Jóváhagyta: Dr. Szabó István püspök, a Zsinat lelkészi elnöke és Dr. Huszár Pál főgondnok, a Zsinat világi elnöke
Hatályba lépés időpontja: 2018.május 25.
1. A szabályzat célja
Jelen Adatvédelmi- és adatbiztonsági szabályzat (a továbbiakban: „Szabályzat”) célja annak biztosítása, hogy a Magyarországi Református Egyház (székhely: 1146 Budapest Abonyi u.21.) (a továbbiakban: „Adatkezelő”) adatvédelmi szempontból megfeleljen a vonatkozó hazai és közvetlenül alkalmazandó nemzetközi jogszabályi előírásoknak.
Az Adatkezelő a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 EU rendeletben (általános adatvédelmi rendelet) (továbbiakban: „GDPR”), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: „Infotv.”) 24. § (3) bekezdésében foglaltakra tekintettel köteles az Infotv. végrehajtása érdekében adatvédelmi és adatbiztonsági szabályzatot készíteni.
Az Adatkezelő a jelen Szabályzatban leírtak szerint gyűjti, kezeli, használja és dolgozza fel az ellátottai, munkatársai, valamint egyéb partnerei személyes adatait.
Az Adatkezelő az Érintettről szerzett személyes adatokat kizárólag a hatályos jogszabályi rendelkezéseknek megfelelően és a Szabályzatban rögzített célok elérésének érdekében tárolja, kezeli, illetve dolgozza fel.
A Szabályzat célja az adatvédelmi elvek és szabályok meghatározásával, bevezetésével az Adatkezelőnél vezetett nyilvántartások működésének és törvényes megfelelőségének, valamint az alaptörvényben lefektetett adatvédelemi elveknek, az adatbiztonság követelményei érvényesülésének biztosítása, továbbá a jogosulatlan hozzáférés, az adatok megváltoztatásának vagy jogosulatlan nyilvánosságra hozatalának megakadályozása.
Az Adatkezelő gondoskodik arról, hogy a Szabályzat hatályos tartalma mindenkor kétséget kizáróan megállapítható, egyúttal korábban hatályban volt tartalma utólag pontosan visszakereshető legyen.
Jelen szabályzat hatályba lépésével egyidejűleg az Adatkezelő korábbi, adatvédelemről szóló szabályzata hatályát veszti.
2. Alkalmazási terület
2.1. Jogszabályok
Annak érdekében, hogy az érintett a jogait megfelelő terjedelemben gyakorolhassa és az Adatkezelő a jogszabályokban előírt kötelezettségeinek eleget tehessen, az Adatkezelő gyűjti, rögzíti, feldolgozza és tárolja az ellátottak/gondozottak, munkatársak és szerződéses partnerek személyes adatait. Az Adatkezelő ezen eljárása során a mindenkor hatályos magyarországi és közvetlenül alkalmazandó nemzetközi jogszabályoknak megfelelően jár el, különös tekintettel a következő törvények és egyéb dokumentumok rendelkezéseire:
· a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló Európai Parlament és a Tanács (EU) 2016/679 számú rendelete (általános adatvédelmi rendelet) (továbbiakban: „GDPR”),
· a Polgári Törvénykönyvről szóló 2013. évi V. törvény („Ptk.”);
· az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”)
· 2011. évi CCVI. tv. (Ehtv).
· a számvitelről szóló 2000. évi C. törvény („Sztv.”);
· 2012. évi I. tv. (Mt.)
· az Adatkezelő szabályzatai, szerződései és nyomtatványai.
2.2. Tárgyi hatály
Jelen Szabályzat tárgyi hatálya kiterjed az Adatkezelő valamennyi tevékenységére, amely:
· az Adatkezelővel szerződéses jogviszonyban álló természetes személyek jelen Szabályzatban meghatározott adatait tartalmazza;
· azon természetes személyek adatait érinti, akik az Adatkezelővel korábban jogviszonyban álltak;
· azon természetes személyek adatait érinti, akik az Adatkezelővel a jövőben egyéb szerződéses jogviszony alapján kívánnak kapcsolatba lépni;
· azon természetes személyek adatait érinti, akik az Adatkezelővel kapcsolatban álló természetes személyekhez oly módon kapcsolódnak, hogy személyes adataik kezelése az Adatkezelő szolgáltatásához szükséges (például meghatalmazott; értesítendő hozzátartozó, törvényes képviselő, gondnok, stb.);
· azon természetes személyek adatait érinti, akik az Adatkezelővel szerződéses kapcsolatban álló jogi személyek képviselői, kapcsolattartói.
2.3. Időbeli hatály
Jelen Szabályzat 2018. május 25. napjától visszavonásig, vagy az Adatkezelő általi módosításáig hatályos.
2.4. Személyi hatály
Jelen Szabályzat hatálya kiterjed:
· az Adatkezelőre;
· azon személyekre, akik adatait a jelen Szabályzat hatálya alá tartozó adatkezelések tartalmazzák;
· azon személyekre, akik jogait vagy jogos érdekeit az adatkezelés érinti;
· az Adatkezelő valamennyi szervezeti egységére, valamennyi alkalmazottjára és vezető tisztségviselőire, akik az Adatkezelőn belül adatkezelést végeznek, vagy munkakörük azzal összefüggésbe hozható.
· A szabályzat személyi hatálya nem terjed ki az Adatkezelő származtatott jogi személyeire
Az Adatkezelő valamennyi vezető tisztségviselője és főállású vagy részmunkaidőben foglalkoztatott munkavállalója illetve egyéb jogviszonyban álló személy a Szabályzatban meghatározottak szerint felelősséggel tartozik az előírt adat- és információvédelmi szabályok betartásáért és betartatásáért.
A belső adatvédelmi tisztviselő az Adatkezelő munkavállalói számára szükség szerint tájékoztatást, oktatást tart jelen szabályzat tárgyában, annak érdekében, hogy az adatvédelmi tudatosság erősödjön a munkavállalók között, és folyamatosan naprakészen tartsák az adatvédelemmel kapcsolatos ismereteiket.
3. Fogalmak
Az alábbi fogalmak jelen Szabályzat alkalmazásában értendők.
Érintett
Bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy. A jelen Szabályzat hatálya alá tartozó adatkezelést illetően érintett elsősorban az Adatkezelő által nyújtott szolgáltatásokat igénybe vevő személy, továbbá az a személy, akinek adatait az Adatkezelő a szolgáltatásához kapcsolódóan kezeli.
Személyes adat
Az érintettel kapcsolatba hozható információ – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az érintettre vonatkozó következtetés.
Különleges adat
A személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.
Közérdekű adat
Az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;
Hozzájárulás
Az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez.
Tiltakozás
Az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.
Adatkezelő
Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja. A jelen Szabályzat hatálya alá tartozó adatkezelések tekintetében adatkezelő az Adatkezelő.
Adatkezelés
Az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.
Adattovábbítás
Az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
Nyilvánosságra hozatal
Az adat bárki számára történő hozzáférhetővé tétele.
Adattörlés
Az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges.
Adatmegjelölés
Az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából.
Adatzárolás
Az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából.
Adatmegsemmisítés
Az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése.
Adatfeldolgozás
Az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik.
Adatfeldolgozó
Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján – beleértve a jogszabály rendelkezése alapján történő szerződéskötést is – adatok feldolgozását végzi.
Adatállomány
Az egy nyilvántartásban kezelt adatok összessége.
Harmadik személy
Olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval, illetve azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.
Ellátott/gondozott
Az a természetes személy, aki az Adatkezelővel ellátotti jogviszonyban áll, aki részére az Adatkezelő szolgáltatást nyújt, valamint ezen személyek törvényes képviselője.
SZMSZ
Az Adatkezelő Zsinati Hivatalának mindenkor hatályos Szervezeti és Működési Szabályzata.
Adatvédelmi incidens
A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
4. Az Adatkezelő adatai:
· Adatkezelő neve: Magyarországi Református Egyház
· Adatkezelő rövidített neve: MRE
· Adatkezelő székhelye:1146 Budapest, Abonyi u. 21.
· Adatkezelő telephelye:1146 Budapest, Abonyi u. 27.
· Adatkezelő telefonszáma:+36-1-460-0704
· Adatkezelő e-mailcíme:zsinat.tanacsos@reformatus.hu/zsinat.jog@reformatus.hu
· Adatkezelő honlapjának címe:www.reformatus.hu
· Adatkezelő képviselője: Dr Huszár Pál főgondnok és Dr. Szabó István püspök együttesem
· Adatkezelő kijelölt adatvédelmi tisztviselőjének neve: Dr. Veres Lajos
· Az adatvédelmi tisztviselő elérhetősége: 1055 Budapest, Markó u. 7. VI/9.
5. Az Adatkezelő adatvédelmi szervezete
5.1. Az Adatkezelő elkötelezett az adatvédelem iránt, ezért folyamatosan – a jogszabályi és működésbeli változásnak megfelelően – módosítja a jelen Szabályzatot és általában az egész adatvédelmi szabályozását.
5.2. Az Adatkezelő adatvédelemmel, adatkezeléssel, adatbiztonsággal és információbiztonsággal kapcsolatos vezetését
a) elsődlegesen az Adatkezelő irányítását ellátó képviselő önállóan,
b) másodlagosan a belső adatvédelmi tisztviselő és a képviselő együttesen látják el.
Az a-b) pont a továbbiakban együttesen: Adatkezelő (adatvédelmi) vezetése.
Az Adatkezelő (adatvédelmi) vezetése:
- ellátja az Adatkezelő adatvédelmi tevékenységének irányítását, felügyeletét
- meghatározza az adatfeldolgozási szerződések tartalmát;
- rendszeresen ellenőrzi az Adatkezelő adatvédelmi működését, a Munkatársak adatkezelését, valamint az adatvédelmi/adatkezelési nyilvántartásokat;
- engedélyezi a munkatársak munkakör ellátásához szükséges informatikai alkalmazásokhoz való hozzáférési jogosultságának megállapítását;
- ellát egyéb olyan feladatot, amelyet a jelen Szabályzattól formailag eltérő más szabályzat vagy eljárásrend, utasítás, vagy jogszabály meghatároz.
A belső adatvédelmi tisztviselő:
Az Adatkezelő képviselőjének közvetlenül felelő Munkatárs, aki ellátja a következőkben meghatározott feladatokat:
a) közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
b) tájékoztat és szakmai tanácsot ad az Adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző Munkatársak részére kötelezettségeikkel kapcsolatban;
c) ellenőrzi a 2011. évi CXII. törvény, a GDPR, és az adatvédelemre, adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatkezelési szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;
d) kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az Adatkezelőt vagy az adatfeldolgozót;
e) elkészíti és folyamatosan karbantartja a Szabályzatot;
f) vezeti a belső adatvédelmi nyilvántartásokat;
g) gondoskodik az adatvédelmi ismeretek oktatásáról;
h) kérésre szakmai tanácsot ad a munkatársak számára,
i) szükség szerint tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
j) együttműködik és kapcsolatot tart a felügyeleti hatósággal;
k) ellát egyéb, hatáskörébe utalt feladatokat.
