ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT

ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT

ADATVÉDELMI ÉS ADATKEZELÉSI

SZABÁLYZAT

Az adatvédelmi és adatkezelési szabályzat alkalmazása

 

A szervezet megnevezése:                           Lantos Corp Kft.

 

A szervezet székhelye:                                  1016 Budapest, Mészáros u. 2. 3/1A

 

A szabályzat tartalmáért felelős személy:     Lantos Gábor, ügyvezető

 

A szabályzat hatályba lépésének dátuma:    2018.05.21.

 

Ez  a  szabályzat  a  természetes  személyeknek  a  személyes  adatok  kezelése  tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg.  A  szabályzatban  foglaltakat  kell  alkalmazni  a  konkrét  adatkezelési  tevékenységek során, valamint az adatkezelést szabályozó utasítások és tájékoztatások kiadásakor.

 

Adatvédelmi  tisztviselő  alkalmazási  (kijelölési)  kötelezettség  kiterjed  minden  közhatalmi szervre  vagy  egyéb,  közfeladatot  ellátó  szervre  (függetlenül  attól,  hogy  milyen  adatokat dolgoz  fel),  valamint  egyéb  olyan  szervezetekre,  amelyek  fő  tevékenysége  az  egyének szisztematikus,  nagymértékű  megfigyelése,  vagy  amelyek  a  személyes  adatok  különleges kategóriáit nagy számban kezelik.

 

A szervezet adatvédelmi tisztviselőt                          □alkalmaz            Xnem alkalmaz

 

Adatvédelmi tisztviselő alkalmazása esetén: Neve:

 

Beosztása:

 

Elérhetősége:

 

A szabályzat hatálya

 

E  szabályzat  visszavonásig  érvényes,  hatálya  kiterjed  a  szervezet  tisztségviselőire  és

alkalmazottaira. Budapest, 2018.05.21.

……………………………………………. a szervezet vezetője

 

A szabályzat célja

 

E   szabályzat   célja,   hogy   harmonizálja   az   adatkezelési   tevékenységek   tekintetében   a szervezet   egyéb   belső   szabályzatainak   előírásait   a   természetes   személyek   alapvető jogainak  és  szabadságainak  védelme  érdekében,  valamint  biztosítsa  a  személyes  adatok megfelelő kezelését.

 

A  szervezet  tevékenysége  során  teljes  mértékben  meg  kíván  felelni  a  személyes  adatok kezelésére  vonatkozó  jogszabályi  előírásoknak,  különösen  az  Európai  Parlament  és  a Tanács (EU) 2016/679 rendeletében foglaltaknak.

 

A  szabályzat  kiadásának  fontos  célja  továbbá,  hogy  megismerésével  és  betartásával  a szervezet   alkalmazottai   képesek   legyenek   a   természetes   személyek   adatai   kezelését jogszerűen végezni.

 

Lényeges fogalmak, meghatározások

 

–     a GDPR (General Data Protection Regulation) az Európai Unió új Adatvédelmi

Rendelete

–      adatkezelő

az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy

 

bármely  egyéb  szerv,  amely  a  személyes  adatok  kezelésének  céljait  és  eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az  uniós  vagy  a  tagállami  jog  határozza  meg,  az  adatkezelőt  vagy  az  adatkezelő kijelölésére  vonatkozó  különös  szempontokat  az  uniós  vagy  a  tagállami  jog  is meghatározhatja;

 

–     adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált  módon  végzett  bármely  művelet  vagy  műveletek  összessége,  így  a gyűjtés,  rögzítés,  rendszerezés,  tagolás,  tárolás,  átalakítás  vagy  megváltoztatás, lekérdezés,   betekintés,   felhasználás,   közlés,   továbbítás,   terjesztés   vagy   egyéb módon  történő  hozzáférhetővé  tétel  útján,  összehangolás  vagy  összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

 

–     adatfeldolgozó:  az a természetes vagy jogi személy,  közhatalmi szerv,  ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

 

–     személyes  adat:  azonosított  vagy  azonosítható  természetes  személyre  (érintett) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy   közvetett   módon,   különösen   valamely   azonosító,   például   név,   szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

 

 

 

–     harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely   egyéb   szerv,   amely   nem   azonos   az   érintettel,   az   adatkezelővel,   az adatfeldolgozóval    vagy    azokkal    a    személyekkel,    akik    az    adatkezelő    vagy adatfeldolgozó    közvetlen    irányítása    alatt    a    személyes    adatok    kezelésére felhatalmazást kaptak;

 

–     az  érintett  hozzájárulása:  az  érintett  akaratának  önkéntes,  konkrét  és  megfelelő tájékoztatáson  alapuló  és  egyértelmű  kinyilvánítása,  amellyel  az  érintett  nyilatkozat vagy   a   megerősítést   félreérthetetlenül   kifejező   cselekedet   útján   jelzi,   hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

 

–     az   adatkezelés   korlátozása:   a   tárolt   személyes   adatok   megjelölése   jövőbeli

kezelésük korlátozása céljából;

 

 

–     álnevesítés:   a   személyes   adatok   olyan   módon   történő   kezelése,   amelynek következtében  további  információk  felhasználása  nélkül  többé  már  nem  állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy   az   ilyen   további   információt   külön   tárolják,   és   technikai   és   szervezési intézkedések    megtételével    biztosított,    hogy    azonosított    vagy    azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

 

–     nyilvántartási   rendszer:   a   személyes   adatok   bármely   módon   –   centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

 

–     adatvédelmi incidens: a biztonság  olyan sérülése,  amely a továbbított,  tárolt  vagy más  módon  kezelt  személyes  adatok  véletlen  vagy  jogellenes  megsemmisítését, elvesztését,    megváltoztatását,    jogosulatlan    közlését    vagy    az    azokhoz    való jogosulatlan hozzáférést eredményezi;

 

 

Az adatkezelés irányelvei

A személyes adatok kezelését  jogszerűen és tisztességesen,  valamint az érintett számára átlátható módon kell végezni.

