ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT Egri Vízilabda Krlátlt Felelősségű Társaság 2018. december 1.
TARTALOMJEGYZÉK I. BEVEZETŐ RENDELKEZÉSEK, A SZABÁLYZAT CÉLJA, HATÁLYA... - 3 - II. FOGALOMMEGHATÁROZÁSOK... - 4 - III. AZ ADATKEZELÉS ELVEI, JOGALAPJA, IDŐTARTAMA... - 7 - IV. A MUNKAVISZONNYAL KAPCSOLATOS ADATKEZELÉSEK... - 9 - V. AZ ADATKEZELŐ TOVÁBBI ADATKEZELÉSEI... - 11 - VI. SZEMÉLYES ADATOK HARMADIK ORSZÁGBA TÖRTÉNŐ ÁTADÁSA... - 14 - VII. AZ ADATKEZELÉS BIZTONSÁGA... - 14 - VIII. COOKIE-K (SÜTIK) KEZELÉSE... - 15 - IX. ADATTOVÁBBÍTÁS, ADATFELDOLGOZÁS... - 15 - X. AZ ÉRINTETTEK JOGAI... - 16 - tájékztatáshz való jg: GDPR 13. és 14. cikk... - 16 - személyes adatkhz való hzzáférési jg: GDPR 15. cikk... - 17 - helyesbítéshez való jg: GDPR 16. cikk... - 18 - törléshez való jg ( elfeledtetéshez való jg ): GDPR 17. cikk... - 18 - adatkezelés krlátzásáhz (zárlásáhz) való jg: GDPR 18. cikk... - 18 - adathrdzhatósághz való jg: GDPR 20. cikk... - 19 - tiltakzáshz való jg: GDPR 21. cikk... - 19 - autmatizált döntéshzatal egyedi ügyekben, beleértve a prfilalktást: GDPR 22. cikk (ilyen jellegű adatkezelést az Adatkezelő nem végez, jelen pnt csupán a teljesség igénye miatt kerül ismertetésre)... - 19 - a személyes adatkkal összefüggő jgk érvényesítése az érintett halálát követően Inftv. 25.... - 20 - XI. JOGORVOSLATI LEHETŐSÉGEK... - 20 - XII. AZ ADATKEZELŐ SZEMÉLYE, ELÉRHETŐSÉGEI ÉS A SZABÁLYZATTAL KAPCSOLATOS SZERZŐI JOGI RENDELKEZÉSEK... - 22 - - 2 -
I. BEVEZETŐ RENDELKEZÉSEK, A SZABÁLYZAT CÉLJA, HATÁLYA Az Egri Vízilabda Krlátlt Felelősségű Társaság (a tvábbiakban: Adatkezelő, vagy Társaság) a jelen adatvédelmi és adatbiztnsági szabályzatn (a tvábbiakban: Szabályzat) keresztül tájékztatja az érintett természetes személyeket az Adatkezelőként általa kezelt személyes adatkkal kapcslats adatkezelési gyakrlatáról. Adatkezelő a természetes személy partnerei, ügyfelei és tagjai személyes adatainak kezelését kiemelten fntsnak tartja, ennek megfelelően a személyes adatkat bizalmasan kezeli és adatk biztnsága érdekében megtesz minden szükséges technikai, szervezési intézkedést. E körben az Adatkezelő kötelezettséget vállal arra, hgy a Szabályzatban rögzített adatkezelése megfelel a vnatkzó magyar és Európai Uniós jgszabálykban fglaltaknak, ezen belül is mindenekelőtt a 2018. május 25. napját követően kötelezően alkalmazandó GDPR előírásainak. A Szabályzat megalktása srán az Adatkezelő a jgszabálykn kívül figyelemmel vlt a Nemzeti Adatvédelmi és Infrmációszabadság Hatóság (tvábbiakban: NAIH/Hatóság) ajánlásaira, tájékztatóira ezen belül is mindenekelőtt az előzetes tájékztatás adatvédelmi követelményeiről szóló 2015. szeptember 29. napján kiadtt ajánlásban rögzítettekre. A Szabályzatt, annak tartalmát az Adatkezelő bármikr jgsult megváltztatni. A Szabályzat 2018. december 1. napjától hatálys váltzata, az abban ismertetett fgalmmeghatárzásk, az érintetti jgk, a jgrvslati frmák már tartalmazzák a jgalktónak az Inftv.-en a GDPR-re tekintettel a 2018.07.26. napján és 2018.08.25. napján elvégzett módsításait. Természetesen az Inftv. és az egyéb releváns jgszabályk újabb váltzásait követően az Adatkezelő az esetlegesen szükséges módsításkat elvégzi. A Szabályzatban fglaltakat az Adatkezelő magára nézve kötelezőnek fgadja el, azkat betartva jár el a személyes adatk kezelése srán. A Szabályzat kapcsán felmerült kérdéseit az alábbi email címre, vagy a XII. pntban megadtt egyéb elérhetőségeire várja az Adatkezelő: inf@egerwaterpl.hu Az Adatkezelő adatkezeléseit az alábbi jgszabályk határzzák meg: az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) (a tvábbiakban: GDPR), az infrmációs önrendelkezési jgról és az infrmációszabadságról szóló 2011. évi CXII. törvény (a tvábbiakban: Inf tv.), a Plgári Törvénykönyvről szóló 2013. évi V. törvény (a tvábbiakban: Ptk.), a közérdekű önkéntes tevékenységről szóló 2005. évi LXXXVIII. törvény, a pénzmsás és a terrrizmus finanszírzása megelőzéséről és megakadályzásáról szóló 2017. évi LIII. törvény (a tvábbiakban: Pmtv.), a számvitelről szóló 2000. évi C. törvény (a tvábbiakban: Számv tv.), az elektrnikus kereskedelmi szlgáltatásk, valamint az infrmációs társadalmmal összefüggő szlgáltatásk egyes kérdéseiről szóló 2001. évi CVIII. törvény (a tvábbiakban: Eker tv.), a gazdasági reklámtevékenység alapvető feltételeiről és egyes krlátairól szóló 2008. évi XLVIII. törvény (a tvábbiakban: Grt.), a 2012. évi CLIX tv. a pstai szlgáltatáskról (a tvábbiakban: Psta tv.), az elektrnikus hírközlésről szóló 2003. évi C. törvény (Ehtv.), az adózás rendjéről szóló 2017. évi CL. törvény (a tvábbiakban: Art.), a pstai szlgáltatáskról szóló 2012. évi CLIX. törvény (a tvábbiakban: Psta tv.), a büntetőeljárásról szóló 2017. évi XC. törvény (a tvábbiakban: Be.). - 3 -
A Szabályzat célja: rögzíti az Adatkezelő által kezelt természetes személyek (érintettek) adatainak kezelésére vnatkzó elveket, tájékztatja az érintetteket a személyes adataikkal kapcslatban őket az Adatkezelővel szemben megillető jgaikról, azk gyakrlásának módjáról, az Adatkezelő által kezelt személyes adatkról, illetve a jgk gyakrlásáhz szükséges adatkezelői elérhetőségekről és jgrvslati frmákról. A Szabályzat emellett tükrözni kívánja az Adatkezelő elkötelezettséget az adatvédelem területén és törekvését arra, hgy a mindenkr hatálys jgszabályi előírásknak és a NAIH állásfglalásknak megfelelő adatkezelési gyakrlatt flytassn. A Szabályzat időbeli hatálya: 2018. december 1. napjától visszavnásig, vagy a Szabályzat módsításáig. A Szabályzat személyi hatálya: a Szabályzat személyi hatálya kiterjed az Adatkezelőre és az Adatkezelő adatkezelése révén érintett valamennyi természetes személyre. A Szabályzat tárgyi hatálya: a tárgyi hatály az Adatkezelő valamennyi adatkezelésére kiterjed attól függetlenül, hgy az elektrnikus vagy papír alapú. II. FOGALOMMEGHATÁROZÁSOK A Szabályzatban használt kiemelten fnts fgalmak meghatárzását és ahl indkltnak tartjuk magyarázatát (dőlt betűvel szedve) az alábbiakban rögzítjük a GDPR és/vagy az Inftv. fgalm meghatárzásával egyezően: érintett Inftv.: bármely infrmáció alapján aznsíttt vagy aznsítható természetes személy. az érintett jgai a GDPR alapján: tájékztatáshz való jg, személyes adatkhz való hzzáférés jga, helyesbítés jga, törléshez való jg, adatkezelés krlátzásáhz való jg, adathrdzhatósághz való jg, tiltakzáshz való jg