5.3. A munkatársak a rájuk vonatkozó jogszabályokból, belső szabályzatokból és szabályokból, utasításokból, munkaköri leírásból, oktatási anyagból fakadó kötelezettségeket betartva végzik feladataikat.
5.4. Azon munkatárs, akinél az adat keletkezett, és/vagy akinek az adathoz hozzáférési jogosultsága van, illetve akinek az adatot egy másik adatgazda, vagy harmadik személy továbbította, vagy akinek az adat bármilyen más módon a birtokába jutott, adatgazdának minősül jelen Szabályzat alapján.
5.5. Adat törlését, helyesbítését, zárolását vagy megsemmisítését csak a hozzáférésre jogosult adatgazda, a belső adatvédelmi tisztviselő, vagy az Adatkezelő képviselője, továbbá az általa e feladattal írásban megbízott más munkatárs végezheti el, kizárólag abban az esetben, ha meggyőződött arról, hogy annak jogszabályban, a mindenkor hatályos Adatvédelmi és Adatkezelési Szabályzatban, vagy egyéb szabályzatban meghatározott feltételei fennállnak.
Amennyiben jogszabály, vagy belső szabályzat előírja, az adatok törlésének, zárolásának, vagy megsemmisítésének tényét az azt végrehajtó munkatársnak megfelelően dokumentálnia kell.
Az Adatkezelő munkatársai
5.6. Az Adatkezelő által foglalkoztatott munkatárs köteles:
a) a munkafolyamatok megfelelő szabályozása, szervezése útján gondoskodni arról, hogy
Ø maradéktalanul érvényesüljenek az adat- és titokvédelmi előírások;
Ø az egyes Munkatársak, valamint szerződéses partnerek, adatfeldolgozók kizárólag a feladatellátásukhoz szükséges mértékben juthassanak az adatok birtokába; ugyanakkor
Ø adatkezelése során a rendelkezésre állás elve érvényesüljön, vagyis az adatok a hozzáférésre jogosult más adatgazda, vagy harmadik személy számára elérhetőek és felhasználhatóak legyenek, ha azok a feladataik elvégzéséhez szükségesek;
Ø az adatok illetéktelen harmadik személyek birtokába kerülésének kockázata a lehető legkisebbre csökkenjen; ennek körében például a feladat végzésével összefüggésben az általa létrehozott, vagy birtokába került, papíron rögzített adatokat (pl. manuálisan kitöltött formanyomtatvány, kinyomtatott Word vagy Excel dokumentum, stb.) köteles megvédeni a jogosulatlan hozzáféréstől, az elveszéstől, a fizikai károsodástól és a megsemmisüléstől. Ennek érdekében az adathordozó dokumentumokat a közvetlen felügyelete alatt, vagy a munkavégzés helyén, illetéktelenek számára nem hozzáférhető, zárt helyen (lezárt fiókban, szekrényben, zárt irodában) kell tartania;
Ø az adott terület adatkezelési és adatmentési tevékenysége, annak folyamata a vonatkozó adatvédelmi jogszabályokkal, továbbá az Adatkezelő szabályzataival összhangban történjen;
b) az elvárható legnagyobb gondossággal eljárni. Ezzel összefüggésben köteles megtenni mindazokat a technikai és szervezési intézkedéseket, amelyeket a mindenkor hatályos vonatkozó jogszabály, a jelen Szabályzat, egyéb belső szabályzat, utasítás, munkaköri leírás, stb. előír, valamint ezen túlmenően is, mindazt, amit az adott helyzetben az ésszerűség megkövetel;
c) a felhasználói azonosító és a jelszó titkos kezelésére, e feladat teljesítése körében az azonosító és jelszó adatait bármilyen adathordozón csak és kizárólag saját felhasználás céljából rögzítheti, és ez esetben gondoskodnia kell arról, hogy ahhoz rajta kívül senki más ne férhessen hozzá. Az elektronikus adattárolási helyeken (nyilvántartási rendszerben) rögzített adatokhoz csak a saját hozzáférési jogosultságának keretei között, a saját felhasználói azonosítójával és jelszavával jogosult hozzáférni;
d) az elektronikusan tárolt adatok elveszésének megakadályozása érdekében a kizárólag általa használt adattárolási helyeken lévő adatokról rendszeres időközönként biztonsági mentést végezni, vagy végeztetni a megfelelő pozícióban levő más munkatárssal.
5.7. Amennyiben adatkezeléssel összefüggő ügyben a vonatkozó jogszabályok és/vagy az Adatkezelő szabályzatainak rendelkezéseinek értelmezésével és/vagy alkalmazásával kapcsolatos kérdés merül fel, a munkatárs iránymutatást kérhet az Adatkezelő (adatvédelmi) vezetésétől, így a belső adatvédelmi tisztviselőtől és/vagy az Adatkezelő képviselőjétől
5.8. A munkatárs az adatkezelésre, adat- és titokvédelemre vonatkozó jogszabályi rendelkezések, továbbá mindenkor hatályos Adatvédelmi és Adatkezelési Szabályzat, egyéb adatvédelmi vagy más belső szabályzat, munkaköri leírás, munkáltatói utasítás, adatvédelmi oktatási anyag rendelkezéseinek megszegése esetén a magatartás, vagy mulasztás jellegétől függően
a) büntetőjogi és/vagy
b) polgári jogi és/vagy
c) munkajogi felelősséggel tartozhat.
6. Az adatkezelés elvei
6.1. Az Adatkezelő az adatkezelés során, illetve azzal összefüggésben a „jóhiszeműség és tisztesség” követelményeinek megfelelően, az érintettekkel együttműködve jár el. Az Adatkezelő jogait és kötelezettségeit rendeltetésüknek megfelelően köteles gyakorolni, illetőleg teljesíteni.
6.2. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor tekinthető helyreállíthatónak a kapcsolat, ha az Adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.
6.3. Az Adatkezelő az adatkezelés során biztosítja az adatok pontosságát, teljességét, sérthetetlenségét, bizalmasságát és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.
6.4. A Szabályzat a fentieken kívül különösen a következő adatkezelési elveket vezeti be kihirdetése napjától, amely elvek kötelező rendelkezések és iránymutatásul szolgálnak olyan kérdésekben, amelyeket a Szabályzat nem tárgyal.
a.) „Célhoz kötöttség elve”: Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.
b.) „Jogszerűség, tisztességes eljárás és átláthatóság elve”: Személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.
c.) „Arányosság, szükségesség” vagy „adattakarékosság elve”: Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. Mindezeknek megfelelően Adatkezelő csak és kizárólag olyan adatot kezel, amely feltétlenül szükséges.
d.) „Pontosság elve”: Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.
e.) „Korlátozott tárolhatóság elve”: A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére az EU 2016/679 Rendelet 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel.
f.) „Integritás és bizalmasság elve”: Megfelelő biztonsági intézkedések alkalmazásával az automatizált adatállományokban tárolt személyes adatok védelme érdekében az Adatkezelő gondoskodik a véletlen vagy jogtalan megsemmisítés, vagy véletlen elvesztés, valamint a jogtalan hozzáférés, megváltoztatás vagy terjesztés megakadályozásáról.
g.) „Elszámoltathatóság elve”: Az Adatkezelő felelős az a-f.) pontoknak, és a Szabályzatban meghatározottaknak való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.
h.) „Beépített és alapértelmezett adatvédelem elve: tudatos gondolkodásmód, amely szerint mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során (már annak megkezdése előtt is) az Adatkezelő megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre a fenti elvek hatékony megvalósítása, a kötelezettségek teljesítése, jogi garanciák beépítése, stb. céljával, mindezeket pedig szabályozottan és részletesen dokumentáltan teszi meg. A gyakorlatban a gondolkodásmódot elősegíti a Munkatársak oktatása, adatvédelmi tudatossága, valamint az egyes adatkezelések bevezetése és/vagy rendszeres felülvizsgálata során használt hatásvizsgálat, kockázatelemzés, érdekmérlegelési teszt.
7. Az adatkezelések célja
A GDPR és az Infotv. rendelkezései értelmében az Adatkezelő személyes adatot kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhet, amely személyes adat kizárólag a cél megvalósulásához szükséges mértékben és ideig kezelhető. Az adatkezelés minden szakaszában megfelel az adatkezelés céljának. Az adatok felvétele és kezelése tisztességesen és a vonatkozó jogszabályi előírásoknak megfelelően, törvényesen történik. Az Adatkezelő csak olyan személyes adatot kezel, amely az adatkezelés céljának megvalósulásához elengedhetetlen, és így a cél elérésére alkalmas.
Az Adatkezelő esetében a jelen Szabályzat hatálya alá tartozó adatkezelések az alábbi célokat szolgálják:
· az ellátotti jogviszony létrehozása és megszüntetése;
· az ellátott részére nyújtott szolgáltatások biztosítása,
· kötelező nyilvántartások vezetése, jelentések, statisztikai szolgáltatások teljesítése
· az ellátottak, törvényes képviselőik és hozzátartozóik panaszainak, bejelentéseinek, igényeinek kezelése, ezek nyilvántartása, kivizsgálása;
· az ellátottakkal kötött megállapodásban foglalt jogok biztosítása és kötelezettségek teljesítése;
· az ellátottakkal, törvényes képviselőkkel, hozzátartozókkal és hatóságokkal történő kapcsolattartás;
· az Adatkezelő Alapító Okiratában, Szakmai programjában és SZMSZ-ében meghatározott célok teljesítése, megvalósítása;
· az Adatkezelő székhelyén, telephelyein a személy- és vagyonvédelem biztosítása;
· munkaviszonyból, egyéb szerződéses jogviszonyból eredő kötelezettségek teljesítése;
· munkavállalói toborzás, munkaerő-kiválasztás folyamata;
· egyéb, az előzőekben fel nem sorolt, jogszabályi előírások, kötelezettségek teljesítése.
8. Az adatkezelések jogalapja
8.1. A személyes adatok kezelése akkor jogszerű, amennyiben legalább az alábbiak egyike teljesül:
· az érintett hozzájárulását adta személyes adatainak kezeléséhez,
· az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél,
· az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges,
· az adatkezelés az érintett létfontosságú érdekeinek védelme miatt szükséges, illetve az adatkezelő jogos érdekén alapul,
· az adatkezelés közérdekű feladat végrehajtásához szükséges.
8.2. Az Adatkezelő a fentiek szerint személyes adatokat kizárólag az alábbi jogalapokkal kezel:
Ø közérdekű feladat elvégzése (GDPR 6. cikk (1) e)),
Ø jogszabályok által előírt kötelezettségek teljesítése (GDPR 6. cikk (1) c)).,
Ø az érintettel kötött szerződés teljesítése (GDPR 6. cikk (1) b)).,
Ø az érintett esetleges létfontosságú érdekeinek védelme (GDPR 6. cikk (1) d))
Ø . Az Adatkezelő az ügyféltér kamerás megfigyeléskor mozgókép formában keletkező személyes adatokat jogos érdeke (vagyon- és személyvédelem) alapján kezeli. (GDPR 6. cikk (1) f)).
