Adatkezelési szabályzat
1. Bevezető és értelmező rendelkezések
1.1. A szervezet és az adatkezelő azonosítása
Cégnév: | DTkH Duna-Tisza közi Hulladékgazdálkodási Nonprofit Kft. |
Cégjegyzékszám: | 03-09-131340 |
Székhely: | 6000 Kecskemét, Kisfái 248 0737/12 hrsz. |
További információk a mindenkor hatályos „Adatkezelési Tájékoztatóban” található. A fent nevezett szervezet a továbbiakban „adatkezelő”-ként, vagy „Társaság”-ként kerül megnevezésre a jelen szabályzatban.
1.2. A szabályzat célja
A jelen szabályzat célja, hogy rögzítse a Társaságunknál azokat az általános adatkezelési szabályokat és előírásokat, amelyek a személyes adatok kezelésére vonatkoznak annak érdekében, hogy a személyes adatok védelméhez fűződő jog érvényesülése biztosítva legyen.
Az adatkezelési rendszerünkkel kapcsolatosan szabályzatokat, dokumentumokat, nyilvántartásokat, formanyomtatványokat és sablonokat készítettünk, melynek listáját a jelen szabályzat 1. számú melléklete tartalmazza.
Jelen szabályzat rendelkezései összhangban állnak a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 EU rendelet (a továbbiakban: általános adatvédelmi rendelet, vagy GDPR) rendelkezéseivel.
1.3. A szabályzat személyi és tárgyi hatálya
A szabályzat hatálya kiterjed a Társaságunk által kezelt valamennyi személyes adatra, illetve a Társaságunk valamennyi munkavállalójára.
1.4. Fogalommeghatározások
- „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
- „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
- „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit (módszerét) önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
- „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
- „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
- „adattovábbítás”: ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik; „adatvédelmi tisztviselő”: A GDPR Rendelet 37. cikke alapján kötelezően kijelölt személy.
- „adatvédelmi megbízott”: A szervezetnél az adatkezelés managelésével megbízott felelős munkatárs, vagy külsős megbízott. Adott esetben az adatvédelmi tisztviselő is elláthatja ezt a tevékenységet.
- „nyilvánosságra hozatal”: ha az adatot bárki számára hozzáférhetővé teszik;
- „adatállomány”: az egy nyilvántartó rendszerben kezelt adatok összessége;
- „irat”: valamely szerv működése, vagy személy tevékenysége során keletkezett, vagy hozzá érkezett, egy egységként kezelendő rögzített információ, adategyüttes, amely megjelenhet papíron, elektronikus vagy bármilyen más adathordozón; tartalma lehet szöveg, adat, grafikon, hang, kép, mozgókép, vagy bármely más formában lévő információ vagy ezek kombinációja;
- „kockázat”: olyan eshetőség, amely a súlyosság és valószínűség szempontjából jellemez valamilyen eseményt és annak következményeit.
- „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
- „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
- „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
- „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
- „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
- „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi (7. cikk), hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
- „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
- „genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;
- „biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
- „egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
- „felügyeleti hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;
2. Az adatkezelés alapelvei, jogszerűsége
A fenti kötelezettségek teljesítése érdekében egy olyan GDPR megfelelést támogató szoftvert alkalmazunk, amely működési fundamentuma az adatkezelési alapelvek és a jogszerűségek.
2.1. Az adatkezelés alapelvei
2.1.1. Jogszerűség, tisztességes eljárás és átláthatóság
Adatkezelőként a személyes adatokat kizárólag tisztességesen, az érintettek számára is átlátható módon, a vonatkozó jogszabályban és belső szabályokban rögzített előírásoknak megfelelően kezeljük, az érintettek részére biztosított jogosultságok rendeltetésszerű használatával.
2.1.2. Célhoz kötöttség
Adatkezelőként a személyes adatokat kizárólag egyértelmű és jogszerű célból kezeljük. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.
2.1.3. Adattakarékosság, korlátozott tárolhatóság
Adatkezelőként kizárólag annyi és olyan személyes adatot kezelünk, amely az érintett egyértelmű azonosításához és a feladat ellátásához, a cél eléréséhez minimálisan szükséges, arra alkalmas. Az adatok megőrzési és törlési határidejét a cél, az adat kezelését meghatározó jogszabályok, valamint belső szabályok előírásai alapján kell megállapítani. Amennyiben az adatkezelés célja teljesült vagy megszűnt, az adatkezelésre irányadó jogszabályban vagy belső szabályban meghatározott őrzési határidőt követően az adatot törölni kell.
2.1.4. Pontosság
Az adatkezelés során biztosítjuk az adatok pontosságát, teljességét és – amennyiben az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani. Amennyiben az adatkezelőként tudomást szerzünk arról, hogy az a kezelt személyes adat hibás, vagy hiányos, úgy azt helyesbítjük, vagy azt az adat rögzítéséért felelős munkavállalónál kezdeményezzük és erről mindazokat értesítjük, akiknek az adat továbbításra került.
