XMED Platform adatkezelési tájékoztató
1. Az adatkezelő adatai
Az Ön személyes adatainak kezelését az alábbi adatkezelő végzi:
XMED 360 Global Zártkörűen Működő Részvénytársaság
Székhely: 1037 Budapest, Montevideo utca 7. 1. em.
Cégjegyzékszám: 01-10-143096
Adószám: 32702536-2-41
E-mail: contact@xmed360.com
Weboldal: www.xmed360.com
Az XMED 360 Global Zrt. (a továbbiakban: „XMED” vagy „Társaság”) digitális egészségügyi szolgáltatásokat nyújtó platformot üzemeltet, amely lehetővé teszi a felhasználók (páciensek) számára, hogy online időpontot foglaljanak egészségügyi szolgáltatókhoz, dokumentumokat osszanak meg, videókonzultáción vegyenek részt, valamint online fizetési szolgáltatásokat vegyenek igénybe.
Az adatkezelő felelős a személyes adatok kezelésének jogszerűségéért, az érintettek jogainak biztosításáért, valamint az adatbiztonság garantálásáért.
A szolgáltatások igénybevételének részletes feltételeit az Általános Szerződési Feltételek (ÁSZF) tartalmazzák, amely elérhető az adatkezelő honlapján.
2. Fogalommeghatározások
Jelen adatkezelési tájékoztató alkalmazásában az alábbi fogalmak a GDPR (EU 2016/679 rendelet) és a hazai jogszabályok (különösen az Infotv.) szerint értendők:
- személyes adat: bármely azonosított vagy azonosítható természetes személyre vonatkozó információ;
- érintett / felhasználó / páciens: az a természetes személy, aki az XMED platform szolgáltatásait igénybe veszi, ideértve a regisztrált felhasználókat és időpontfoglalókat;
- adatkezelés: a személyes adatokon végzett bármely művelet vagy műveletek összessége, például gyűjtés, rögzítés, tárolás, módosítás, továbbítás, törlés;
- adatkezelő: az a személy vagy szervezet, amely meghatározza az adatkezelés célját és eszközeit;
- adatfeldolgozó: az a harmadik fél, aki az adatkezelő nevében személyes adatokat kezel;
- egészségügyi adat: a GDPR 9. cikk (1) bekezdése szerinti különleges adat, amely egy természetes személy testi vagy mentális egészségi állapotára vonatkozik;
- közös adatkezelők: azon szervezetek, amelyek közösen határozzák meg az adatkezelés célját és eszközeit (pl. az XMED és az adott egészségügyi szolgáltató, akihez a páciens időpontot foglal).
3. Az adatkezelés célja, jogalapja, kezelt adatok köre
Az XMED az Ön személyes adatait kizárólag előre meghatározott, jogszerű célból és a célhoz szükséges mértékben kezeli.
| Adatkezelési cél | Kezelt adatok köre | Adatkezelés jogalapja |
|---|---|---|
| Felhasználói regisztráció, fiók létrehozása | Név, e-mail cím, jelszó, telefonszám | Szerződés teljesítése (GDPR 6. cikk (1) b) |
| Időpontfoglalás és kapcsolattartás | Kiválasztott szolgáltató, időpont, üzenet, értesítési beállítások | Szerződés teljesítése |
| Egészségügyi dokumentumok feltöltése és megosztása | Leletek, zárójelentések, vizsgálati anyagok | Kifejezett hozzájárulás (GDPR 9. cikk (2) a) |
| Videókonzultáció lebonyolítása, felvétel készítése | Hang- és képfelvétel, szó szerinti leirat | Hozzájárulás a felvételhez + szerződés a leirathoz |
| Számlázás, fizetés, könyvelés | Név, cím, e-mail, fizetési adatok (tokenizált) | Jogi kötelezettség (Számv. tv. alapján) |
| Panaszkezelés, visszajelzés | Panasz tartalma, kapcsolattartó adatai, kommunikációs előzmények | Jogos érdek (GDPR 6. cikk (1) f) |
| Marketing és hírlevélküldés | Név, e-mail, preferenciák | Hozzájárulás (GDPR 6. cikk (1) a) |
| Laborleletek automatikus átvétele és elérhetővé tétele a videókonzultáció előkészítése érdekében | Az érintett elmúlt 90 napban elkészült laborleletei, vizsgálati eredményei, azonosító adatok | Érintett kifejezett hozzájárulása (GDPR 6. cikk (1) a), valamint egészségügyi adatok esetén GDPR 9. cikk (2) a)) |
A videókonzultációk rögzítése nem kötelező, és kizárólag a páciens előzetes, önkéntes hozzájárulása esetén történik. A rögzített anyag legfeljebb 30 napig kerül megőrzésre, csak a szó szerinti leirat elkészítéséig. A leirat az egészségügyi dokumentáció részévé válik, és a felvétel ezután automatikusan törlésre kerül. (ÁSZF 16. pont)
A szolgáltatás használatával kapcsolatos részletes információkat az ÁSZF 3–6. pontjai tartalmazzák.
