Adatvédelmi és adatkezelési tájékoztató

ADATVÉDELMI- ÉS ADATKEZELÉSI SZABÁLYZAT

CÉGNÉV: VÜZ Keszthelyi Városüzemeltető Egyszemélyes Nonprofit Korlátolt Felelősségű Társaság

SZÉKHELY: 8360 Keszthely, Vásártér 10.
CÉGJEGYZÉKSZÁM: 20 09 060943
ADÓSZÁM: 10746569220
HATÁLYOS: 2018.05.25.

 

ADATKEZELÉSI TISZTSÉGVISELŐ:

Dr. Kovácsné Huszár Katalin

Tel: +36 70 370 0212

Email: katalin.huszar@hotmail.hu

TARTALOM:

Preambulum

1. Az adatkezelés kockázati tényezői
2. A Társaság adatkezelési tevékenysége
2.1. Jogszabályi kötelezettségen alapuló adatkezelés
2.2. Rendes gazdálkodás körébe tartozó adatkezelés
2.3 Az adatkezelés jogalapja
3. Fogalommeghatározás
4. A szabályozás tárgya
4.1. Tárgyi hatály
4.2. Területi hatály
5. Az adatkezelés alapelvei
6. Jogszerű adatkezelés feltétele
6.1. Jogszabályon alapuló adatkezelés
6.2. Hozzájáruláson alapuló adatkezelés
7. Speciális szabályok
7.1. Gyermekkorúak adatainak védelme, kezelése
7.2. Különösen érzékeny adatok védelme, kezelése
8. Az adatkezelő tájékoztatási kötelezettsége
9. Az érintett jogai
9.1. Az érintett hozzáférési joga
9.2. A helyesbítéshez való jog
9.3. A törléshez való jog (az elfeledtetéshez való jog)
9.4. Az adatkezelés korlátozásához való jog
9.5. A személyes adatok helyesbítéséhez vagy törléséhez, illetve adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
9.6. Az adathordozhatósághoz való jog
9.7. A tiltakozáshoz való jog.
10. Adattovábbítás harmadik országba vagy nemzetközi szervezet felé
11. Az adatkezelési tevékenységek nyilvántartása
12. Kockázatelemzés
13. Az adatvédelmi incidens
13.1. Adatvédelmi incidens jelentése felügyeleti hatóság felé
13.2. A bejelentés kötelező tartalma
13.3. Adatvédelmi incidens jelentése az érintett felé
14. Magatartási kódex, Tanúsítvány

A VÜZ KESZTHELYI VÁROSÜZEMELTETŐ EGYSZEMÉLYES NONPROFIT KFT. ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATA

Jelen szabályozás célja, hogy a Keszthelyi Városüzemeltető Egyszemélyes Nonprofit Kft. mint adatkezelő által történő, természetes személyek személyes adatainak kezelése során az Európai Parlament és a Tanács 2016/679 Rendelete „a természetes személyek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról” valamint a 2011. évi CXII. törvény „az információs önrendelkezési jogról és az információszabadságról” rendelkezései maradéktalanul érvényre jussanak a Társaság gyakorlatában és tevékenysége teljes szegmensében.

A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. Az Európai Unió Alapjogi Chartája 8. cikkének (1) bekezdése és az Európai Unió működéséről szóló szerződés 16. cikkének (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez. A személyes adatok védelméhez való jog nem abszolút jog, azt az arányosság elvével összhangban kell figyelembe venni, egyensúlyban más jogokkal, így a vállalkozás szabadsága és a tájékozódás szabadsága jogaival is.