2.1.5. Integritás és bizalmas jelleg
Személyes adat kezelésekor – ideértve a papíralapú és elektronikus úton történő adattovábbítást, valamint az informatikai jogosultságok engedélyezését is – figyelemmel vagyunk arra, hogy az adatokhoz csak az férhessen hozzá, akinek a munkavégzéséhez az az adat, illetve adatkör feltétlenül szükséges.
2.1.6. Beépített adatvédelem
Az adatkezelési módszerek meghatározásakor és az adatkezelés során – a technika mindenkori állásának megfelelő – adatkezelőként olyan technikai és szervezési intézkedéseket alkalmazunk, amelyek biztosítják a személyes adatok megfelelő biztonságát, az adatok jogosultalan, vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével, vagy károsodásával szembeni védelmet.
2.1.7. Elszámoltathatóság alapelve
Adatkezelőként felelősek vagyunk az adatvédelmi alapelveknek való megfelelésért, továbbá a kialakított adatkezelési és adatvédelmi rendszerünk által képesek vagyunk e megfelelés igazolására.
2.2. Az adatkezelés jogszerűsége (az adatkezelés jogalapja)
Személyes adatokat az adatkezelőként csak abban az esetben kezeljük, amennyiben valamelyik feltétel teljesül az alábbiakban felsorolt feltételek közül:
a) az érintett a személyes adatok egy, vagy több konkrét célból történő kezeléséhez kifejezetten hozzájárul,
b) az adatkezelés az érintettel kötött szerződés teljesítéséhez szükséges vagy az érintettel kötött szerződést megelőzően, az ő kérésére történik,
c) az adatkezelés uniós vagy magyar jogszabályban előírt kötelezettség teljesítéséhez szükséges,
d) az adatkezelés természetes személy létfontosságú érdekének védelméhez szükséges,
e) az adatkezelés közérdekű vagy jogi közhatalmi jogosítvány gyakorlásához szükséges,
f) az adatkezelés a szervezetünknek, vagy egy harmadik fél jogos érdekének érvényesítéséhez szükséges.
Amennyiben a személyes adatot érintő adatkezelés vonatkozásában a fenti jogalapok egyike sem áll fenn, úgy az adatkezelés nem jogszerű. Jogszerűtlen adatkezelés folytatása minden esetben tilos!
2.2.1. Hozzájárulásos jogalap (6. cikk/a)
Az adatkezeléshez történő hozzájárulásnak egyértelműnek, kifejezettnek kell lennie (a hozzájárulást nem lehet „megelőlegezni”, a hallgatás nem minősül beleegyezésnek). Az adatkezelőként kötelesek vagyunk beszerezni az érintett hozzájárulását és bizonyítani, hogy a hozzájárulás megtörtént.
Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. A hozzájárulás nem lehet feltétele egy szerződés megkötésének vagy szolgáltatás igénybevételének.
Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
A GDPR rendeletnek való megfelelés igazolására ezeket a bizonyító erejű dokumentumokat megőrizzük.
2.2.2. Szerződés teljesítése jogalap (6. cikk/b)
Az érintettel kötött szerződés teljesítésével kapcsolatban kezeljük a személyes adatait, melyek formái lehetnek:
- Megbízási szerződés
- Munkaszerződés
- ÁSZF
- Egyéb szerződési formák
2.2.3. Jogszabály teljesítése jogalap (6. cikk/c)
Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes adatkezelés biztosításához szükséges intézkedéseket is.
Szervezetünk az egyéb jogszabályi megfelelés érdekében kezel adatokat. A vonatkozó jogszabályi listát a mindenkor hatályos „Adatkezelési Tájékoztató” tartalmazza.
2.2.4. Érintett érdekeinek védelme jogalap (6. cikk/d)
Amenniyben az érintett érdekei megkövetelik, úgy azon személyes adatokat a szervezetünk a GDPR rendelet alapján kezeli.
2.2.5. Közérdekű feladat végrehajtásával kapcsolatos jogalap (6. cikk/e)
Az adatkezelés megfelelésének tisztázásához átvizsgáljuk a rendelkezéseket, amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására.
2.2.6. Jogos érdek jogalap (6. cikk/f)
Amennyiben az adatkezelés az adatkezelő, vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, úgy a jogos érdekkel szemben álló érintettek valamennyi érdekét, alapvető jogait és szabadságait figyelembe vesszük.
Az érdekmérlegelési tesztben rögzítjük az érintetteket, a mérlegelés tárgyát, valamint a jogos érdekeket. Amennyiben az adatkezelő érdeke erősebb, mint a szemben álló érintetti érdek, úgy a személyes adatra vonatkozó adatkezelés jogalapjaként a jogos érdek jogszerűen megjelölhető.
Amennyiben az adatkezelő érdekeivel szemben elsőbbséget élveznek az érintettek olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé (különösen, ha az érintett gyermek), úgy az adatkezelés a jogos érdek jogalapján nem folytatható. Amennyiben a személyes adatot érintő adatkezelés vonatkozásában sem a jogos érdek, sem más jogalap nem áll fenn, úgy az adatkezelés nem jogszerű. Jogszerűtlen adatkezelés folytatása minden esetben tilos.