9. Az Adatkezelő által kezelt adatok köre és kezelése
9.1. Az Adatkezelő az érintett adatait az általa végzett tevékenység, vagy szolgáltatás vonatkozásában használhatja fel. Az Adatkezelő által végzett tevékenységhez kapcsolódó kezelt adatok különösen:
· természetes személy neve,
· születéskori neve,
· anyja neve,
· neme,
· lakcíme, lakcímkártyájának száma,
· születési helye és ideje,
· értesítési cím, telefonszám, e-mailcím,
· adóazonosító jele,
· állampolgársága,
· igazolványszáma, típusa, lejárata,
· telefonszám
· email cím
· bankszámlaszám (amennyiben arra vagy arról bármilyen jogcímen kifizetés történik)
· kamerával védett helyiségek esetén mozgókép felvétele,
· ellátott egészségügyi adatai, szakvéleményei (amennyiben a szolgáltatás biztosításához azok kezelését jogszabály írja elő)
· munkavállaló, leendő munkavállaló egészségügyi alkalmasságával kapcsolatos egészségügyi adatok,
· vallási meggyőződésre utaló adatok (amennyiben az egyházi szervezet szolgáltatása szempontjából azt belső jogforrás, szabályozás relevánsnak minősíti)
· faji, etnikai hovatartozásra utaló adatok (amennyiben a szolgáltatás biztosítása érdekében az adat kezelését jogszabály írja elő)
9.2. Munkaviszony létesítése, illetve toborzás kapcsán az Adatkezelő tudomására jutott adatok köre ettől lényegesen eltérő is lehet (pl.: hatósági erkölcsi bizonyítvány adatai, TAJ-szám).
9.3. Az Infotv. 4. § (2) bekezdése alapján az Adatkezelő csak olyan személyes adatot kezelhet, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas.
9.4. Az Adatkezelő akként jár el, hogy az általa nyújtott szolgáltatások érintett általi igénybevétele esetén az érintett – a megfelelő tájékoztatás tudomásul vételét követően- a vonatkozó megállapodások aláírásával kijelenti, hogy tudomással bír a személyes adatokkal kapcsolatos adatkezelés céljáról, egyben hozzájárulását adja az adatok kezeléséhez.
10. Adatállományok kezelése
10.1. Az Adatkezelő biztosítja, hogy a nyilvántartás módja és adattartalma a mindenkor hatályos jogszabályoknak megfeleljen. A jogszabályon alapuló adatkezelések kötelezőek, azonban azokról az érintettek tájékoztatást kérhetnek. Az Adatkezelő gondoskodik az eltérő célú adatkezelések megfelelő, logikai elkülönítéséről, illetve arról, hogy az egyes adatkezelési célok megvalósítása során kizárólag az ahhoz szükséges adatok kerüljenek felhasználásra.
10.2. Az Adatkezelő az elektronikus és a papíralapú nyilvántartásokat egységes elvek alapján, a nyilvántartások adathordozóinak különbözőségéből adódó jellemzők figyelembe vételével kezeli. A jelen Szabályzat szerinti elvek és kötelezettségek az elektronikus és a papíralapú nyilvántartások esetében egyaránt érvényesülnek.
10.3. Az Adatkezelő a nyilvántartás rendszerének felépítése, a jogosultságok meghatározása, és egyéb szervezeti intézkedések útján gondoskodik arról, hogy a személyügyi nyilvántartásban szereplő adatokat csak azok a munkavállalók, és egyéb az Adatkezelő érdekkörében eljáró személyek (könyvelési, bérszámfejtési és informatikai feladatokat ellátó személyek) ismerhessék meg, akiknek erre munkakörük, feladatuk ellátása érdekében szükségük van.
10.4. Az adatfeldolgozók az adatfeldolgozásra irányuló szerződésben foglalt kötelezettségeik ellátásához Adatkezelőtől csak azokat az adatokat kapják meg, amelyekre a tevékenység ellátásához feltétlenül szükség van. Az Adatkezelő – a feladat jellegétől függően minden olyan esetben, amikor a jogszabály az adat megőrzését a továbbiakban nem írja elő – kötelezi az adatfeldolgozót az átadott adatok adatfeldolgozási tevékenység lezárultát követő megsemmisítésére.
10.5. Az Adatkezelő a nyilvántartás, ellátotti és munkatársi dokumentáció, szerződéses állományhoz tartozó adattartalmak papíralapú dokumentumait az adatbiztonság követelményeire tekintettel tárolja, és gondoskodik azok biztonságos őrzéséről.
10.6. Az Adatkezelő az elektronikus nyilvántartásokat külön erre a célra fejlesztett nyilvántartási rendszer útján üzemelteti, amely, illetve amelynek futtatási környezete megfelel az adatbiztonság követelményeinek. A jogszabályok által elrendelt kötelező nyilvántartások amelyekben történő adatrögzítést az Adatkezelő köteles elvégezni védelmi rendszerét az elektronikus nyilvántartásokat működtető szervezetek garantálják.
10.7. Az Adatkezelő lehetőség szerint törekszik az adatminimum elvének érvényesülésére, annak érdekében, hogy az egyes munkavállalók, és egyéb, az Adatkezelő érdekkörében eljáró személyek csak a szükséges személyes adatokhoz férjenek hozzá.
10.8. Az Adatállományok kezelésére, azok biztonságos őrzésére, a hozzáférési jogokra, adatok, dokumentációk felhasználására az Adatkezelő szervezetén belül – összhangban a törvényi előírásokkal – hatályos szabályzatok, utasítások megfelelően irányadóak. A hozzáférési jogosultságok igénylése, jóváhagyása, engedélyezése és beállítása, valamint megvonása és törlése dokumentált eljárások keretében történik. A jogosultságok beállítását az érintett adatvagyon elem adatgazdája engedélyezi. Az elavult, már nem szükséges jogosultságok elkerülése érdekében az Adatkezelő rendszeresen felülvizsgálja, leltározza a domain és a nyilvántartási rendszerben beállított jogokat. Az Adatkezelő a kiadott jogosultságokról külön nyilvántartást vezet, az informatikai feladatokat ellátó munkatárs, vagy megbízott feladata a nyilvántartás összevetése a tényleges hozzáférési beállításokkal.
11. Az egyes adatkezelési tevékenységek
I. Adatkezelés az érintett hozzájárulása alapján
11.1. A hozzájáruláson alapuló adatkezelés esetén az érintett hozzájárulását személyes adatai kezeléséhez az 1. számú melléklet szerinti adatkérő lapon kell kérni.
Hozzájárulásnak minősül az is, ha az érintett az Adatkezelő internetes honlapjának megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi.
A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.
11.2. Az Adatkezelő nem kötheti szerződés megkötését, teljesítését olyan személyes adatok kezeléséhez való hozzájárulás megadásához, amelyek nem szükségesek a szerződés teljesítéséhez.
A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
11.3. Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.
11.4. A Társaság a 2. számú mellékletszerinti általános adatkezelési tájékoztatóját a helyben szokásos módon, továbbá honlapján a láblécben elérhetővé teszi az érintettek számára. E tájékoztató célja, hogy az érintetteket nyilvánosan is elérhető formában az adatkezelés megkezdése előtt és annak folyamán is egyértelműen és részletesen tájékoztassa az adataik kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Ezen adatkezelési tájékoztatót a legfontosabb adatkezelési lépések mindegyikénél külön megismerhetővé kell tenni.
II. Adatkezelés jogi kötelezettség teljesítése jogcímén
11.5. A jogi kötelezettség teljesítése jogcímén alapuló adatkezelés az érintett hozzájárulásától független, mivel az adatkezelést törvény határozza meg. Az érintettel az adatkezelés megkezdése előtt ez esetben közölni kell, hogy az adatkezelés kötelező, továbbá az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő a rá vonatkozó jogi kötelezettség alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés esetén a tájékoztatás megtörténhet az előbbi információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.
III. MUNKAVISZONNYAL KAPCSOLATOS ADATKEZELÉSEK
Munkaügyi, személyzeti nyilvántartás
11.6. A munkavállalóktól kizárólag olyan adatok kérhetők és tarthatók nyilván, valamint olyan munkaköri orvosi alkalmassági vizsgálatok végezhetők, amelyek a munkaviszony létesítéséhez, fenntartásához és megszüntetéséhez, illetve a szociális-jóléti juttatások biztosításához szükségesek és a munkavállaló személyhez fűződő jogait nem sértik.
11.7. Az Adatkezelő munkáltatói jogos érdekeinek érvényesítése (Rendelet 6. cikk (1) bekezdése f)) jogcímén munkaviszony létesítése, teljesítése vagy megszűnése céljából kezeli a munkavállaló alábbi adatait:
· név
· születési név,,
· születési ideje,
· anyja neve,
· lakcíme,
· állampolgársága,
· adóazonosító jele,
· TAJ száma,
· nyugdíjas törzsszám (nyugdíjas munkavállaló esetén),
· telefonszám,
· e-mail cím,
· személyi igazolvány száma,
· lakcímet igazoló hatósági igazolvány száma,
· bankszámlaszáma,
· online azonosító (ha van)
· munkába lépésének kezdő és befejező időpontja,
· munkakör,
· iskolai végzettségét, szakképzettségét igazoló okmány másolata,
· fénykép,
· önéletrajzban megjelölt bármely egyéb adat,
· munkabérének összege, a bérfizetéssel, egyéb juttatásaival kapcsolatos adatok,
· a munkavállaló munkabéréből jogerős határozat vagy jogszabály, illetve írásbeli hozzájárulása alapján levonandó tartozást, illetve ennek jogosultságát,
· a munkavállaló munkájának értékelése,
· a munkaviszony megszűnésének módja, indokai,
· munkakörtől függően erkölcsi bizonyítványa
· a munkaköri alkalmassági vizsgálatok összegzése,
· magánnyugdíjpénztári és önkéntes kölcsönös biztosító pénztári tagság esetén a pénztár megnevezése, azonosító száma és a munkavállaló tagsági száma,
· külföldi munkavállaló esetén útlevélszám; munkavállalási jogosultságot igazoló dokumentumának megnevezését és száma,
· munkavállalót ért balesetek jegyzőkönyveiben rögzített adatokat;
· a jóléti szolgáltatás, kereskedelmi szálláshely igénybe vételéhez szükséges adatokat;
· az Adatkezelőnél biztonsági és vagyonvédelmi célból alkalmazott kamera és beléptető rendszer,
· illetve a helymeghatározó rendszerek által rögzített adatokat.
11.8. Betegségre és szakszervezeti tagságára vonatkozó adatokat a munkáltató csak a Munka Törvénykönyvében meghatározott jog, vagy kötelezettség teljesítése céljából kezel.
Ø A személyes adatok címzettjei: a munkáltató vezetője, munkáltatói jogkör gyakorlója, az Adatkezelő munkaügyi, bérszámfejtési feladatokat ellátó munkavállalói és adatfeldolgozói.
Ø A személyes adatok tárolásának időtartama: a munkaviszony megszűnését követő 8 év. A munkavállaló nyugellátás megállapításához szükséges jogosultsági idő igazolása érdekében megőrzendő személyes adatai azonban nem selejtezhetőek.