ideértve a prfilalktást is, bírósághz, Hatósághz frdulás jga, ezek határideje, eljárási szabályai, kártérítés, sérelemdíj. Az érintetteket megillető jelen pntban felsrlt jgk részletes magyarázata, kifejtése a Szabályzat X. pntjában található. adatkezelő Inftv.: az a természetes vagy jgi személy, illetve jgi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jgi aktusában meghatárztt keretek között - önállóan vagy máskkal együtt az adat kezelésének célját meghatárzza, az adatkezelésre (beleértve a felhasznált eszközt) vnatkzó döntéseket meghzza és végrehajtja, vagy az adatfeldlgzóval végrehajtatja. Jelen esetben a Szabályzat XII. pntjában rögzített jgi személy. adatkezelő GDPR: az a természetes vagy jgi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatk kezelésének céljait és eszközeit önállóan vagy máskkal együtt meghatárzza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jg határzza meg, az adatkezelőt vagy az adatkezelő kijelölésére vnatkzó különös szempntkat az uniós vagy a tagállami jg is meghatárzhatja. Lásd az előző pnthz fűzött magyarázatt. adatkezelés Inftv.: az alkalmaztt eljárástól függetlenül az adatn végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárlása, megváltztatása, felhasználása, lekérdezése, tvábbítása, nyilvánsságra hzatala, összehanglása vagy összekapcslása, zárlása, törlése és megsemmisítése, valamint az adat tvábbi felhasználásának megakadályzása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy aznsítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnymat, DNS-minta, íriszkép) rögzítése. adatkezelés GDPR: a személyes adatkn vagy adatállmánykn autmatizált vagy nem autmatizált módn végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, taglás, tárlás, átalakítás vagy megváltztatás, lekérdezés, betekintés, felhasználás, közlés tvábbítás, terjesztés vagy egyéb módn történő hzzáférhetővé tétel útján, összehanglás vagy összekapcslás, krlátzás, törlés, illetve megsemmisítés. - 4 -
adattvábbítás Inf tv.: az adat meghatárztt harmadik személy számára történő hzzáférhetővé tétele. adatfeldlgzó Inf tv.: az a természetes vagy jgi személy, illetve jgi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jgi aktusában meghatárztt keretek között és feltételekkel - az adatkezelő megbízásából vagy rendelkezése alapján személyes adatkat kezel. Ilyen személyek pl. a tárhelyszlgáltatók, vagy a könyvelők is. Az adatfeldlgzók egyebekben a részükre átadtt, hzzáférhetővé tett adatkat az adatkezelő utasításainak megfelelően kötelesek kezelni, az átadtt adatk vnatkzásában saját maguk részére adatgyűjtést nem végezhetnek, az adatkkal önállóan érdemi döntést (pl. az adat törlése) nem hzhatnak. adatfeldlgzó GDPR: az a természetes vagy jgi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatkat kezel. adatfeldlgzás Inftv.: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldlgzó által végzett adatkezelési műveletek összessége. adattörlés Inf tv.: az adat felismerhetetlenné tétele ly módn, hgy a helyreállítása többé nem lehetséges. adatmegsemmisítés Inftv.: az adatt tartalmazó adathrdzó teljes fizikai megsemmisítése. Pl.: a számítógépes nyilvántartásból való végleges törlés, vagy a papír alapú nyilvántartás bármilyen módn pl.: iratmegsemmisítő útján történő megsemmisítése. személyes adat Inftv.: az érintettre vnatkzó bármely infrmáció. Ilyen pl.: az érintett születési helye ideje, IP címe, email címe, vagy telefnszáma is. személyes adat GDPR: aznsíttt vagy aznsítható természetes személyre ( érintett ) vnatkzó bármely infrmáció; aznsítható az a természetes személy, aki közvetlen vagy közvetett módn, különösen valamely aznsító, például név, szám, helymeghatárzó adat, nline aznsító vagy a természetes személy testi, fizilógiai, genetikai, szellemi, gazdasági, kulturális vagy szciális aznsságára vnatkzó egy vagy több tényező alapján aznsítható. Lásd az előző pnthz fűzött magyarázatt. különleges adat: Inftv.: a személyes adatk különleges kategóriáiba tartzó minden adat, azaz a faji vagy etnikai származásra, plitikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatk, valamint a genetikai adatk, a természetes személyek egyedi aznsítását célzó bimetrikus adatk, az egészségügyi adatk és a természetes személyek szexuális életére vagy szexuális irányultságára vnatkzó személyes adatk. Ilyen adatkat az Adatkezelő nem kezel. genetikai adat GDPR: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vnatkzó minden lyan személyes adat, amely az adtt személy fizilógiájára vagy egészségi állaptára vnatkzó egyedi infrmációt hrdz, és amely elsősrban az említett természetes személyből vett bilógiai minta elemzéséből ered. Ilyen adatkat az Adatkezelő nem kezel. bimetrikus adat GDPR: egy természetes személy testi, fizilógiai vagy viselkedési jellemzőire vnatkzó minden lyan sajáts technikai eljáráskkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi aznsítását. egészségügyi adat GDPR: egy természetes személy testi vagy pszichikai egészségi állaptára vnatkzó személyes adat, ideértve a természetes személy számára nyújttt egészségügyi szlgáltatáskra vnatkzó lyan adatt is, amely infrmációt hrdz a természetes személy egészségi állaptáról. Ilyen adatkat az Adatkezelő nem kezel. az adatkezelés krlátzása GDPR: a tárlt személyes adatk megjelölése jövőbeli kezelésük krlátzása céljából, pl.: abban az esetben, ha az érintett vitatja az adatk pntsságát, vagy az adatkezelés jgsságát. prfilalktás GDPR: személyes adatk autmatizált kezelésének bármely lyan frmája, amelynek srán a személyes adatkat valamely természetes személyhez fűződő biznys személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapthz, személyes - 5 -