Jelen szabályozás elsődleges oka az, hogy belső piac működéséből eredő gazdasági és társadalmi integráció lényegesen megnövelte a személyes adatok határokon átnyúló áramlását. A gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes adatok védelmét. A technológia a vállalkozások számára tevékenységük folytatásához a személyes adatok felhasználását minden eddiginél nagyobb mértékben teszi lehetővé, az emberek egyre nagyobb mértékben hoznak nyilvánosságra és tesznek globális szinten elérhetővé személyes adatokat. Ezzel egyenes arányban nőtt annak a lehetősége, hogy a megadott adatokkal visszaéljenek, illetéktelen személyek szerezzék meg és ezzel az adatszolgáltató természetes személyeknek hátrányt vagy károkat okozzanak. Éppen ezért vált szükségessé, hogy olyan egységes szabályozás álljon fel, amely meghatározza az adatkezeléssel járó kockázatokat, az esetleges károkat és hátrányokat, valamint az ennek megelőzéséhez, kezeléséhez szükséges lépések körét.

A bizalom megteremtése a kulcs a digitális gazdaság belső piaci fejlődéséhez. A természetes személyek számára biztosítani kell, hogy saját személyes adataik felett maguk rendelkezzenek. A természetes személyek, a gazdasági szereplők és a közhatalmi szervek számára a jogbiztonságot és a gyakorlati biztonságot fokozni kell.

1. AZ ADATKEZELÉS KOCKÁZATI TÉNYEZŐI

A személyes adatok kezeléséből a természetes személyek jogait és szabadságait érintő kockázatok származhatnak, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek, különösen, ha az adatkezelésből hátrányos megkülönböztetés, személyazonosság-lopás vagy személyazonossággal való visszaélés, pénzügyi veszteség, a jó hírnév sérelme, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése, vagy bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakadhat, így különösen, ha:

  • az érintettek nem gyakorolhatják jogaikat és szabadságaikat, vagy nem rendelkezhetnek saját személyes adataik felett;
  • olyan személyes adatok kezelése történik, amelyek faji vagy etnikai származásra, vagy politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utalnak, valamint, ha a kezelt adatok genetikai adatok, egészségügyi adatok vagy a szexuális életre, büntetőjogi felelősség megállapítására, illetve bűncselekményekre, vagy ezekhez kapcsolódó biztonsági intézkedésekre vonatkoznak;
  • személyes jellemzők értékelésére, így különösen munkahelyi teljesítménnyel kapcsolatos jellemzők, gazdasági helyzet, egészségi állapot, személyes preferenciák vagy érdeklődési körök, megbízhatóság vagy viselkedés, tartózkodási hely vagy mozgás elemzésére vagy előre jelzésére kerül sor személyes profil létrehozása vagy felhasználása céljából; vagy ha kiszolgáltatott személyek – különösen, ha gyermekek – személyes adatainak a kezelésére kerül sor; vagy ha az adatkezelés nagy mennyiségű személyes adat alapján zajlik, és nagyszámú érintettre terjed ki.

2. A TÁRSASÁG ADATKEZELÉSI TEVÉKENYSÉGE

A Társaságon belül adatok kezelése, rögzítése, tárolása, feldolgozás és továbbítása kettős céllal történik. Egyrészt minden gazdálkodó szervezet rendelkezik jogszabályok által előírt adatkezelési kötelezettséggel, amely során köteles az előírt adatokat nyilvántartani, tárolni, kezelni és hatóságok részére továbbítani, illetve kötelező könyvvizsgálat esetén a könyvelő részére átadni. Másrészt a napi szintű, rendes gazdálkodás körébe tartozó működésnek elengedhetetlen feltétele a rendelkezésre álló információk folyamatos és szakszerű nyilvántartása, üzleti partnerek, ügyfelek és munkatársak adatainak kezelése, tárolása, rögzítése. Fontos azonban, hogy a direkt vagy indirekt módon megszerzett adatokat szabályozott rendszerben, meghatározott céllal, nyomon követhetően és a csak a szükséges ideig kezelje a társaság. A kezelés teljes tartama alatt a megfelelő célhoz kötöttséget biztosítani kell.