11.9. Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a Munka törvénykönyvén és a munkáltató jogos érdekeinek érvényesítésén alapul. A munkáltató a munkaszerződés megkötésével egyidejűleg a jelen szabályzat 3. számú melléklete szerinti Tájékoztató átadásával tájékoztatja a munkavállalót személyes adatainak kezeléséről és személyhez fűződő jogairól.
Alkalmassági vizsgálatokkal kapcsolatos adatkezelés
11.10. A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. A vizsgálat előtt részletesen tájékoztatni kell a munkavállalókat többek között arról, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik. Amennyiben jogszabály írja elő a vizsgálat elvégzését, akkor tájékoztatni kell a munkavállalókat a jogszabály címéről és a pontos jogszabályhelyről is. E Tájékoztatáshoz kapcsolódó adatkezelési tájékoztató mintáját jelen szabályzat 4. számú melléklete tartalmazza.
Ø A kezelhető személyes adatok köre: a munkaköri alkalmasság ténye, és az ehhez szükséges feltételek.
Ø Az adatkezelés jogalapja: a munkáltató jogos érdeke és jogszabályi kötelezettségeinek teljesítése.
Ø A személyes adatok kezelésének célja: munkaviszony létesítése, fenntartása , munkakör betöltése.
Ø A személyes adatok címzettjei, illetve a címzettek kategóriái: A vizsgálat eredményét a vizsgált munkavállalók, illetve a vizsgálatot végző szakember ismerhetik meg. A munkáltató csak azt az információt kaphatja meg, hogy a vizsgált személy a munkára alkalmas-e vagy sem, illetve milyen feltételek biztosítandók ehhez.
Ø A személyes adatok kezelésének időtartama: a munkaviszony megszűnését követő 3 év.
Felvételre jelentkező munkavállalók adatainak kezelése, pályázatok, önéletrajzok
11.11. A kezelhető személyes adatok köre: a természetes személy neve, születési ideje, helye, anyja neve, lakcím, képesítési adatok, fénykép, telefonszám, e-mail cím, a jelentkezőről készített munkáltatói feljegyzés (ha van).
Ø A személyes adatok kezelésének célja: jelentkezés, pályázat elbírálása, a kiválasztottal munkaszerződés kötése. Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.
Ø Az adatkezelés jogalapja: az érintett hozzájárulása.
Ø A személyes adatok címzettjei, illetve a címzettek kategóriái: az Adatkezelőnél munkáltatói jogok gyakorlására jogosult vezető, munkaügyi feladatokat ellátó munkavállalók.
ØA személyes adatok tárolásának időtartama: a jelentkezés, pályázat elbírálásáig. A ki nem választott jelentkezők személyes adatait törölni kell. Törölni kell annak adatait is, aki jelentkezését, pályázatát visszavonta.
11.12. A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van. E hozzájárulást a felvételi eljárás lezárását követően kell kérni a jelentkezőktől.
E-mail fiók használatának ellenőrzésével kapcsolatos adatkezelés
11.13. Ha az Adatkezelő e-mail fiókot bocsát a munkavállaló rendelkezésére, ezen e-mail címet és fiókot a munkavállaló kizárólag munkaköri feladatai céljára használhatja, annak érdekében, hogy a munkavállalók ezen keresztül tartsák egymással a kapcsolatot, vagy a munkáltató képviseletében levelezzenek más személyekkel, szervezetekkel.
A munkavállaló az e-mail fiókot személyes célra nem használhatja, a fiókban személyes leveleket nem tárolhat.
11.14. A munkáltató jogosult az e-mail fiók teljes tartalmát és használatát rendszeresen – 3 havonta - ellenőrizni, ennek során az adatkezelés jogalapja a munkáltató jogos érdeke. Az ellenőrzés célja az e-mail fiók használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, továbbá a munkavállalói kötelezettségek (Mt. 8.§, 52. §) ellenőrzése.
Az ellenőrzésre a munkáltató vezetője, vagy a munkáltatói jogok gyakorlója jogosult.
Amennyiben az ellenőrzés körülményei nem zárják ki ennek lehetőségét, biztosítani kell, hogy a munkavállaló jelen lehessen az ellenőrzés során.
Az ellenőrzés előtt tájékoztatni kell a munkavállalót arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre, munkáltató részéről ki végezheti az ellenőrzést, - milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete, - milyen jogai és jogorvoslati lehetőségei vannak az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban.
Az ellenőrzés során a fokozatosság elvét kell alkalmazni, így elsődlegesen az e-mail címéből és tárgyából kell megállapítani, hogy az a munkavállaló munkaköri feladatával kapcsolatos, és nem személyes célú. Nem személyes célú e-mailek tartalmát a munkáltató korlátozás nélkül vizsgálhatja.
11.15. Ha jelen szabályzat rendelkezéseivel ellentétben az állapítható meg, hogy a munkavállaló az e-mail fiókot személyes célra használta, fel kell szólítani a munkavállalót, hogy a személyes adatokat haladéktalanul törölje. A munkavállaló távolléte, vagy együttműködésének hiánya esetén a személyes adatokat az ellenőrzéskor a munkáltató törli. Az e-mail fiók jelen szabályzattal ellentétes használata miatt a munkáltató a munkavállalóval szemben munkajogi jogkövetkezményeket alkalmazhat.
A munkavállaló az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban e szabályzatnak az érintett jogairól szóló fejezetében írt jogokkal élhet.
Számítógép, laptop, tablet ellenőrzésével kapcsolatos adatkezelés
11.16. Az Adatkezelő által a munkavállaló részére munkavégzés céljára rendelkezésre bocsátott számítógépet, laptopot, tabletet a munkavállaló kizárólag munkaköri feladata ellátására használhatja, ezek magáncélú használatát a Társaság megtiltja, ezen eszközökön a munkavállaló semmilyen személyes adatot, levelezését nem kezelheti és nem tárolhatja. A munkáltató ezen eszközökön tárolt adatokat ellenőrizheti. Ezen eszközök munkáltató általi ellenőrzésére és jogkövetkezményire egyebekben az előbbi 10.15. pont rendelkezései irányadók.
A munkahelyi internethasználat ellenőrzésével kapcsolatos adatkezelés
11.17. A munkavállaló csak a munkaköri feladatával kapcsolatos honlapokat tekintheti meg, a személyes célú munkahelyi internethasználatot a munkáltató megtiltja.
A munkaköri feladatként az Adatkezelő nevében elvégzett internetes regisztrációk jogosultja az Adatkezelő, a regisztráció során az Adatkezelőre utaló azonosítót, jelszót kell alkalmazni. Amennyiben a személyes adatok megadása is szükséges a regisztrációhoz, a munkaviszony megszűnésekor azok törlését köteles kezdeményezni az Adatkezelő.
A munkavállaló munkahelyi internet használatát a munkáltató ellenőrizheti, amelyre és jogkövetkezményeire a 11.15. pont rendelkezései irányadók.
Céges mobiltelefon használatának ellenőrzésével kapcsolatos adatkezelés
11.18. A munkáltató nem engedélyezi a céges mobiltelefon magáncélú használatát, a mobiltelefon csak munkavégzéssel összefüggő célokra használható, és a munkáltató valamennyi kimenő hívás hívószámát és adatait, továbbá a mobiltelefonon tárolt adatokat ellenőrizheti.
A munkavállaló köteles bejelenteni a munkáltatónak, ha a céges mobiltelefont magáncélra használta. Ez esetben –szükség esetén- az ellenőrzés akként folytatható le, hogy a munkáltató hívásrészletezőt kér a telefonszolgáltatótól és felhívja a munkavállalót arra, hogy a dokumentumon a magáncélú hívások esetében a hívott számokat tegye felismerhetetlenné. A munkáltató előírhatja, hogy a magáncélú hívások költségeit a munkavállaló viselje.
Egyebekben az ellenőrzésre és jogkövetkezményire a 11.15. pont rendelkezései irányadók.
GPS navigációs rendszer alkalmazásával kapcsolatos adatkezelés
11.19. A GPS rendszer alkalmazásának jogalapja: a munkáltatói jogos érdek, célja munkaszervezés, logisztika, munkavállalói kötelezettségek teljesítésének ellenőrzése.
A kezelt adatok: gépjármű rendszáma, a megtett útvonal, távolság, gépjárműhasználat ideje.
Az ellenőrzés csak munkaidőben történhet és nem ellenőrizhető a munkavállalók földrajzi helyzete munkaidőn kívül. Egyebekben a munkáltatói ellenőrzésre és jogkövetkezményire a 11.15. rendelkezései irányadók.
Munkahelyi kamerás megfigyeléssel kapcsolatos adatkezelés
11.20. Adatkezelőünk a székhelyén, telephelyén az emberi élet, testi épség, személyi szabadság, az üzleti titok védelme és a vagyonvédelem céljából elektronikus megfigyelőrendszert alkalmaz, amely kép-, hang-, vagy kép- és hangrögzítést is lehetővé tesz, ez alapján személyes adatnak tekinthető az érintett magatartása is, amit a kamera rögzít.
Ø Ezen adatkezelés jogalapja a munkáltató jogos érdekeinek érvényesítése, és az érintett hozzájárulása.
11.21. Az elektronikus megfigyelőrendszer adott területen történő alkalmazásának tényéről jól látható helyen, jól olvashatóan, a területen megjelenni kívánó harmadik személyek tájékozódását elősegítő módon figyelemfelhívó jelzést, tájékoztatást kell elhelyezni. A tájékoztatást minden egyes kamera vonatkozásában meg kell adni. Ez a tájékoztatás tartalmazza az elektronikai vagyonvédelmi rendszer által folytatott megfigyelés tényéről, valamint a rendszer által rögzített, személyes adatokat tartalmazó kép- és hangfelvétel készítésének, tárolásának céljáról, az adatkezelés jogalapjáról, a felvétel tárolásának helyéről, a tárolás időtartamáról, a rendszert alkalmazó (üzemeltető) személyéről, az adatok megismerésére jogosult személyek köréről, továbbá az érintettek jogaira és érvényesítésük rendjére vonatkozó rendelkezéseiről szóló tájékoztatást is. A tájékoztatás mintája jelen Szabályzat 5. számú Mellékletét képezi.
11.22. A megfigyelt területre belépő harmadik személyekről (ügyfelek, látogatók, vendégek) kép és hangfelvétel a hozzájárulásukkal készíthető és kezelhető. A hozzájárulás ráutaló magatartással is megadható. Ráutaló magatartás különösen, ha az ott tartózkodó természetes személy a megfigyelt területre az oda kihelyezett elektronikus megfigyelő-rendszer alkalmazásáról tájékoztató jelzés, ismertetés ellenére a területre bemegy.
A rögzített felvételeket felhasználás hiányában maximum 3 (három) munkanapig őrizhetők meg. Felhasználásnak az minősül, ha a rögzített kép-, hang-, vagy kép- és hangfelvételt, valamint más személyes adatot bírósági vagy más hatósági, vagy egyéb eljárásban bizonyítékként kívánják felhasználni.
11.23. Az, akinek jogát vagy jogos érdekét a kép-, hang-, vagy a kép- és hangfelvétel adatának rögzítése érinti, a kép-, hang-, valamint kép- és hangfelvétel rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje.
