Hatályba lépés: 2018-05-25
Hatályba léptetésért
felelős: dr. Bódis Lajos ügyvezető
TARTALOMJEGYZÉK
I. Az adatkezelő
megnevezése II. Jogszabályi háttér III. A
szabályozás célja IV. Fogalmak V. A személyes
adatkezelésre vonatkozó elvek Az adatkezelés jogszerűsége A hozzájárulás
feltételei A gyermek hozzájárulására vonatkozó feltételek az információs
társadalommal összefüggő szolgáltatások vonatkozásában
A személyes adatok különleges kategóriáinak kezelése A
büntetőjogi felelősség megállapítására vonatkozó határozatokra és a
bűncselekményekre vonatkozó személyes adatok kezelése
Átlátható tájékoztatás, kommunikáció és az érintett jogainak
gyakorlására vonatkozó intézkedések
Rendelkezésre bocsátandó információk, ha a személyes adatokat az
érintettől gyűjtik Rendelkezésre bocsátandó információk, ha a személyes
adatokat nem az érintettől szerezték meg
Az érintett hozzáférési joga Helyesbítés és törlés A
tiltakozáshoz való jog és automatizált döntéshozatal egyedi ügyekben Az
adatkezelő és az adatfeldolgozó - Általános kötelezettségek Az adatkezelési
tevékenységek nyilvántartása Adatbiztonság Adatvédelmi hatásvizsgálat és
előzetes konzultáció Adatvédelmi tisztviselő A személyes adatok harmadik
országokba vagy nemzetközi szervezetek részére történő továbbítása Kötelező
erejű vállalati szabályok Kijelölt adatvédelmi felelős Személyes adatok
leltára Adatkezelési tájékoztató
Adatkezelő megnevezése – a továbbiakban: adatkezelő
Adatkezelő
neve: Hidropress Kft. Székhely
címe: 1186 Budapest, Zádor u.
8. Telephelyek: 7090 Tamási,
0687/75
Hrsz. Cégjegyzékszám: Cg.
01-09-072703 Vezető
tisztségviselő: Neve: dr.
Bódis
Lajos Beosztása: ügyvezető Telefon: 061-297-1640 Levelezési
cím: 1186 Budapest, Zádor u.
8. E-mail cím: kozp@hidropress.hu Honlap
cím: www.hidropress.hu
Fő
tevékenység M.n.s. egyéb
általános rendeltetésű gép gyártása
Jogszabályi háttér az Európai Parlament és a Tanács (EU)
2016/679 Rendelete (2016. április 27.) természetes személyeknek a személyes
adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad
áramlásáról (a továbbiakban GDPR) 2011. évi CXII. törvény az információs
önrendelkezési jogról és az információszabadságról (a továbbiakban
Infotv) 2017. évi LIII. törvény a pénzmosás és a terrorizmus finanszírozása
megelőzéséről és megakadályozásáról (a továbbiakban Pmt) 2008. évi XLVIII.
törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes
korlátairól (a továbbiakban Grt) 2012. évi I. törvény a munka
törvénykönyvéről (a továbbiakban Mt) 2013. évi V. törvény a Polgári
Törvénykönyvről (a továbbiakban Ptk) 2000. évi C. törvény a
számvitelről (a továbbiakban Számv. tv.)
A szabályozás célja
Gazdálkodó szervezetünk által a természetes személyek személyes
adatainak kezelésével összefüggő alapvető védelmi jog biztosítását szolgáló
elvek, szabályok rögzítése és az ezzel kapcsolatos eljárások pontos
meghatározása. A szabályzat tárgyi hatálya kiterjed megbízásunk alapján
igénybe vett adatfeldolgozó által kezelt valamennyi, személyes adatot érintő,
teljesen vagy részben automatizált eszközzel, valamint a manuális módon végzett
adatkezelésre.