preferenciákhz, érdeklődéshez, megbízhatósághz, viselkedéshez, tartózkdási helyhez vagy mzgáshz kapcslódó jellemzők elemzésére vagy előrejelzésére használják. Ilyen jellegű adatkezelést az Adatkezelő az érintettek tekintetében nem végez. álnevesítés GDPR: a személyes adatk lyan módn történő kezelése, amelynek következtében tvábbi infrmációk felhasználása nélkül többé már nem állapítható meg, hgy a személyes adat mely knkrét természetes személyre vnatkzik, feltéve, hgy az ilyen tvábbi infrmációt külön tárlják, és technikai és szervezési intézkedések megtételével biztsíttt, hgy aznsíttt vagy aznsítható természetes személyekhez ezt a személyes adatt nem lehet kapcslni. címzett GDPR: az a természetes vagy jgi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatt közlik, függetlenül attól, hgy harmadik fél-e. Azn közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami jggal összhangban férhetnek hzzá személyes adatkhz, nem minősülnek címzettnek; az említett adatk e közhatalmi szervek általi kezelése meg kell, hgy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályknak. harmadik személy Inftv.: lyan természetes vagy jgi személy, illetve jgi személyiséggel nem rendelkező szervezet, aki vagy amely nem azns az érintettel, az adatkezelővel, az adatfeldlgzóval vagy azkkal a személyekkel, akik az adatkezelő vagy adatfeldlgzó közvetlen irányítása alatt a személyes adatk kezelésére irányuló műveleteket végezne. harmadik fél GDPR: az a természetes vagy jgi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azns az érintettel, az adatkezelővel, az adatfeldlgzóval vagy azkkal a személyekkel, akik az adatkezelő vagy adatfeldlgzó közvetlen irányítása alatt a személyes adatk kezelésére felhatalmazást kaptak. hzzájárulás Inftv.: az érintett akaratának önkéntes, határztt és megfelelő tájékztatásn alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkzat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hgy beleegyezését adja a rá vnatkzó személyes adatk kezeléséhez. az érintett hzzájárulása GDPR: az érintett akaratának önkéntes, knkrét és megfelelő tájékztatásn alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkzat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hgy beleegyezését adja az őt érintő személyes adatk kezeléséhez. adatállmány Inftv.: az egy nyilvántartásban kezelt adatk összessége. nyilvántartási rendszer GDPR: a személyes adatk bármely módn centralizált, decentralizált vagy funkcinális vagy földrajzi szempntk szerint taglt állmánya, amely meghatárztt ismérvek alapján hzzáférhető. adatvédelmi incidens Inftv.: az adatbiztnság lyan sérelme, amely a tvábbíttt, tárlt vagy más módn kezelt személyes adatk véletlen vagy jgellenes megsemmisülését, elvesztését, módsulását, jgsulatlan tvábbítását vagy nyilvánsságra hzatalát, vagy az azkhz való jgsulatlan hzzáférést eredményezi. adatvédelmi incidens GDPR: a biztnság lyan sérülése, amely a tvábbíttt, tárlt vagy más módn kezelt személyes adatk véletlen vagy jgellenes megsemmisítését, elvesztését, megváltztatását, jgsulatlan közlését vagy az azkhz való jgsulatlan hzzáférést eredményezi. Ilyen lehet pl.: egy külső behatás pl.: hacker támadás, amely az Adatkezelő által kialakíttt adatbiztnsági rendszer lyan sérülésével jár, amelynek következtében az adatkhz illetéktelen személyek férhetnek hzzá. - 6 -
III. AZ ADATKEZELÉS ELVEI, JOGALAPJA, IDŐTARTAMA A GDPR és az Inf tv. előírásai alapján az Adatkezelő által tiszteletben tarttt és magára nézve kötelezően alkalmaztt adatkezelési elvek az alábbiak: Jgszerűség, tisztességes eljárás és átláthatóság elve: a személyes adatk kezelését jgszerűen és tisztességesen, valamint az érintett számára átlátható módn kell végezni. Célhz kötöttség elve: a személyes adatk gyűjtése csak meghatárztt, egyértelmű és jgszerű célból történjen, és azkat ne kezeljék ezekkel a célkkal össze nem egyeztethető módn; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudmánys és történelmi kutatási célból vagy statisztikai célból történő tvábbi adatkezelés. Adattakaréksság elve: a személyes adatk az adatkezelés céljai szempntjából megfelelőek és relevánsak kell, hgy legyenek, és a szükségesre kell krlátzódniuk. Pntsság elve: a személyes adatknak pntsnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hgy az adatkezelés céljai szempntjából pntatlan személyes adatkat haladéktalanul töröljék vagy helyesbítsék. Krlátztt tárlhatóság elve: a személyes adatk tárlásának lyan frmában kell történnie, amely az érintettek aznsítását csak a személyes adatk kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatk ennél hsszabb ideig történő tárlására csak akkr kerülhet sr, amennyiben a személyes adatk kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudmánys és történelmi kutatási célból vagy statisztikai célból kerül majd sr, az e rendeletben az érintettek jgainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel. Integritás és bizalmas jelleg elve: a személyes adatk kezelését ly módn kell végezni, hgy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztsítva legyen a személyes adatk megfelelő biztnsága, az adatk jgsulatlan vagy jgellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy kársdásával szembeni védelmet is ideértve. Elszámltathatóság elve: az adatkezelő felelős az előzőekben felsrlt elveknek való megfelelésért, tvábbá képesnek kell lennie e megfelelés igazlására. Szükségesség és aránysság elve: lényegét tekintve megegyezik az adattakaréksság elvével. Privacy by design elve: bár ezt az elvet knkrétan nem nevesíti ilyen néven a GDPR, de a Preambulum 78. cikkében és a Rendelet 25. cikkében egyértelműen megtalálható. Lényege: egy lyan tudats adatvédelmi gndlkdásmód, amelyre figyelemmel az adatkezelő az adatkezelés srán, ill. az adatkezelés módjának meghatárzásakr lyan technikai és szervezési intézkedéseket pl. az álnevesítést hajt végre, amelyek célja egyrészt az adatvédelem elveinek, másrészt az érintettek jgainak védelméhez szükséges garanciák beépítése az adatkezelés flyamatába. Inftv. Az adatkezelés jgalapja az Inftv. és a GDPR alapján A személyes adatk kezelésének jgalapja az Inftv. rendelkezései alapján az érintett részéről adtt előzetes önkéntes hzzájárulásn vagy kötelező valamely jgszabály által elrendelt adatkezelésen, mint pl.: az adózás rendjéről szóló 2017. évi CL. tv. rendelkezésén alapul, vagy az adatkezelés az adatkezelőre vnatkzó jgi kötelezettség teljesítése céljából szükséges. A jgalapk közé tartzik még az az eset is, amikr az adatkezelés az érintett vagy más személy létfntsságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításáhz vagy megelőzéséhez - 7 -
