatikai eszközöket úgy választja meg és üzemelteti, hogy a kezelt adat: a) az arra feljogosítottak számára hozzáférhető (rendelkezésre állás); b) hitelessége és hitelesítése biztosított (adatkezelés hitelessége); c) változatlansága igazolható (adatintegritás); d) a jogosulatlan hozzáférés ellen védett (adat bizalmassága) legyen. A Szolgáltató az adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés, sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. A Szolgáltató a különböző nyilvántartásaiban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítja, hogy a tárolt adatok kivéve, ha azt törvény lehetővé teszi közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők. A Szolgáltató a technika mindenkori fejlettségére tekintettel olyan műszaki, szervezési és szervezeti intézkedésekkel gondoskodik az adatkezelés biztonságának védelméről, amely az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt. A Szolgáltató az adatkezelés során megőrzi a) a titkosságot: megvédi az információt, hogy csak az férhessen hozzá, aki erre jogosult; b) a sértetlenséget: megvédi az információnak és a feldolgozás módszerének a pontosságát és teljességét; 6
c) a rendelkezésre állást: gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök. A Szolgáltató és együttműködő partnerei informatikai rendszere és hálózata egyaránt védett a számítógéppel támogatott csalás, kémkedés, szabotázs, vandalizmus, tűz és árvíz, továbbá a számítógépvírusok, a számítógépes betörések és a szolgálatmegtagadásra vezető támadások ellen. Az üzemeltető a biztonságról szerverszintű és alkalmazásszintű védelmi eljárásokkal gondoskodik. Tájékoztatjuk az Utasokat, hogy az interneten továbbított elektronikus üzenetek, protokolltól (e-mail, web, ftp, stb.) függetlenül sérülékenyek az olyan hálózati fenyegetésekkel szemben, amelyek tisztességtelen tevékenységre, szerződés vitatására, vagy az információ felfedésére, módosítására vezetnek. Az ilyen fenyegetésektől megvédendő a Szolgáltató megtesz minden tőle elvárható óvintézkedést, ennek keretében a rendszereket megfigyeli annak érdekében, hogy minden biztonsági eltérést rögzíthessen, és bizonyítékkal szolgálhasson minden biztonsági esemény esetében. A rendszermegfigyelés ezen kívül lehetővé teszi az alkalmazott óvintézkedések hatékonyságának ellenőrzését is. 6. AZ ADATKEZELŐ ADATAI, ELÉRHETŐSÉGE Spicy Analytics Kft. Székhely: 2500 Esztergom, Petőfi S. u. 19. B. ép. fsz/1. Cégjegyzékszám: 11-09-023137 Honlap: http://kutatasiranytu.hu Telefonszám: +36 1 510 0052 E-mail: ugyfelszolgalat@kutatasiranytu.hu Adatkezelési nyilvántartási szám: beszerzése folyamatban. 7. AZ ADATFELDOLGOZÓK ADATAI, ELÉRHETŐSÉGEI Amazon Web Services, Inc. Székhely: Seattle, WA 98108-1226 Honlap: http://aws.amazon.com A Szolgáltató és az Amazon Web Services, Inc. ( AWS ) közötti szerződés értelmében az AWS felhőszolgáltatást nyújt a Szolgáltató számára a Klinikai Iránytű Program keretében kezelt személyes adatok tárolása érdekében. Az AWS kizárólag a szerződés és a Szolgáltató egyedi utasításai szerinti műveleteket hajthatja végre a személyes adatokon. A Szolgáltató fenntartja a jogot további adatfeldolgozó igénybevételére, amelynek személyéről legkésőbb az adatfeldolgozás megkezdésekor ad egyedi módon tájékoztatást. 8. JOGORVOSLATI LEHETŐSÉGEK Az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve a kötelező adatkezelések kivételével törlését vagy zárolását az adatfelvételénél jelzett módon, illetve az adatkezelő feltüntetett elérhetőségein. 7
Az érintett kérelmére Szolgáltató tájékoztatást ad az általa kezelt, illetőleg az általa megbízott feldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá adattovábbítás esetén annak jogalapjáról és címzettjéről. Az adatkezelő a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül (amennyiben más jogszabály erre rövidebb határidőt nem ír elő) közérthető formában az érintett erre irányuló kérelmére írásban adja meg a tájékoztatást. E tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozó tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. Egyéb esetekben a Szolgáltató költségtérítést állapít meg. A Szolgáltató a személyes adatot helyesbíti, ha az a valóságnak nem felel meg és a valóságnak megfelelő személyes adat a rendelkezésére áll. A Szolgáltató zárolja a személyes adatot, ha az érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. A zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta. A Szolgáltató megjelöli az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen. A Szolgáltató a személyes adatot törli, ha kezelése jogellenes, az érintett kéri, a kezelt adat hiányos vagy téves és ez az állapot jogszerűen nem orvosolható feltéve, hogy a törlést törvény nem zárja ki, az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt, azt a bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság elrendelte. A személyes adatok törlésére, zárolására, helyesbítésére 30 nap áll az adatkezelő rendelkezésére. Amennyiben az adatkezelő az érintett helyesbítés, zárolás vagy törlés iránti igényét nem teljesíti, 30 napon belül írásban közli az elutasítás indokait. A Szolgáltató a helyesbítésről, a zárolásról, a megjelölésről és a törlésről az érintettet, továbbá mindazokat értesíti, akiknek korábban az adatot adatkezelés céljára továbbította. Az értesítést mellőzi, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti. Az érintett tiltakozhat személyes adatának kezelése ellen, ha a) a személyes adatok kezelése vagy továbbítása kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el; b) a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvéleménykutatás vagy tudományos kutatás céljára történik; c) törvényben meghatározott egyéb esetben. A Szolgáltató a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja. Ha az adatkezelő az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést beleértve a további adatfelvételt és 8
adattovábbítást is megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. Amennyiben az érintett az adatkezelőnek a meghozott döntésével nem ért egyet, az ellen annak közlésétől számított 30 napon belül bírósághoz fordulhat. Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A Szolgáltató az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt megtéríti. Az adatkezelő mentesül a felelősség alól, ha a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Az adatkezelő nem téríti meg a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott. Amennyiben a Szolgáltató adatkezelésével kapcsolatban kérdése, észrevétele, problémája van, forduljon a Szolgáltatóhoz a 6. pontban megjelölt elérhetőségeken. Jogorvoslati lehetőséggel, panasszal a NAIH-nál lehet élni: Nemzeti Adatvédelmi és Információszabadság Hatóság Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/C. Levelezési cím: 1530 Budapest, Pf.: 5. Telefon: +36 1 391 1400 Telefax: +36 1 391 1410 E-mail: ugyfelszolgalat@naih.hu Honlap: http://www.naih.hu 9