11.24. Nem lehet elektronikus megfigyelőrendszert alkalmazni olyan helyiségben, amelyben a megfigyelés az emberi méltóságot sértheti, így különösen az öltözőkben, zuhanyzókban, az illemhelyiségekben vagy például orvosi szobában, illetve az ahhoz tartozó váróban, továbbá az olyan helyiségben sem, amely a munkavállalók munkaközi szünetének eltöltése céljából lett kijelölve.
11.25. Ha a munkahely területén jogszerűen senki sem tartózkodhat - így különösen munkaidőn kívül vagy a munkaszüneti napokon - akkor a munkahely teljes területe (így például az öltözők, illemhelyek, munkaközi szünetre kijelölt helyiségek) megfigyelhető.
11.26. Az elektronikus megfigyelőrendszerrel rögzített adatok megtekintésére a törvényben erre feljogosítottakon kívül a jogsértések feltárása és a rendszer működésének ellenőrzés céljából a kezelő személyzet, a munkáltató vezetője és megbízottja, továbbá a megfigyelt terület munkahelyi vezetője jogosult.
IV. SZERZŐDÉSHEZ KAPCSOLÓDÓ ADATKEZELÉSEK
Szerződő partnerek adatainak kezelése
11.27. Az Adatkezelő szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése céljából kezeli a vele szerződött természetes személy: nevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosító jelét, adószámát, vállalkozói, őstermelői igazolvány számát, személyi igazolvány számát, lakcímét, székhely, telephely címét, telefonszámát, e-mail címét, honlap-címét, bankszámlaszámát.
Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
Ø A személyes adatok címzettjei: az Adatkezelő megrendelt szolgáltatással, megrendelt áruhoz kapcsolódó tevékenységgel kapcsolatos feladatokat ellátó munkavállalói, könyvelési, adózási feladatokat ellátó munkavállalói, és adatfeldolgozói.
Ø A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 8 év.
11.28. Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződés teljesítése jogcímén alapul, az a tájékoztatás történhet a szerződésben is. Az érintettet személyes adatai adatfeldolgozó részére történő átadásáról tájékoztatni kell. A természetes személlyel kötött szerződéshez kapcsolódó adatkezelési kikötés szövegét jelen Szabályzat 6. számú melléklete tartalmazza.
Jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek elérhetőségi adatai
11.29. A kezelhető személyes adatok köre: a természetes személy neve, címe, telefonszáma, e-mail címe, online azonosítója.
Ø A személyes adatok kezelésének célja: az Adatkezelő jogi személy partnerével kötött szerződés teljesítése, üzleti kapcsolattartás, jogalapja: az érintett hozzájárulása.
Ø A személyes adatok címzettjei, illetve a címzettek kategóriái: az Adatkezelő megrendelt szolgáltatással, megrendelt áruhoz kapcsolódó tevékenységgel kapcsolatos feladatokat ellátó munkavállalói, könyvelési, adózási feladatokat ellátó munkavállalói, és adatfeldolgozói.
Ø A személyes adatok tárolásának időtartama: az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 8 évig.
11.30. Az adatfelvételi lap mintáját jelen Szabályzat 7. számú melléklete tartalmazza. Ezen nyilatkozatot az ügyféllel, vevővel, szállítóval kapcsolatban álló munkavállalónak ismertetnie kell az érintett személlyel és a nyilatkozat aláírásával kérnie kell hozzájárulását személyes adatai kezeléséhez. A nyilatkozatot az adatkezelés időtartamáig meg kell őrizni.
Látogatói adatkezelés az Adatkezelő honlapján - Tájékoztatás sütik (cookie) alkalmazásáról
11.31. A Sütik (cookie-k) rövid adatfájlok, melyeket a meglátogatott honlap helyez el a felhasználó számítógépén. A cookie célja, hogy az adott infokommunikációs, internetes szolgáltatást megkönnyítse, kényelmesebbé tegye. Számos fajtája létezik, de általában két nagy csoportba sorolhatóak. Az egyik az ideiglenes cookie, amelyet a honlap csak egy adott munkamenet során (pl.: egy internetes bankolás biztonsági azonosítása alatt) helyez el a felhasználó eszközén, a másik fajtája az állandó cookie (pl.: egy honlap nyelvi beállítása), amely addig a számítógépen marad, amíg a felhasználó le nem törli azt. Az Európai Bizottság irányelvei alapján cookie-kat [kivéve, ha azok az adott szolgáltatás használatához elengedhetetlenül szükségesek] csak a felhasználó engedélyével lehet a felhasználó eszközén elhelyezni.
11.32. A felhasználó hozzájárulását nem igénylő sütik esetében a honlap első látogatása során kell tájékoztatást nyújtani. Nem szükséges, hogy a sütikre vonatkozó tájékoztató teljes szövege megjelenjen a honlapon, elegendő, ha a honlap üzemeltetői röviden összefoglalják a tájékoztatás lényegét, és egy linken keresztül utalnak a teljes körű tájékoztató elérhetőségére.
11.33. A hozzájárulást igénylő sütik esetében a tájékoztatás kapcsolódhat a honlap első látogatásához is abban az esetben, ha a sütik alkalmazásával együtt járó adatkezelés már az oldal felkeresésével megkezdődik. Amennyiben a süti alkalmazására a felhasználó által kifejezetten kért funkció igénybevételéhez kapcsolódik, akkor a tájékoztatás is megjelenhet e funkció igénybevételéhez kapcsolódóan. Ebben az esetben sem szükséges az, hogy a sütikre vonatkozó tájékoztató teljes szövege megjelenjen a honlapon, elegendő egy rövid összefoglaló a tájékoztatás lényegéről, és egy linken keresztül utalás a teljes körű tájékoztató elérhetőségére.
11.34. A honlapon a sütik alkalmazásáról a látogatót a 2. számú melléklet szerinti adatkezelési tájékoztatóban tájékoztatni kell. E tájékoztatóval az Adatkezelő biztosítja hogy a látogató a honlap információs társadalommal összefüggő szolgáltatásainak igénybevétele előtt és az igénybevétel során bármikor megismerhesse, hogy a Társaság mely adatkezelési célokból mely adatfajtákat kezel, ideértve az igénybe vevővel közvetlenül kapcsolatba nem hozható adatok kezelését is.
Regisztráció az Adatkezelő honlapján
11.35. A honlapon a regisztráló természetes személy az erre vonatkozó négyzet bejelölésével adhatja meg hozzájárulását személyes adatai kezeléséhez. Tilos a négyzet előre bejelölése.
A kezelhető személyes adatok köre: a természetes személy neve (vezetéknév, keresztnév), címe, telefonszáma, e-mail címe, online azonosító.
Ø A személyes adatok kezelésének célja:
- A honlapon nyújtott szolgáltatások teljesítése.
- Kapcsolatfelvétel, elektronikus, telefonos, SMS, és postai megkereséssel.
- Tájékoztatás az Adatkezelő szolgáltatásairól, szerződési feltételeiről,
- A honlap használatának elemzése.
Ø Az adatkezelés jogalapja: az érintett hozzájárulása.
Ø A személyes adatok címzettjei, illetve a címzettek kategóriái: az Adatkezelő releváns feladatokat ellátó munkavállalói, adatfeldolgozóként az Adatkezelő IT szolgáltatója (valamint annak: tárhely-szolgáltatást végző munkavállalói).
Ø A személyes adatok tárolásának időtartama: a regisztráció / szolgáltatás fennállásáig, vagy az érintett hozzájárulása visszavonásáig (törlési kérelméig).
Hírlevél szolgáltatáshoz kapcsolódó adatkezelés
11.36. A honlapon a hírlevél szolgáltatásra regisztráló természetes személy az erre vonatkozó négyzet bejelölésével adhatja meg hozzájárulását személyes adatai kezeléséhez. Tilos a négyzet előre bejelölése. A feliratkozás során az Adatkezelési tájékoztatót (2. melléklet) egy linkkel elérhetővé kell tenni. A hírlevéről az érintett a hírlevél „Leiratkozás” alkalmazásának használatával, vagy írásban, vagy e-mailben tett nyilatkozattal bármikor leiratkozhat, amely a hozzájárulás visszavonását jelenti. Ilyen esetben a leiratkozó minden adatát haladéktalanul törölni kell.
A kezelhető személyes adatok köre: a természetes személy neve (vezetéknév, keresztnév), e-mail címe.
Ø A személyes adatok kezelésének célja: hírlevél küldése az Adatkezelő szolgáltatásai, rendezvényei tárgyában, szakmai tájékoztatás nyújtása.
Ø Az adatkezelés jogalapja: az érintett hozzájárulása.
Ø A személyes adatok címzettjei, illetve a címzettek kategóriái: az Adatkezelő releváns tevékenységével kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként az Adatkezelő IT szolgáltatója munkavállalói a tárhelyszolgáltatás teljesítése céljából.
Ø A személyes adatok tárolásának időtartama: a hírlevél-szolgáltatás fennállásáig, vagy az érintett hozzájárulása visszavonásáig (törlési kérelméig).
Közösségi irányelvek / Adatkezelés az Adatkezelő Facebook oldalán
11.37. Az Adatkezelő termékei, szolgáltatásai megismertetése, népszerűsítése céljából Facebook oldalt tart fenn.
Az Adatkezelő Facebook oldalon feltett kérdés, hozzászólásban kifejtett vélemény nem minősül hivatalosan benyújtott panasznak.
Az Adatkezelő Facebook oldalán a látogatók által közzétett személyes adatokat az Adatkezelő nem kezeli.
A látogatókra a Facebook Adatvédelmi- és Szolgáltatási Feltételei irányadók.
Jogellenes, vagy sértő tartalom publikálása esetén az Adatkezelő előzetes értesítés nélkül kizárhatja az érintettet a tagok közül, vagy törölheti hozzászólását.
Az Adatkezelő nem felel a Facebook felhasználók által közzétett jogszabályt sértő adattartalmakért, hozzászólásokért. Az Adatkezelő nem felel semmilyen, a Facebook működéséből adódó hibáért, üzemzavarért vagy a rendszer működésének megváltoztatásából fakadó problémáért.
Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából
11.38. Az Adatkezelő jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és számviteli kötelezettségek teljesítése (könyvelés, adózás) céljából kezeli a beszállítóként vele üzleti, vagy egyéb szerződéses kapcsolatba lépő természetes személyek törvényben meghatározott adatait. A kezelt adatok az általános forgalmi adóról szóló 2017. évi CXXVII. tv. 169.§, és 202.§-a alapján különösen: adószám, név, cím, adózási státusz, a számvitelről szóló 2000. évi C. törvény 167.§-a alapján: név, cím, a gazdasági műveletet elrendelő személy vagy szervezet megjelölése, az utalványozó és a rendelkezés végrehajtását igazoló személy, valamint a szervezettől függően az ellenőr aláírása, a személyi jövedelemadóról szóló 1995. évi CXVII. törvény alapján: vállalkozói igazolvány száma, őstermelői igazolvány száma, adóazonosító jel.
A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
A személyes adatok címzettjei: a Társaság adózási, könyvviteli, bérszámfejtési, társadalombiztosítási feladatait ellátó munkavállalói és adatfeldolgozói.