A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet.

A személyes adatok kezelésének célja megfelelő és releváns legyen, és csak a szükséges

mértékű lehet.

A  személyes  adatoknak  pontosnak  és  naprakésznek  kell  lenniük.  A  pontatlan  személyes adatokat haladéktalanul törölni kell.

 

A   személyes   adatok   tárolásának   olyan   formában   kell   történnie,   hogy   az   érintettek azonosítását  csak  szükséges  ideig  tegye  lehetővé.  A  személyes  adatok  ennél  hosszabb ideig történő tárolására csak akkor kerülhet sor, ha a tárolás közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történik.

 

A  személyes  adatok  kezelését  oly  módon  kell  végezni,  hogy  megfelelő  technikai  vagy szervezési  intézkedések  alkalmazásával  biztosítva  legyen  a  személyes  adatok  megfelelő biztonsága,  az  adatok  jogosulatlan  vagy  jogellenes  kezelésével,  véletlen  elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

 

Az   adatvédelem   elveit   minden   azonosított   vagy   azonosítható   természetes   személyre vonatkozó információ esetében alkalmazni kell.

 

A   szervezet   adatkezelést   végző   alkalmazottja   fegyelmi,   kártérítési,   szabálysértési   és büntetőjogi felelősséggel tartozik a személyes adatok jogszerű kezeléséért. Amennyiben az alkalmazott tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy időszerűtlen,  köteles   azt   helyesbíteni,   vagy  helyesbítését   az  adat   rögzítéséért   felelős munkatársnál kezdeményezni.

 

Személyes adatok kezelése

 

Mivel  a  természetes  személyek  összefüggésbe  hozhatók  az  általuk  használt  készülékek, alkalmazások,  eszközök  és  protokollok  által  rendelkezésre  bocsátott  online  azonosítókkal, például  IP-címekkel  és  cookie-azonosítókkal,  ezért  ezek  az  adatok  egyéb  információkkal összekapcsolva   alkalmasak   és   felhasználhatók   a   természetes   személyek   profiljának létrehozására és az adott személy azonosítására.

 

Az  adatkezelésre  csak  akkor  kerülhet  sor,  ha  az  érintett  személy  egyértelmű  megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett – vagy szóbeli nyilatkozattal önkéntes,  konkrét,  tájékoztatáson  alapuló  és  egyértelmű  hozzájárulását  adja  az  adatok kezeléséhez.

 

Az adatkezeléshez való hozzájárulásnak minősül az is, ha az érintett személy az internetes honlap  megtekintése  során  bejelöl  egy  erre  vonatkozó  négyzetet.  A  hallgatás,  az  előre bejelölt négyzet vagy a nem cselekvés nem minősül hozzájárulásnak.

 

Hozzájárulásnak  minősül  az  is,  ha  valamely  felhasználó  az  elektronikus  szolgáltatások igénybevétele   során   erre   vonatkozó   technikai   beállításokat   hajt   végre,   vagy   olyan nyilatkozatot  illetve  cselekedet  tesz,  amely  az  adott  összefüggésben  az  érintett  személy hozzájárulását személyes adatainak kezeléséhez egyértelműen jelzi.

 

Az   egészségügyi   személyes   adatok   közé   tartoznak   az   érintett   egészségi   állapotára vonatkozó olyan adatok, amelyek  információt  hordoznak  az érintett múltbeli,  jelenlegi vagy jövőbeli testi vagy pszichikai egészségi állapotáról. Ide tartoznak az alábbiak:

 

–     egészségügyi szolgáltatások céljából történő nyilvántartásba vétel;

 

–     a természetes személy egészségügyi célokból történő egyéni azonosítása érdekében

hozzá rendelt szám, jel vagy adat;

 

–     valamely testrész vagy a testet  alkotó anyag  – beleértve a genetikai adatokat  és a biológiai mintákat is – teszteléséből vagy vizsgálatából származó információk;

 

–     az érintett betegségével, fogyatékosságával,  betegségkockázatával,  kórtörténetével, klinikai   kezelésével   vagy   fiziológiai   vagy   orvosbiológiai   állapotával   kapcsolatos információ,  függetlenül  annak  forrásától,  amely  lehet  például  orvos  vagy  egyéb egészségügyi dolgozó, kórház, orvostechnikai eszköz vagy diagnosztikai teszt.

