Adatvédelmi tájékoztató

1. Bevezetés

A Galgóczi Dent Kft. (a továbbiakban: „Adatkezelő” vagy „Rendelő”) elkötelezett pácienseinek és weboldal-látogatóinak adatai védelmében.

A jelen tájékoztató részletesen ismerteti, hogy az Adatkezelő által üzemeltetett jazmin-dent.hu (és átirányított további domain-ek: jazmindent.hu, galgoczi-dent.hu, galgoczident.hu, godolloi-fogorvos.hu, galgoczi-fogaszat.hu) weboldalon, valamint a Rendelő működésével kapcsolatban milyen személyes adatokat, milyen célból, milyen jogalapon és meddig kezelünk.

A tájékoztató a következő jogszabályoknak felel meg:

• Az Európai Parlament és a Tanács (EU) 2016/679. rendelete (GDPR — General Data Protection Regulation);
• Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.);
• Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről szóló 1997. évi XLVII. törvény (Eüak.);
• Az elektronikus kereskedelmi szolgáltatások szabályozásáról szóló 2001. évi CVIII. törvény (Eker. tv.).

A weboldal használatával Ön elfogadja a jelen tájékoztatóban foglaltakat.

2. Az adatkezelő adatai

Cégnév	Galgóczi Dent Kft.
Cégjegyzékszám	13-09-222963
Adószám	32095782-1-13
Bejegyzés	2022. 09. 21.
Székhely / Rendelő	2100 Gödöllő, Gábor Áron u. 2-10. (Átrium üzletház, emelet)
Képviselő	Dr. Galgóczi Natália ügyvezető
Telefon	+36 30 636 8894
Adatvédelmi kapcsolat	zspiger@gmail.com

Az Adatkezelő — méretéből és tevékenységi köréből adódóan — nem köteles adatvédelmi tisztviselőt (DPO) kijelölni a GDPR 37. cikke alapján. Az érintetti jogokkal kapcsolatos megkeresésekre a fenti email-címen reagálunk.

3. A kezelt adatok köre, célja és jogalapja

3.1. Weboldal-látogatás (látogatottsági statisztika)

A weboldal minden látogatásánál a következő adatokat rögzítjük szerverünkön:

• IP-cím (anonimizálatlanul, max. 12 hónapig)
• Böngésző-azonosító (User-Agent string)
• Meglátogatott URL és időpont
• Hivatkozó oldal (referrer URL)
• Bot-besorolás (valódi látogató / kereső-bot / SEO-elemző bot / blokkolt bot)

Cél: a weboldal látogatottságának mérése, statisztikák készítése, biztonsági események (brute-force támadás, abuse) felismerése.
Jogalap: a GDPR 6. cikk (1) bekezdés f) pontja — az Adatkezelő jogos érdeke (weboldal biztonsága és teljesítményének mérése).
Tárolás: az adatok rotált formában maradnak a szerveren; személyes azonosítás célja nincs, csak aggregátum-statisztikák.

3.2. Süti (cookie) kezelés

Részletesen lásd a 10. fejezetben. Csak technikailag szükséges sütiket használunk:

• jd_cookie_consent — a süti-választás emléke (1 év)
• jd_sess — admin-bejelentkezési session (1 óra)

Harmadik fél analitikai eszközöket (Google Analytics, Facebook Pixel stb.) NEM használunk.

3.3. Online betegnyilvántartó / felkészülési kérdőív

Az opcionálisan kitölthető online űrlapon (/szorongas-kerdoiv) megadott adatok:

Általános személyes adatok (GDPR Art. 6):

• Név, születési dátum, lakcím, irányítószám
• Telefonszám, email-cím
• TAJ-szám
• Időpontfoglalási információ (van/nincs, dátum)
• Honnan hallott rendelőnkről

Különleges (egészségügyi) személyes adatok (GDPR Art. 9 — különleges kategória):

• Vérnyomás, terhesség, vérzékenység / véralvadásgátló-szedés
• Folyamatosan szedett gyógyszerek, korábbi és jelenlegi betegségek, műtétek
• Allergiák (általános, gyógyszer-, fém-allergia)
• Függőségek (drog, alkohol, dohányzás)
• Fertőző betegségek (TBC, AIDS, hepatitis)
• Szorongás-szint, kommunikációs igények, korábbi fogászati tapasztalatok

Cél: a fogászati ellátás előkészítése, a páciens biztonságos és személyre szabott fogadása, a hagyományos papír-betegnyilvántartó kiváltása.
Jogalap (általános adatok): GDPR 6. cikk (1) bekezdés a) pont — az érintett hozzájárulása (a kötelező opt-in pipa az űrlap végén).
Jogalap (egészségügyi adatok): GDPR 9. cikk (2) bekezdés h) pont — preventív vagy foglalkozás-egészségügyi célból, egészségügyi szakember kezelése által, akit szakmai titoktartási kötelezettség terhel; valamint az Eüak. 4. § (1) bekezdése (egészségügyi ellátás).
Adatszolgáltatás opcionális: az űrlap kitöltése önkéntes, de hivatalos betegnyilvántartáshoz (a Rendelőben aláíratandó papír kiváltásához) név, születési dátum és TAJ-szám szükséges.