Fogalmak Személyes adat: azonosított vagy azonosítható
természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az
a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely
azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a
természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági,
kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján
azonosítható; Adatkezelés: a személyes adatokon vagy adatállományokon
automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek
összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás
vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás,
terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás
vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés; Az
adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli
kezelésük korlátozása céljából; Profilalkotás: személyes adatok automatizált
kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely
természetes személyhez fűződő bizonyos személyes jellemzők értékelésére,
különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi
állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz,
viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők
elemzésére vagy előrejelzésére használják; Álnevesítés: a személyes adatok
olyan módon történő kezelése, amelynek következtében további információk
felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely
konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további
információt külön tárolják, és technikai és szervezési intézkedések megtételével
biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a
személyes adatot nem lehet kapcsolni; Nyilvántartási rendszer: a személyes
adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy
földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek
alapján hozzáférhető; Adatkezelő: az a természetes vagy jogi személy,
közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok
kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha
az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg,
az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az
uniós vagy a tagállami jog is meghatározhatja; Adatfeldolgozó: az a
természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb
szerv, amely az adatkezelő nevében személyes adatokat kezel; Címzett: az a
természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb
szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy
harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében
az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes
adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek
általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az
alkalmazandó adatvédelmi szabályoknak; Harmadik fél: az a természetes vagy
jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem
azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a
személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt
a személyes adatok kezelésére felhatalmazást kaptak; Az érintett
hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő
tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett
nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján
jelzi, hogy beleegyezését adja az őt érintő személyes adatok
kezeléséhez; Adatvédelmi incidens: a biztonság olyan sérülése, amely a
továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy
jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését
vagy az azokhoz való jogosulatlan hozzáférést eredményezi; Genetikai adat:
egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó
minden olyan személyes adat, amely az adott személy fiziológiájára vagy
egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az
említett természetes személyből vett biológiai minta elemzéséből
ered; Biometrikus adat: egy természetes személy testi, fiziológiai vagy
viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal
nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy
egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai
adat; Egészségügyi adat: egy természetes személy testi vagy pszichikai
egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy
számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely
információt hordoz a természetes személy egészségi állapotáról; Tevékenységi
központ: a) az egynél több tagállamban tevékenységi hellyel rendelkező
adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a
személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az
adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi
tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására,
az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak
tekinteni; b) az egynél több tagállamban tevékenységi hellyel rendelkező
adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az
adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az
adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó
tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő
adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet
szerint meghatározott kötelezettségek vonatkoznak; Képviselő: az az Unióban
tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy
adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi
személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az
adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló
kötelezettségek vonatkozásában; Vállalkozás: gazdasági tevékenységet folytató
természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a
rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és
egyesületeket is; Vállalkozáscsoport: az ellenőrző vállalkozás és az általa
ellenőrzött vállalkozások; Kötelező erejű vállalati szabályok: a személyes
adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának
területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy
vagy több harmadik országban a személyes adatoknak az ugyanazon
vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások
ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő
továbbítása vagy ilyen továbbítások sorozata tekintetében követ; Felügyeleti
hatóság: egy tagállam által a rendelet 51. cikkének megfelelően létrehozott
független közhatalmi szerv; Érintett felügyeleti hatóság: az a felügyeleti
hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike
alapján érint: a) az adatkezelő vagy az adatfeldolgozó az említett
felügyeleti hatóság tagállamának területén rendelkezik tevékenységi
hellyel; b) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően
jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel
rendelkező érintetteket; vagy c) panaszt nyújtottak be az említett
felügyeleti hatósághoz;
Személyes adatok határokon átnyúló adatkezelése: a) személyes
adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több
tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több
tagállamban található tevékenységi helyein folytatott tevékenységekkel
összefüggésben kerül sor; vagy b) személyes adatoknak az Unióban megvalósuló
olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen
tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy,
hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően
jelentős mértékben érint érintetteket;"
Releváns és megalapozott kifogás: a döntéstervezettel szemben
benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e,
illetve hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett
intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell
mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira,
valamint adott esetben a személyes adatok Unión belüli szabad áramlására
jelentett kockázatok jelentőségét Az információs társadalommal összefüggő
szolgáltatás: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv (1) 1.
cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás; Nemzetközi
szervezet: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak
alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti
megállapodás hozott létre vagy amely ilyen megállapodás alapján jött
létre. Személyes adatok leltára: az adatkezelő által kezelt személyes adatok
körének és jellegének felmérését szolgáló dokumentum.
A személyes adatok kezelésére vonatkozó elvek A jogszerűség,
tisztességes eljárás és átláthatóság elve: A személyes adatok kezelését
jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell
végezni A célhoz kötöttség elve: A személyes adatok gyűjtése csak
meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék
ezekkel a célokkal össze nem egyeztethető módon; a vonatkozó EU rendelet 89.
cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem
egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi
kutatási célból vagy statisztikai célból történő további adatkezelés. Az
adattakarékosság elve: A személyes adatok az adatkezelés céljai szempontjából
megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell
korlátozódniuk. A pontosság elve: A személyes adatok pontosnak és szükség
esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni
annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes
adatokat haladéktalanul töröljék vagy helyesbítsék. A korlátozott
tárolhatóság elve: A személyes adatok tárolásának olyan formában kell
történnie, amely az érintettek azonosítását csak a személyes adatok kezelése
céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél
hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a
személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű
archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai
célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak
védelme érdekében előírt megfelelő technikai és szervezési intézkedések
végrehajtására is figyelemmel
Az integritás és bizalmas jelleg elve: A személyes adatok
kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési
intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő
biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen
elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is
ideértve.