2.1. Jogszabályi kötelezettségen alapuló adatkezelés:

Jogszabály kötelezően írja elő egyes nyilvántartások vezetését, amely alapvetően a költségvetéssel szemben fennálló kötelezettségek teljesítését, illetve a cég által alkalmazott munkavállalók munkajogi, társadalombiztosítási jogainak érvényesülését biztosítják. Ezek a munkajogi, munkavédelmi, társadalombiztosítási, adójogi és számviteli nyilvántartások.

  • munkajogi, munkavédelmi, tb nyilvántartások:
    személyi nyilvántartás, egészségügyi törzslap, foglalkoztatottak nyilvántartása, bérszámfejtési nyilvántartások, jelenléti ív, nyugdíj- és egészségbiztosítási egyéni nyilvántartó lap, tb bejelentés, családgondozási ellátásban részesülők nyilvántartása, összesítő bevallás, munkabaleseti nyilvántartás, adólevonások nyilvántartása stb.
  • adójogi és számviteli nyilvántartások:
    bérszámfejtési nyilvántartások, jelenléti ív, nyugdíj- és egészségbiztosítási egyéni nyilvántartó lap, beszámoló és mérleg készítés, termék vásárlásával és értékesítésével kapcsolatos számlák, nyugták, számlával egy tekintet alá eső okirat kiállítása, tárolása, kifizetések és bevétel nyilvántartása stb., a fenti adatok továbbítása a könyvelésért, könyvvizsgálatért felelős személy felé.

Ezekben az esetekben a munkavállalók, természetes személy üzleti partnerek adatai kerülnek rögzítésre jogszabályban meghatározott kötelező céllal és pontosan körül írt adattartalom alapján.

2.2. Rendes gazdálkodás körébe tartozó adatkezelés:

A jogszabályi kötelezettségen túl a társaság adatkezelésének másik esetköre a napi szintű üzletmenet működéséhez elengedhetetlen információk kezelése. Így az üzleti partnerek adatai (név, lakcím, telephely) kapcsolattartás adatai (e-mail, telefon, skype) üzletmenet adatai (rendelt termék, szolgáltatás, rendelési volumen, gyakoriság, termékpreferencia) hierarchia (ügyintéző, területi vezető, operatív vezetők) mind olyan adatok, amelyek feltétlenül szükségesek a rendes gazdálkodás és üzletmenet minimum standardjainak meglétéhez és amely nélkül a jelen piaci viszonyok között gazdasági vállalkozás működni nem tud. Ezek az adatok egy része szükségesek a jogszabályi kötelezettségek későbbi teljesítéséhez is.

Ezen felül indirekt módon is adatok kezelését valósítja meg a gazdasági társaság a részére megküldött önéletrajzok, üzleti ajánlatok, bemutatkozó levelek (ún. spamek) fogadásával, tárolásával, elektronikus kereskedelmi felületen megküldött rendelések vagy ajánlatkérések feldolgozásával együtt. Ezek speciális esetkörök, hiszen a társaság részére magánszemélyek azt megelőzően önkéntesen küldenek személyes adatokat, hogy arról a társaságnak tudomása lenne, vagy a felek között üzleti kapcsolat jött volna létre, így ezekben az esetekben sem előzetes célhoz rendelés meghatározása, sem a személyek előzetes tájékoztatása, jóváhagyásuk kérése nem történik meg.

2.3. Adatkezelés jogalapja:

Jogszabályi kötelezettség esetén az adatkezelés az adott jogszabály felhatalmazása alapján történik, a jogszabályban meghatározott adatokra és időtartamra. Az adatkezelésről, a pontos jogszabályi hely megjelölésével, az érintett természetes személyt értesíteni kell, de az adott személy hozzájárulása nem kell.

Minden más adatkezelés esetén (direkt és indirekt) az érintett előzetes hozzájárulása kell, amelyet megelőzően adatvédelmi tájékoztató keretében ismertetni kell, különösen az adatkezelés célját, az adatok körét, az érintett adatvédelmi jogosultságára vonatkozó információkat, az adatkezelő adatait, elérhetőségét és mindazt, amit az adatvédelmi szabályok előírnak. Adatkezelés kizárólag az érintett előzetes hozzájárulása alapján történhet, és csak a hozzájárulásban meghatározott feltételek alapján. A hozzájárulás történhet külön nyilatkozatban, szerződés részeként, elektronikus vagy papír alapon egyaránt.