3.4. Időpontfoglalás telefonon

A Rendelőben az időpontfoglalás kizárólag telefonon történik. Az asszisztens által felvett adatok (név, telefonszám, időpont) papíralapú időpont-naplóban kerülnek rögzítésre. Ez a tájékoztató a weboldal-használathoz kapcsolódó adatkezelésre vonatkozik.

3.5. Email-küldés a páciensnek

Ha a kérdőív kitöltésekor megadja email-címét, automatikus köszönő email-t küldünk Önnek. A levél a megadott email-címre megy, tartalma a felkészülésére vonatkozó tájékoztató.

4. Az adatok tárolási ideje

Adat-kategória	Tárolási idő
Weboldal-látogatási napló (IP, UA, URL)	Max. 12 hónap
jd_cookie_consent süti	1 év (lejár vagy a felhasználó törli)
jd_sess admin-session süti	1 óra (vagy kijelentkezésig)
Online betegnyilvántartó / kérdőív adatok (egészségügyi)	A páciens-kapcsolat fennállásáig, legfeljebb az Eüak. 30. § szerinti 30 év (egészségügyi dokumentációra vonatkozó megőrzési kötelezettség)
Adatbázis-mentések	Forgó 7 napi mentés (FTP-vel hozzáférhető)
Bejelentkezési kísérletek (security_log)	12 hónap
Hozzájárulás visszavonása esetén	Haladéktalan törlés (kivéve kötelező megőrzési időszak)

5. Adatfeldolgozók és címzettek

Az Adatkezelő a következő adatfeldolgozókat veszi igénybe:

Adatfeldolgozó	Tevékenység	Adatkör
Rackhost Zrt. 6722 Szeged, Tisza Lajos krt. 41. magyar székhelyű	Webtárhely-szolgáltatás (hosting) és email-szolgáltatás (a céges info@jazmin-dent.hu fiókhoz tartozó SMTP/IMAP-szerver)	A weboldal teljes tartalma, az adatbázisban tárolt összes adat (beleértve az egészségügyi adatokat is), valamint a kimenő és bejövő emailek tartalma (köszönő email a páciensnek, adatbázis-mentések, értesítések)
Google LLC (Gemini AI) 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA	Mesterséges intelligencia (heti SEO riport elemzés, fogászati szakszótár-magyarázatok)	Nem személyes adatok — aggregátum látogatottsági statisztikák (mely oldalt hányszor nézték), illetve egyes fogászati kifejezések (pl. „endodontia”). Konkrét személyhez köthető páciens-adat NEM kerül átadásra.

Az adatfeldolgozók az Adatkezelő utasításai alapján járnak el, és saját céljukra az átadott adatokat nem használhatják fel. A weboldal és a kimenő emailek minden adata a Rackhost Zrt. magyarországi szerverein kezelődik (EU/EGT-területen belül). A Google Gemini AI-nak átadott adatok GDPR-megfeleltetése a 6. fejezet szerinti.

6. Adattovábbítás külföldre

A Google Gemini AI használata során bizonyos nem személyes adatok (aggregátum látogatottsági statisztikák, fogászati szakkifejezések) az Európai Unión kívüli (USA-beli) szervereken is feldolgozódhatnak. A Google LLC tagja az EU-US Data Privacy Framework programnak, amelyet az Európai Bizottság a 2023/1795. számú végrehajtási határozatával megfelelőséginek nyilvánított. Ennek értelmében az USA-ba történő adattovábbítás a GDPR 45. cikke szerint megfelelő.

Páciens-azonosító adatok (név, email, TAJ, egészségügyi adatok stb.) az EGT/EU területén kívülre NEM kerülnek. A weboldal teljes adatbázisa és a kimenő emailek a Rackhost Zrt. magyarországi szerverein kezelődnek.

7. Az érintett jogai

A GDPR és az Infotv. szerint Ön mint érintett a következő jogokkal rendelkezik:

• Tájékoztatáshoz való jog (GDPR 13–14. cikk): jelen tájékoztató szolgálja.
• Hozzáférési jog (GDPR 15. cikk): kérheti, hogy közöljük, milyen adatait kezeljük, milyen célból, kinek továbbítjuk.
• Helyesbítéshez való jog (GDPR 16. cikk): pontatlan vagy hiányos adatainak helyesbítését kérheti.
• Törléshez való jog („elfeledtetéshez való jog”) (GDPR 17. cikk): kérheti adatainak törlését, kivéve ha azokat jogszabály alapján meg kell őriznünk (pl. egészségügyi dokumentáció Eüak. szerinti 30 éves megőrzése).
• Korlátozáshoz való jog (GDPR 18. cikk): korlátozhatja az adatkezelést bizonyos esetekben.
• Adathordozhatósághoz való jog (GDPR 20. cikk): tagolt, géppel olvasható formában megkaphatja adatait, vagy másik adatkezelőhöz továbbíttathatja.
• Tiltakozáshoz való jog (GDPR 21. cikk): tiltakozhat az adatkezelés ellen, ha az jogos érdeken alapul.
• Hozzájárulás visszavonása (GDPR 7. cikk (3)): a hozzájáruláson alapuló adatkezelést bármikor visszavonhatja — ez nem érinti a visszavonás előtti adatkezelés jogszerűségét.