Az elszámoltathatóság elve: Az adatkezelő felelős a jelen
szabályzatban foglaltaknak való megfelelésért, továbbá képesnek kell lennie e
megfelelés igazolására.
Az adatkezelés jogszerűsége A személyes adatok kezelése
kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike
teljesül: - az érintett hozzájárulását adta személyes adatainak egy vagy több
konkrét célból történő kezeléséhez; - az adatkezelés olyan szerződés
teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés
megkötését megelőzően az érintett kérésére történő lépések megtételéhez
szükséges; - az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség
teljesítéséhez szükséges; - az adatkezelés az érintett vagy egy másik
természetes személy létfontosságú érdekeinek védelme miatt szükséges; - az
adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány
gyakorlásának keretében végzett feladat végrehajtásához szükséges; - az
adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek
érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget
élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek
személyes adatok védelmét teszik szükségessé, különösen, ha az érintett
gyermek. Amennyiben az adatkezelés jogi kötelezettség teljesítéséhez
szükséges, illetve az adatkezelés közérdekű vagy az adatkezelőre ruházott
közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához
szükséges, úgy az adatkezelés jogalapját a következőknek kell
megállapítania: - az uniós jog, vagy - azon tagállami jog, amelynek
hatálya alá az adatkezelő tartozik.
Az adatkezelés célját a jogalapra hivatkozással kell
meghatározni. Ha az adatgyűjtés céljától eltérő célból történő adatkezelés
nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon
alapul, annak megállapításához, hogy az eltérő célú adatkezelés
összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg
gyűjtötték, az adatkezelő többek között figyelembe veszi:
- a személyes adatok gyűjtésének céljait és a tervezett további
adatkezelés céljai közötti esetleges kapcsolatokat; - a személyes adatok
gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő
közötti kapcsolatokra; - a személyes adatok jellegét, különösen pedig azt,
személyes adatok különleges kategóriáinak kezeléséről van-e szó, illetve hogy
büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak
kezeléséről van-e szó; - azt, hogy az érintettekre nézve milyen esetleges
következményekkel járna az adatok tervezett további kezelése; - megfelelő
garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.
A személyes adatok kezelésének jogszerűségét gazdálkodó
szervezetünknél a következő feltételek teljesülése alapozza meg: - az
érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból
történő kezeléséhez; vagy: - az adatkezelés olyan szerződés teljesítéséhez
szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését
megelőzően az érintett kérésére történő lépések megtételéhez
szükséges; vagy: - az adatkezelés az adatkezelőre vonatkozó jogi
kötelezettség teljesítéséhez szükséges;
Jogalapi hivatkozás: hazai, vagy uniós jogszabály, írd be
konkrétan!
A hozzájárulás feltételei Az adatkezelés hozzájáruláson alapul
és az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett
személyes adatainak kezeléséhez hozzájárult.
A hozzájárulás módja: hogyan lehet hozzájárulni?
A hozzájárulás igazolásának módja: hogyan lehet igazolni a
hozzájárulást?
Ha az érintett hozzájárulását olyan írásbeli nyilatkozat
keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti
kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell
előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű
nyelvezettel.
milyen módon kap tájékoztatást az érintett?
A munkavállalótól csak olyan nyilatkozat megtétele vagy adat
közlése kérhető, amely személyiségi jogát nem sérti, és a munkaviszony
létesítése, teljesítése vagy megszűnése szempontjából lényeges. A
munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet
munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó
szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében
szükséges.
Az érintett jogosult arra, hogy hozzájárulását bármikor
visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a
visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az
érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan
egyszerű módon kell lehetővé tenni, mint annak megadását.
A hozzájárulás visszavonásának módja: hogyan tudja
visszavonni?
A hozzájárulás önkéntessége: Van-e olyan személyes adat,
amelynek megadása feltétlenül szükséges a szerződés teljesítéséhez?
Gyermek hozzájárulására vonatkozó feltételek
A 16. életévét be nem töltött gyermek esetén, a gyermekek
személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a
hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve
engedélyezte.
Az adatkezelő – figyelembe véve az elérhető technológiát – ésszerű
erőfeszítéseket tesz, hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a
gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve
engedélyezte.
Közvetlenül gyermekeknek kínált, információs társadalommal
összefüggő szolgáltatásokat nem nyújtunk.