Kifizetői adatkezelés
11.39. Az Adatkezelő jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási, nyugdíj ügyintézés) céljából kezeli azon érintettek – munkavállalók, családtagjaik, foglalkoztatottak, egyéb juttatásban részesülők – adótörvényekben előírt személyes adatait, akikkel kifizetői (2017:CL. törvény az adózás rendjéről (Art.) 7.§ 31.) kapcsolatban áll. A kezelt adatok körét az Art. 50.§-a határozza meg, külön is kiemelve ebből: a természetes személy természetes személyazonosító adatait (ideértve az előző nevet és a titulust is), nemét, állampolgárságát, a természetes személy adóazonosító jelét, társadalombiztosítási azonosító jelét (TAJ szám). Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, a Társaság kezelheti a munkavállalók egészségügyi (Szja tv. 40.§) és szakszervezeti (Szja 47.§(2) b./) tagságra vonatkozó adatokat adó és járulékkötelezettségek teljésítés (bérszámfejtés, társadalombiztosítási ügyintézés) céljából.
Ø A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év (a nyugellátás megállapításához szükséges adatokat tartalmazó és bizonyító dokumentumok azonban nem selejtezhetők.)
Ø A személyes adatok címzettjei: a Társaság adózási, bérszámfejtési, társadalombiztosítási (kifizetői) feladatait ellátó munkavállalói és adatfeldolgozói.
A Levéltári törvény szerint maradandó értékű iratokra vonatkozó adatkezelés
11.40. Az Adatkezelő jogi kötelezettsége teljesítése jogcímén kezeli a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény (Levéltári törvény) szerint maradandó értékűnek minősülő iratait abból a célból, hogy az Adatkezelő irattári anyagának maradandó értékű része épségben és használható állapotban a jövő nemzedékei számára is fennmaradjon. Az adattárolás ideje: a közlevéltár részére történő átadásig.
A személyes adatok címzettjeire és az adatkezelés egyéb kérdéseire a Levéltári törvény irányadó.
12. Adatbiztonság
12.1. Az Adatkezelő gondoskodik az adatok bizalmasságáról és biztonságáról. Ennek érdekében megteszi a szükséges technikai és szervezési intézkedéseket mind az informatikai eszközök útján tárolt, mind a hagyományos, papíralapú adathordozókon tárolt adatállományok tekintetében. Az Adatkezelő gondoskodik arról, hogy a vonatkozó jogszabályokban előírt adatbiztonsági szabályok érvényesüljenek.
12.2. Az Adatkezelő az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. Az adatbiztonság szabályainak érvényesüléséről az Adatkezelő külön szerződések, szabályzatok, utasítások, eljárási rendek útján gondoskodik. Az Adatkezelő az adatbiztonság feltételeinek érvényesítése érdekében gondoskodik az érintett munkatársak megfelelő felkészítéséről.
12.3. Az Adatkezelő az informatikai védelemmel kapcsolatos feladatai körében gondoskodik különösen:
· a jogosulatlan hozzáférés elleni védelmet biztosító intézkedésekről, ezen belül a szoftver és hardver eszközök védelméről, illetve a fizikai védelemről (hozzáférés védelem, hálózati védelem);
· az adatállományok helyreállításának lehetőségét biztosító intézkedésekről, ezen belül a rendszeres biztonsági mentésről és a másolatok elkülönített, biztonságos kezeléséről (tükrözés, biztonsági mentés, archiválás);
· az adatok módosításakor a változások automatikus naplózásáról;
· a nyilvántartásokat futtató rendszerek naplóállományainak gyűjtéséről, elemzéséről és hiba esetén automatikus riasztásról;
· az adatállományok integritásának megőrzéséről, sértetlenségéről;
· az adatállományok vírusok elleni védelméről (vírusvédelem);
· az adatok hálózatból kifelé irányuló mozgásának ellenőrzésétől és felügyeletéről (adatszivárgás megelőzés);
· az adatállományok, illetve az azokat hordozó eszközök fizikai védelméről, ezen belül a tűzkár, vízkár, villámcsapás, egyéb elemi kár elleni védelemről, illetve az ilyen események következtében bekövetkező károsodások helyreállíthatóságáról (archiválás, tűzvédelem).
12.4. Az Adatkezelő a papíralapú nyilvántartások védelme érdekében megteszi a szükséges intézkedéseket különösen a fizikai biztonság, illetve tűzvédelem tekintetében.
12.5. A munkavállalók, és egyéb, az Adatkezelő érdekében eljáró személyek az általuk használt, vagy birtokukban lévő, személyes adatokat is tartalmazó adathordozókat, függetlenül az adatok rögzítésének módjától, kötelesek biztonságosan őrizni, és védeni a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. Ennek érdekében a munkavállalók a munkaidő lejártakor kötelesek az asztalukról zárható szekrénybe helyezni a személyes adatokat tartalmazó dokumentumokat, valamint a számítógépüket jelszavas képernyővédelemmel és automatikus képernyőzárral ellátni.
13. Titoktartás
13.1. Természetes személyek adatai vonatkozásában a személyes adatok védelmére vonatkozó szabályok is alkalmazandók.
13.2. A titoktartási kötelezettség – időbeli korlátozás nélkül – az Adatkezelő képviselőjére, vezető beosztású munkavállalóira, minden alkalmazottjára, valamint mindazokra vonatkozik, akik az érintettekkel kapcsolatos információkhoz az Adatkezelővel kapcsolatos tevékenységük során bármilyen módon hozzájuthatnak.
Az Adatkezelő titoktartása vonatkozásában megfelelően irányadóak az alábbiak:
· a Ptk. személyhez fűződő jogokkal és azok védelmével kapcsolatos valamennyi rendelkezését, ideértve különösen a levéltitokkal, magántitokkal és üzleti titokkal kapcsolatos szabályokat;
· a Büntető Törvénykönyvről szóló 2012. évi C. törvény („Btk.”) titokvédelemmel kapcsolatos valamennyi rendelkezését,
· az adózás rendjéről szóló 2017. évi CL. törvény („Art.”) titoktartással, titokvédelemmel kapcsolatos valamennyi rendelkezését, ideértve különösen az adótitokkal kapcsolatos 127. és egyéb §-ait;
· az Infotv. adatkezeléssel kapcsolatos rendelkezéseit;
· a GDPR által előírt adatvédelmi rendelkezéseket,
· az Adatkezelő SZMSZ-ében, valamint az adatfeldolgozásra irányuló szerződésben előírt, a titoktartásra vonatkozó rendelkezések.
13.3. Az Adatkezelő vezető tisztségviselője és alkalmazottja vonatkozásában a titoktartási kötelezettség nem áll fenn:
· a hatáskörében eljáró Nemzeti Adatvédelmi és Információszabadság Hatósággal (a továbbiakban: NAIH),
· a hagyatéki ügyben eljáró közjegyzővel, valamint a hatáskörében eljáró gyámhatósággal;
· a csődeljárás, felszámolási eljárás, önkormányzatok adósságrendezési eljárása, bírósági végrehajtási eljárás, illetve végelszámolás ügyében eljáró vagyonfelügyelővel, felszámolóval, pénzügyi gondnokkal, végrehajtóval, illetve végelszámolóval;
· a folyamatban lévő büntetőeljárás keretében eljáró, valamint a feljelentés kiegészítését folytató nyomozó hatósággal, valamint a hatáskörében eljáró ügyészséggel;
· a büntető-, valamint polgári ügyben, továbbá csőd-, felszámolási eljárás keretében a bírósággal;
· külön törvényben meghatározott feltételek teljesülése esetén a titkosszolgálati eszközök alkalmazására, titkos információgyűjtésre felhatalmazott szervvel;
· a főigazgató eseti engedélye alapján a törvényben meghatározott feladatkörében eljáró nemzetbiztonsági szolgálattal;
· az adó-, vám- és társadalombiztosítási kötelezettség teljesítésének ellenőrzése, valamint az ilyen tartozást megállapító végrehajtható okirat végrehajtása érdekében folytatott eljárás keretében eljáró adóhatósággal, vámhatósággal;
· a gyermekvédelmi észlelő- és jelzőrendszer tagjával szemben, amennyiben az Adatkezelő tevékenysége során jelzés megtételére okot adó körülmény merül fel.
14. Adatátadás, adattovábbítás
14.1. Az Adatkezelő az általa kezelt személyes adatokat kizárólag az érintettnek, törvényes képviselőjének, meghatalmazottjának, valamint törvényes feladatkörében eljáró hatóságnak, bíróságnak, közjegyzőnek adja át. Az Adatkezelő az adatátadásokról nyilvántartást vezet.
14.2. Az adatok egyéb továbbítására – az adatfeldolgozási tevékenységet kivéve – minden esetben csak az érintett hozzájárulása, vagy jogszabályi felhatalmazás alapján kerül sor.
14.3. A személyes adatot továbbítani csak abban az esetben lehet, ha annak jogalapja egyértelmű, célja, és az adattovábbítás címzettjének a személye pontosan meghatározott, és az adattovábbítással elérendő cél más módon nem valósítható meg. Az adattovábbítást minden esetben dokumentálni kell, oly módon, hogy annak menete és jogszerűsége bizonyítható legyen. A dokumentálásra elsősorban az adatszolgáltatást kérő, illetve annak teljesítéséről rendelkező, megfelelően kiadmányozott iratok szolgálnak.
14.4. A jogszabály által előírt adattovábbítást az Adatkezelő köteles teljesíteni.
A fentieken kívül személyes adatot továbbítani csak akkor lehet, ha ahhoz az érintett egyértelműen hozzájárult. Annak érdekében, hogy a hozzájárulás utóbb bizonyítható legyen, azt lehetőség szerint írásba kell foglalni. Az írásbeliség mellőzhető, ha az adattovábbítás a címzettjére, céljára, vagy az adatkörre tekintettel csekély jelentőségű. Az érintettek hozzájárulásához kötött adattovábbítás esetén az érintett a nyilatkozatát az adattovábbítás címzettje és célja ismeretében adja meg.
14.5. Az Adatkezelő által végrehajtott leggyakoribb adattovábbítások:
· Az Adatkezelő könyvvizsgálójának a szerződéses feladatai ellátása miatt.
· Az Adatkezelő könyvelési feladatait ellátó cég részére kizárólag a könyveléshez szükséges adatok továbbítása,
· Adófizetési, támogatás elszámolási, bevallási, beszámolási kötelezettség keletkezésekor a megfelelő szervek felé (pl. Támogató szervezet, Nemzeti Adó – és Vámhivatal, ellátási szerződésben megjelölt önkormányzati szerv, stb.)
· Szerver- és más informatikai szolgáltatást biztosító szerződéses partner.
15. Adatfeldolgozó
15.1. Az Adatkezelő fenntartja magának a jogot, hogy tevékenysége során adatfeldolgozót vegyen igénybe, állandó vagy eseti megbízás, vagy vállalkozói szerződés alapján. Állandó jellegű adatfeldolgozásra elsősorban a könyvelési feladatok ellátása, az iratmegsemmisítés, selejtezés, valamint az informatikai rendszer fenntartása érdekében kerülhet sor.