2.3. Gyermek adatok kezelése
Amennyiben az adatkezelés joglapja hozzájárulásos (GDPR 6. cikk/a), úgy a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.
Adatkezelőként – figyelembe véve az elérhető technológiát – észszerű erőfeszítéseket teszünk, hogy ilyen esetekben ellenőrizzük, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.
3. Különleges adatok kezelése
3.1. Különleges adat kezelésének szabályai
Különleges adatot adatkezelőként csak abban az esetben kezelhetünk, amennyiben:
a) az érintett a személyes adatok egy, vagy több konkrét célból történő kezeléséhez kifejezetten hozzájárul (amennyiben a hozzájárulást uniós jog vagy magyar jogszabály nem tiltja),
b) az adatkezelés a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségek teljesítése és jogok gyakorlása érdekében szükséges, ha ezt uniós, vagy magyar jogszabály (amely az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkezik) vagy kollektív szerződés lehetővé teszi,
c) az adatkezelés természetes személy létfontosságú érdekének védelméhez szükséges és az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes hozzájárulást adni,
d) az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott,
e) az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges,
f) az adatkezelés jelentős közérdek miatt szükséges, uniós vagy magyar jogszabály alapján (amely az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkezik),
g) az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy magyar jogszabály alapján vagy egészségügyi szakemberrel kötött szerződés értelmében (ha az adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki jogszabály, vagy állami szerv által megállapított egyéb szabály szerinti szakmai titoktartási kötelezettséggel tartozik),
h) az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan jogszabály alapján történik, amely az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkezik (különösen a szakmai titoktartásra vonatkozóan);
i) az adatkezelés közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy magyar jogszabály alapján (amely az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkezik).
4. Azonosítást nem igénylő adatkezelés
Ha azok a célok, amelyekből adatkezelőként a személyes adatokat kezeljük, nem vagy már nem teszik szükségessé az érintettnek a Társaságunk általi azonosítását, akkor adatkezelőként nem vagyunk kötelesek kiegészítő információkat megőrizni, beszerezni vagy kezelni annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen e rendeletnek.
Ha ezen említett esetekben a Társaságunk bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintettet, erről lehetőség szerint őt megfelelő módon tájékoztatni kell. Ilyen esetekben a 15–20. cikk (érintetti jogok) nem alkalmazandó, kivéve, ha az érintett abból a célból, hogy az említett cikkek szerinti jogait gyakorolja, az azonosítását lehetővé tevő kiegészítő információkat nyújt.
5. Az érintett jogainak kezelése
Adatkezelőként minden esetben érvényre juttatjuk az érintettek jogszabályokban biztosított jogait, azaz:
a) az adatkezeléssel kapcsolatosan előzetes tájékoztatást kapjanak (előzetes tájékoztatáshoz való jog);
b) a kezelt személyes adataihoz és ezzel kapcsolatos információkhoz hozzáférjenek (hozzáféréshez való jog);
c) személyes adataik törlését kérjék (törléshez való jog);
d) a megadott adataikat kérésükre helyesbítse, illetve kiegészítse (helyesbítéshez való jog);
e) adataik kezelését korlátozhatják (az adatkezelés korlátozáshoz való jog);
f) az adatkezelés esetén adataikat tagolt, széles körben használt, géppel olvasható formátumban megkapják, vagy azokat egy másik adatkezelőnek továbbítsák (adathordozhatósághoz való jog);
g) tiltakozzanak adataik kezelése ellen (tiltakozás joga);
h) a jogellenes adatkezelés eredményeként elszenvedett kárért, vagy személyiségi jogi sérelemért sérelemdíjat igényeljenek (kártérítéshez való jog);
i) jogorvoslat érdekében hatósági és/vagy bírósági eljárást kezdeményezzenek (jogorvoslathoz való jog).
5.1. Előzetes tájékozódáshoz való jog
Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon. A tájékoztatás megadásakor és formájának megválasztásakor mindig figyelembe vesszük az érintettekkel való kapcsolattartás formáját.
A fenti kötelezettségek teljesítése érdekében az Adatkezelési Tájékoztatónk a GDPR rendelet 13. és 14. cikkében meghatározott összes kötelező és ajánlott információkat tartalmazza, erre egy sablon formát alkalmazunk, valamint a GDPR rendelet 12. cikknek megfelelően tömören, áttekinthető formában és közérthetően fogalmaztunk meg.
Az Adatkezelési Tájékoztatónk sablon formája a jelen Adatkezelési Szabályzat 2. melléklete.