A személyes adatok különleges kategóriáinak kezelése
A személyes adatok különleges kategóriái: - faji vagy etnikai
származás; - politikai vélemény; - vallási vagy világnézeti
meggyőződés; - szakszervezeti tagság; - természetes személyek egyedi
azonosítását célzó genetikai és biometrikus adatok; - egészségügyi
adatok; - természetes személyek szexuális életére vagy szexuális
irányultságára vonatkozó személyes adatok
A faji vagy etnikai származásra, politikai véleményre, vallási
vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes
adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és
biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális
életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése
tilos.
Kivételek: - az érintett kifejezett hozzájárulását adta az
említett személyes adatok egy vagy több konkrét célból történő kezeléséhez,
kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdésben
említett tilalom nem oldható fel az érintett hozzájárulásával;
- az adatkezelés az adatkezelőnek vagy az érintettnek a
foglalkoztatást, valamint a szociális biztonságot és szociális védelmet
szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai
gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő
megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a
tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;
- az adatkezelés az érintett vagy más természetes személy
létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi
cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
- az adatkezelés valamely politikai, világnézeti, vallási vagy
szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet
megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik,
azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy
volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres
kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes
adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a
szervezeten kívüli személyek számára;
- az adatkezelés olyan személyes adatokra vonatkozik,
amelyeket az érintett kifejezetten nyilvánosságra hozott;
- az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez,
illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási
feladatkörükben járnak el;
- az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy
tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben
tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett
alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét
intézkedéseket ír elő;
- az adatkezelés megelőző egészségügyi vagy munkahelyi
egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése,
orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés
nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások
irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy
egészségügyi szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben
említett feltételekre és garanciákra figyelemmel;
- az adatkezelés a népegészségügy területét érintő olyan
közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi
veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az
orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és
olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét
intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra,
és különösen a szakmai titoktartásra vonatkozóan;
- az adatkezelés a rendelet 89. cikk (1) bekezdésével
összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási
célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog
alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes
adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak
és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
Az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi
célokból akkor lehetségesi, ha ezen adatok kezelése olyan szakember által vagy
olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban,
illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított
szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll,
illetve olyan más személy által, aki szintén uniós vagy tagállami jogban,
illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított
szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll.
Gazdálkodó szervezetünk nem kezel személyekre vonatkozó
különleges adatokat.
A büntetőjogi felelősség megállapítására vonatkozó határozatokra
és a bűncselekményekre vonatkozó személyes adatok kezelése
A büntetőjogi felelősség megállapítására vonatkozó
határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági
intézkedésekre vonatkozó személyes adatoknak a 6. cikk (1) bekezdése alapján
történő kezelésére kizárólag abban az esetben kerülhet sor, ha az közhatalmi
szerv adatkezelésében történik, vagy ha az adatkezelést az érintett jogai és
szabadságai tekintetében megfelelő garanciákat nyújtó uniós vagy tagállami jog
lehetővé teszi.
Gazdálkodó szervezetünk nem kezel büntetőjoggal kapcsolatos
adatokat.
Átlátható tájékoztatás, kommunikáció és az érintett jogainak
gyakorlására vonatkozó intézkedések
A személyes adatok kezelésére vonatkozó, a rendelet 13. és a
14. cikkeiben említett valamennyi információt és a 15–22. illetve 34. cikk
szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen
hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani,
különösen a gyermekeknek címzett bármely információ esetében.
Az információk nyújtásának formája: A megalapozottan kért
információkat írásban, elektronikus úton kell átadni.
A tájékoztatás határideje: A rendelet 15–22. cikkei
szerinti kérelem nyomán hozott intézkedésekről késedelem nélkül, de
mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül kell
tájékoztatni az érintettet.
Hosszabbítási lehetőség: Szükség esetén, figyelembe véve a
kérelem összetettségét és a kérelmek számát, a kért információk nyújtására
nyitva álló határidő további két hónappal meghosszabbítható.
A határidő meghosszabbításáról a késedelem okainak
megjelölésével a kérelem kézhezvételétől számított egy hónapon belül
tájékoztatni kell az érintettet.
Ha nem történnek intézkedések az érintett kérelme nyomán,
késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon
belül tájékoztatni kell az érintettet az intézkedés elmaradásának okairól,
valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti
hatóságnál, és élhet bírósági jogorvoslati jogával.
A rendelet 13. és 14. cikk szerinti információkat és a 15–22.
és 34. cikk szerinti tájékoztatást és intézkedést díjmentesen kell
biztosítani.