A természetes személyeket a személyes adataik kezelésével kapcsolatban a védelem állampolgárságuktól és lakóhelyüktől függetlenül megilleti. Indirekt módon történő adatszerzés és adatkezelés történhet a természetes személyek által használt készülékekkel összefüggésben alkalmazások, eszközök és protokollok által rendelkezésre bocsátott online azonosítók, például IP-címek és cookie-azonosítók, valamint egyéb azonosítók, például rádiófrekvenciás azonosító címkék révén, amely által olyan nyomok keletkezhetnek, amelyek egyedi azonosítókkal és a szerverek által fogadott egyéb információkkal összekapcsolva felhasználhatók a természetes személyes profiljának létrehozására és az adott személy azonosítására.

3. FOGALOMMEGHATÁROZÁS

1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

3. „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

4. „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

5. „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

6. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

7. „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

8. „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

9. „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

4. A SZABÁLYOZÁS HATÁLYA:

4.1. Tárgyi hatály:

  • jelen szabályozás hatálya a Társaság által részben vagy egészben automatizált módon kezelt, természetes személyek személyes adataira terjed ki, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.
  • a szabályozás nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre, illetve amely különösen olyan vállalkozásokra vonatkozik, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.

4.2. Területi hatály:

  • a személyes adatoknak az Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett kezelése, függetlenül attól, hogy az adatkezelés az Unió területén történik vagy nem.
  • az Unióban tartózkodó érintettek személyes adatainak az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett kezelése, ha az adatkezelési tevékenységek:
  • áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért; vagy
  • az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve, hogy az Unió területén belül tanúsított viselkedésükről van szó.
  • a személyes adatoknak a nem az Unióban, hanem olyan helyen tevékenységi hellyel rendelkező adatkezelő által végzett kezelése, ahol a nemzetközi közjog értelmében valamely tagállam joga alkalmazandó.

A Társaság tevékenységi helye: Magyarország. Az adatkezelési tevékenység Magyarországon történik, a szolgáltatások nyújtása pedig Magyarország, illetve az Unió területére történik. Unión kívüli tevékenységi hellyel a Társaság nem rendelkezik, ilyen módon adatot nem kezel.

5. AZ ADATKEZELÉS ALAPELVEI

Az adatkezelés során az alábbi alapelveknek maradéktalanul és folyamatosan érvényesülnie kell, jelen alapelvek a szabályozás céljának alapköve és legfontosabb garanciája:

  • jogszerűség, tisztességes eljárás és átláthatóság elve: adatkezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni
  • célhoz kötöttség elve: adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azok nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon (nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés);
  • adattakarékosság elve: az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk;
  • pontosság elve: az adatkezelésnek pontosnak és szükség esetén naprakésznek kell lennie; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék;
  • korlátozott tárolhatóság elve: adattárolásnak olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé (a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel);
  • integritás és bizalmas jelleg elve: adatkezelést oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve;
  • elszámoltathatóság elve: az adatkezelő felelős az a fenti alapelvekben foglaltaknak való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.

A személyes adatkezelés konkrét céljainak mindenekelőtt explicit módon megfogalmazottnak és jogszerűnek, továbbá már a személyes adatok gyűjtésének időpontjában meghatározottnak kell lenniük. A személyes adatoknak a kezelésük céljára alkalmasnak és relevánsaknak kell lenniük, az adatok körét pedig a célhoz szükséges minimumra kell korlátozni.

Ehhez pedig biztosítani kell különösen azt, hogy a személyes adatok tárolása a lehető legrövidebb időtartamra korlátozódjon. Személyes adatok csak abban az esetben kezelhetők, ha az adatkezelés célját egyéb eszközzel ésszerű módon nem lehetséges elérni. Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg.