15.2. Az adatfeldolgozó igénybe vétele során a vonatkozó jogszabályok, elsősorban az Infotv. és a GDPR rendelkezései az irányadók. Adatfeldolgozó igénybe vételére kizárólag írásbeli szerződés alapján kerülhet sor.
15.3. Az Adatkezelő kérésre az érintettet tájékoztatja az adatfeldolgozó személyéről, valamint adatfeldolgozási tevékenységének részleteiről, így különösen az elvégzett műveletekről, valamint az adatfeldolgozónak adott utasításokról.
15.4. Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit a vonatkozó jogszabályok keretei között az Adatkezelő határozza meg.
Az adatkezelési műveletekre vonatkozó utasítások jogszerűségéért az Adatkezelő felel.
15.5. Az adatfeldolgozó tevékenységi körén belül, illetőleg az Adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért.
15.6. Az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót csak az Adatkezelő előzetes írásbeli hozzájárulásával vehet igénybe.
15.7. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az Adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az Adatkezelő rendelkezései szerint köteles tárolni és megőrizni.
15.8. Az Adatkezelő garanciákat nyújtó szerződési feltételek kialakításával és megfelelő szervezeti, technikai intézkedésekkel biztosítja, hogy az adatfeldolgozó tevékenysége során az érintettek jogai ne sérülhessenek, és az adatfeldolgozó személyes adatokat csak akkor ismerhessen meg, ha az feladata ellátásához elengedhetetlenül szükséges.
16. Egyes adatfeldolgozások
16.1. Az Adatkezelő által igénybe vett adatfeldolgozók köre változik, változhat. Az Adatkezelő az adatfeldolgozók személyéről tájékoztatást ad.
16.2. Az Adatkezelő hosszú távú adatfeldolgozási megbízás keretében adatfeldolgozóként igénybe veszi az alábbi természetes illetve jogi személyeket:
……
…….
17. Automatizált egyedi döntés
17.1. Az érintett személyes jellemzőinek értékelésén alapuló döntés kizárólag automatizált adatfeldolgozással történő meghozatalára csak akkor kerülhet sor, ha a döntést
· valamely szerződés megkötése vagy teljesítése során hozták, feltéve hogy azt az érintett kezdeményezte, vagy
· olyan törvény teszi lehetővé, amely az érintett jogos érdekeit biztosító intézkedéseket is megállapítja.
17.2. Az Adatkezelő az érintett kérelmére tájékoztatást ad az automatizált adatfeldolgozással hozott döntés során alkalmazott módszerről és annak lényegéről. Az érintett jogosult arra, hogy álláspontját kifejtse.
Az Adatkezelő tevékenysége során automatizált egyedi döntést nem alkalmaz.
18. A gyermekek jogainak fokozott védelme
18.1. A GDPR a gyermekek személyes adatait emelt szintű védelemben részesíti és fokozott kötelezettségeket ró azon adatkezelőkre, amelyek tevékenységük során gyermekek adatait kezelik. Tekintettel arra, hogy Adatkezelő tevékenysége során kezeli kiskorúak személyes adatait, gondoskodik azok speciális védelméről. A fokozott védelem érdekében különösen az alábbi intézkedéseket teszi:
· Az Adatkezelő különös körültekintéssel jár el és érdekmérlegelési tesztet végez minden olyan esetben, ha az adatkezelése jogalapjaként a jogos érdekét kívánja alkalmazni (6. cikk (1) bekezdés f) pont) és az adatkezeléssel érintettek gyermekek vagy gyermekek is vannak (lehetnek) az érintettek között.
· A hozzájáruláson alapuló adatkezelés esetén, a 18. életévét be nem töltött gyermek személyes adatait csak akkor és olyan mértékben kezeli, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló szülő, vagy kirendelt gyám adta meg, illetve engedélyezte.
· Az adatkezelő mindent megtesz annak érdekében, hogy ellenőrizze, hogy a hozzájárulást valóban a gyermek feletti szülői felügyeleti jog gyakorlója vagy kirendelt gyámja adta meg, illetve engedélyezte.
· A szülői beleegyezést is igénylő esetekben Adatkezelő általánosságban törekszik arra, a lehető legkevesebb adatot kezelje (adattakarékosság elve).
· A tájékoztatás nyújtása során az Adatkezelő minden esetben tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően igyekszik megfogalmazni és elérhetővé tenni, ha az információ címzettje gyermek.
19. Adatok törlése és archiválása
19.1. Az Adatkezelő – az Infotv. és a GDPR rendelkezéseivel összhangban – a személyes adatot törli, ha
· kezelése jogellenes;
· az érintett kéri (a jogszabályban elrendelt, illetve az Adatkezelő szerződéses vagy jogi kötelezettségei teljesítésével összefüggő adatkezelések kivételével);
· az adat hiányos vagy téves – és ez az állapot jogszerűen nem orvosolható –, feltéve, hogy a törlést törvény nem zárja ki;
· az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;
· azt a bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság elrendelte.
19.2. Az Adatkezelő által a szerződéses adatok nyilvántartása céljából kezelt személyes adatok megőrzési ideje a számvitelről szóló 2000. évi C. törvény 169.§ (1) bekezdése alapján a jogviszony megszűnését követő 8 év.
19.3. Az Adatkezelő által a munkaviszony létesítése, teljesítése és megszüntetése érdekében tárolt adatok a munkaviszony megszűnését követő 8 évig tárolhatók, kivéve azon adatokat, amelyek a nyugellátás megállapításához szükséges jogviszony időtartamának igazolásához szükséges személyes adatok körébe tartoznak, mely adatokat tartalmazó dokumentumok nem selejtezhetők.
19.4. Az érintett önkéntes hozzájárulása alapján kezelt adatok törlését az érintett kérheti. Az érintett kérelme hiányában az Adatkezelő az adatokat törli, ha az adatkezelés célja megszűnt és a vonatkozó jogszabályi rendelkezések értelmében az adatok megőrzésére a továbbiakban nincs szükség.
19.5. Egyéb cél hiányában az Adatkezelő az adatokat mindaddig nyilvántartja, amíg az adatok felhasználására külön eljárásban vagy hatósági ellenőrzés érdekében, vagy jogszabály rendelkezése alapján szükség lehet.
19.6. Törlés helyett az Adatkezelő zárolja a személyes adatot, ha az érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta.
19.7. Az Adatkezelő megjelöli az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen.
19.8. A jogszabály által elrendelt adatkezelések esetében az adatok törlésére a jogszabály rendelkezése az irányadó. A törlés esetén az Adatkezelő az adatokat személyazonosításra alkalmatlanná teszi. Amennyiben jogszabály azt előírja, az Adatkezelő a személyes adatot tartalmazó adathordozót megsemmisíti. Az Adatkezelő az adatok törlésére, valamint az adathordozók megsemmisítésére adatfeldolgozót vehet igénybe.
19.9. Az adatok törlése során az archivált adathordozókon tárolt adatállományok módosítása – a hitelesség fenntartása érdekében – tilos.
20. Az érintettek jogai és érvényesítésük
Tájékoztatáshoz való jog
20.1. Az Adatkezelő az érintettet az adatkezelést megelőzően tájékoztatja. A tájékoztatás megtörténhet azáltal is, hogy az adatkezelés részleteiről szóló tájékoztatót az Adatkezelő a helyben szokásos módon közzéteszi, és erre az érintett figyelmét felhívja, vagy akár azáltal is, hogy az érintettek figyelmét felhívó jelzések az adatkezelés megkezdése előtt (pl. az Adatkezelő irodáinak bejáratánál, telefonbeszélgetés elején, elektronikus üzenetben stb.) kerültek elhelyezésre.
Az érintettek bármikor tájékoztatást kérhetnek adataik kezeléséről az Adatkezelőtől.
20.2. Az Adatkezelő törekszik arra, hogy az érintettek az adatkezelést megelőzően tájékoztatást kapjanak az adatkezelés részleteiről. Ennek érdekében az Adatkezelő a honlapján az adatkezeléseiről szóló tájékoztatókat közzéteszi, az azokban történő változásokra külön felhívja a figyelmet.
20.3. Az érintett kérelmére az Adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az esetleges adatvédelmi incidensek körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.
20.4. Az Adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül, közérthető formában, az érintett erre irányuló kérelmére írásban megadni a tájékoztatást.
20.5. A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg, amelynek összegét az Adatkezelő jogosult megállapítani. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.
20.6. Az érintett tájékoztatását az Adatkezelő csak akkor tagadhatja meg, ha azt törvény lehetővé teszi. Az Adatkezelő köteles az érintettel a felvilágosítás megtagadásának indokát közölni. Az Adatkezelő ebben az esetben tájékoztatja az érintettet a jogorvoslati lehetőségekről.
Helyesbítéshez való jog
20.7. Az érintett kérheti, hogy a tévesen szereplő vagy megváltozott személyes adatát az Adatkezelő helyesbítse. Abban az esetben, ha a helyesbítendő adatok alapján rendszeres adatszolgáltatás történik, az Adatkezelő szükség esetén a helyesbítésről tájékoztatja az adatszolgáltatás címzettjét, illetve az érintett figyelmét felhívja arra, hogy a helyesbítést más adatkezelőnél is kezdeményeznie kell.
Törléshez és tiltakozáshoz való jog
20.8. Az érintett a jogszabályban elrendelt adatkezelések kivételével kérheti a személyes adatai törlését. Az Adatkezelő az érintettet a törlésről tájékoztatja. Amennyiben a hozzájáruláson alapuló adatkezelés az érintett jogviszonya létesítésének, fenntartásának feltétele, erről, és a várható következményekről az Adatkezelő az érintettet tájékoztatja.
20.9. Az Adatkezelő a személyes adat törlését megtagadja, ha az adat kezelése jogszabályon alapul,
szerződéses vagy jogi kötelezettsége teljesítéséhez kötődik, vagy az adatkezelés az Adatkezelő jogos érdekének érvényesítéséhez szükséges. A törlési kérelem teljesítésének megtagadása esetén az Adatkezelő az érintettet annak okáról tájékoztatja.
20.10. Az érintett az Infotv. rendelkezéseinek megfelelően tiltakozhat személyes adatai kezelése ellen,
· ha a személyes adatok kezelése vagy továbbítása kizárólag az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az Adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén;
· ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint
· a törvényben meghatározott egyéb esetben.
Az adatkezelés korlátozásához való jog
20.11. Az érintett jogosult az adatkezelés korlátozására, ha
· vitatja a kezelt adatok pontosságát,
· az adatkezelés jogellenes,
· az Adatkezelőnek már nincs szüksége a kezelt adatokra, de az érintett igényli azokat jogi igényének előterjesztéséhez,
· az érintett tiltakozott az adatkezeléssel kapcsolatban, amíg a vitás kérdés le nem zárul.
20.12. A korlátozás ideje alatt az érintett adatot tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, valamint fontos közérdekből lehet kezelni.
A korlátozás feloldásáról az Adatkezelő az érintettet előzetesen értesíti.