szükséges és azzal aránys, vagy a személyes adatt az érintett kifejezetten nyilvánsságra hzta és az az adatkezelés céljának megvalósulásáhz szükséges és azzal aránys. Az adatkezelések jgalapjai tekintetében az Inf tv. 5. -a, 6. -a, valamint a 7. -ának rendelkezései relevánsak. A 6. a kizárólag autmatizált adatkezelésekre, míg a 7. a bűnüldözési célú adatkezelésekre vnatkzó szabálykat rögzíti, ilyen a 6. és a 7. -kban rögzített jellegű adatkezeléseket aznban az Adatkezelő nem végez. Az adatkezelések jelentős része az érintettek önkéntes hzzájárulásán alapul. GDPR: A GDPR 6. cikke alapján az adatkezelés jgszerűsége abban az esetben áll fenn, amennyiben az alábbi feltételek valamelyike (ezekből legalább egy) teljesül: a) az érintett hzzájárulását adta személyes adatainak egy vagy több knkrét célból történő kezeléséhez, pl.: álláspályázatra benyújttt önéletrajz meghatárztt ideig történő őrzése b) az adatkezelés lyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges, pl.: valamilyen szerződés kötése a Társasággal c) az adatkezelés az adatkezelőre vnatkzó jgi kötelezettség teljesítéséhez szükséges, pl.: biznylatk megőrzésének kötelezettsége a számvitelről szóló 2000. évi C. tv. alapján d) az adatkezelés az érintett vagy egy másik természetes személy létfntsságú érdekeinek védelme miatt szükséges, az Adatkezelő esetében nem releváns pl.: humanitárius vészhelyzet, életveszély e) az adatkezelés közérdekű vagy az adatkezelőre ruháztt közhatalmi jgsítvány gyakrlásának keretében végzett feladat végrehajtásáhz szükséges, az Adatkezelő esetében szintén nem releváns pl.: közhatalmi jgsítványk gyakrlása körében f) az adatkezelés az adatkezelő vagy egy harmadik fél jgs érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett lyan érdekei vagy alapvető jgai és szabadságai, amelyek személyes adatk védelmét teszik szükségessé, különösen, ha az érintett gyermek. Az első albekezdés f) pntja nem alkalmazható a közhatalmi szervek által feladataik ellátása srán végzett adatkezelésre. A Társaság által kezelt személyes adatk jgalapját az Adatkezelő a Szabályzat IV. pntjában minden egyes adatkezelési tevékenység esetében külön-külön feltünteti függetlenül attól, hgy az adatkezelés pl.: az érintett önkéntes hzzájárulásán alapul, szerződés teljesítéséhez szükséges, vagy jgszabály által elrendelt kötelező adatkezelésen alapul. Az adatkezelés(ek) időtartama Az adatkezelések időtartamát az Adatkezelő a Szabályzat V. pntjában szintén minden egyes adatkezelési tevékenység esetében külön-külön feltünteti függetlenül attól, hgy az adatkezelés az érintett önkéntes hzzájárulásán, szerződés teljesítéséhez szükséges, vagy jgszabály által elrendelt kötelező adatkezelésen alapul. - 8 -
IV. A MUNKAVISZONNYAL KAPCSOLATOS ADATKEZELÉSEK IV/1. A munkavállalók munkavisznyának létesítésével, fenntartásával és megszüntetésével kapcslats adatkezelés: A Társaság a NAIH álláspntjával egyezően nem készít fénymáslatt a munkavállalók személyi igazlványairól. Az Adatkezelő a hatálys jgszabályk rendelkezései szerint a munkavállalók kötelezően rögzítendő adatait felveszi és azkat átadja az adóhatóság és más hatóságk részére függetlenül attól, hgy az munkaviszny létesítésén, vagy megbízási jgvisznyn alapul. A jgviszny létesítése a munkavállaló részéről önkéntes, ugyanakkr az adatkezelés kötelező az adózás rendjéről szóló 2017. évi CL. törvény I. számú mellékletének 3. pntja alapján. A kezelt adatk munkaviszny esetén: családi és utónév, adóaznsító jel, születési hely, idő, anyja neve, biztsítási jgviszny kezdete, kódja, megszűnése, a biztsítás szünetelésének időtartama, nyugdíjas törzsszám (nyugdíjas munkavállaló esetén), heti munkaidő, lakcím, FEOR-szám, heti munkaidő, bruttó bér, munkakör, munkaköri leírás, munkavégzés helye, nettó bér, TAJ szám, végzettség, szakképzettség, szakképesítés, tvábbá az ezt igazló kiratt kibcsátó intézmény neve és az kirat száma, ha a biztsíttt nem rendelkezik adóaznsító jellel, a születési családi és utóneve, születési helye, anyja születési családi és utóneve és a biztsíttt államplgársága, bankszámlaszám (amennyiben a munkabér fizetése a munkavállaló bankszámlájára történik), telefnszám, email cím, jgsítvány száma: (amennyiben a munkakör ellátásáhz jgsítvány szükséges), erkölcsi biznyítvány (amennyiben jgszabály alapján a munkakör ellátásáhz szükséges), alkalmassági vizsgálat eredménye (amennyiben a munkakör ellátásáhz szükséges), nyelvismeret (amennyiben a munkakör ellátásáhz szükséges). A kezelt adatk egyszerűsített fglalkztatás esetén: munkavállaló neve (családi és utónév), születési hely, idő, anyja neve, munkáltató adószáma, a munkavállaló adóaznsító jele és társadalmbiztsítási aznsító jele, az egyszerűsített fglalkztatás jellege, a munkaviszny napjainak száma, munkaviszny kezdete és megszűnése, munkakör megnevezése, munkavégzés helye, bruttó bér, - 9 -
nettó bér, lakcím, bankszámlaszám (amennyiben a munkabér fizetése a munkavállaló bankszámlájára történik), telefnszám, jgsítvány száma: (amennyiben a munkakör ellátásáhz jgsítvány szükséges), erkölcsi biznyítvány (amennyiben jgszabály alapján a munkakör ellátásáhz szükséges), alkalmassági vizsgálat eredménye (amennyiben a munkakör ellátásáhz szükséges). A kezelt adatk köre megbízási jgviszny esetén: családi és utónév, adóaznsító jel, születési hely, idő, anyja neve, biztsítási jgviszny kezdete, kódja, megszűnése, a biztsítás szünetelésének időtartama, lakcím, FEOR-szám, TAJ szám, heti munkaidő, bruttó megbízási díj, nettó megbízási díj, szakképesítés, tvábbá az ezt igazló kiratt kibcsátó intézmény neve és az kirat száma, bankszámlaszám (amennyiben a munkabér fizetése a munkavállaló bankszámlájára történik), telefnszám. jgsítvány száma: (amennyiben a munkakör ellátásáhz jgsítvány szükséges), erkölcsi biznyítvány (amennyiben jgszabály alapján a munkakör ellátásáhz szükséges), alkalmassági vizsgálat eredménye (amennyiben a munkakör ellátásáhz szükséges), nyelvismeret (amennyiben a munkakör ellátásáhz szükséges). Az érintettek köre: azk a természetes személyek, akik az Adatkezelővel valamely fentiekben rögzített frmában munkavisznyt vagy egyéb lyan pl. megbízási jgvisznyt létesítenek, amely alapján az Adatkezelőnek az adó, vagy más hatóság(k) felé jgszabálykban rögzített bejelentési kötelezettsége keletkezik. Az adatkezelés célja: az Adatkezelő vnatkzó jgszabálykban rögzített kötelezettségeinek teljesítése. Az adatkezelés időtartama: az Adatkezelő az adatkat az érintett munkavállaló kilépése naptári évének végétől tekintettel a Ptk. 6:22. -ában rögzített általáns elévülési időre számíttt 5 évig tartja nyilván, de a munkaügyi, társadalmbiztsítási, és bér nyilvántartáskat az Adatkezelő nem selejtezi le. Az adatkezelés flyamata és az arról való tájékztatás: az Adatkezelő minden érintett munkavállalóval közli a jgszabályn alapuló bejelentési kötelezettségét, hgy mely adatk tekintetében van bejelentési