Az adatkezelőként a jelen Adatkezelési Szabályzatunk 4.1.1. és a 4.1.2 bekezdés szerinti tájékoztatási kötelezettségeinket az alábbiak szerint teljesítjük, azaz mikor tájékoztatunk:
a) a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
b) amenniyben a személyes adatokat az érintettel való kapcsolattartás céljára használjuk fel, legalább az érintettel való első kapcsolatfelvétel alkalmával;
c) ha várhatóan más címzettel is közlöljük az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.
d) Amennyiben a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatjuk az érintettet erről az eltérő célról és a jelen Adatkezelési Szabályzatunk 4.1.1. és a 4.1.2 bekezdéseiben említett minden releváns kiegészítő információról.
Az előzetes tájékoztatási kötezettségünk nem áll fenn, amennyiben:
a) az érintett már rendelkezik az információkkal;
b) a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, vagy amennyiben a tájékoztatási kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését;
c) az adat megszerzését, vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik;
d) a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.
5.1.1. Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik
Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:
a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d) a GDPR Rendelet 6. cikk (1) bekezdésének f) pontján (jogos érdek érvényesítés) alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;
e) adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
f) adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a GDPR Rendelet 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.
A fent említett információk mellett adatkezelőként a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsuk, az érintettet a következő kiegészítő információkról tájékoztatjuk:
a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
c) a GDPR Rendelet 6. cikk (1) bekezdésének a) pontján (az érintett hozzájárulása) vagy a 9. cikk (2) bekezdésének a) pontján (az érintett hozzájárulása) alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
f) a GDPR Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
g) Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.
h) Az 1-3. pontok nem alkalmazandó, ha és amilyen mértékben az érintett már rendelkezik az információkkal.
5.1.2. Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg
Ha a személyes adatokat nem az érintettől szerezzük meg, úgy adatkezelőként az érintett rendelkezésére bocsátjuk a 4.1.1. pontban leírtakon túlmenően következő információkat:
a) A személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és (Adatforrás meghatározás)
5.1.3. Rendelkezésre bocsátandó információk kiadása, biztosítása
A fenti kötelezettségek teljesítése érdekében külön íven szerkesztett érintetti jogérvényesítési formanyomtatványokat teszünk elérhetővé az adatkezelések érintettjei számára, amely formanyomtatványokon az érintettek a fenti, jogszabályban rögzített jogaikat érvényesíthetik. (Lásd. jelen Adatkezelési Szabályzat 3. melléklete.)
A jogérvényesítési formanyomtatványokat külön–külön is elérhetővé tesszük, mely információt az Adatkezelési Tájékoztatónkban teszünk közzé.
A külön íven megszerkesztett érintetti jogérvényesítési formanyomtatványok tartalmazzák az adott témával kapcsolatos tudnivalókat és az eljárás menetét is!
A fenti információkat, a tájékoztatást és az alábbi pontokban lévő jogokhoz kapcsolódó intézkedéseket díjmentesen biztosítjuk. Amennyiben az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, a kért információ, vagy tájékoztatás nyújtásával, vagy a kért intézkedés meghozatalával járó adminisztratív költségekre, akkor:
a) Társaságunk észszerű összegű díjat számíthat fel, vagy
b) megtagadhatja a kérelem alapján történő intézkedést.
A kérelem egyértelműen megalapozatlan, vagy túlzó jellegének bizonyítása a Társaságunkat terheli.
A feladatot szervezetünknél a belső adatvédelmi megbízott végzi el. Amennyiben a Rendelet 37. cikke szerint adatvédelmi tisztviselőt alkalmazunk és ő látja el egyedül az adatkezelési feladatainkat, őgy az ő feladata az érintettekkel való kapcsolattartás, a kérelmek elbírálása és kezelése.
A jelen Adatkezelési Szabályzat 5. pontjának sérelme nélkül, ha a Társaságunknak megalapozott kétségei vannak a jogokkal kapcsolatos kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
Adatkezelőként az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátjuk. Az érintett által kért további másolatokért adminisztratív költségeken alapuló, észszerű mértékű díjat számíthatunk fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri. A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.
5.2. Az érintett hozzáférési joga
Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) a GDPR Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
Amennyiben a személyes adatoknak harmadik országba, vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy arról tájékoztatást kapjon.
5.3. A törléshez való jog („az elfeledtetéshez való jog”)
Az érintett jogosult arra, hogy kérésére a Társaságunk indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, adatkezelőként pedig kötelezve vagyunk arra arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül töröljük, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja a GDPR Rendelet 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett a GDPR Rendelet 21. cikk (1) bekezdése alapján tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
d) a személyes adatokat jogellenesen kezeli az adatkezelő;
e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére a GDPR Rendelet 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
A törlési kötezettségünk nem áll fenn, amennyiben az adatkezelés szükséges:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
c) a GDPR Rendelet 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;
d) a GDPR Rendelet 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben fenti pontban említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
5.4. Helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére a Társaságunk indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – kiegészítő nyilatkozat útján történő – kiegészítését.
Amikor az adatkezelést végző munkatárs a személyes adatokat helyesbíti, vagy kiegészíti, erről tájékoztatja azt az adatkezelőt/adatfeldolgozót, aki részére a helyesbítéssel érintett személyes adatot továbbította.