6. A JOGSZERŰ ADATKEZELÉS ALAPJA

Annak érdekében, hogy a személyes adatok kezelése jogszerű legyen, annak az érintett hozzájárulásán kell alapulnia, vagy valamely egyéb jogszerű, jogszabály által megállapított alappal kell rendelkeznie, ideértve az adatkezelőre vonatkozó jogi kötelezettségeknek való megfelelés szükségességét, az érintett által kötött esetleges szerződés teljesítését, illetve az érintett által kért, a szerződéskötést megelőzően megteendő lépéseket. A személyes adatok kezelése tehát kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbi feltételek egyike teljesül:

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Az adatkezelés jogszerűnek minősül, ha arra valamely szerződés vagy szerződéskötési szándék keretében van szükség.

A c) és e) pontok szerinti adatkezelés jogalapját az uniós jognak vagy tagállami jognak kell megállapítania. Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az e) pontban említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához.

6.1. Jogszabályon alapuló adatkezelés:

A Társaság az adatkezelés meghatározó részét jogszabályi rendelkezések alapján az abban foglalt kötelezettségek teljesítésével összhangban végzi. Ez a jogszabályi keret határozza meg az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat. A meghatározó jogszabályok – a teljesség igénye nélkül – az alábbiak:

  • Az adózás rendjéről szóló 2017. évi CL. törvény 8. §, 9. §, 16. §, 18. §, 34. §, 39. §, 40. §, 41. §, 44. §, 50. §, 77. §, 78. §, 79. §, 123. §. (Art.)
  • A munka törvénykönyvéről szóló 2012. évi I. törvény 2. §, 9. §, 10. § (1)-(4), 44. §, 45. §, 201. §. (Mt.)
  • A társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. törvény 2. §, 5. §, 40. §, 40/A. §, 41. §, 42. §, 44. §, 45/A. §, 46. §, 47. §, 50. §, 54. §. (Tbj.)
  • Az általános forgalmi adóról szóló 2007. évi CXXVII. törvény 2. §, 5. §, 6. §, 9. §, 13. §, 19. §, 62. §, 63. §, 72. §, 73. §, 137/A. §, 138. §, 143. §, 158/A. §, 159. §, 161-163. §, 166. §, 169. §, 170. §, 173. §, 179. §, 180. §. (Áfa tv.)
  • A személyi jövedelemadóról szóló 1995. évi CXVII. törvény 1. §, 2. §, 10. §, 69. §. (Szja tv.)
  • A számvitelről szóló 2000. évi C. törvény 1. §, 2. §, 4. §, 12. §, 150. §, 151. §, 166. §, 167. §, 169. §. (Sztv.)
  • Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény 2. §, 3. §, 4. §, 28. §. (Eüsztv.)
  • Az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény 1. § – 20. §. (Infotv.)

6.2. Hozzájáruláson alapuló adatkezelés:

Amennyiben jogszabály nem ad rá lehetőséget vagy nem írja elő kötelezően, úgy adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez. A hozzájárulás megadását az adatkezelőnek kell igazolnia, ezért javasolt az írásbeli forma. Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés nem minősül hozzájárulásnak!

A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni. Ha az érintett hozzájárulását elektronikus felkérést követően adja meg, a felkérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérik.

Az adatkezelést szintén jogszerűnek kell tekinteni akkor, amikor az az érintett életének vagy más fent említett természetes személy érdekeinek védelmében történik. Az adatkezelő – ideértve azt az adatkezelőt is, akivel a személyes adatokat közölhetik – vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve, hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, figyelembe véve az adatkezelővel való kapcsolata alapján az érintett ésszerű elvárásait. Az ilyen jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az adatkezelő ügyfele vagy annak alkalmazásában áll.

Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását. Tilos szerződés teljesítéséhez – beleértve a szolgáltatások nyújtását is – kötni az olyan személyes adatok kezeléséhez való hozzájárulás megadását, amely személyes adatok nem szükségesek a szerződés teljesítéséhez!