kötelezettsége. Amennyiben az érintett az adatait nem kívánja megadni és ezáltal az Adatkezelő jgszabálykban előírt bejelentési kötelezettségét teljesíteni nem tudja, abban az esetben a munkavállalóval semmilyen frmában munkaviszny nem létesíthető. Amennyiben az érintett munkavállaló az Adatkezelő bejelentési kötelezettségéhez szükséges adatközlést megadja vele az Adatkezelő az adtt munkavégzésre irányuló jgvisznyt létrehzza és a jgszabálykban előírt frmában szükséges bejelentéseket az illetékes hatóságknak, szerveknek (NAV, OEP) stb. elektrnikus útn vagy papír alapn megteszi. Adatkezelő a munkaszerződéstől független külön kiratban rögzíti a munkavállalók munkavisznnyal kapcslats teljes körű adatvédelmi tájékztatását, kifejezetten ideértve a munkavállalóknak biztsíttt céges eszközök (internet, email cím, telefn, gépjármű, számítógép) használatára vnatkzó szabályzat, valamint az Adatkezelő Adatvédelmi és Adatbiztnsági Szabályzatának munkavállaló általi megismerését és annak tudmásul vételét. - 10 -
A munkavállalók részére külön kiratban nyújttt tájékztatás részletesen tartalmazza a munkavállalókat megillető jgkat és jgrvslati lehetőségeket is. IV/2. Az Adatkezelő munkavisznnyal összefüggésben végzett munkavállalókat érintő tvábbi adatkezelései és az azkra vnatkzó egyéb szabályk, szabályzatk. A Társaság csak abban az esetben kér a munkavállalótól egészségügyi alkalmassági vizsgálatt, amennyiben azt munkavisznyra vnatkzó szabály írja elő és az az adtt munkaviszny betöltéséhez szükséges. Az egészségügyi alkalmassággal kapcslats adatkat a Társaság nem ismeri meg és nem kezeli egyetlen érintett munkavállaló adatát sem a céln túlterjeszkedő mértékben. A Társaság az egészségügyi szlgáltatótól származó alkalmassági eredmény alapján dönt az érintett munkavállaló egészségügyi alkalmasságáról, tehát a Társaság csak az egészségügyi alkalmasság tényét biznyító adatt kezeli. A munkavállalók betegségére, keresőképtelenségére vnatkzó adatkat a Társaság csak a Munka Törvénykönyvében meghatárztt jg vagy kötelezettség teljesítése céljából kezeli. A munkavállalótól a Társaság csak abban az esetben kér és kezel erkölcsi biznyítványban, jgsítványban rögzített adatkat, amennyiben azt jgszabály írja elő. A Társaságnak a munkavállalók személyes adatait illetően flytattt adatkezelése vagy a GDPR 6. cikk (1) bekezdésének b) pntján azaz szerződés teljesítéséhez szükséges adatkezelésen (pl. munkaszerződés megkötéséhez), vagy a GDPR 6. cikk (1) bekezdés c) pntján azaz jgi kötelezettség teljesítéséhez szükséges adatkezelésen (pl. a munkavállalók adatainak bejelentése az Art. alapján a NAV felé) vagy a GDPR 6. cikk (1) bekezdés f) pntján azaz a Társaság jgs érdekének érvényesítéshez szükséges adatkezelésen alapul. A munkavállalókat érintő adatkezelésekről a Társaság a munkavállalókat az adatkezelés megkezdése előtt előzetesen a munkavállaló által ellenjegyzett fentiekben hivatkztt munkaszerződéstől független, külön kiratban tájékztatja. Emellett az Adatkezelő azn munkavállalók számára, akiknek a munkavégzéséhez céges eszközöket biztsít (internet, telefn, email, számítógép, gépjármű) a céges eszközök használatával együtt járó adatkezelések ellenőrzésének részletes szabályait külön szabályzatban határzta meg. A Társaság azn munkavállalók esetében, akik részére banki átutalás révén fizeti meg a munkabér és egyéb járandóságkat az V. pntban rögzített szempntk és feltételek szerinti adatkezelést végez. A munkavállalók személyes adatainak címzettjei: a Társaság ügyvezetője, mint a munkáltatói jgkör gyakrlója, emellett tvábbi címzettek a Társaság munkaügyi, illetve könyvelési feladatait ellátó munkavállalói. Ezek a személyek a feladataik ellátásáhz szükséges mértékben ismerhetik meg a személyes adatkat titktartási nyilatkzat és adatfeldlgzói megállapdás megkötése mellett. V. AZ ADATKEZELŐ TOVÁBBI ADATKEZELÉSEI Az Adatkezelő az általa kezelt egyes személyes adatk kapcsán a GDPR 13. cikk (1) és (2) bekezdései alapján minden egyes knkrét adatkezelés vnatkzásában tájékztatja az érintetteket: az adatkezelés jgalapjáról az érintettek köréről a kezelt adatk köréről az adatkezelés céljáról az adatkezelés időtartamáról - 11 -
az adatszlgáltatás elmaradásának következményéről adatfeldlgzó személyéről, adatfeldlgzás céljáról adattvábbítás esetén annak jgalapja az adattvábbítás címzettjéről nemzetközi adattvábbítás címzettjéről, jgalapjáról az autmatizált döntéshzatal, prfilalktás tényéről A GDPR 13. cikk (1) és (2) bekezdésében felsrlt tvábbi infrmációk (érintettek jgai, felügyeleti hatósághz benyújtható panasz jgáról stb.) a Szabályzatban külön pntban (X.) összefglalva találhatók meg. Adatkezelő tájékztatja az érintetteket, hgy autmatizált döntéshzatalt és prfilalktást az általa kezelt személyes adatk tekintetében semmilyen frmában nem végez. A Társaság működésével összefüggésben az Adatkezelő az alábbi adatk kezelését végzi: Vezető tisztségviselők adatainak kezelése az adatkezelés jgalapja: az érintett önkéntes hzzájárulása (GDPR 6. cikk (1) bekezdés a) pntja, Inf tv. 5. (1) bekezdés b) pntja az érintettek köre: valamennyi természetes személy, aki az Adatkezelőnél vezető tisztségviselő kezelt adatk köre: név, lakcím, anyja neve, születési hely és idő, adóaznsító jel az adatkezelés célja: lehetővé teszi, hgy az érintett az Adatkezelő vezető tisztségviselője legyen az adatkezelés időtartama: a vezető tisztségviselő státusz megszűnéséig az adatszlgáltatás elmaradásának következménye: a vezető tisztségviselő státusz meghiúsulása adatfeldlgzó: nincs adattvábbítás: a Társaságt nyilvántartó cégbíróság részére, a nyilvántartási kötelezettség biztsítása céljából nemzetközi adattvábbítás: nincs autmatizált döntéshzatal, prfilalktás: a Társaság nem végez ilyen jellegű adatkezelést az érintetteket semmilyen rendszer, szempnt stb. alapján nem pntzza vagy srlja be különböző kategóriákba Természetes személy partnerek, támgatók adatainak kezelése az adatkezelés jgalapja: az érintett önkéntes hzzájárulása (GDPR 6. cikk (1) bekezdés a) pntja, Inf tv. 5. (1) bekezdés b) pntja az érintettek köre: valamennyi természetes, aki az Adatkezelőt bármilyen rendezvény megszervezése érdekében támgatja kezelt adatk köre: név, lakcím, e-mail cím az adatkezelés célja: a természetes személy partnerek, támgatók nyilvántartása az adatkezelés időtartama: az érintett általi visszavnásig az adatszlgáltatás elmaradásának következménye: a természetes személy partnerek, támgatók nyilvántartásba vételének meghiúsulása adatfeldlgzó: nincs adattvábbítás: nincs nemzetközi adattvábbítás: nincs autmatizált döntéshzatal, prfilalktás: a Társaság nem végez ilyen jellegű adatkezelést az érintetteket semmilyen rendszer, szempnt stb. alapján nem pntzza vagy srlja be különböző kategóriákba Munkabér kifizetéssel és saját fizetési kötelezettséggel összefüggésben kezelt bankszámla adatk Az Adatkezelő az általa fglalkztattt munkavállalók munkabérét és egyéb járandóságát banki átutalás révén fizeti meg, ill. ugyancsak banki átutalás révén teljesíti a saját pénzügyi kötelezettségeit is üzleti partnereivel szemben. - 12 -