Megkeresési mód: a jogai gyakorlása érdekében email-ben jelezze megkeresését az zspiger@gmail.com címre. Postai úton az Adatkezelő székhelyére. Megkeresésére indokolatlan késedelem nélkül, de legkésőbb 1 hónapon belül érdemi választ adunk.

8. Jogorvoslat — NAIH és bíróság

Ha úgy érzi, hogy az Adatkezelő megsértette az Ön személyes adatainak védelméhez fűződő jogait, panaszt nyújthat be:

1. A Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH):

Cím	1055 Budapest, Falk Miksa utca 9-11.
Postacím	1363 Budapest, Pf. 9.
Telefon	+36 1 391 1400
Fax	+36 1 391 1410
Email	ugyfelszolgalat@naih.hu
Weboldal	www.naih.hu

2. Bírósághoz fordulhat a lakóhelye vagy az Adatkezelő székhelye szerint illetékes törvényszéken. A per illetékmentes.

9. Adatbiztonsági intézkedések

Az Adatkezelő a GDPR 32. cikkének megfelelően a következő technikai és szervezési intézkedéseket alkalmazza:

• Titkosított átvitel: a teljes weboldal HTTPS/TLS 1.2+ protokollon működik (HSTS-szel megerősítve).
• Jelszó-tárolás: az admin-jelszavak bcrypt algoritmussal (cost: 12) hashelve tárolódnak, plaintext sosem.
• CSRF védelem: minden POST-művelet token-ellenőrzéssel védve.
• Brute-force védelem: 5 sikertelen bejelentkezési kísérlet után 15 perces IP-zárolás. Anomália-monitoring napi automatikus emailes riasztással.
• Süti-biztonság: minden süti HttpOnly, Secure, SameSite=Strict jelzőkkel.
• CSP: Content Security Policy fejléccel, nonce-alapú script-engedélyezéssel.
• Adatbázis-mentés: napi automatikus gzip-mentés a webszerveren, 7 napi rotációval. A mentés-fájlok web-felületen NEM elérhetők (csak FTP-vel).
• Sebezhetőség-tesztelés: rendszeres ZAP-pen-teszt + manuális kódellenőrzés.
• Bejelentkezés-monitoring: sikeres admin-bejelentkezésekor azonnali email-értesítő (IP, böngésző, időpont).

10. Sütik (cookie-k) részletesen

A weboldal kizárólag technikailag szükséges sütiket használ:

Süti neve	Cél	Élettartam	Típus
jd_cookie_consent	A süti-választás emléke (0 = csak szükséges / 1 = elfogadva)	1 év	Saját, technikai
jd_sess	Admin-bejelentkezési session azonosító (csak az adminisztrátorra vonatkozik)	1 óra	Saját, technikai
jd_holiday_seen (sessionStorage)	A nyitvatartási értesítés egyszeri megtekintésének emléke	Böngésző-zárásig	Saját, technikai

Mivel csak technikailag szükséges sütiket használunk, az ePrivacy irányelv és a GDPR alapján külön süti-hozzájárulásra nincs szükség — ennek ellenére a weboldal alján tájékoztató sávban értesítjük az új látogatókat.

A sütik bármikor letilthatók a böngészőben (általában: Beállítások → Adatvédelem és biztonság → Sütik). A süti letiltása nem akadályozza a weboldal normál működését.

11. Egyéb tudnivalók

11.1. Adatvédelmi incidens

Adatvédelmi incidens esetén az Adatkezelő — a GDPR 33. cikkének megfelelően — 72 órán belül bejelentést tesz a NAIH-nak, és ha az incidens valószínűleg magas kockázattal jár az érintettek jogaira nézve, a 34. cikk szerint az érintetteket is haladéktalanul tájékoztatja.

11.2. Automatizált döntéshozatal

Az Adatkezelő nem végez automatizált döntéshozatalt vagy profilalkotást a páciens-adatokon. A heti látogatottsági statisztikákat a Google Gemini AI elemzi, de ennek eredménye az Adatkezelő belső használatára szól, az egyes pácienseket nem érinti.

11.3. Szellemi tulajdon

A weboldal tartalma (szövegek, képek, grafikai megjelenés, forráskód) az Adatkezelő szellemi tulajdona. Bármilyen felhasználás csak az Adatkezelő írásos engedélyével lehetséges.

11.4. Külső linkek

A weboldal külső weboldalakra mutató linkeket tartalmazhat (pl. egészségpénztárak honlapja). Ezen oldalak tartalmáért és adatkezeléséért az Adatkezelő felelősséget nem vállal.

11.5. A tájékoztató módosítása

Az Adatkezelő fenntartja a jogot a jelen tájékoztató bármikori módosítására. A módosítás a weboldalon való közzététellel lép hatályba. Lényeges változás esetén az érintetteket — amennyiben hozzájárulási alapú adatkezelés kapcsán változnak feltételek — külön értesítjük.