Szokásostól eltérő esetek: Ha az érintett kérelme
egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó,
akkor figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért
intézkedés meghozatalával járó adminisztratív költségekre az alábbi lehetőségek
alkalmazhatók:
- ésszerű összegű díj felszámítható; - a kérelem alapján
történő intézkedés megtagadható
A kérelem egyértelműen megalapozatlansága, vagy túlzó jellege
bizonyítható kell legyen.
Az érintett részére a rendelet 13. és 14. cikkei alapján nyújtandó
információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében,
hogy a tervezett adatkezelésről az érintett jól látható, könnyen érthető és jól
olvasható formában kapjon általános tájékoztatást. Az elektronikusan
megjelenített ikonoknak géppel olvashatónak kell lenniük.
Rendelkezésre bocsátandó információk, ha a személyes adatokat az
érintettől gyűjtik
A személyes adatok megszerzésének időpontjában az érintett
rendelkezésére kell bocsátani a következő információk mindegyikét:
- gazdálkodó szervezetünk nevét, címét, telefonos és elektronikus
elérhetőségét; - az adatkezeléssel megbízott munkatársunk nevét és
elérhetőségeit; - az adatvédelmi tisztviselő elérhetőségei; - a személyes
adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja; - a
saját vagy harmadik fél jogos érdekeinek leírása;
- a személyes adatok címzettjei, illetve a címzettek
kategóriái;
- annak ténye, hogy a személyes adatokat harmadik országba vagy
nemzetközi szervezet részére kívánjuk továbbítani;
Kiegészítő információk nyújtása: - a személyes adatok
tárolásának időtartama;
- információk az érintett azon jogáról, hogy kérelmezheti az
gazdálkodó szervezetünktől a rá vonatkozó személyes adatokhoz való hozzáférést,
azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az
ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz
való jogáról;
- a hozzájárulás bármely időpontban történő visszavonásához
való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján
végrehajtott adatkezelés jogszerűségét;
- a felügyeleti hatósághoz címzett panasz benyújtásának
jogáról;
- információ arról, hogy a személyes adat szolgáltatása
jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének
előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat
megadni, továbbá hogy milyen lehetséges következményeikkel járhat az
adatszolgáltatás elmaradása
- az automatizált döntéshozatal ténye, ideértve a
profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott
logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés
milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel
bír.
A gyűjtésük céljától eltérő célból további adatkezelés: - a
további adatkezelést megelőzően tájékoztatnia kell az érintettet az eltérő
célról és az előzőekben említett minden releváns kiegészítő információról.
Rendelkezésre bocsátandó információk, ha a személyes adatokat nem
az érintettől szerezték meg
Ha a személyes adatokat nem az érintettől szereztük meg, akkor
a következő információkat kell az érintett rendelkezésére bocsátani:
- gazdálkodó szervezetünk nevét, címét, telefonos és elektronikus
elérhetőségét; - az adatkezeléssel megbízott munkatársunk nevét és
elérhetőségeit; - az adatvédelmi tisztviselő elérhetőségei; - a személyes
adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja; - az
érintett személyes adatok kategóriái;
- a személyes adatok címzettjei, illetve a címzettek
kategóriái;
- annak ténye, hogy a személyes adatokat harmadik országba vagy
nemzetközi szervezet részére kívánjuk továbbítani;
Kiegészítő információk nyújtása: - a személyes adatok
tárolásának időtartama;
- a saját vagy harmadik fél jogos érdekeinek leírása;
- információk az érintett azon jogáról, hogy kérelmezheti az
gazdálkodó szervezetünktől a rá vonatkozó személyes adatokhoz való hozzáférést,
azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az
ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz
való jogáról;
- a hozzájárulás bármely időpontban történő visszavonásához
való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján
végrehajtott adatkezelés jogszerűségét;
- a felügyeleti hatósághoz címzett panasz benyújtásának
jogáról;
- a személyes adatok forrása és adott esetben az, hogy az adatok
nyilvánosan hozzáférhető forrásokból származnak-e;
- az automatizált döntéshozatal ténye, ideértve a
profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott
logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés
milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel
bír.
Az érintett tájékoztatása: - a személyes adatok kezelésének
konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől
számított ésszerű határidőn, de legkésőbb egy hónapon belül;
- az érintettel való kapcsolattartás céljára használt
személyes adatok esetében, legalább az érintettel való első kapcsolatfelvétel
alkalmával;
vagy: - ha az adatok várhatóan más címzettel is közlésre
kerülnek, akkor legkésőbb a személyes adatok első alkalommal való
közlésekor.
A gyűjtésük céljától eltérő célból további adatkezelés: - a
további adatkezelést megelőzően tájékoztatnia kell az érintettet az eltérő
célról és az előzőekben említett minden releváns kiegészítő információról.