3.1. Más személy nevében történő adatkezelés és kiskorúak adatainak kezelése
Az XMED Platform lehetőséget biztosít arra, hogy a Felhasználó más személy – így különösen kiskorú gyermek, hozzátartozó vagy gondnokolt – nevében regisztráljon vagy időpontot foglaljon.
Ilyen esetben a Felhasználó köteles nyilatkozni arról, hogy a másik személy nevében történő eljárásra törvényes képviseleti joggal vagy meghatalmazással rendelkezik, és jogosult az érintett személyes és egészségügyi adatainak megadására, valamint az adatkezeléshez szükséges hozzájárulás megadására.
Az XMED – a Platform technikai működéséből adódóan – nem tudja ellenőrizni a képviseleti jog fennállását, így az adatkezelés alapjául a Felhasználó nyilatkozata szolgál.
Az XMED szakértője a konzultáció megkezdése előtt jogosult a törvényes képviselet igazolását kérni.
A törvényes képviselő teljes körű felelősséggel tartozik a másik személy nevében történt regisztrációért, a megadott adatok helyességéért és az adatkezelési nyilatkozatokért.
Az XMED nem vállal felelősséget az olyan adatkezelésért, amelyet a Felhasználó jogosulatlanul, nem valós képviseleti jog alapján kezdeményezett.
3.2. Laborleletek automatikus átvételéhez adott hozzájárulás
Amennyiben a Felhasználó laborvizsgálatot követő online konzultációra foglal időpontot, a Platform lehetőséget biztosít arra, hogy a Felhasználó kifejezett hozzájárulása alapján az XMED a SYNLAB Hungary Kft. informatikai rendszeréből, közvetlen API-kapcsolat útján átvegye az érintett elmúlt 90 napban elkészült laborleleteit.
A hozzájárulás megadása nem előfeltétele a Platform használatának; annak elmaradása esetén a Felhasználó jogosult a laborleletek manuális feltöltésére.
A Felhasználó tudomásul veszi, hogy a SYNLAB informatikai rendszerének működéséből fakadóan az adatátvétel technikailag nem szűkíthető egyes kiválasztott leletekre, hanem az adott időszak valamennyi elkészült laborleletére kiterjed.
4. Az alkalmazás működéséhez kapcsolódó adatkezelések
Az XMED Platform mobilalkalmazás és webes felület formájában is elérhető. A szolgáltatások igénybevételéhez szükséges adatkezelések a jelen tájékoztató 3. pontjában kerültek meghatározásra, azonban az alkalmazás működéséből fakadóan további, technikai jellegű adatkezelések is megvalósulnak.
4.1. Technikai adatok kezelése
Az alkalmazás használata során a rendszer működéséhez és biztonságához szükséges technikai adatok automatikusan rögzítésre kerülhetnek, így különösen:
- az alkalmazást futtató eszköz típusa és operációs rendszerének verziója,
- az alkalmazás verziója,
- rendszerhasználati és hibajelentési (log) adatok.