5.5. Az adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére a Társaságunk korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett a GDPR Rendelet 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Ha az adatkezelés a fenti pont alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
Adatkezelőként az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatjuk az érintettet, akinek a kérésére a fenti pont alapján korlátoztuk az adatkezelését.
5.6. Az adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa a Társaságunk rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsuk anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:
a) az adatkezelés a GDPR Rendelet 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és b) az adatkezelés automatizált módon történik.
Az adatok hordozhatóságához való jog a fenti pont szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
E jog jog gyakorlása nem sértheti a GDPR Rendelet 17. cikkét, így az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.
Az adathordozhatósághoz való jog nem érintheti hátrányosan mások jogait és szabadságait.
5.7. A tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a kezelése ellen, amennyiben az adatkezelés jogalapja:
a) GDPR Rendelet 6. cikk (1) bekezdésének e) pontján (az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges), vagy
b) GDPR Rendelet 6. cikk (1) bekezdésének f) pontján (az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges) alapuló jogalapok ideértve az említett rendelkezéseken alapuló profilalkotást is.
Ebben az esetben adatkezelőként a személyes adatokat nem kezelhetjük tovább, kivéve, ha bizonyítjuk, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
A tiltakozásra vonatkozó jogokra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
Ha a személyes adatok kezelésére a Rendelet 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
A döntések nem alapulhatnak a személyes adatoknak a Rendelet 9. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.
Adatkezelőként a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgáljuk, annak megalapozottsága kérdésében döntést hozunk, döntéséről a kérelmezőt írásban tájékoztatjuk.
Amenniyben adatkezelőként érintett tiltakozásának megalapozottságát megállapítjuk, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszüntetjük, és az adatokat zároljuk, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesítjük mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbítottuk és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
5.8. Tiltakozás az automatizált döntéshozatallal (beleértve a profilalkotást) kapcsolatban
Az érintett jogosult arra, hogy ne terjedjen ki rá (tiltakozzon) az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
A kötezettségünk nem áll fenn, abban az esetben, ha a döntés:
a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
c) az érintett kifejezett hozzájárulásán alapul.
Az a) és c) pontjokban említett esetekben az adatkezelőként kötelesek vagyunk megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy részünkről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
5.9. Az érintett tájékoztatáshoz való joga az adatvédelmi incidensről
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
A fent említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a GDPR Rendelet 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.
Az incidens bekövetkezésekor, az érintett felé történő tájékoztatási kötezettségünk nem áll fenn, ha a következő feltételek bármelyike teljesül, ha:
a) adatkezelőként megfelelő technikai és szervezési védelmi intézkedéseket hajtottunk végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmaztuk, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) adatkezelőként az adatvédelmi incidenst követően olyan további intézkedéseket tettünk, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján tájékoztatjuk, vagy olyan hasonló intézkedést hozunk, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
Amennyiben a Társaságunk még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a fenti pontban említett feltételek valamelyikének teljesülését.
5.10. A felügyeleti hatóságnál történő panasztételhez való jog
Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.
Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a Rendelet 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni.
5.11. Kártérítési jog
Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett az adatkezelőtől sérelemdíjat követelhet.
Az adatfeldolgozó mentesül a kártérítés vagy sérelemdíj megfizetése alól, ha bizonyítja, hogy feladatait a jogszabályi követelmények alapján és az adatkezelő utasításai szerint látta el.
Nem kell megtéríteni a kárt és nem követelhető a sérelemdíj, ha adatkezelőként bizonyítjuk, hogy a kárt vagy jogsérelmet az adatkezelés körén kívül álló, elháríthatatlan ok idézte elő, vagy a sérelmet szenvedő szándékos, vagy súlyosan gondatlan magatartásából származott vagy, ha bizonyítjuk, hogy a kárt előidéző eseményért semmilyen módon nem terhel minket felelősség.
5.12. Jogorvoslati lehetőségek
Az érintett a Felügyeleti hatóságnál vizsgálatot kezdeményezhet, ha megítélése szerint adatkezelőként indokolatlanul korlátozzuk a fenti pontokban meghatározott jogok érvényesítését, vagy ezen jogok érvényesítésére irányuló kérelmet elutasítjuk.
Az érintett a Felügyeleti hatóság hatósági eljárását kezdeményezheti, ha a megítélése szerint az adatkezelő, vagy adatfeldolgozója az adatkezelés során megsérti a vonatkozó jogszabályi előírásokat.
Az érintett az adatkezelő, vagy adatfeldolgozója ellen bírósághoz fordulhat, ha megítélése szerint az adatkezelő, vagy adatfeldolgozója az adatkezelés során megsérti a vonatkozó jogszabályi előírásokat.
A perre a polgári perrendtartásról szóló 2016. évi CXXX. törvényben meghatározott bíróság az illetékes azzal, hogy a per – az érintett választása szerint – a lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
5.13. A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.
Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha a Rendelet 55. vagy 56. cikk alapján illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a 77. cikk alapján benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.
