Adatkezelési tájékoztató
Tájékoztatás a GondDoc rendszerben kezelt személyes adatokról (GDPR 13–14. cikk)
Utolsó frissítés: 2026. június 21. · 1.0. verzió
Ez a dokumentum tervezet — jogi felülvizsgálat alatt áll. A végleges, jogi szempontból jóváhagyott változat az éles indulásig készül el.
Ki vagyunk és mit csinálunk
A GondDoc egy szoftver, amelyet szociális intézmények (idősek otthonai) használnak ellátottjaik adatainak kezelésére és jogi dokumentumok automatikus elkészítésére.
Ebben az adatkezelésben két szerep van:
- Adatkezelő — az intézményt működtető Fenntartó (pl. Katolikus Szeretetszolgálat). Ő dönti el, milyen adatot gyűjt, milyen célból, meddig őrzi.
- Adatfeldolgozó — Jáky Dániel Fülöp egyéni vállalkozó (a GondDoc szolgáltatója). A Fenntartó utasítása szerint tárolja és kezeli az adatokat. Saját döntést nem hoz az adatkezelés céljáról.
A jelen tájékoztató az Adatfeldolgozó szerepéből születik. Az Ön (vagy hozzátartozója) konkrét adatait illetően a Fenntartó saját, részletes tájékoztatója is irányadó — tájékozódjon abból is.
Milyen adatokat kezelünk
A GondDoc a következő adatokat tárolja az ellátottakról és a velük kapcsolatban álló személyekről:
Személyes azonosító adatok:
- Teljes név, születési név
- Anyja születési neve
- Születési hely és idő
- Lakcím (állandó és tartózkodási)
- TAJ szám, személyi igazolvány szám (titkosítva!)
- Állampolgárság
Intézményi adatok:
- Felvétel dátuma, szobaszám
- Iktatószám, megállapodás kelte, jogviszony kezdetének dátuma
- Gondnokság státusza, fajtája (teljes / részleges / ideiglenes)
Egészségügyi adatok (GDPR 9. cikk szerinti különleges kategória — erősen titkosítva):
- Gondozási szükséglet, diagnózisok, gyógyszerek
- Mozgásképesség, segédeszközök
- Diétás igények, allergiák
Pénzügyi adatok (titkosítva):
- Nyugdíj és egyéb jövedelem
- Térítési díj, hátralék
- Belépési hozzájárulás
Kapcsolattartók:
- Gondnok, hozzátartozó, díjfizető neve, címe, telefonszáma
Felhasználói fiók adatok (intézményi dolgozóknak):
- Név, e-mail cím, jelszó (nem visszafejthető, kódolt formában tárolva)
- Beosztás, intézményhez tartozás
Milyen célból kezeljük
- Dokumentum generálás: megállapodások, határozatok, értesítések automatikus elkészítése az ellátottak adataiból
- Adminisztráció: ellátott-nyilvántartás, jogviszony-kezelés
- Jogi megfelelés: szociális törvény, számviteli törvény, iratkezelési szabályzat betartása
- Biztonság és naplózás: ki, mikor, mit végzett a rendszerben — biztonsági naplóban rögzítve (GDPR 5. cikk (2))
- Technikai minőségbiztosítás: a szolgáltató — a Fenntartóval kötött adatfeldolgozói szerződés keretében — hibakeresés és sablon-ellenőrzés céljából teszt-dokumentumokat készíthet az adatokból. Ezek elkülönítve, kizárólag a szolgáltató saját rendszerében tárolódnak, az intézmény rendszerébe nem kerülnek be, és legfeljebb 30 nap után automatikusan, véglegesen törlődnek.
Mennyi ideig őrizzük az adatokat
| Adat | Megőrzés |
|---|---|
| Aktív ellátott személyes és intézményi adatai | A jogviszony időtartama alatt |
| Megszűnt jogviszony adatai | A megszűnéstől számított 5 év, utána anonimizálás |
| Egészségügyi adatok | Jogszabály szerint (a Fenntartó adatkezelői döntése alapján) |
| Generált dokumentumok | 10 év (számviteli és iratkezelési szabályzat) |
| Pénzügyi adatok | 8 év (számviteli törvény) |
| Biztonsági napló (ki mit végzett) | 5 év, utána anonimizálás |
| Felhasználói fiók | Az aktív munkaviszony időtartama alatt |
Hol tároljuk az adatokat
Az adatok az Európai Unió területén (Németország, Hetzner Online GmbH adatközpont) tárolódnak. EU-n kívülre nem továbbítunk adatot. A működéshez igénybe vett külső szolgáltatók teljes listáját az Al-adatfeldolgozók oldalon találja.