Ezen adatok kezelése a szolgáltatás biztonságos működéséhez, hibák azonosításához és javításához szükséges.
4.2. Adatkapcsolatok és adatáramlás
Az alkalmazás a szolgáltatások biztosítása érdekében folyamatos kapcsolatot tart fenn az XMED informatikai rendszereivel.
A szolgáltatás egyes elemei során az alkalmazás – a Felhasználó által kezdeményezett műveletek alapján – adatokat továbbíthat a Platform szerverei, valamint a szerződött partnerek informatikai rendszerei felé.
Ilyen adatkapcsolatok különösen az alábbi esetekben valósulnak meg:
- időpontfoglalás során az érintett egészségügyi szolgáltató rendszere felé,
- online fizetés során a fizetési szolgáltató rendszere felé,
- laborleletek automatikus átvétele során a SYNLAB Hungary Kft. rendszere felé.
4.3. Harmadik fél rendszereivel való integráció
A Platform működése során egyes szolgáltatások külső szolgáltatók rendszereivel való integráció útján valósulnak meg.
Ezen integrációk keretében adatátadás történhet különösen:
- egészségügyi szolgáltatók részére az ellátás biztosítása érdekében,
- laboratóriumi szolgáltatók részére (pl. SYNLAB Hungary Kft.),
- fizetési szolgáltatók részére az online fizetések lebonyolítása érdekében,
- informatikai szolgáltatók részére a rendszer működtetése céljából.
Az adatátadás minden esetben a szükséges mértékre korlátozódik.
4.4. Alkalmazáson belüli tájékoztatás és hozzájárulás
A Platform egyes adatkezelési műveletek esetében – különösen egészségügyi adatok kezelése, laborleletek automatikus átvétele, valamint videókonzultáció rögzítése során – az alkalmazáson belül külön tájékoztatást jelenít meg.
Ezekben az esetekben a Felhasználó az adott adatkezelés megkezdését megelőzően részletes információt kap, és külön nyilatkozatával dönt annak elfogadásáról.
4.5. Adatminimalizálás elve az alkalmazás működése során
Az XMED a szolgáltatások nyújtása során kizárólag az adott funkció működéséhez szükséges adatokat kezeli, és minden esetben törekszik az adatkezelés minimalizálására.
4.6. Háttérben történő adatgyűjtés és harmadik fél SDK-k használata
Az XMED Platform kizárólag a Felhasználó által kezdeményezett műveletekhez kapcsolódóan kezel adatokat.
Az alkalmazás nem végez a Felhasználó tudta nélküli, folyamatos vagy háttérben történő adatgyűjtést, és nem használ olyan harmadik fél által biztosított analitikai vagy reklám célú szoftverfejlesztői készleteket (SDK-kat), amelyek a Felhasználó viselkedésének nyomon követésére szolgálnak.
A személyes adatok kezelése minden esetben a jelen tájékoztatóban meghatározott célokhoz kötötten történik.
5. Az adatok felhasználásának céljai
A Társaság a személyes adatokat kizárólag meghatározott, egyértelmű és jogszerű célokból használja fel.
A Platform működése során kezelt adatok felhasználása különösen az alábbi célokra irányul:
5.1. Szolgáltatás nyújtása
- felhasználói fiók létrehozása és kezelése,
- időpontfoglalás és annak adminisztrációja,
- videókonzultáció lebonyolítása,
- egészségügyi dokumentumok kezelése és elérhetővé tétele,
- laborleletek átvétele és megjelenítése.
5.2. Kommunikáció a Felhasználóval
A Társaság a személyes adatokat a Felhasználóval való kapcsolattartás érdekében használja fel, így különösen:
- időpontokkal kapcsolatos értesítések küldése,
- rendszerüzenetek és tájékoztatások továbbítása,
- ügyfélszolgálati kommunikáció.
Az értesítések kizárólag a szolgáltatás működéséhez szükséges információk közlésére irányulnak, marketing célú megkeresések kizárólag a Felhasználó külön hozzájárulása alapján történnek.