 

A genetikai adatot olyan, a természetes személy örökölt vagy szerzett genetikai jellemzőivel összefüggő  személyes  adatként  kell  meghatározni,  és  amely  az  érintett  személytől  vett biológiai     minta     elemzésének     –     különösen     kromoszómaelemzésnek,     illetve     a dezoxiribonukleinsav  (DNS)  vagy  a  ribonukleinsav  (RNS)  vizsgálatának,  vagy  az  ezekből nyerhető  információkkal  megegyező  információk  kinyerését  lehetővé  tevő  bármilyen  más elem vizsgálatának – az eredménye.

 

A  gyermekek  személyes  adatai  különös  védelmet  érdemelnek,  mivel  ők  kevésbé  lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az  ahhoz  kapcsolódó  garanciákkal  és  jogosultságokkal.  Ezt  a  különös  védelmet  főként  a gyermekek    személyes     adatainak     olyan    felhasználására    kell     alkalmazni,     amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja.

 

A  személyes  adatokat  olyan  módon  kell  kezelni,  amely  biztosítja  azok  megfelelő  szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes  adatokhoz  és  a  személyes  adatok  kezeléséhez  használt  eszközökhöz  való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását.

 

A pontatlan személyes adatok helyesbítése vagy törlése érdekében minden ésszerű lépést

meg kell tenni.

 

Az adatkezelés jogszerűsége

A személyes adatok kezelése akkor jogszerű, ha az alábbiak valamelyike teljesül:

 

  az  érintett  hozzájárulását  adta  személyes  adatainak  egy  vagy  több  konkrét  célból

történő kezeléséhez;

   az  adatkezelés  olyan  szerződés  teljesítéséhez  szükséges,  amelyben  az  érintett  az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

  az   adatkezelés   az   adatkezelőre   vonatkozó   jogi   kötelezettség   teljesítéséhez

szükséges;

   az  adatkezelés  az  érintett  vagy  egy  másik  természetes  személy  létfontosságú érdekeinek védelme miatt szükséges;

  az  adatkezelés  közérdekű  vagy  az  adatkezelőre  ruházott  közhatalmi  jogosítvány

gyakorlásának keretében végzett feladat végrehajtásához szükséges;

   az    adatkezelés    az    adatkezelő    vagy    egy    harmadik    fél    jogos    érdekeinek érvényesítéséhez  szükséges,  kivéve,  ha  ezen  érdekekkel  szemben  elsőbbséget élveznek  az  érintett  olyan  érdekei  vagy  alapvető  jogai  és  szabadságai,  amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

 

A fentiek értelmében az adatkezelés jogszerűnek minősül, ha arra valamely szerződés vagy szerződéskötési szándék keretében van szükség.

 

Ha  az  adatkezelésre  az  adatkezelőre  vonatkozó  jogi  kötelezettség  teljesítése  keretében kerül  sor,  vagy  ha  az  közérdekű  feladat  végrehajtásához,  illetve  közhatalmi  jogosítvány gyakorlásához  szükséges,  az  adatkezelésnek  az  uniós  jogban  vagy  valamely  tagállam jogában foglalt jogalappal kell rendelkeznie.

 

Az adatkezelést  jogszerűnek  kell  tekinteni  akkor,  amikor  az az  érintett  életének  vagy más fent   említett   természetes   személy   érdekeinek   védelmében   történik.   Más   természetes személy létfontosságú érdekeire hivatkozással személyes adatkezelésre elvben csak akkor kerülhet sor, ha a szóban forgó adatkezelés egyéb jogalapon nem végezhető.

 

A  személyes  adatkezelés  néhány  típusa  szolgálhat  egyszerre  fontos  közérdeket  és  az érintett   létfontosságú   érdekeit   is,   például   olyan   esetben,   amikor   az   adatkezelésre humanitárius  okokból,  ideértve,  ha  arra  a  járványok  és  terjedéseik  nyomon  követéséhez, vagy   humanitárius   vészhelyzetben,   különösen   természeti   vagy   ember   által   okozott katasztrófák esetében van szükség.

 

Az  adatkezelő  –  ideértve  azt  az  adatkezelőt  is,  akivel  a  személyes  adatokat  közölhetik  – vagy  valamely  harmadik  fél  jogos  érdeke  jogalapot  teremthet  az  adatkezelésre.  Az  ilyen jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az

 

 

 

érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az adatkezelő

ügyfele vagy annak alkalmazásában áll.

 

 

Személyes   adatoknak   a   csalások   megelőzése   céljából  feltétlenül   szükséges  kezelése szintén  az  érintett   adatkezelő  jogos  érdekének   minősül.  Személyes  adatok  közvetlen üzletszerzési célú kezelése szintén jogos érdeken alapulónak tekinthető.

 

A  jogos  érdek  fennállásának  megállapításához  mindenképpen  körültekintően  meg  kell vizsgálni többek között azt, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal  összefüggésben  számíthat-e  ésszerűen  arra,  hogy  adatkezelésre  az  adott  célból kerülhet  sor.  Az  érintett  érdekei  és  alapvető  jogai  elsőbbséget  élvezhetnek  az  adatkezelő érdekével  szemben,  ha  a  személyes  adatokat  olyan  körülmények  között  kezelik,  amelyek közepette az érintettek nem számítanak további adatkezelésre.