Adatkezelő az átutaláskkal összefüggésben tudmására juttt bank és üzleti titkk megóvása érdekében ezeket az adatkat csak azn munkavállalói részére teszi elérhetővé, akiknek a feladatai ellátásáhz ez szükséges, ezen felül a könyvvizsgálói és táppénz kifizetéshez szükséges feladatkat ellátó adatfeldlgzó részére hzzáférhető az adat. az adatkezelés jgalapja: az adatkezelés szerződés teljesítéséhez szükséges (GDPR 6. cikk (1) bekezdés b) pntja, az adatkezelés az Adatkezelőre vnatkzó jgi kötelezettség teljesítéséhez szükséges (GDPR 6. cikk (1) bekezdés c) pntja az érintettek köre: mindazn természetes személy üzleti partner, amely részére az Adatkezelő banki átutalás révén teljesít, tvábbá mindazn munkavállalók, akiknek a munkabérét és egyéb juttatását az Adatkezelő banki átutalás útján fizeti meg kezelt adatk köre, frrása: számlatulajdns neve, bankszámla adatai, saját fizetési kötelezettség, ill. munkabér (egyéb juttatás) értéke (összege) a közlemény rvatban a fizetési kötelezettséggel, vagy a munkabér átutalással összefüggésben feltüntetett aznsító adatk, az átutalás időpntja. Az adatk frrása közvetlenül az érintettől. az adatkezelés célja: a saját fizetési kötelezettségek teljesítése, a teljesítés megkönnyítésének elősegítése, a munkavállalók munkabérének és egyéb járandóságának megfizetése az adatkezelés időtartama: a Számv. tv 169. (2) bekezdése alapján nylc év az adatszlgáltatás elmaradásának következménye: az érintett üzleti partner irányába az Adatkezelő nem tud banki átutalás révén teljesíteni, valamint az érintett munkavállaló részére nem teljesíthető munkabér és egyéb járandóság banki átutalás révén adatfeldlgzó: Tóvízi Andrea Katalin e.v. (székhelye: 3300 Eger, Darvas u. 25.) bérszámfejtési feladatk céljából V&V 2001 Bt. (székhelye: 3351 Verpelét, Rákóczi u. 2/7.) könyvelési, számviteli kötelezettségek céljából adattvábbítás: nincs nemzetközi adattvábbítás: nincs autmatizált döntéshzatal, prfilalktás: a Társaság nem végez ilyen jellegű adatkezelést az érintetteket semmilyen rendszer, szempnt stb. alapján nem pntzza vagy srlja be különböző kategóriákba Infrmációkérés az adatkezelés jgalapja: az érintett önkéntes hzzájárulása (GDPR 6. cikk (1) bekezdés a) pntja, Inf tv. 5. (1) bekezdés b) pntja az érintettek köre: valamennyi természetes személy, aki az Adatkezelőtől infrmációt kér a működésével, szlgáltatásaival kapcslatsan, személyes adatainak megadása mellett a kezelt adatk köre: név, e-mail cím, (pstai útn érkezett kérés esetén az infrmációt kérő személy értesítési címének adatai: település neve, út, utca, tér stb, házszám, emelet ajtó, irányítószám), a kérés tartalma az adatkezelés célja: az érintett számára infrmáció (válaszadás) nyújtása az adatkezelés időtartama: a cél megvalósulásáig az adatszlgáltatás elmaradásának következménye: az infrmációkérés meghiúsulása adatfeldlgzó: nincs adattvábbítás: nincs nemzetközi adattvábbítás: nincs autmatizált döntéshzatal, prfilalktás: a Társaság nem végez ilyen jellegű adatkezelést az érintetteket semmilyen rendszer, szempnt stb. alapján nem pntzza vagy srlja be különböző kategóriákba Szurklói Klub tagsággal kapcslats adatkezelés az adatkezelés jgalapja: az érintett önkéntes hzzájárulása (GDPR 6. cikk (1) bekezdés a) pntja, Inf tv. 5. (1) bekezdés b) pntja az érintettek köre: valamennyi természetes személy, aki a Szurklói Klub tagja kíván lenni kezelt adatk köre: név, lakcím, email cím, telefnszám, fénykép - 13 -
az adatkezelés célja: lehetővé teszi, hgy az érintett a Szurklói Klub tagja lehessen, illetve a Szurklói Klub működéséről infrmációt kapjn. A fénykép az érintett egyértelmű aznsításáhz szükséges. az adatkezelés időtartama: a Szurklói Klub tagsági jgviszny megszűnéséig az adatszlgáltatás elmaradásának következménye: a Szurklói Klub tagsági jgviszny meghiúsulása adatfeldlgzó: nincs adattvábbítás: a Társasággal partneri kapcslatban álló nymda részére, Szurklói Klub tagsági igazlvány készítése céljából nemzetközi adattvábbítás: nincs autmatizált döntéshzatal, prfilalktás: a Társaság nem végez ilyen jellegű adatkezelést az érintetteket semmilyen rendszer, szempnt stb. alapján nem pntzza vagy srlja be különböző kategóriákba VI. SZEMÉLYES ADATOK HARMADIK ORSZÁGBA TÖRTÉNŐ ÁTADÁSA Az Európai Unión belülre történő adattvábbítás esetében egységes a jgi szabályzás, melyhez egységes garanciális rendszer is alkalmazandó, mindaználtal az Európai Unión kívülre történő tvábbítás esetében egységes rendszer nem létezik. A GDPR 45. cikk (1) bekezdése értelmében személyes adatk harmadik rszágba vagy nemzetközi szervezet részére történő tvábbítására akkr kerülhet sr, ha a Bizttság megállapíttta, hgy a harmadik rszág, a harmadik rszág valamely területe, vagy egy vagy több meghatárztt ágazata, vagy a szóban frgó nemzetközi szervezet megfelelő védelmi szintet biztsít. Az ilyen adattvábbításhz nem szükséges külön engedély. A GDPR 45. cikk (3) bekezdése alapján a védelmi szint megfelelősségének értékelését követően a Bizttság határz arról, hgy biztsíttt-e a védelmi szint. Ilyen határzat hiányában az Adatkezelő csak abban az esetben tvábbíthat személyes adatkat harmadik rszágba, ha megfelelő garanciákat nyújttt (GDPR 46. cikk (1) bekezdés). A fent hivatkztt határzat, illetve megfelelő garanciák hiányában a GDPR 49. cikk (1) bekezdése a) és b) pntja értelmében ugyanakkr az érintettek személyes adatai tvábbíthatóak harmadik rszágkban lévő adatkezelőnek és adatfeldlgzónak, vagy nemzetközi szervezetnek is, amennyiben ahhz az érintett kifejezetten hzzájárulását adta, vagy az adattvábbításra az érintett és az Adatkezelő közötti szerződés teljesítéséhez szükség van. VII. AZ ADATKEZELÉS BIZTONSÁGA Adatkezelő ezútn tájékztatja az érintetteket, hgy a GDPR 32. cikk (1) bekezdése, a GDPR Preambulum (83) bekezdése és az Inf tv. 7. -a alapján minden tőle telhető technikai és szervezési intézkedést meghztt és flyamatsan meghz annak érdekében, hgy az adatkezelés kapcsán a személyes adatk védelmét a GDPR és az Inftv. előírásainak megfelelően biztsítani tudja. Adatkezelő lyan saját adatbiztnsági szabályzat(k) és eljárás(k) kialakítását végezte el, amely(ek) alkalmasak arra, hgy az általa kezelt adatk kckázati mértékének megfelelő adatbiztnságt garantálják, különös tekintettel a jgsulatlan hzzáférés, törlés, megsemmisítés, megváltztatás, nyilvánsságra hzatal megakadályzására. Adatkezelő az előző pntban felsrlt kritériumk teljesítésének érdekében az alábbi knkrét adatbiztnsági intézkedéseket hzta: - 14 -