5.3. Szolgáltatás biztonságának és működésének biztosítása
- technikai hibák azonosítása és kezelése,
- rendszerhasználat monitorozása,
- visszaélések megelőzése.
5.4. Jogszabályi kötelezettségek teljesítése
- számviteli és adózási kötelezettségek,
- egészségügyi dokumentációra vonatkozó előírások.
5.5. Marketing és kapcsolódó kommunikáció
Amennyiben a Felhasználó ehhez hozzájárul, a Társaság a személyes adatokat marketing célokra is felhasználhatja, így különösen:
- hírlevelek küldése,
- szolgáltatásokkal kapcsolatos ajánlatok közvetítése.
5.6. Adatok felhasználásának korlátozása
A Társaság a személyes adatokat nem használja fel:
- harmadik felek részére történő önálló kereskedelmi értékesítés céljából,
- automatizált döntéshozatal vagy profilalkotás céljából (kivéve, ha azt külön jogszabály vagy kifejezett hozzájárulás lehetővé teszi).
A Társaság a személyes adatokat nem értékesíti, és azokat nem használja fel harmadik felek részére történő célzott reklámtevékenységhez.
6. Az adatkezelés jogalapjai
Az XMED kizárólag a GDPR (az Európai Parlament és a Tanács 2016/679 rendelete) által meghatározott jogalapok alapján kezeli az Ön személyes adatait. Az egyes adatkezelési célokhoz az alábbi jogalapokat rendeljük hozzá:
a) Szerződés teljesítése (GDPR 6. cikk (1) b))
Az adatkezelés azon adatok esetén jogszerű, amelyek az XMED és a Felhasználó között létrejött szolgáltatási szerződés (ÁSZF alapján) teljesítéséhez szükségesek. Ide tartozik például:
- felhasználói fiók létrehozása,
- időpontfoglalás,
- videókonzultáció lebonyolítása,
- számlázás.
b) Jogi kötelezettség teljesítése (GDPR 6. cikk (1) c))
Bizonyos adatokat jogszabályi kötelezettségek miatt vagyunk kötelesek kezelni. Például:
- számviteli adatok megőrzése (Számv. tv. 169. § alapján),
- egészségügyi adatok dokumentálása, ahol az XMED közös adatkezelőként vesz részt.
c) Hozzájárulás (GDPR 6. cikk (1) a) és 9. cikk (2) a))
Bizonyos esetekben az Ön kifejezett hozzájárulása szükséges:
- egészségügyi dokumentumok feltöltése a rendszerbe,
- videókonzultáció rögzítése,
- marketing, hírlevélküldés.
A hozzájárulás bármikor visszavonható a felhasználói fiókban vagy e-mailben, anélkül, hogy az a korábbi adatkezelés jogszerűségét érintené.
Más személy nevében történő adatkezelés esetén a hozzájárulást a törvényes képviselő vagy meghatalmazott adja meg a Platform használatával, az ÁSZF és jelen Adatkezelési Tájékoztató elfogadásával.
d) XMED jogos érdeke (GDPR 6. cikk (1) f))
Bizonyos adatkezelések jogalapja a Társaság jogos érdeke, amennyiben az nem sérti az Ön alapvető jogait:
- panaszkezelés dokumentálása,
- a rendszer biztonságának fenntartása,
- technikai naplózás, visszaélések megelőzése.
A jogos érdeken alapuló adatkezeléseket minden esetben érdekmérlegelési teszt előzi meg.
7. Adattovábbítás és adatfeldolgozók
Az XMED kizárólag az alábbi partnerek részére továbbít személyes adatokat, kizárólag a szolgáltatások nyújtásához szükséges mértékben.