 

Az  érintett  adatkezelő  jogos  érdekének  minősül  a  közhatalmi  szervek,  számítástechnikai vészhelyzetekre  reagáló  egység,  hálózatbiztonsági  incidenskezelő  egységek,  elektronikus hírközlési  hálózatok  üzemeltetői  és  szolgáltatások  nyújtói,  valamint  biztonságtechnológiai szolgáltatók  által  végrehajtott  olyan  mértékű  személyes  adatkezelés,  amely  a  hálózati  és informatikai biztonság garantálásához feltétlenül szükséges és arányos.

 

A  személyes  adatoknak  a  gyűjtésük  eredeti  céljától  eltérő  egyéb  célból  történő  kezelése csak  akkor  megengedett,  ha  az  adatkezelés  összeegyeztethető  az  adatkezelés  eredeti céljaival,  amelyekre  a  személyes  adatokat  eredetileg  gyűjtötték.  Ebben  az  esetben  nincs szükség  attól  a  jogalaptól  eltérő,  külön  jogalapra,  mint  amely  lehetővé  tette  a  személyes adatok gyűjtését.

 

A    személyes    adatok    hatóságok    általi,    hivatalosan    elismert    vallási    szervezetek alkotmányjogban  vagy  nemzetközi  közjogban  megállapított  céljainak  elérése  érdekében történő kezelése közérdeken alapulónak minősül.

 

Az érintett személy hozzájárulása, feltételek

 

   Amennyiben az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie   annak   igazolására,   hogy   az   érintett   személyes   adatainak   kezeléséhez hozzájárult.

   Ha az érintett a hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más  ügyekre  is  vonatkozik,  a  hozzájárulás  iránti  kérelmet  ezektől  a  más  ügyektől egyértelműen megkülönböztethető módon kell közölni.

   Az  érintett  jogosult  arra,  hogy  hozzájárulását  bármikor  visszavonja.  A  hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló,  a visszavonás előtti adatkezelés jogszerűségét.  A hozzájárulás megadása előtt  az érintettet  erről tájékoztatni kell.  A hozzájárulás  visszavonását  ugyanolyan  egyszerű  módon  kell  lehetővé  tenni,  mint annak megadását.

   Annak  megállapítása  során,  hogy  a  hozzájárulás  önkéntes-e,  a  lehető  legnagyobb mértékben  figyelembe  kell  venni  azt  a  tényt,  egyebek  mellett,  hogy  a  szerződés teljesítésének  –  beleértve  a  szolgáltatások  nyújtását  is  –  feltételéül  szabták-e  az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez.

   Közvetlenül     gyermekeknek     kínált,     információs     társadalommal     összefüggő szolgáltatások  vonatkozásában  végzett  személyes  adatok kezelése  akkor  jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha  a  hozzájárulást  a  gyermek  feletti  szülői  felügyeletet  gyakorló  adta  meg,  illetve engedélyezte.

 

A    faji    vagy    etnikai    származásra,    politikai    véleményre,    vallási    vagy    világnézeti meggyőződésre   vagy   szakszervezeti   tagságra   utaló   személyes   adatok,   valamint   a természetes  személyek  egyedi  azonosítását  célzó  genetikai  és  biometrikus  adatok,  az egészségügyi   adatok   és   a   természetes   személyek   szexuális   életére   vagy   szexuális irányultságára  vonatkozó  személyes  adatok  kezelése  tilos,  kivéve,  ha  az  érintett  kifejezett hozzájárulását  adta  az  említett  személyes  adatok  egy  vagy  több  konkrét  célból  történő kezeléséhez.

 

A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve  a  kapcsolódó  biztonsági  intézkedésekre  vonatkozó  személyes  adatok  kezelésére kizárólag abban az esetben kerülhet sor, ha az közhatalmi szerv adatkezelésében történik.

 

 

 

 

Azonosítást nem igénylő adatkezelés

 

 

Ha azok a célok, amelyekből az adatkezelő a személyes adatokat kezeli, nem vagy már nem teszik  szükségessé  az  érintettnek  az  adatkezelő  általi  azonosítását,  az  adatkezelő  nem köteles kiegészítő információkat megőrizni.

 

Ha  az  adatkezelő  bizonyítani  tudja,  hogy  nincs  abban  a  helyzetben,  hogy  azonosítsa  az

érintettet, erről lehetőség szerint őt megfelelő módon tájékoztatja.

 

 

 

 

 

Az érintett személy tájékoztatása, jogai

 

 

A  tisztességes  és  átlátható  adatkezelés  elve  megköveteli,  hogy  az  érintett  tájékoztatást

kapjon az adatkezelés tényéről és céljairól.

 

 

Ha  a  személyes  adatokat  az  érintettől  gyűjtik,  az  érintettet  arról  is  tájékoztatni  kell,  hogy köteles-e  a  személyes  adatokat  közölni,  valamint  hogy  az  adatszolgáltatás  elmaradása milyen következményekkel jár. Ezeket az információkat szabványosított ikonokkal is ki lehet

 

 

 

egészíteni annak érdekében, hogy az érintett a tervezett adatkezelésről jól látható, könnyen érthető és jól olvasható formában általános tájékoztatást kapjon.

 

Az   érintettre   vonatkozó   személyes   adatok   kezelésével   összefüggő   tájékoztatást   az adatgyűjtés  időpontjában  kell  az  érintett  részére  megadni,  illetve  ha  az  adatokat  nem  az érintettől,  hanem  más  forrásból  gyűjtötték,  az  ügy  körülményeit  figyelembe  véve,  ésszerű határidőn belül kell rendelkezésre bocsátani.