Ha a felügyeleti hatóság olyan döntése ellen indítanak eljárást, amellyel kapcsolatban az egységességi mechanizmus keretében a Testület előzőleg véleményt bocsátott ki vagy döntést hozott, a felügyeleti hatóság köteles ezt a véleményt vagy döntést a bíróságnak megküldeni.
5.14. Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, Rendelet 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.
Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve.
6. Korlátozások
Az adatkezelőre, vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a GDPR Rendelet 12–22. cikkben (érintettek jogai) és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:
a) nemzetbiztonság; honvédelem; közbiztonság;
b) bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;
c) az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;
d) a bírói függetlenség és a bírósági eljárások védelme;
e) a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;
f) közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;
g) az érintett védelme vagy mások jogainak és szabadságainak védelme;
h) polgári jogi követelések érvényesítése.
A fent említett jogalkotási intézkedések adott esetben részletes rendelkezéseket tartalmaznak legalább:
a) az adatkezelés céljaira vagy az adatkezelés kategóriáira,
b) a személyes adatok kategóriáira,
c) a bevezetett korlátozások hatályára,
d) a visszaélésre, illetve a jogosulatlan hozzáférésre vagy továbbítás megakadályozását célzó garanciákra,
e) az adatkezelő meghatározására vagy az adatkezelők kategóriáinak meghatározására,
f) az adattárolás időtartamára, valamint az alkalmazandó garanciákra, figyelembe véve az adatkezelés vagy az adatkezelési kategóriák jellegét, hatályát és céljait,
g) az érintettek jogait és szabadságait érintő kockázatokra, és
h) az érintettek arra vonatkozó jogára, hogy tájékoztatást kapjanak a korlátozásról, kivéve, ha ez hátrányosan befolyásolhatja a korlátozás célját.
7. Az adattovábbítás szabályai
7.1. Az adattovábbítás általános szabályai
Személyes adatot a Társaságunk harmadik személy (a Társaságon és az érintetten kívüli személy) részére akkor továbbíthat, ha az adatok továbbítását jogszabály nem tiltja és az adattovábbítás megfelelő jogalappal, célhoz kötötten, az adatbiztonsági szabályok betartásával történik.
7.2. Külföldre történő adattovábbítással (nemzetközi adattovábbítással) kapcsolatos speciális szabályok
7.2.1. Az Európai Gazdasági Térség (a továbiakban: EGT)
Az EGT tagállamba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.
7.2.2. Harmadik ország (nem EGT tagállam)
A harmadik országba az adatkezelést folytató adatfeldolgozó/adatkezelő részére személyes adat továbbítható:
a) az Európai Unió Bizottságának megfelelőségi határozata alapján,
b) ha a címzett adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújt az adatok kezelésével kapcsolatban (pl. jóváhagyott magatartási kódex , vagy jóváhagyott tanúsítási mechanizmus, kötelező erejű vállalati szabályok), vagy az illetékes felügyeleti hatóság az adattovábbítást engedélyezi,
c) a különleges helyzetekre vonatkozó eltérések esetén.
Mint adatkezelők harmadik ország felé személyes adatokat továbbíthatunk a személyes adatok kezelése/feldolgozása vonatkozásában, a Társaságunk és az érintett harmadik ország között a GDPR Rendelet megfelelő követelményeinek betartása mellett. A személyes adatok harmadik országba történő továbbítása vonatkozásában a jelen szabályzat szerinti jogérvényesítési lehetőségek igénybevételére van lehetőség.
7.2.3. Különleges helyzetre vonatkozó eltérés
A GDPR Rendelet 45. cikk (3) bekezdése szerinti megfelelőségi határozat, illetve a 46. cikk szerinti megfelelő garanciák hiányában – beleértve a kötelező erejű vállalati szabályokat is –, a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására vagy többszöri továbbítására csak az alábbi feltételek legalább egyikének teljesülése esetén kerülhet sor:
a) az érintett az adattovábbításhoz hozzájárult azt követően, hogy tájékoztatták az adattovábbításból eredő – az Európai Unió Bizottságának megfelelőségi határozata és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról,
b) az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges,
c) az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges,
d) az adattovábbítás fontos közérdekből szükséges,
e) az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges,
f) az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására,
g) a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető (ha a jogszabály által a betekintésre megállapított feltételek teljesülnek).
Amennyiben az adattovábbítás az előző pontban felsorolt feltételei nem állnak fenn, a harmadik országba történő adattovábbítás csak akkor történhet, ha az adattovábbítás nem ismétlődő, csak korlátozott számú érintettre vonatkozik, valamint az adatkezelő olyan kényszerítő erejű jogos érdekében szükséges, amely érdekhez képest nem élveznek elsőbbséget az érintett érdekei, jogai és szabadságai, és az adatkezelő az adattovábbítás minden körülményét megvizsgálta, és e vizsgálat alapján megfelelő garanciákat nyújtott a személyes adatok védelme tekintetében.
Ebben az esetben megvalósuló adattovábbítás esetén az adatkezelőnek 3 munkanapon belül tájékoztatnia kell az adattovábbításról, valamint az adatkezelő kényszerítő erejű jogos érdekéről az érintettet.