E fejezet szabályait nem kell alkalmazni ha és amilyen
mértékben: - az érintett már rendelkezik az információkkal; - a szóban
forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy
aránytalanul nagy erőfeszítést igényelne; különösen a közérdekű archiválás
céljából, tudományos és történelmi kutatási célból vagy statisztikai célból
- az adat megszerzését vagy közlését kifejezetten előírja az
adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos
érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
- a személyes adatoknak valamely uniós vagy tagállami jogban
előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon
alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.
Az érintett hozzáférési joga
Az érintett jogosult arra, hogy gazdálkodó szervezetünktől
visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése
folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy
a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
A hozzáférési joggal kapcsolatos információkat az adatkezelésért
felelős munkatárs nyújtja. - az adatkezelés céljai; - az érintett
személyes adatok kategóriái; - azon címzettek vagy címzettek kategóriái,
akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják,
ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi
szervezeteket;
- a személyes adatok tárolásának tervezett időtartama, vagy ha
ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
- információk az érintett azon jogáról, hogy kérelmezheti tőlünk a
rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének
korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
- a valamely felügyeleti hatósághoz címzett panasz
benyújtásának jogáról; - ha az adatok nem az érintettől kerültek gyűjtésre, a
forrásukra vonatkozó minden elérhető információ;
- az automatizált döntéshozatal ténye, ideértve a profilalkotást
is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra
vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel
bír, és az érintettre nézve milyen várható következményekkel jár.
Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet
részére történő továbbítására kerül sor, az érintett jogosult arra, hogy
tájékoztatást kapjon a továbbításra vonatkozóan a 46. cikk szerinti megfelelő
garanciákról.
Az adatkezelés tárgyát képező személyes adatok másolatát az
érintett rendelkezésére kell bocsátani. Az érintett által kért további
másolatokért az adminisztratív költségeken alapuló díjat számítunk fel. Ha az
érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles
körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve,
ha az érintett másként kéri.
A papír-alapú másolatokért felszámítandó díj:
Az elektronikus formában rendelkezésre bocsátandó információk
fájl típusa: PDF formátum.
Helyesbítés és törlés
A helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére indokolatlan késedelem
nélkül helyesbítsük a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve
az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes
adatok – egyebek mellett kiegészítő nyilatkozat útján történő –
kiegészítését.
A törléshez való jog („az elfeledtetéshez való jog”)
Az érintett jogosult arra, hogy kérésére indokolatlan késedelem
nélkül töröljük a rá vonatkozó személyes adatokat, mi pedig kötelesek vagyunk
arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem
nélkül töröljük, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség abból a célból,
amelyből azokat gyűjtöttük vagy más módon kezeltük;
- az érintett visszavonja a 6. cikk (1) bekezdésének a) pontja
vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját
képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
- az érintett a 21. cikk (1) bekezdése alapján tiltakozik az
adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés
ellen;
- a személyes adatokat jogellenesen kezeltük; - a személyes
adatokat a gazdálkodó szervezetünkre alkalmazandó uniós vagy tagállami jogban
előírt jogi kötelezettség teljesítéséhez törölni kell;
- a személyes adatok gyűjtésére a 8. cikk (1) bekezdésében
említett, információs társadalommal összefüggő szolgáltatások kínálásával
kapcsolatosan került sor.
Amennyiben a személyes adat nyilvánosságra hozatala megtörtént
és törlési igény merül fel ezzel kapcsolatban akkor, - az elérhető technológia
és a megvalósítás költségeinek figyelembevételével - kötelező megtenni az
ésszerűen elvárható lépéseket, ideértve technikai intézkedéseket – annak
érdekében, hogy az érintett adatkezelők tudomást szerezzenek arról, hogy az
érintett kérelmezte a szóban forgó személyes adatokra mutató linkek vagy e
személyes adatok másolatának, illetve másodpéldányának törlését.
A törlési igény nem alkalmazható, amennyiben az adatkezelés
szükséges: - a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog
gyakorlása céljából; - a személyes adatok kezelését előíró, az adatkezelőre
alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése,
illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány
gyakorlása keretében végzett feladat végrehajtása céljából;
- népegészségügy területét érintő közérdek alapján; -
közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy
statisztikai célból, amennyiben a törlési jog gyakorlása valószínűsíthetően
lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
- jogi igények előterjesztéséhez, érvényesítéséhez, illetve
védelméhez.