 

Az  érintett  jogosult,  hogy  hozzáférjen  a  rá  vonatkozóan  gyűjtött  adatokhoz,  valamint  arra, hogy egyszerűen és ésszerű időközönként, az adatkezelés jogszerűségének megállapítása és ellenőrzése érdekében gyakorolja e jogát. Minden érintett számára biztosítani kell a jogot arra,  hogy  megismerje  különösen  a  személyes  adatok  kezelésének  céljait,  továbbá  ha lehetséges, azt, hogy a személyes adatok kezelése milyen időtartamra vonatkozik,

 

Az érintett  jogosult  különösen  arra,  hogy  személyes  adatait  töröljék  és a  továbbiakban  ne kezeljék,   ha   a   személyes   adatok   gyűjtésére   vagy   más   módon   való   kezelésére   az adatkezelés  eredeti  céljaival  összefüggésben  már  nincs  szükség,  vagy  ha  az  érintettek visszavonták az adatok kezeléséhez adott hozzájárulásukat.

 

Ha  a  személyes  adatok  kezelése  közvetlen  üzletszerzés  érdekében  történik,  az  érintett számára biztosítani kell a jogot arra, hogy bármikor díjmentesen tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen.

 

 

 

 

A személyes adatok felülvizsgálata

 

 

Annak  biztosítása  érdekében,  hogy a  személyes  adatok  tárolása  a  szükséges  időtartamra korlátozódjon, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg.

 

 

A szervezet vezetője által megállapított rendszeres felülvizsgálati határidő: 1 év.

 

 

 

 

 

 

 

Az adatkezelő feladatai

 

 

Az adatkezelő a jogszerű adatkezelés érdekében megfelelő belső adatvédelmi szabályokat alkalmaz. Ez a szabályozás kiterjed az adatkezelő hatáskörére és felelősségére.

 

Az  adatkezelő  kötelessége,  hogy  megfelelő  és  hatékony  intézkedéseket  hajtson  végre, valamint  hogy  képes  legyen  igazolni  azt,  hogy  az  adatkezelési  tevékenységek  a  hatályos jogszabályoknak megfelelnek.

 

 

 

Ezt  a  szabályozást  az  adatkezelés  jellegének,  hatókörének,  körülményeinek  és  céljainak, valamint    a    természetes    személyek    jogait    és    szabadságait    érintő    kockázatnak    a figyelembevételével kell meghozni.

 

Az   adatkezelő   az   adatkezelés   jellege,   hatóköre,   körülményei   és   céljai,   valamint   a természetes   személyek   jogaira   és   szabadságaira   jelentett,   változó   valószínűségű   és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt  végre.  E  szabályzat  alapján  az  egyéb  belső  szabályzatokat  felülvizsgálja  és  szükség esetén naprakésszé teszi.

 

Az  adatkezelő  vagy  az  adatfeldolgozó  megfelelő  nyilvántartást  vezet  a  hatásköre  alapján végzett  adatkezelési  tevékenységekről.  Minden  adatkezelő  és  adatfeldolgozó  köteles  a felügyeleti hatósággal együttműködni és ezeket a nyilvántartásokat kérésre hozzáférhetővé tenni az érintett adatkezelési műveletek ellenőrzése érdekében.

 

 

 

 

Az adatkezeléssel kapcsolatos jogok

 

 

A tájékoztatás kéréshez való jog

 

Bármely  személy  a  megadott  elérhetőségeken  keresztül  tájékoztatást  kérhet  arról,  hogy  a szervezet milyen adatait,  milyen  jogalapon,  milyen adatkezelési cél miatt, milyen  forrásból, mennyi ideig  kezeli.  A  kérelmére haladéktalanul, de legfeljebb 30 napon belül,  a  megadott elérhetőségre tájékoztatást kell küldeni.

 

A helyesbítéshez való jog

 

 

Bármely   személy   a    megadott    elérhetőségeken   keresztül    kérheti   bármely adatának módosítását. Erről kérelmére haladéktalanul, de legfeljebb 30 napon belül intézkedni kell és a megadott elérhetőségre tájékoztatást kell küldeni.

 

A törléshez való jog

 

 

Bármely   személy   a   megadott   elérhetőségeken   keresztül   kérheti   adatának   törlését. Kérelmére  ezt  haladéktalanul,  de legfeljebb  30  napon  belül  meg  kell  tenni  és  a  megadott elérhetőségre tájékoztatást kell küldeni.

 

A zároláshoz, korlátozáshoz való jog

 

Bármely  személy  a  megadott  elérhetőségeken  keresztül  kérheti  adatának  zárolását. A zárolás   addig   tart,   amíg   a   megjelölt   indok   szükségessé   teszi   az  adatok   tárolását. A kérelemre  ezt  haladéktalanul,  de legfeljebb  30  napon  belül  meg  kell  tenni  és  a  megadott elérhetőségre tájékoztatást kell küldeni.

 

A tiltakozáshoz való jog

 

 

 

Bármely  személy  a  megadott  elérhetőségeken  keresztül  tiltakozhat  az  adatkezelés  ellen. A tiltakozást  a  kérelem  benyújtásától  számított  legrövidebb  időn  belül,  de  legfeljebb  15 napon belül meg kell vizsgálni, annak megalapozottsága kérdésében döntést kell hozni és a döntésről a megadott elérhetőségre tájékoztatást kell küldeni.