Hogyan védjük az adatokat
- Titkosítás átvitel közben: TLS 1.3 (HTTPS minden hálózati kommunikációra)
- Titkosítás tárolás közben: AES-256-GCM (a TAJ számra, személyi igazolvány számra, egészségügyi és pénzügyi adatokra)
- Adatszétválasztás: egy Fenntartó soha nem látja egy másik Fenntartó adatait
- Hozzáférés-vezérlés: szerepkör-alapú jogosultság; a munkatársak csak a rájuk delegált dokumentumtípusokat látják
- Biztonsági napló: minden érzékeny művelet naplózva, utólag nem módosítható módon
- Biztonsági mentés: naponta kétszer, helyi és külső helyszínen
- Védelem a jelszó-feltöréssel szemben: 5 sikertelen kísérlet után 15 perc zárolás
- Automatikus kijelentkeztetés: 30 perc inaktivitás után
Milyen jogai vannak az érintettnek (GDPR)
Ön (vagy hozzátartozója) az alábbi jogokkal rendelkezik:
- Hozzáférés (15. cikk): kérheti, hogy a Fenntartó adja át az Önről tárolt adatokat
- Helyesbítés (16. cikk): kérheti a hibás adatok javítását
- Törlés ("elfeledtetéshez való jog", 17. cikk): kérheti az adatok törlését — de a jogi megőrzési kötelezettség (számviteli, iratkezelési) megelőzheti
- Korlátozás (18. cikk): kérheti az adatkezelés ideiglenes felfüggesztését
- Adathordozhatóság (20. cikk): kérheti az adatok átadását géppel olvasható formátumban
- Tiltakozás (21. cikk): tiltakozhat az adatkezelés ellen
- Panasz a felügyeleti hatóságnál: ha úgy érzi, sérültek a jogai, a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) fordulhat
Kérelmét a Fenntartó intézményvezetőjének nyújtsa be (mert ő az Adatkezelő). A Fenntartó köteles 30 napon belül válaszolni.
Automatizált döntéshozatal
A GondDoc rendszer nem hoz automatizált döntést Önnel kapcsolatban a GDPR 22. cikk értelmében. A dokumentum-generálás technikai folyamat — a tartalom mindig emberi (intézményi dolgozó) ellenőrzésén megy át, mielőtt aláírásra kerül.
Sütik és követés
A GondDoc rendszer csak a működéshez szigorúan szükséges sütiket (cookie-kat) használja:
- a bejelentkezés fenntartása (munkamenet-süti)
- a CSRF-támadások elleni biztonsági süti
- a felület-beállítás megőrzése (például az oldalsáv nyitott vagy csukott állapota)
Nincs analitika, marketing vagy harmadik fél általi követés (például Google Analytics, Facebook-pixel). Ezért nem jelenítünk meg süti-figyelmeztetést — a jogalap a GDPR 6. cikk (1) b) szerinti szerződés teljesítése.
E-mail-kézbesítés és követés
A rendszer által küldött tranzakciós e-mailek (meghívó, jelszó-visszaállítás, rendszerértesítések) a Brevo (Sendinblue SAS, EU) szolgáltatón keresztül kerülnek kézbesítésre. A kézbesíthetőség és a rendszerbiztonság érdekében a rendszer naplózza az e-mail kézbesítési állapotát (kézbesítve / visszapattant / blokkolva), valamint a megnyitás és a linkre kattintás tényét és időpontját.
Emellett a rendszer az elküldött e-mail szöveges tartalmát (tárgy, megszólítás — amely az Ön nevét tartalmazhatja —, törzs, gombfelirat) is eltárolja üzemeltetési átláthatóság és hibakeresés céljából. Ezt a Fenntartó intézményvezetője (a saját szervezetén belül) és a GondDoc rendszergazdája tekintheti meg, és minden megtekintés naplózásra kerül. A meghívó és a jelszó-visszaállító egyszer használatos linket biztonsági okból nem tároljuk.
Jogalap: GDPR 6. cikk (1) f) — jogos érdek (kézbesíthetőség, biztonsági értesítések eljutása, üzemeltetési átláthatóság). Az érintett tiltakozhat a megnyitás/kattintás követése ellen; ekkor csak a kézbesítési állapotot naplózzuk.
Felhasználói hozzájárulás rögzítése
A rendszerbe meghívott intézményi dolgozók a meghívó elfogadásakor egy jelölőnégyzettel kifejezetten elfogadják a Felhasználási feltételeket, és megismerik a jelen Adatkezelési tájékoztatót. Az elfogadás ténye, az elfogadott dokumentum azonosítója és verziószáma, valamint az elfogadás pontos időpontja a biztonsági naplóban (amely utólag nem módosítható) rögzítésre kerül — ez szolgál a szerződéskötés bizonyítékaként (GDPR 6. cikk (1) b)). A jelszón felül ez nem keletkeztet új adatkört.
Frissítések ehhez a tájékoztatóhoz
Ha módosítjuk az adatkezelési gyakorlatunkat, a tájékoztatót frissítjük. A jelentős változásokról a Fenntartón keresztül értesítjük az érintetteket. A mindenkori aktuális változat a /adatkezeles címen érhető el.
Kérdés, panasz, kapcsolat
- Fenntartói kapcsolattartó (Adatkezelő): a Fenntartó által megadott elérhetőség
- Adatfeldolgozó technikai kapcsolat: Jáky Dániel Fülöp egyéni vállalkozó — jakyfulop@gmail.com
- NAIH (felügyeleti hatóság): ugyfelszolgalat@naih.hu, +36 1 391 1400