pl.: biztnsági mentések rendszeressége: meghatárztt időközönként pl.: jelszóvédelem a számítástechnikai eszközökön pl.: jelszóváltztatás meghatárztt időközönként pl.: az adatkezelő és az adatfeldlgzó munkatársait titktartási kötelezettség köti Adatkezelő amellett, hgy flyamatsan törekszik arra, hgy csak lyan adatt kezeljen, amelyre az adatkezelés céljáhz feltétlenül szükséges, azkat is csak addig, amíg szükséges, különös figyelmet frdít a Társaság infrmatikai védelmének flyamats fenntartására, biztsítására. Adatkezelő az adatkezelésekben érintett munkatársainak az adatvédelemmel kapcslats megfelelő szintű felkészítéséről gndskdik. Az Adatkezelő az V. pntban felsrlt célkból és jgalap alapján kezelt adatkezelések srán ideértve azk tárlását, törlését, helyesbítését flyamatsan gndskdik arról is, hgy az érintettek adatainak védelmi szintje a jgszabályk szerinti elvárt mértékű legyen. Amennyiben az Adatkezelő jelen pntban felsrlt adatbiztnságt érintő törekvése ellenére bármely kból kiflyólag adatvédelmi incidens következne be az Adatkezelő az incidens súlysságának megfelelően haladéktalanul megteszi azkat az intézkedéseket, amelyeket a jgszabályk előírnak. Adatvédelmi incidens bekövetkezése esetén annak súlysságától függően (amennyiben az adatsértés az érintettre magas kckázattal jár) haladéktalanul értesíti az érintetteket és az előírt 72 órán belül megteszi a Hatóság részére szükséges tartalmú bejelentést is. VIII. COOKIE-K (SÜTIK) KEZELÉSE A Társaság jelenleg nem üzemeltet hnlapt/webldalt. IX. ADATTOVÁBBÍTÁS, ADATFELDOLGOZÁS Adatkezelő az általa igénybevett adatfeldlgzókat, valamint adattvábbítás címzettjeit feltünteti a IV. és V. pntkban részletesen felsrlt adatkezelési tevékenységeinél. Az alábbiakban felsrljuk az adatfeldlgzás, adattvábbítás srán az Adatkezelő által tiszteletben tarttt azn szabályk, amelyeket Adatkezelőként az adatfeldlgzóval is törekszik a lehető legteljesebb mértékben betartatni: Az adattvábbításra az érintett önkéntes hzzájárulása vagy jgszabály rendelkezése alapján kerül sr abban az esetben, ha az adattvábbítás jgalapja egyértelmű és az adattvábbítás címzettje, célja meghatárztt. Az adatfeldlgzással kapcslatsan az adatfeldlgzónak adtt utasításkat az Adatkezelő határzza meg, az adtt utasításk jgszerűségéért is ő felel. Az adatfeldlgzó a részére átadtt személyes adatk tekintetében saját részre tvábbi adatfeldlgzást vagy adatkezelést nem végezhet. Az adatfeldlgzó köteles betartani az Adatkezelő utasítását az adatfeldlgzásra átadtt adatkra vnatkzóan. Ennek megfelelően az adatfeldlgzó a részére átadtt adatkat illetően önállóan érdemi döntést nem hzhat (pl.: önálló döntése alapján nem törölheti az adatfeldlgzás céljából átadtt személyes adatt.) Az adatfeldlgzó tvábbi ún. al adatfeldlgzót csak az Adatkezelő előzetes írásbeli engedélye alapján vehet igénybe. Amennyiben adatvédelmi incidens az adatfeldlgzónál következik be az adatfeldlgzó köteles azt indklatlan késedelem nélkül jelenteni az Adatkezelőnek. - 15 -
Adatkezelő az adattvábbítás és adatfeldlgzás srán is maximálisan törekszik az Inf tv. és a GDPR előírásinak, elveinek betartására. X. AZ ÉRINTETTEK JOGAI Az érintettek adatkezeléssel kapcslats jgait az Inf tv. 14.-25. -ai tvábbá a GDPR III. fejezete 12-22. és 34. cikkei tartalmazzák. A Szabályzatban az érintettek jgait a mindkét jgszabályra figyelemmel fglaljuk össze: Adatkezelő tájékztatja az érintetteket, hgy jgaik gyakrlására az Adatkezelő XII. pntban feltüntetett elérhetőségeit használhatják. A GDPR szerinti általáns szabályk: amelyek teljesítése érdekében az Adatkezelőnek meg kell tenni a szükséges intézkedéseket minden egyes tájékztatást tömör, átlátható, érthető és könnyen hzzáférhető frmában, világsan és közérthetően megfgalmazva kell nyújtani. az infrmációkat írásban vagy más módn ideértve az elektrnikus utat is kell megadni. az érintett kérésére szóbeli tájékztatás is adható, feltéve, hgy más módn igazlták a személyaznsságát. ha az érintett a kérelmet elektrnikus útn nyújttta be a választ is elektrnikus útn kell megadni, kivéve, ha az érintett másképp kéri. a tájékztatást indklatlan késedelem nélkül, a kérelem beérkezésétől egy hónapn belül kell megadni a 15 22. cikk szerinti kérelmek kapcsán hztt intézkedésekről és amely határidő szükség szerint amennyiben a kérelem összetett, ill. nagy számú kérelem érkezik az Adatkezelőhöz tvábbi két hónappal meghsszabbítható. az Adatkezelőnek legkésőbb egy hónapn belül tájékztatni kell az érintettet az intézkedés elmaradásának kairól, ha nem tesz intézkedéseket a kérelme nymán, ill. egyidejűleg arról, hgy a Hatósághz panaszt nyújthat be és bírósági jgrvslattal is élhet. a 13. és 14. cikkek szerinti infrmációkat, tvábbá a 15. cikk és a 22. cikk között nevesített jgk esetén, valamint a 34. cikk (tájékztatás adatvédelmi incidensről) szerinti tájékztatáskat díjmentesen kell megadni az érintett részére. Amennyiben az érintett kérelme ismétlődő jellegű vagy egyértelműen megalapzatlan (biznyítása az Adatkezelő dlga) akkr az Adatkezelőnek jga van ésszerű összeg felszámítására. Az egyes érintetti jgk: tájékztatáshz való jg: GDPR 13. és 14. cikk Ha az érintettre vnatkzó személyes adatkat az érintettől gyűjtik, az adatkezelő a személyes adatk megszerzésének időpntjában az érintett rendelkezésére bcsátja a következő infrmációk mindegyikét: a) az adatkezelőnek és ha van ilyen az adatkezelő képviselőjének a kiléte és elérhetőségei; b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen; c) a személyes adatk tervezett kezelésének célja, valamint az adatkezelés jgalapja; d) a 6. cikk (1) bekezdésének f) pntján alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jgs érdekei; e) adtt esetben a személyes adatk címzettjei, illetve a címzettek kategóriái, ha van ilyen; f) adtt esetben annak tényét, hgy az adatkezelő harmadik rszágba vagy nemzetközi szervezet részére kívánja tvábbítani a személyes adatkat, - 16 -