 

 Az  adatk ezeléssel  k apcsolatos  j og érvényes ít ési  lehetőség

 

Nemzeti Adatvédelmi és Információszabadság Hatóság

Postacím: 1530 Budapest, Pf.: 5.

Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c

Telefon: +36 (1) 391-1400

Fax: +36 (1) 391-1410

E-mail: ugyfelszolgalat (kukac) naih.hu

URL https://naih.hu

koordináták: É 47°30’56”; K 18°59’57”

 

 

Az  érintett  a  jogainak  megsértése  esetén  az  adatátvevő  az  adatkezelő  ellen  bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A pert az érintett  – választása szerint – a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.

 

 

 

 

A szervezet feladatai a megfelelő adatvédelem érdekében

 

 

–     Az    adatvédelmi    tudatosság.    Biztosítani    kell    a    szakmai    felkészültséget    a jogszabályoknak   való   megfeleléshez.   Elengedhetetlen   a   munkatársak   szakmai felkészítése és a szabályzat megismerése.

 

–     Át kell tekinteni az adatkezelés célját, szempontrendszerét, a személyes adatkezelés koncepcióját.   Az   adatvédelmi   és   adatkezelési   szabályzattal   összhangban   kell biztosítani jogszerű adatkezelést és adatfeldolgozást.

 

–     Az adatkezelésben érintett személy megfelelő tájékoztatása. Figyelni kell arra, hogy – ha        az   adatkezelés   az   érintett   hozzájárulásán   alapul,   –   kétség   esetén   az adatkezelőnek   kell   bizonyítania,   hogy   az   adatkezeléshez   az   érintett   személy hozzájárult.

 

–      Az   érintett   személynek   nyújtott   tájékoztatás   tömör,   könnyen   hozzáférhető   és könnyen érthető legyen, ezért azt világos és közérthető nyelven kell megfogalmazni és megjeleníteni.

 

–     Az átlátható adatkezelés követelménye, hogy az érintett személy tájékoztatást kapjon az adatkezelés tényéről és céljairól. A tájékoztatást az adatkezelés megkezdése előtt kell   megadni   és   a   tájékoztatáshoz   való   jog   az   adatkezelés   során   annak megszűnéséig megilleti az érintettet.

 

–     Az adatkezelésben érintett személy főbb jogai a következők:

 

 

 

  a rá vonatkozó személyes adatokhoz való hozzáférés;

  a személyes adatok helyesbítése;

  a személyes adatok törlése;

  a személyes adatok kezelésének korlátozása;

  a profilalkotás és az automatizált adatkezelésen elleni tiltakozás;

  az adathordozhatósághoz való jog.

 

 

–     Az adatkezelő indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított  egy  hónapon  belül  tájékoztatja  az  érintettet.  Szükség  esetén,  figyelembe véve  a  kérelem  összetettségét  és  a  kérelmek  számát,  ez  a  határidő  további  két hónappal  meghosszabbítható.  A  tájékoztatási  kötelezettség  biztosítható  egy  olyan biztonságos online rendszer üzemeltetésével, amelyen keresztül az érintett könnyen és gyorsan hozzáférhet a szükséges információhoz.

 

–     Át   kell   tekinteni   a   szervezet   által   végzett   adatkezeléseket,   biztosítani   kell   az információs önrendelkezési jog érvényesülését. Az érintett személy kérésére adatait késedelem   nélkül   törölni   kell,   amennyiben   az   érintett   személy   visszavonja   az adatkezelés alapját képező hozzájárulást.

 

–      Az  érintett  személy  hozzájárulásából  félreérthetetlenül  ki  kell  derülnie,  hogy  az érintett beleegyezik az adatkezelésbe. Ha az adatkezelés az érintett hozzájárulásán alapul,  kétség  esetén  az  adatkezelőnek  kell  bizonyítania,  hogy  az  adatkezelési művelethez az érintett hozzájárult.

 

–     Gyermekek   személyes   adatkezelése   esetén   kiemelt   figyelmet   kell   fordítani   az adatkezelési  szabályok  betartására.  Közvetlenül  gyermekeknek  kínált,  információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése  akkor  jogszerű,  ha  a gyermek  a  16.  életévét  betöltötte.  A  16.  életévét  be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.

 

–      A   személyes   adat   jogellenes   kezelése   vagy   feldolgozása   esetén   bejelentési kötelezettség  keletkezik  a  felügyelő  hatóság  felé.  Az  adatkezelőnek  indokolatlan késedelem nélkül – ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, –  meg kell tenni a bejelentést a felügyeleti hatóságnak, kivéve  akkor,  ha  az adatvédelmi  incidens  valószínűsíthetően  nem  jár  kockázattal  a természetes személy jogait tekintve.

 

–     Bizonyos  esetekben  indokolt  lehet  az  adatkezelőnek  az  adatkezelést  megelőzően adatvédelmi  hatásvizsgálatot  lefolytatni.  A  hatásvizsgálat  során meg  kell  vizsgálni, hogy  a  tervezett  adatkezelési  műveletek  a  személyes  adatok  védelmét  hogyan érintik.   Ha   az   adatvédelmi   hatásvizsgálat   megállapítja,   hogy   az   adatkezelés valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelőnek konzultálnia kell a felügyeleti hatósággal.