Az adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza
az adatkezelést, ha az alábbiak valamelyike teljesül:
- az érintett vitatja a személyes adatok pontosságát, ez
esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy
az adatkezelő ellenőrizze a személyes adatok pontosságát;
- az adatkezelés jogellenes, és az érintett ellenzi az adatok
törlését, és ehelyett kéri azok felhasználásának korlátozását;
- már nincs szükségünk a személyes adatokra adatkezelés céljából,
de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez
vagy védelméhez; vagy
- az érintett a rendelet 21. cikk (1) bekezdése szerint
tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra
vonatkozik, amíg megállapításra nem kerül, hogy gazdálkodó szervezetünk jogos
indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Ha az adatkezelés az előzőek alapján korlátozás alá esik, az ilyen
személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy
jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más
természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve
valamely tagállam fontos közérdekéből lehet kezelni.
Az érintettet, akinek a kérésére korlátoztuk az adatkezelést,
az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatni kell.
A személyes adatok helyesbítéséhez vagy törléséhez, illetve az
adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az adatkezelésért felelős minden olyan címzettet tájékoztat
valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel,
illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek
bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az
adatkezelésért felelős tájékoztatja e címzettekről.
Az adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa egy
adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben
használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy
ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt
akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére
bocsátotta, ha:
- az adatkezelés hozzájáruláson, vagy szerződésen alapul; és -
az adatkezelés automatizált módon történik.
Az adatok hordozhatóságához való jog előzőek szerinti gyakorlása
során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható –
kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
E jog gyakorlása nem sértheti a törléshez kapcsolódó
jogosultságok szabályait. Az említett jog nem alkalmazandó abban az esetben, ha
az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai
gyakorlásának keretében végzett feladat végrehajtásához szükséges.
Az adathordozáshoz való jog nem érintheti hátrányosan mások jogait
és szabadságait.
A tiltakozáshoz való jog és automatizált döntéshozatal egyedi
ügyekben
A tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos
okokból bármikor tiltakozzon személyes adatainak a rendelet 6. cikk (1)
bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett
rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a
személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja,
hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek
elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben,
vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez
kapcsolódnak.
Rendelet 6. cikk (1): e) az adatkezelés közérdekű vagy az
adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett
feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos
érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben
elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és
szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha
az érintett gyermek.
Ha a személyes adatok kezelése közvetlen üzletszerzés
érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá
vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a
profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.
Ha az érintett tiltakozik a személyes adatok közvetlen
üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a
továbbiakban e célból nem kezelhetők.
A tiltakozási jogra, mint lehetőségre, legkésőbb az érintettel
való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét,
és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól
elkülönítve kell megjeleníteni.
Az információs társadalommal összefüggő szolgáltatások
igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a
tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is
gyakorolhatja.
Ha a személyes adatok kezelésére tudományos és történelmi kutatási
célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a
saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes
adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett
feladat végrehajtása érdekében van szükség.
Automatizált döntéshozatal egyedi ügyekben, beleértve a
profilalkotást
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan,
kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló
döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős
mértékben érintené.
Az itt leírt szabály nem alkalmazandó abban az esetben, ha a
döntés: - a köztünk és az érintett adatkezelő közötti szerződés megkötése
vagy teljesítése érdekében szükséges;
- meghozatalát a gazdálkodó szervezetünkre alkalmazandó olyan
uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és
szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő
intézkedéseket is megállapít; vagy
- az érintett kifejezett hozzájárulásán alapul.
Az adatkezelő feladatai
Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és
céljai, valamint a természetes személyek jogaira és szabadságaira jelentett,
változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő
technikai és szervezési intézkedéseket hajt végre annak biztosítása és
bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban
történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség
esetén naprakésszé teszi.
Technikai intézkedések: - a papír alapra történő felvétel
biztonságos körülményeinek megteremtése; - az adatok rendszerbe foglalásához
szükséges irattárolók biztosítása; - olyan címkézési rendszer alkalmazása,
amely lehetővé teszi a gyors visszakereshetőséget; - a megsemmisítendő papír
alapú adatállomány technikai feltételeinek biztosítása; - az elektronikusan
rögzítendő adatokhoz szükséges hardver eszközök biztosítása; - a szükséges
szoftver állomány rendelkezésre bocsátása; - az online adatok rendszeres
mentését biztosító technikai háttér működtetése; - az adattovábbítás
biztonsági kérdéseinek megoldása; - az adatveszés elkerülését támogató
rendszer felállítása; - a sérült adatok helyreállítását lehetővé tevő
technikai támogatás készenlétben tartása;
Szervezési intézkedések: - a konkrét adatkezelési célok
megfogalmazása; - az egyes célokhoz hozzárendelhető személyes adatállomány
meghatározása az indokoltság figyelembe vételével;
- a személyes adatokkal találkozó munkatársak minimálisra
csökkentése; - az eljárási rend rögzítése a személyes adatokkal találkozó
munkatársakkal; - a biztonsági szempontok átbeszélése, kielemzése; - a
titoktartással kapcsolatos magatartás és felelősség megállapítása; - a belső
ellenőrzési rendszer adatvédelemmel összefüggő kidolgozása; - a személyes
adatokkal találkozó munkatársak oktatása; - a megfelelő adatfeldolgozók
kiválasztása; - honlap üzemeltetéséhez szakmailag felkészült munkatárs
kiválasztása; - a céloknak leginkább megfelelő elektronikus tárhely
kiválasztása;
Közös adatkezelők
Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő
közösen határozza meg, azok közös adatkezelőknek minősülnek.