7. SPECIÁLIS SZABÁLYOK

7.1. Gyermekkorúak adatainak védelme, kezelése:

A gyermekek személyes adatainak védelme a szabályozáson belül is kiemelt jelentőséggel bír, hiszen ez az a társadalmi réteg, amely életkori sajátosságai miatt fokozott veszélynek van kitéve, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. Ugyanakkor a technológia jelenlegi szintje korlátlan hozzáférést biztosít számukra az információáramlás minden területén.

A védelem célja kettős, egyrészt törekedni kell arra, hogy a fokozottan védett korcsoport adatait kizárólag a meghatározott cél érdekében és jogosultsággal rendelkező adatkezelő szerezze meg, ugyanakkor hasonlóan fontos, hogy az adatkezelő kétséget kizárólag be tudja azonosítani, hogy kivel lép interakcióba, annak érdekében, hogy jogosulatlan adatkezelés ne valósuljon meg. Információ kommunikációs eszközök használata során ezért törekedni kell arra, hogy az érintett személy életkora és jogosultsága magas fokú szinten kerüljön meghatározásra, illetve arra, hogy a jogviszonyba lehetőség szerint lépjen be a gyermekkorú személy törvényes képviselője és annak jóváhagyásával történjen bármely adatkezelés.

A közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. Ésszerű kereteken belül, figyelembe véve az elérhető technológiát, meg kell próbálni ellenőrizni, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte-e.

Marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgáló, továbbá a gyermekek személyes adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő adatgyűjtésre irányuló céllal adat kezelés tilos!

7.2. Különösen érzékeny adatok védelme, kezelése:

A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos!

A Társaság kizárólag a munkavállalói munkavégzéssel kapcsolatos munkaalkalmassági vizsgálat egészségügyi adatait kezelheti, amennyiben a munkavállaló írásban kifejezett hozzájárulását adta az adatai jogszabályban meghatározott céllal történő kezeléséhez. A munkavállalót az adatkezelésről a pontos jogszabályi hely megjelölésével egyidejűleg tájékoztatni kell.

8. AZ ADATKEZELŐ TÁJÉKOZTATÁSI KÖTELEZETTSÉGE

Az érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell az érintett részére megadni, illetve, ha az adatokat nem az érintettől, hanem más forrásból gyűjtötték, az ügy körülményeit figyelembe véve, ésszerű határidőn belül kell rendelkezésre bocsátani. Ha a személyes adatok jogszerűen közölhetők más címzettel, a címzettel történő első közléskor arról az érintettet tájékoztatni kell. Ha az adatkezelő a személyes adatokat a gyűjtésük eredeti céljától eltérő célból kívánja kezelni, a további adatkezelést megelőzően az érintettet erről az eltérő célról és minden egyéb szükséges tudnivalóról tájékoztatnia kell. Ha az adatkezelő nem tud tájékoztatást nyújtani az érintett részére a személyes adatok eredetéről, mivel azok különböző forrásokból származnak, általános tájékoztatást kell adni.

A személyes adatok megszerzésének időpontjában a Társaság, mint adatkezelő (hogy a tisztességes és átlátható adatkezelést biztosítsa) az érintettet köteles írásban tájékoztatni az alábbiakról:

  • az adatkezelő és – ha van ilyen – az adatkezelő képviselője megnevezése és elérhetőségei;
  • az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
  • a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
  • a 6/f pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;
  • adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
  • adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.
  • a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
  • az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
  • kifejezett hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
  • a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
  • arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
  • ha van ilyen, akkor az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

Amennyiben az adatokat az adatkezelő nem az érintettől szerezi meg, úgy a tájékoztatást az alábbi tartalommal kell kiegészíteni:

  • az érintett személyes adatok kategóriái;
  • a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e.

Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról.

A tájékoztatási kötelezettséget nem kell alkalmazni, ha és amilyen mértékben:

  • az érintett már rendelkezik az információkkal;
  • a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból.

Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;

  • az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
  • a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.

9. AZ ÉRINTETT JOGAI:

9.1. Az érintett hozzáférési joga:

Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

  • az adatkezelés célja;
  • az érintett személyes adatok kategóriái;
  • azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
  • adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
  • az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
  • a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
  • ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
  • ha van, akkor az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a megfelelő garanciákról.

Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.

9.2. A helyesbítéshez való jog:

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését. A helyesbítésről, kiegészítésről az érintettet haladéktalanul értesíteni kell. Amennyiben a kezelt adat beszerzése közhiteles nyilvántartásból történt, úgy ellenkező bizonyításáig az adatot helyesnek kell elfogadni, és ezt az érintett részére jelezni kell.

9.3. A törléshez való jog („az elfeledtetéshez való jog”):

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

  • a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
  • az érintett visszavonja az adatkezelés alapját képező kifejezett hozzájárulását, és az adatkezelésnek nincs más jogalapja;
  • az érintett a 9.7.pontban foglaltak alapján tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
  • a személyes adatokat jogellenesen kezelték;
  • a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
  • a személyes adatok gyűjtésére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt a fentiek alapján törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

Nem kell törölni az adatot, amennyiben az adatkezelés szükséges:

  • a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
  • a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
  • népegészségügy területét érintő közérdek alapján;
  • közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
  • jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

9.4. Az adatkezelés korlátozásához való jog:

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

  • az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
  • az adatkezelés jogellenes, és az érintett ellenezi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
  • az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
  • az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Az érintett jogosult különösen arra, hogy személyes adatait töröljék és a továbbiakban ne kezeljék, ha a személyes adatok gyűjtése vagy más módon való kezelése az adatkezelés eredeti céljaival összefüggésben már nincs szükség, vagy ha az érintettek visszavonták az adatok kezeléshez adott hozzájárulásukat, vagy ha személyes adataik kezelése egyéb szempontból nem felel meg e rendeletnek.

Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni. Az adatkezelő az érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

9.5. A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség:

Az adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

A pontatlan személyes adatok helyesbítése vagy törlése érdekében minden ésszerű lépést meg kell tenni. A személyes adatokat olyan módon kell kezelni, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és a személyes adatok kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását.

9.6. Az adathordozhatósághoz való jog:

Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:

  • az adatkezelés az érintett hozzájárulásán vagy szerződésen alapul;
  • az adatkezelés automatizált módon történik.

A kért adatot – a technikai lehetőségek, illetve az adatmennyiség figyelembevételével – 30 napon belül az érintett rendelkezésére kell bocsátani. Ettől eltérő esetről az érintettet értesíteni kell. Az adatok hordozhatóságához való jog gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.

9.7. A tiltakozáshoz való jog:

Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők!

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelés ellen, ha az adatkezelő a tevékenységét:

  • közérdekből, vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához végzi,
  • az adatkezelő vagy egy harmadik fél jogos érdekének érvényesítéséhez végzi, ideértve az említett rendelkezéseken alapuló profilalkotást is.

Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

A tiltakozáshoz való jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni!

Az érintett a tiltakozáshoz való jogot szóban, írásban vagy műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja. Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

10. SZEMÉLYES ADATOK HARMADIK ORSZÁGBA VAGY NEMZETKÖZI SZERVEZETEK RÉSZÉRE TÖRTÉNŐ TOVÁBBÍTÁSA

Személyes adatok továbbítására – ideértve a személyes adatok harmadik országból vagy nemzetközi szervezettől egy további harmadik országba vagy további nemzetközi szervezet részére történő újbóli továbbítását is –, amelyeket harmadik országba vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, a Társaságnál nem kerül sor!

Amennyiben a Társaság a jövőben személyes adatok továbbítását határozza el, úgy arra csak jelen szabályozás módosítását követően és csak akkor kerülhet sor, ha az Európai Unió Bizottsága megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít.