 

–     Abban az esetben, ha a fő tevékenységek olyan adatkezelési műveleteket foglalnak

magukban,  amelyek  jellegüknél,  hatókörüknél  vagy  céljaiknál  fogva  az  érintettek

 

 

 

rendszeres   és   szisztematikus,   nagymértékű   megfigyelését   teszik   szükségessé, adatvédelmi  tisztviselőt  kell  kinevezni.  Az  adatvédelmi  tisztviselő  kinevezése  az adatbiztonság megerősítését célozza.

 

 

 

 

Adatbiztonság

 

 

Az  adatokat  megfelelő  intézkedésekkel  védeni  kell  különösen  a  jogosulatlan  hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen  megsemmisülés  és  sérülés,  továbbá  az  alkalmazott  technika  megváltozásából fakadó hozzáférhetetlenné válás ellen.

 

A  nyilvántartásokban  elektronikusan  kezelt  adatállományok  védelme  érdekében  megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.

 

Az  adatbiztonság  megtervezésekor  és  alkalmazásakor  tekintettel  kell  lenni  a  technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás  közül azt  kell választani, amely  a  személyes  adatok  magasabb  szintű  védelmét  biztosítja,  kivéve,  ha  az  aránytalan nehézséget jelentene az adatkezelőnek.

 

 

 

 

Adatvédelmi tisztviselő

 

 

Adatvédelmi tisztviselő kijelölése kötelező az alábbi kritériumok alapján:

 

 

   az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;

 

   az   adatkezelő   vagy   az   adatfeldolgozó   fő   tevékenységei   olyan   adatkezelési műveleteket  foglalnak  magukban,  amelyek  jellegüknél,  hatókörüknél  vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;

 

   az   adatkezelő   vagy   az   adatfeldolgozó   fő   tevékenységei   a   személyes   adatok büntetőjogi       felelősség       megállapítására       vonatkozó       határozatokra       és bűncselekményekre    vonatkozó    adatok    nagy    számban    történő    kezelésére vonatkoznak.

 

 Am ennyiben   adatvéde l m i   t iszt vise lő   k ij elölése   k ötelező,   akkor   arr a   az   a lábbi   s zabál yok

vonatkoznak:

 

 

Az  adatvédelmi  tisztviselőt  szakmai  rátermettség  és  különösen  az  adatvédelmi  jog  és gyakorlat  szakértői  szintű  ismerete,  valamint  az  adatkezelés  ellátására  való  alkalmasság alapján kell kijelölni.

 

 

 

 

 

Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja  is lehet, de szolgáltatási szerződés keretében is elláthatja feladatait.

 

Az adatkezelőnek vagy az adatfeldolgozónak kötelező közzétenni az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a felügyeleti hatósággal is közölni kell.

 

 

 

 

Az adatvédelmi tisztviselő jogállása

 

 

Az  adatkezelőnek  biztosítania  kell,  hogy  az  adatvédelmi  tisztviselő  a  személyes  adatok védelmével   kapcsolatos   összes   ügybe   megfelelő   módon   és   időben   bekapcsolódjon. Biztosítani kell, hogy az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükséges források rendelkezésre álljanak.

 

Az  adatvédelmi  tisztviselő  a  feladatai  ellátásával  kapcsolatban  utasításokat  senkitől  nem fogadhat  el.  Az  adatkezelő  vagy  az  adatfeldolgozó  az  adatvédelmi  tisztviselőt  feladatai ellátásával   összefüggésben   nem   bocsáthatja   el   és   szankcióval   sem   sújthatja.   Az adatvédelmi   tisztviselő   közvetlenül   az   adatkezelő   vagy   az   adatfeldolgozó   legfelső vezetésének tartozik felelősséggel.

 

Az   érintettek   a   személyes   adataik   kezeléséhez   és   jogaik   gyakorlásához   kapcsolódó

valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.

 

 

Az  adatvédelmi  tisztviselőt  feladatai  teljesítésével  kapcsolatban  titoktartási  kötelezettség

vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.

 

 

Az  adatvédelmi  tisztviselő  más  feladatokat  is  elláthat,  de  a  feladatokkal  kapcsolatban összeférhetetlenség ne álljon fenn.

 

 

 

Az adatvédelmi tisztviselő feladatai

 

 

   Tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére;

 

   ellenőrzi   az   adatkezelő   vagy   az   adatfeldolgozó   személyes   adatok   védelmével kapcsolatos belső szabályainak való megfelelést;

 

   kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;

 

  együttműködik a felügyeleti hatósággal.

 

 

 

Adatvédelmi incidens

 

 

Az  adatvédelmi  incidens  a  biztonság  olyan  sérülése,  amely  a  továbbított,  tárolt  vagy  más módon  kezelt  személyes  adatok  véletlen  vagy  jogellenes  megsemmisítését,  elvesztését, megváltoztatását,  jogosulatlan  közlését  vagy  az  azokhoz  való  jogosulatlan  hozzáférést eredményezi.