7.1. Adatfeldolgozók
| Partner | Szerep |
|---|---|
| eHealth Software Solutions Kft. | Platform fejlesztés, rendszerüzemeltetés |
| Appon Line Kft. | Platform fejlesztés, rendszerüzemeltetés |
| Invitech ICT Services Kft. | Tárhely, technikai infrastruktúra |
| Amazon Web Services EMEA SARL | Tárhely, technikai infrastruktúra |
| Rackforest Zrt. | Tárhely, technikai infrastruktúra |
| Whereby AS | Tárhely, technikai infrastruktúra |
| OTP Mobil Kft. (SimplePay) | Online fizetés lebonyolítása |
| Microsoft Ireland Operations Ltd. | Microsoft 365 szolgáltatások |
| Könyvelőiroda | Könyvelés, adózási adminisztráció |
Ezek a partnerek minden esetben írásbeli adatfeldolgozási szerződés alapján, a GDPR 28. cikke szerint járnak el.
7.2. Közös adatkezelők
Amennyiben Ön az XMED felületén keresztül időpontot foglal egy szerződött egészségügyi szolgáltatóhoz, az adott intézmény közös adatkezelőnek minősül az XMED-mel együtt. Ilyen esetekben:
- a páciens adataihoz mindkét fél hozzáfér,
- a konzultációs dokumentáció és egyes egészségügyi adatok megosztásra kerülnek,
- az adatkezelés célja és módja közösen kerül meghatározásra.
Kiemelt közös adatkezelő:
SYNLAB Hungary Kft. – laboratóriumi vizsgálatok és ügyfélszolgálati támogatás. A laborleletek automatikus átvétele során az XMED és a SYNLAB Hungary Kft. közös adatkezelőként járnak el, mivel az adatkezelés célját és eszközeit a felek közösen határozzák meg. A közös adatkezelés részletes feltételeit a felek között létrejött külön megállapodás szabályozza.
A szerződött partnerek teljes listája elérhető az ÁSZF 1. számú mellékletében.
8. Az adatok tárolásának időtartama
Az XMED az Ön adatait csak a célhoz kötötten és a jogszabályi kötelezettségek figyelembevételével tárolja. A megőrzési időtartamok a következők:
| Adattípus | Megőrzési idő |
|---|---|
| Regisztrációs adatok | A felhasználói fiók törléséig, de legfeljebb 5 év inaktivitás után |
| Időpontfoglalási adatok | A foglalástól számított 5 év |
| Videókonzultációs felvétel | Legfeljebb 30 nap, kizárólag a leirat elkészültéig |
| Konzultációs leirat | 5 év (mint egészségügyi dokumentáció) |
| Számlázási adatok | 8 év (Számv. tv. alapján) |
| Panaszkezelési dokumentumok | 5 év |
| Egészségügyi dokumentumok | A felhasználói fiók aktív fennállása alatt, vagy visszavonásig |
| Marketing adat | Visszavonásig, de legfeljebb 2 év inaktivitás után törlésre kerül |
| Laborleletek (automatikusan átvett) | A felhasználói fiók aktív fennállása alatt, illetve a hozzájárulás visszavonásáig |
A videókonzultációs felvételeket automatikus rendszer törli 30 nap után. A konzultációról készült leirat – mint orvosi dokumentáció – a szolgáltató rendszereiben a jogszabályi előírások szerint kerül megőrzésre.
9. Az érintetti jogok és azok gyakorlása
Az XMED biztosítja, hogy az érintettek – azaz Ön mint páciens – élhessenek a személyes adataik feletti rendelkezési jogaikkal a GDPR rendelkezéseinek megfelelően.
9.1. Az Ön jogai:
- Hozzáféréshez való jog (GDPR 15. cikk): jogosult információt kérni arról, hogy kezeljük-e személyes adatait, és ha igen, milyen célból, milyen típusú adatokról van szó, mennyi ideig tároljuk őket, kinek továbbítjuk, stb.
- Helyesbítéshez való jog (GDPR 16. cikk): kérheti a pontatlan vagy hiányos adatainak helyesbítését.
- Törléshez való jog („elfeledtetéshez való jog”, GDPR 17. cikk): kérheti személyes adatainak törlését, ha például visszavonja a hozzájárulását, vagy az adatokra már nincs szükség.
- Adatkezelés korlátozásához való jog (GDPR 18. cikk): kérheti, hogy zároljuk az adatait, ha vitatja azok pontosságát vagy tiltakozik az adatkezelés ellen.