7.3. Az adatfeldolgozók igénybevételének szabályai
7.3.1. Adatfeldolgozási tevékenységet természetes vagy jogi személy, Társaságunk által kötött szerződés és „Adatfeldolgozói szerződés kiegészítés” alapján, Társaságunk írásbeli utasításai szerint végezhet.
7.3.2. Az adatfeldolgozás lényeges követelményeit az adott szerződésben kötelezően rögzíteni kell, e követelmények szerződésben való rögzítéséért, továbbá a szerződés hatálya alatt e követelmények teljesülésének figyelemmel kíséréséért az elsőhelyi aláíró felelős.
8. Incidenskezelés
A bekövetkezett incidensekkel kapcsolatos tájékoztatási kötelezettségünket a jelen Adatvédelmi Szabályzat 4.13. pontjában rögzítettük. Az incidensek kezelésére külön szabályzat áll a rendelkezésre Adatvédelmi Incidenskezelési Szabályzat néven.
Az Adatvédelmi Incidenskezelési Szabályzat tartalmazza az adatvédelmi incidens teljes eljárásrendjét:
- bejelentés;
- kivizsgálás;
- vizsgálat lezárása, vizsgálati jelentés és intézkedési terv;
- intézkedések végrehajtása és nyomonkövetése;
- nyilvántartása, illetve
- a szükséges formanyomtatványok.
9. Adatbiztonság
A tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajtunk végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantáljuk, ideértve, többek között, adott esetben:
- a személyes adatok álnevesítését és titkosítását;
- a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
- fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
- az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe vesszük az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek, ennek megfelelően a minden esetben törekszünk biztosítani az adatok hatékony biztonságát szolgáló technikai, technológiai és fizikai intézkedések foganatosítását, amelyek meggátolják az adatszivárgást, adatvesztést, adatlopást, vagy külső támadások kivitelezését.
Adatkezelőként a szervezetünk egészében, illetve szervezeti egység gondoskodunk az adatok biztonságáról. Ennek érdekében megtesszük a szükséges technikai és szervezési intézkedeséket, amelyek a konkrét adatkezelésre irányadó jogszabályok, adat- és titokvédelmi előírások érvényre juttatásához szükségesek, mind az elektronikus információs rendszerben tárolt, mind a hagyományos, papír alapú adathordozókon tárolt adatállományok tekintetében.
Az alkalmazott eljárásokkal és technikai eszközökkel az adatokat védjük a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
Az elektronikus információbiztonság részletszabályairól, valamint a személyes adatot tartalmazó iratok kezeléséről a jelen szabályzat 1. számú mellékletében nevesített szabályozások rendelkeznek.
10. Az adatkezelések nyilvántartása
Amennyiben az adatkezelő szervezeti egység új adatkezelést kíván bevezetni, vagy valamely adatkezelését módosítja, úgy ezt a szervezeti egység vezetője, vagy az általa kijelölt munkavállalója köteles legkésőbb az új, vagy módosított adatkezelés megkezdését követő 3 munkanapon belül, elektronikus úton bejelenteni – az adatkezelés, vagy a módosítás leírásával – az adatvédelmi megbízottnak, vagy adatvédelmi tisztviselőnek e-mail címen. A bejelentést követően az adatkezelési nyilvántartás felelőse – a bejelentővel együttműködve – a bejelentést követően módosítja, vagy kiegészíti az adatkezelési nyilvántartást.
A fenti kötelezettségek teljesítése érdekében egy GDPR megfelelést támogató szoftvert alkalmazunk, amely a GDPR rendelet 30. cikkének megfelelően minden fenti információt tárol az általunk kezelt összes személyes adatról, továbbá Adatkezelési Eljárásrendet dolgoztunk ki a belső adatkezelési folyamatok mellé.
Az adatkezelési nyilvántartások naprakészen tartása az adatvédelmi megbízott/adatvédelmi tisztviselő feladata. Adatkezelőként minden elvárható lépést megteszünk annak érdekében, hogy az adatokban és a kapcsolódó adatkezelésekben beálló megfelelően lekövessük, és a változásokat a megfelelő nyilvántartásokba időszerűen átvezessük.
Az adatkezelő az adatkezelési tevékenységeiről nyilvántartást (a továbbiakban: Nyilvántartás) vezet. Az Nyilvántartás az egyes adatkezelési tevékenységeket foglalja össze, és minden adatkezelés vonatkozásában tartalmazza:
- az adatkezelés célját;
- az adatkezelés jogalapját;
- az érintettek körét;
- a kezelt adatok körét;
- az adattovábbításra vonatkozó információkat, ide értve az adatfeldolgozókat, közös adatkezelőket, címzetteket, harmadik személyeket, harmadik országbeli címzetteket;
- az adatkezelés tartamát;
- az operatív rendszerbe való betagozódását (a vonatkozó technikai és szervezeti intézkedések leírását); egyéb információkat.