11. AZ ADATKEZELÉSI TEVÉKENYSÉGEK NYILVÁNTARTÁSA

Minden adatkezelési tevékenységekről nyilvántartást kell vezetni. E nyilvántartás a következő információkat tartalmazza:

  • az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
  • az adatkezelés céljai;
  • az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
  • olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
  • adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a megfelelő garanciák leírása;
  • ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
  • ha lehetséges, a technikai és szervezési intézkedések általános leírása.

Nyilvántartást kell vezetni az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza:

  • az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;
  • az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;
  • adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását.
  • ha lehetséges a technikai és szervezési intézkedések általános leírása.

A nyilvántartásokat írásban kell vezetni, ideértve az elektronikus formátumot is. Az adatkezelő vagy az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselője megkeresés alapján a felügyeleti hatóság részére rendelkezésére bocsátja a nyilvántartást.

12. KOCKÁZATELEMZÉS

Az adatkezelési tevékenység megkezdése előtt és az adatkezelés során az érintett jogait és szabadságait érintő esetleges kockázat valószínűségét és súlyosságát az adatkezelés jellegének, hatókörének, körülményeinek és céljainak függvényében kell meghatározni és folyamatosan napra készen tartani. A kockázatot olyan objektív értékelés alapján kell felmérni, amelynek során szükséges megállapítani, hogy az adatkezelési műveletek járnak-e kockázattal, illetve nagy kockázattal?

A biztonság fenntartása és e szabályozást sértő adatkezelés megelőzése érdekében az adatkezelő (vagy az adatfeldolgozó) értékeli az adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket, (pl. titkosítást) alkalmaz. Az intézkedéseket úgy kell meghatározni, hogy biztosítani tudják a megfelelő szintű biztonságot – ideértve a bizalmas kezelést is –, figyelembe véve a tudomány és technológia állását, valamint a végrehajtás kockázatokkal és a védelmet igénylő személyes adatok jellegével összefüggő költségeit. Az adatbiztonsági kockázat felmérése során a személyes adatok kezelése jelentette olyan kockázatokat – mint például a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés –mérlegelni kell, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek.

13. AZ ADATVÉDELMI INCIDENS

A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi, adatvédelmi incidensnek kell tekinteni.

13.1. Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak és az érintettnek:

Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak (NAIH), kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

Ha adatfeldolgozót vesz igénybe az adatkezelő az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

13.2. A bejelentésnek tartalmaznia kell legalább:

  • az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  • az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Az adatvédelmi incidenseket írásban (elektronikusan) nyilván kell tartani, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé kell tennie, hogy a felügyeleti hatóság ellenőrizze az adatvédelmi szabályok követelményeinek való megfelelést.

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell a 13.2. pont szerinti információkat és intézkedéseket.

Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

  • az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
  • az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
  • a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

Ha a felügyelő hatóság utólag azt állapítja meg, hogy az érintettet a fenti mentesítés ellenére a magas kockázat miatt értesíteni kellett volna, haladéktalanul meg kell tenni a fenti tartalommal.

14. MAGATARTÁSI KÓDEX, TANÚSÍTVÁNY

A jelenlegi szabályozás lehetőséget teremt arra, hogy akár uniós, akár tagállami szinten az érintett szervezetek adatkezelési magatartási kódexet vagy adatvédelmi tanúsítási mechanizmust hozzanak létre. Amennyiben ez megtörténik, úgy a Társaság a magatartási kódex rendelkezéseit magára nézve kötelezőnek fogja elfogadni, illetve szabályozása rendelkezéseit ennek megfelelően hatályosítani. A Társaság évente akkreditált tanúsító előtt adatvédelmi tanúsítványt szerzése érdekében köteles a vonatkozó eljárást lefolytatni, illetve szabályozást megalkotni (ehhez a Társaság az unió, illetve a tagállam által hivatalos listán közzétett, akkreditált tanúsító szervet vesz igénybe).

Kelt: KESZTHELY 2018.05.25.

____________________________
Göncz Attila ügyvezető s.k.