Adathordozhatóság joga
20.13. Az érintett kérheti az Adatkezelő által vele kapcsolatban kezelt összes olyan adat átadását, amelyeket az Adatkezelő az érintettől vett fel a nyilvántartásába. Az adathordozhatósági jog érvényesítése során az Adatkezelő az adatokat szöveges, fénykép, mozgókép vagy hanganyag állományban hordozható optikai adathordozón, vagy papír alapú dokumentumban adja át az érintett részére.
Az érintett jogainak érvényesítése
20.14. Az érintett tájékoztatás, helyesbítés, korlátozás, hordozás, törlés iránti kérelmét az Adatkezelőnél nyújthatja be. Ha az Adatkezelő az érintett helyesbítés, zárolás korlátozás, hordozás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 30 napon belül írásban közli a kérelem elutasításának ténybeli és jogi indokait. A kérelem elutasítása esetén az Adatkezelő tájékoztatja az érintettet a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulás, továbbá a bírósági jogorvoslat lehetőségéről.
20.15. A tájékoztatás, helyesbítés, korlátozás, törlés, tiltakozás esetén az Adatkezelő az irányadó jogszabályokban foglaltaknak megfelelően jár el. Az érintett jogsérelem esetén kérheti az Adatkezelő képviseletében eljáró személy felettes vezetőjének vizsgálatát, valamint fordulhat az Adatkezelőnél kinevezett belső adatvédelmi tisztviselőhöz.
20.16. Az érintett a jogainak megsértése esetén bírósághoz fordulhat, és az Infotv. valamint a Ptk. alapján érvényesítheti jogait.
Az érintett személyes adatai védelméhez való joga megsértése esetén fordulhat a Nemzeti Adatvédelmi és Információszabadság Hatósághoz, illetve más EU tagország állampolgára saját országa adatvédelmi hatóságához, és kérheti annak vizsgálatát arra hivatkozással, hogy személyes adatok kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll.
A jogellenes adatkezeléssel okozott kárért az Adatkezelő a vonatkozó törvényekben előírtak szerint felelős.
Az Adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével okozott kárt köteles megtéríteni. Az érintettel szemben az Adatkezelő felel az adatfeldolgozó által okozott kárért is. Az Adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt annyiban, amennyiben
az a károsult szándékos vagy súlyosan gondatlan magatartásából származott. Az Adatkezelő általános, polgári jogi felelősségére a Ptk. szabályai az irányadók.
20.17. Az érintett kérése esetén az Adatkezelő a jogorvoslati lehetőségekről részletes tájékoztatást ad.
21. Az adatvédelmi incidensek nyilvántartása
21.1. A adatvédelmi tisztviselő az érintettek tájékoztatása céljából az adatvédelmi incidensekről nyilvántartást vezet. A nyilvántartást az incidensek minden körülményét figyelembe véve kell vezetni. A nyilvántartásba a bejegyzéseket az incidens bekövetkezése után a lehető leghamarabb, de legfeljebb 3 munkanapon belül el kell végezni. Az adatvédelmi tisztviselő akadályoztatása esetén a nyilvántartásba felveendő adatokat külön íven kell rögzíteni, majd az akadályoztatás elmúltát követően a nyilvántartásba a bejegyzést a fent jelzett határidőn belül végre kell hajtani.
Az adatvédelmi incidens
21.2. Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módszerrel kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését, vagy az azokhoz való jogosulatlan hozzáférését eredményezi.
Az adatvédelmi incidens kockázati besorolásánál figyelembe veendő szempontok:
– az incidens típusa,
– az incidenssel érintett személyes adatok típusa és mennyisége,
– az érintettek értesítési kötelezettségének körülményei,
– az incidens súlya az érintettekre nézve,
– az érintettek száma.
Az incidenst magas kockázatúnak kell minősíteni, ha az érintheti az szerződéses partnerek vagy munkavállalók adatszolgáltatással, közhitelű nyilvántartással, kötelezettségvállalással, kifizetéssel vagy jövedelemmel kapcsolatos adatait.
Az adatvédelmi incidensek kezelése
21.3. Amint az Adatkezelő tudomást szerez az adatvédelmi incidensről, azaz megbizonyosodik arról, hogy az előző pontban felsorolt események közül akár csak egy is az Adatkezelő szervezetében bekövetkezett, haladéktalanul megkezdi az incidens
- káros hatásainak elhárítását, amennyiben ez lehetséges,
- ismételt bekövetkezésének megakadályozását,
- a NAIH és az érintettek tájékoztatását a lent részletezett szabályokat figyelembe véve.
21.4. Adatvédelmi incidens bekövetkezésekor az Adatkezelő, kijelölt adatvédelmi tisztviselője vagy az informatikai területért felelős személy vagy cég rendkívüli intézkedéseket is elrendelhet, pl.: külső adatkapcsolat időleges korlátozása, adminisztrációs és ügyfélszolgálati tevékenység korlátozása, munkatársak utasítása, stb. A korlátozásokról, annak okáról és várható idejéről, a megtett intézkedésekről utólag a képviselőt és az érintett középvezetőket tájékoztatni kell. Adatvédelmi incidens esetén a javítási és elhárítási feladatokba külső szakértőket is be lehet vonni.
Az adatvédelmi incidensek nyilvántartása
21.5. Az adatvédelmi incidensek nyilvántartásában (11.számú melléklet) a következő információkat kell felvezetni:
- az adatvédelmi incidens jellege,
- az incidens besorolása (bizalmasságot érintő, sértetlenséget érintő, hozzáférést érintő),
- az érintett személyes adatok köre, jellege,
- az adatvédelmi incidenssel érintettek köre és száma,
- az adatvédelmi incidens időpontja vagy időszaka (óra-perc pontossággal),
- az incidensről történt tudomásszerzés időpontja (óra-perc pontossággal),
- az adatvédelmi incidens oka, körülményei, hatásai, várható következményei,
- az incidens által okozott kockázat mértéke és fajtája (személyes adatok feletti rendelkezés elvesztése, jogok korlátozása, személyazonosság-lopás, pénzügyi veszteség, jó hírnév sérelme, adatok bizalmas jellegének sérülése),
- az elhárítására megtett intézkedések,
- a hasonló esetek megelőzése érdekében megtett intézkedések,
- az incidensből eredő hátrányos következmények enyhítését célzó intézkedések,
- az incidens bekövetkezése miatti felelősség megállapítása (amennyiben ez lehetséges),
- a bekövetkezett kár becsült értéke,
- az incidensről értesítettek neve (érintettek, hatóság),
- késedelmes tájékoztatás esetén a késedelem oka,
- a betekintések időpontja és a betekintő személyek neve,
- a másolatkészítés időpontja, oka, a másolatot megkapó személy neve.
Az adatvédelmi incidensek jelentése
21.6. Az adatvédelmi incidensről annak bekövetkezését követő 72 órán belül az Adatkezelő jelentést küld a NAIH felé, kivéve ha az nem jár kockázattal az incidenssel érintett természetes személyek jogaira és szabadságaira nézve. Amennyiben az incidenssel kapcsolatos összes információ nem közölhető egyidejűleg a NAIH-hal, akkor a szükséges hiánypótlásokat az információ rendelkezésre állásakor haladéktalanul meg kell tenni.
21.7. Amennyiben az adatvédelmi incidens az érintettek jogaira és szabadságaira nézve magas kockázattal jár, akkor az Adatkezelő haladéktalanul értesíti az érintetteket az adatvédelmi incidensről. A tájékoztatás érthető és világos szövegezésű, kötelezően tartalmazza a belső adatvédelmi tisztviselő nevét és elérhetőségeit, az incidensből eredő és valószínűsíthető következményeket, valamint a megtett és tervezett védelmi és kárenyhítő intézkedések leírását. Az érintettek tájékoztatása nem kötelező, ha
– az incidens megfelelő védelmet biztosító titkosítással ellátott adatokat érint, vagy
– az Adatkezelő az incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hagy az érintettek jogait és szabadságait érintő magas kockázat a továbbiakban valószínűleg nem következik be, vagy
– a tájékoztatás aránytalanul magas erőfeszítést tenne szükségessé. Ez utóbbi esetben a tájékoztatás nyilvánosan közzétett információ útján is megvalósítható.
Az Adatkezelő az adatvédelmi incidensekkel kapcsolatos kötelezettségeket az adatfeldolgozói szerződésbe is belefoglalja.
Az adatvédelmi incidensekkel kapcsolatos jelentési és kommunikációs feladatok ellátása –az Adatkezelő képviselőjének eltérő rendelkezésének hiányában- a belső adatvédelmi tisztviselő feladata.
Betekintés az adatvédelmi incidensek nyilvántartásába
21.8. Az adatvédelmi incidensek nyilvántartása bizalmas minősítésű dokumentum, abba az alábbi személyek tekinthetnek be:
- az MRE elnöksége
- a belső adatvédelmi tisztviselő,
- zsinati tanácsos
- Jogi Osztály vezetője
- a 13.3. pont alatt felsorolt állami szervek és hatóságok az ott megjelölt esetekben,
- kizárólag a saját adatai vonatkozásában az illetékességének igazolását követően az adatkezelési incidenssel érintett természetes személy.
21.9. Az adatvédelmi incidensek nyilvántartásából az érintett számára a rá vonatkozó adatokról hitelesített másolat adható ki.
22. A Szabályzat végrehajtása az Adatkezelő szervezetén belül
22.1. A jelen Szabályzat végrehajtása során az egyes szervezeti egységek és személyek feladatait, felelősségét, az Adatkezelő szervezetére, működésére, tevékenységére vonatkozó szabályozások határozzák meg.
22.2. Az érintett jogait, ezen jogok gyakorlását az Adatkezelő szervezeti és működési viszonyai nem érintik.
22.3. A jelen Szabályzat végrehajtásával kapcsolatos feladatok koordinációját a belső adatvédelmi tisztviselő látja el.
22.4. Az érintett az adatkezeléssel, az adatkezeléssel összefüggő jogokkal kapcsolatos kérdéseivel, panaszaival, bejelentéseivel fordulhat az Adatkezelőhöz.
22.5. Az Adatkezelő gondoskodik arról, hogy a kérdések, panaszok, bejelentések a megfelelő szervezeti egységhez eljussanak, és azokra az érintett határidőben választ kapjon, a szükséges intézkedések megtörténjenek.
Záró rendelkezések
A Magyarországi Református Egyház (továbbiakban: MRE) elnöksége 2018. május 24. napján adta ki jelen Adatvédelmi és Adatbiztonsági Szabályzatot.
A Szabályzat hatályba lépésének időpontja: 2018. május 25.
Dr. Szabó István püspök, Dr. Huszár Pál főgondnok,
a Zsinat lelkészi elnöke a Zsinat világi elnöke
MELLÉKLETEK:
1. melléklet: Adatkérő lap személyes adatok hozzájáruláson alapuló kezeléséhez
4. melléklet: Tájékoztató munkavállaló részére alkalmassági vizsgálatáról
5. melléklet: Látogatói tájékoztató kamerás megfigyelőrendszer alkalmazásáról
6. melléklet: Adatkezelési kikötés természetes személlyel kötött szerződéshez
8. melléklet: Az adatfeldolgozó munkavállalóinak titoktartási nyilatkozata
10. melléklet: Hozzájáruló nyilatkozat magánszemély adatainak kezeléséhez