11. Adatvédelmi hatásvizsgálat
Ha az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor adatvédelmi hatásvizsgálatot végzünk arra vonatkozóan, hogy az adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Az adatvédelmi hatásvizsgálatot egy kockázati felmérés előzi meg.
A fenti kötelezettségek teljesítése érdekében egy „Adatvédelmi kockázatelemzés és hatásvizsgálat kezelésének
Szabályzata” című dokumentumot készítettünk, és betartjuk annak rendelkezéseit. Lásd. jelen Adatkezelési Szabályzat 1. számú melléklete (felsorolásban)
12. Adatvédelmi tisztviselő kijelölése
Társaságunk átvizsgálta az adatvédelmi tisztviselő kijelöléssel szemben támasztott GDPR Rendelet 37. cikkében megfogalmazottakat és arra a megállapításra jutott, hogy adatvédelmi tisztviselő kijelölése kötelező számunkra.
Társaságunk egy helyen kívánja szabályozni az adatvédelmi tisztviselővel kapcsolatos rendelkezéseket, figyelemmel az érintettek jogainak és jogos érdekeinek maradéktalan teljesülésére.
A fenti kötelezettségek teljesítése érdekében egy „Adatvédelmi Tisztviselő Szabályzat” című dokumentumot készítettünk, és betartjuk annak rendelkezéseit. Lásd. jelen Adatkezelési Szabályzat 1. számú melléklete
(felsorolásban)
13. Titoktartási kötelezettség
A titoktartási kötelezettség időbeli korlátozás nélkül terheli az adatkezelést végző személyeket, így a munkavállóinkat, az adatfeldolgozóinkat, illetve az adatkezelési tevékenységébe bármilyen jogcímen résztvevő személyeket.
Az adatkezeléssel összefüggésben tudomására jutott személyes adatot szigorúan bizalmasan kezeljük és megőrzzük.
Az erre vonatkozó jogi garanciákat a munkatársainkkal Nyilatkozatok útján, illetve a partnerekkel szerződések útján biztosítjuk, megerősítve az ezzel kapcsolatos felelőségüket!
Az kizárólag azoknak lehet engedélyezi a személyes adatokhoz történő hozzáférést, akiknek a feladatuk, vagy a szerződés teljesítése érdekében szükséges megismerniük.
Az adatkezelést végző személyeknek kötelezettséget kell vállalni arra, hogy a kezelt személyes adatokat nem hozza nyilvánosságra, illetéktelen harmadik személy részére nem teszi hozzáférhetővé, és gondoskodik azok jogosulatlan megszerzéstől, hozzáféréstől, felhasználástól, módosítástól, törléstől, megsemmisítéstől, illetéktelen személlyel történő közléstől való megóvásáról.
A titoktartási kötelezettség nem vonatkozik az olyan személyes adatokra, amelyek nyilvánosságra hozatalát jogszabály írja elő, illetve amelyek közléséhez, nyilvánosságra hozatalához az adatkezelő előzetesen hozzájárult.
14. Záró rendelkezések
A jelen szabályzatban nem szabályozott kérdések tekintetében a GDPR Rendeletben foglaltak szerint kell eljárni, illetve figyelembe kell venni a Felügyeleti hatóság kötelezően alkalmazandó dokumentumait is.
15. Mellékletekek tartalomjegyzék
Melléklet száma | Melléklet neve | Részletek |
1 | Adatkezléssel és adatvédelmmel kapcsolatos dokumentumok | Az adatkezelésünkhöz kialakított szabályzatok, dokumentumok, nyilvántartások, nyomtatványok, sablonszövegek tartalomjegyzéke. |
2 | Adatkezelési Tájékoztató sablon | A kötelező tájékoztatási rendre készített sablon az áttekinthetőség érdekében. |
3 | Jogérvényesítési Formanyomtatványok | 1. Hozzáférés iránti kérelem |
2. Helyesbítés iránti kérelem | ||
3. Adatkezelés korlátozása kérelem | ||
4. Adathordozhatósági kérelem | ||
5. Tiltakozási kérelem | ||
6. Törlés iránti kérelem | ||
7. Hozzájárulás visszavonása iránti kérelem |
-
adatkezelesi_szabalyzat_1._szamu_melleklet_2.pdf (820.7 kByte)
-
7_-_hozzajarulas_visszavonasa_iranti_kerelem.pdf (728.2 kByte)
-
6_-_torles_iranti_kerelem.pdf (730.3 kByte)
-
5_-_tiltakozasi_kerelem.pdf (727.8 kByte)
-
4_-_adathordozhatosag_iranti_kerelem.pdf (743.6 kByte)
-
3_-_adatkezeles_korlatozasa_iranti_kerelem.pdf (726.2 kByte)
-
2_-_helyesbites_iranti_kerelem.pdf (728.5 kByte)
-
1_-_hozzaferes_iranti_kerelem.pdf (716.9 kByte)
-
Adatkezelesi_szabalyzat_20210305.pdf (996.5 kByte) 2021. 03. 05.