tvábbá ezen felül az Adatkezelőnek tájékztatást kell adnia: a) személyes adatk tárlásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatárzásának szempntjairól; b) az érintett azn jgáról, hgy kérelmezheti az adatkezelőtől a rá vnatkzó személyes adatkhz való hzzáférést, azk helyesbítését, törlését vagy kezelésének krlátzását, és tiltakzhat az ilyen személyes adatk kezelése ellen, valamint az érintett adathrdzhatósághz való jgáról; c) a 6. cikk (1) bekezdésének a) pntján (érintett hzzájárulása) vagy a 9. cikk (2) bekezdésének a) pntján (érintett önkéntes hzzájárulása különleges személyes adatk kezelésére az Adatkezelő ilyen adatkat nem kér, és nem kezel) alapuló adatkezelés esetén a hzzájárulás bármely időpntban történő visszavnásáhz való jg, amely nem érinti a visszavnás előtt a hzzájárulás alapján végrehajttt adatkezelés jgszerűségét; d) a felügyeleti hatósághz címzett panasz benyújtásának jgáról; e) arról, hgy a személyes adat szlgáltatása jgszabályn vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hgy az érintett köteles-e a személyes adatkat megadni, tvábbá, hgy milyen lehetséges következményeikkel járhat az adatszlgáltatás elmaradása; f) a 22. cikk (1) és (4) bekezdésében említett autmatizált döntéshzatal ténye, ideértve a prfilalktást is, valamint legalább ezekben az esetekben az alkalmaztt lgikára és arra vnatkzóan érthető infrmációk, hgy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír. Ha az adatkezelő a személyes adatkn a gyűjtésük céljától eltérő célból tvábbi adatkezelést kíván végezni, a tvábbi adatkezelést megelőzően tájékztatnia kell az érintettet erről az eltérő célról és a fentiekben említett minden releváns kiegészítő infrmációról. emellett tájékztatási kötelezettség terheli az Adatkezelőt: az adatvédelmi incidens körülményeiről, hatásairól, és az elhárítására megtett intézkedésekről az adattvábbítás esetén az adattvábbítás jgalapjáról, céljáról és címzettjéről az adatfeldlgzó adatairól abban az esetben, ha adatfeldlgzót vett igénybe. Adatkezelő az elutasíttt kérelmekről a Hatóságt a tárgyévet követő év január 31.-ig értesíti. A tájékztatáshz való jg írásban a Szabályzat XII. pntjában (az Adatkezelő elérhetőségei) rögzített elérhetőségeken keresztül gyakrlható. személyes adatkhz való hzzáférési jg: GDPR 15. cikk Az érintett jgsult arra, hgy az adatkezelőtől visszajelzést kapjn arra vnatkzóan, hgy személyes adatainak kezelése flyamatban van-e, és ha ilyen adatkezelés flyamatban van, jgsult arra, hgy a személyes adatkhz és a következő infrmációkhz hzzáférést kapjn: az adatkezelés céljai, az érintett személyes adatk kategóriái, azn címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatkat közölték vagy közölni fgják, ideértve különösen a harmadik rszágbeli címzetteket, illetve a nemzetközi szervezeteket, adtt esetben a személyes adatk tárlásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatárzásának szempntja, az érintett azn jga, hgy kérelmezheti az adatkezelőtől a rá vnatkzó személyes adatk helyesbítését, törlését vagy kezelésének krlátzását, és tiltakzhat az ilyen személyes adatk kezelése ellen, a valamely felügyeleti hatósághz címzett panasz benyújtásának jga, - 17 -
ha az adatkat nem az érintettől gyűjtötték, a frrásukra vnatkzó minden elérhető infrmáció, az autmatizált döntéshzatal ténye, ideértve a prfilalktást is, valamint legalább ezekben az esetekben az alkalmaztt lgikára és arra vnatkzó érthető infrmációk, hgy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár. helyesbítéshez való jg: GDPR 16. cikk Az érintett jgsult arra, hgy kérésére az adatkezelő indklatlan késedelem nélkül helyesbítse a rá vnatkzó pntatlan személyes adatkat. Figyelembe véve az adatkezelés célját, az érintett jgsult arra, hgy kérje a hiánys személyes adatk egyebek mellett kiegészítő nyilatkzat útján történő kiegészítését. Amennyiben a helyesbítéshez szükséges adatk az Adatkezelő rendelkezésére állnak akkr az adatk helyesbítését az adatkezelő autmatikusan külön erre irányuló kérelem nélkül is elvégzi. törléshez való jg ( elfeledtetéshez való jg ): GDPR 17. cikk Az érintett jgsult arra, hgy kérésére az adatkezelő indklatlan késedelem nélkül törölje a rá vnatkzó személyes adatkat, az adatkezelő pedig köteles arra, hgy az érintettre vnatkzó személyes adatkat indklatlan késedelem nélkül törölje, ha az alábbi indkk valamelyike fennáll: a személyes adatkra már nincs szükség abból a célból, amelyből azkat gyűjtötték vagy más módn kezelték, az érintett visszavnja az adatkezelés alapját képező hzzájárulását, és az adatkezelésnek nincs más jgalapja, az érintett tiltakzik az adatkezelése ellen, és nincs elsőbbséget élvező jgszerű k az adatkezelésre, a személyes adatkat jgellenesen kezelték, a személyes adatkat az adatkezelőre alkalmazandó uniós vagy tagállami jgban előírt jgi kötelezettség teljesítéséhez törölni kell, a személyes adatk gyűjtésére infrmációs társadalmmal összefüggő szlgáltatásk kínálásával kapcslatsan került sr. Ugyanakkr a törléshez (elfeledtetéshez) való jg nem abszlút, tehát nem alkalmazható, amennyiben az adatkezelés szükséges: a véleménynyilvánítás szabadságáhz és a tájékzódáshz való jg gyakrlása céljából, a személyes adatk kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jg szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruháztt közhatalmi jgsítvány gyakrlása keretében végzett feladat végrehajtása céljából, a népegészségügy területét érintő közérdek alapján, a közérdekű archiválás céljából, tudmánys és történelmi kutatási célból vagy statisztikai célból, jgi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez. adatkezelés krlátzásáhz (zárlásáhz) való jg: GDPR 18. cikk Az érintett jgsult arra, hgy kérésére az adatkezelő krlátzza az adatkezelést, ha az alábbiak valamelyike teljesül: az érintett vitatja a személyes adatk pntsságát, ez esetben a krlátzás arra az időtartamra vnatkzik, amely lehetővé teszi, hgy az adatkezelő ellenőrizze a személyes adatk pntsságát, az adatkezelés jgellenes, és az érintett ellenzi az adatk törlését, és ehelyett kéri azk felhasználásának krlátzását, - 18 -