- Adathordozhatósághoz való jog (GDPR 20. cikk): jogosult kérni, hogy strukturált, géppel olvasható formában megkapja az Ön által megadott adatokat, illetve kérheti azok továbbítását más adatkezelőhöz.
- Tiltakozáshoz való jog (GDPR 21. cikk): jogosult tiltakozni a jogos érdek jogalapon végzett adatkezelés ellen.
- Hozzájárulás visszavonása (GDPR 7. cikk (3) bek.): amennyiben az adatkezelés hozzájáruláson alapult, Ön azt bármikor visszavonhatja.
9.2. Joggyakorlás módja:
Jogait az alábbi módokon gyakorolhatja:
- e-mailben: contact@xmed360.com
- postai úton: 1037 Budapest, Montevideo utca 7. 1. em.
- AI chatfelületen keresztül: az XMED platform beépített chatbotja is lehetővé teszi a panasz- és joggyakorlási kérelem rögzítését.
A kérelem beérkezésétől számított legfeljebb 30 napon belül válaszolunk. Ha a válaszadás nem lehetséges ilyen határidőn belül, erről külön tájékoztatást küldünk.
A panaszkezelés folyamatáról részletes leírás található az ÁSZF 2. sz. mellékletében.
10. Az adatbiztonság elvei
Az XMED a személyes adatok biztonságát kiemelten kezeli, és megfelelő technikai és szervezési intézkedéseket alkalmaz a jogosulatlan hozzáférés, adatvesztés, megsemmisülés vagy megváltoztatás megakadályozására.
10.1. Alkalmazott intézkedések többek között:
- titkosított adatátvitel (SSL/TLS),
- kétfaktoros adminisztrátori belépés,
- jogosultság-alapú hozzáférés,
- rendszeres mentések és behatolásvédelmi kontrollok,
- adatkezelési incidens-kezelési protokoll.
10.2. Alvállalkozók kötelezettsége:
Minden adatfeldolgozónkkal írásbeli szerződést kötünk, amelyben előírjuk számukra a GDPR-nek megfelelő adatbiztonsági intézkedések fenntartását.
11. Jogorvoslati lehetőségek
Amennyiben Ön úgy véli, hogy személyes adatainak kezelése nem felel meg a hatályos adatvédelmi szabályoknak, az alábbi jogorvoslati lehetőségek állnak rendelkezésére:
11.1. Panasztétel az adatkezelőnél:
- e-mail: contact@xmed360.com
- AI chatboton keresztül
11.2. Panasz benyújtása a felügyeleti hatósághoz:
Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
Cím: 1055 Budapest, Falk Miksa utca 9–11.
Telefon: +36 1 391 1400
E-mail: ugyfelszolgalat@naih.hu
Web: www.naih.hu
11.3. Bírósághoz fordulás:
Ön bírósághoz fordulhat, ha megítélése szerint az XMED vagy bármely adatkezelő megsértette a személyes adatokhoz fűződő jogait. Az eljárás a lakóhelye vagy tartózkodási helye szerinti törvényszék előtt indítható.
Az alternatív vitarendezési lehetőségeket az ÁSZF 17. pontja tartalmazza.
11.4. Jogosulatlan adatkezelés más nevében
Amennyiben az adatkezeléssel kapcsolatban felmerül, hogy a Felhasználó jogosulatlanul járt el más személy nevében, az XMED jogosult az adatkezelést korlátozni, az érintett felet és – amennyiben szükséges – az illetékes hatóságot (NAIH) tájékoztatni.
12. A tájékoztató hatálya, módosítása
Jelen adatkezelési tájékoztató 2026. április 8. napjától hatályos, és visszavonásig érvényes.
Az XMED fenntartja a jogot, hogy a tájékoztatót egyoldalúan módosítsa, különösen jogszabályi változások, új adatkezelési célok, vagy technológiai fejlesztések esetén.
A módosított tájékoztató a platformon való közzététellel lép hatályba, és a regisztrált felhasználókat erről elektronikus úton (e-mailben) értesítjük.