 

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem  vagyoni  károkat  okozhat  a  természetes  személyeknek,  többek  között  a  személyes adataik    feletti    rendelkezés    elvesztését    vagy    a    jogaik    korlátozását,    a    hátrányos megkülönböztetést,    a    személyazonosság-lopást    vagy    a    személyazonossággal    való visszaélést.

 

Az  adatvédelmi  incidenst  indokolatlan  késedelem  nélkül,  legkésőbb  72  órán  belül  be  kell jelenteni  az  illetékes  felügyeleti  hatóságnál,  kivéve,  ha  az  elszámoltathatóság  elvével összhangban   bizonyítani   lehet,   hogy   az   adatvédelmi   incidens   valószínűleg   nem   jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

 

Az   érintett   személyt   késedelem   nélkül   tájékoztatni   kell,   ha   az   adatvédelmi   incidens valószínűsíthetően magas kockázattal jár  a természetes személy jogaira és szabadságára nézve, annak érdekében, hogy megtehesse a szükséges óvintézkedéseket.

 

 

 

 

Ügyviteli és nyilvántartás célú adatkezelés

 

 

A  szervezet  a  tevékenységéhez  tartozó  esetekben  illetve  ügyviteli  és  nyilvántartási  célból személyes adatokat is kezelhet.

 

Az  adatkezelés  alapjául  az  érintett  személy  megfelelő  tájékoztatásán  alapuló  önkéntes  és határozott  hozzájárulás  szolgál.  A  részletes  tájékoztatás  –  amely  kiterjed  az  adatkezelés céljára, jogalapjára és időtartamára valamint az érintett személy jogaira – után az érintettet figyelmeztetni kell az adatkezelés önkéntes jellegére. Az adatkezeléshez való hozzájárulást írásban rögzíteni kell.

 

Az ügyviteli és nyilvántartási célból történő adatkezelés az alábbi célokat szolgálja:

 

 

–     a   szervezet   tagjainak   és   munkavállalóinak   adatkezelése,   amely   jogszabályi kötelezettségen alapul;

 

–     a     szervezettel     megbízási     jogviszonyban     álló     személyek     adatkezelése kapcsolattartási, elszámolási és nyilvántartási célból;

 

–     a    szervezettel    üzleti    kapcsolatban    álló    más    szervezetek,    intézmények    és vállalkozások kapcsolattartói adatai, amelyek természetes személyek elérhetőségi és azonosítási adatai is lehetnek;

 

 

 

A  fentiek  szerinti  adatkezelés  egyrészről  jogszabályi  kötelezettségen  alapul,  másrészről pedig    az    érintett    személy    kifejezetten    hozzájárult    adatai    kezeléséhez    (például munkaszerződés céljából vagy weboldalon partnerként regisztrált, stb.)

 

A   szervezethez   írásos   formában   eljuttatott   –   személyes   adatokat   is   tartalmazó   – dokumentumok   (például   önéletrajz,   álláskeresési   jelentkezés,   egyéb   beadvány,   stb.) esetében az érintett személy hozzájárulását vélelmezni kell. Az ügy lezárulta után – további felhasználásra  vonatkozó  hozzájárulás  hiányában  –  az  iratokat  meg  kell  semmisíteni.  A megsemmisítés tényét jegyzőkönyvben kell rögzíteni.

 

Az ügyviteli célú adatkezelés esetében a személyes adatok kizárólag az adott ügy irataiban és a nyilvántartásokban szerepelnek. Ezen adatok kezelése a kezelés alapjául szolgáló irat selejtezéséig tart.

 

 Az  üg yvit eli  és  nyil vánt art ási  célból  t ört énő  adatk ezelést  – annak biztosítása érdekében, hogy

 a   személ yes   adatok   t árolása   a   s zük ség es   időtart a mra  korlátozódjon,  –  évente  felül  kell vizsgálni, a pontatlan személyes adatokat haladéktalanul törölni kell.

 

Az  ügyviteli  és  nyilvántartási  célból  történő  adatkezelés  esetében  is  biztosítani  kell  a

jogszabályoknak való megfelelést.

 

 

 

Egyéb célból történő adatkezelés

 

 

Amennyiben  a  szervezet  olyan  adatkezelést  kíván  végezni,  amely  ebben  a  szabályzatban nem szerepel, előzetesen ezen belső szabályzatát kell megfelelően kiegészíteni, illetve az új adatkezelési célnak megfelelő rész-szabályokat hozzákapcsolni.

 

 

 

A szabályzathoz tartozó egyéb dokumentumok

 

 

Az adatvédelmi és adatkezelési szabályzathoz kell kapcsolni és azzal együtt kezelni azokat a  dokumentumokat  és  szabályozásokat,  amelyek  például  az  adatkezeléshez  hozzájáruló írásbeli nyilatkozatot tartalmazzák  vagy például weboldalak esetén a kötelező adatkezelési tájékoztatót írják le.

 

 

 

 

Az adatkezelés alapjául szolgáló jogszabályok

 

 

–     AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet).

 

 

 

–     2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról.

 

–     A köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995.

évi LXVI. törvény.

 

 

–     A közfeladatot ellátó szervek iratkezelésének általános követelményeiről szóló

335/2005. (XII. 29.) Korm. rendelet.

 

 

–     2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az

információs társadalommal összefüggő szolgáltatások egyes kérdéseiről.

 

 

–     2003. évi C. törvény az elektronikus hírközlésről.