Gazdálkodó szervezetünk nem vesz igénybe közösnek minősülő
adatkezelőt.
Az Unióban tevékenységi hellyel nem rendelkező adatkezelők
vagy adatfeldolgozók képviselői
Az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy
az adatfeldolgozó írásban uniós képviselőt jelöl ki.
A képviselőnek tevékenységi hellyel kell rendelkeznie az egyik
olyan tagállamban, ahol azon érintettek tartózkodnak, akiknek személyes adatait
áruknak vagy szolgáltatásoknak a részükre történő nyújtása során kezelik vagy
akiknek a magatartását megfigyelik.
Jelen szabályzat az Unióban székhellyel rendelkező vállalkozásra
alkalmazandó.
Az adatfeldolgozó
Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő
kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő
garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való
megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai
és szervezési intézkedések végrehajtására.
Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti
vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe.
Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az
adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók
igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az
adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást
emeljen.
Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy
tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát,
jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit,
valamint az adatkezelő kötelezettségeit és jogait meghatározó – szerződésnek
vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az
adatkezelővel szemben. A szerződés vagy más jogi aktus különösen előírja, hogy
az adatfeldolgozó:
- a személyes adatokat kizárólag az adatkezelő írásbeli
utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik
ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor,
ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog
írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az
adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő
értesítését az adott jogszabály fontos közérdekből tiltja;
- biztosítja azt, hogy a személyes adatok kezelésére
feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon
alapuló megfelelő titoktartási kötelezettség alatt állnak;
- meghozza az adatkezelés biztonsága érdekében előírt
intézkedéseket;
- tiszteletben tartja a további adatfeldolgozó igénybevételére
vonatkozó feltételeket; - az adatkezelés jellegének figyelembevételével
megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti
az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett III.
fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása
tekintetében;
- segíti az adatkezelőt az adatbiztonsággal és adatincidenssel
kapcsolatos kötelezettségek teljesítésében, figyelembe véve az adatkezelés
jellegét és az adatfeldolgozó rendelkezésére álló információkat;
- az adatkezelési szolgáltatás nyújtásának befejezését
követően az adatkezelő döntése alapján minden személyes adatot töröl vagy
visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az
uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
- az adatkezelő rendelkezésére bocsát minden olyan
információt, amely az adatfeldolgozóra háruló kötelezettségek
teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti
az adatkezelő által vagy az általa megbízott más ellenőr által végzett
auditokat, beleértve a helyszíni vizsgálatokat is.
Az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt,
ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a
tagállami vagy uniós adatvédelmi rendelkezéseket.
Ha az adatfeldolgozó bizonyos, az adatkezelő nevében végzett
konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is
igénybe veszi, uniós vagy tagállami jog alapján létrejött szerződés vagy más
jogi aktus útján erre a további adatfeldolgozóra is ugyanazok az adatvédelmi
kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az
adatfeldolgozó között létrejött, és szerződésben vagy egyéb jogi aktusban
szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő
garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések
végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e
rendelet követelményeinek.
Ha a további adatfeldolgozó nem teljesíti adatvédelmi
kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az
adatkezelő felé a további adatfeldolgozó kötelezettségeinek a
teljesítéséért.
Az adatkezelő és az adatfeldolgozó közötti egyedi szerződést vagy
más jogi aktust írásba kell foglalni, ideértve az elektronikus formátumot
is.
Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett
adatkezelés
Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó
irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy
ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti,
kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.
Az adatkezelési tevékenységek nyilvántartása
Adatkezelők: Minden adatkezelő és – ha van ilyen – az
adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési
tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat
tartalmazza:
- az adatkezelő neve és elérhetősége, valamint – ha van ilyen
– a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi
tisztviselőnek a neve és elérhetősége;
- az adatkezelés céljai; - az érintettek kategóriáinak,
valamint a személyes adatok kategóriáinak ismertetése; - olyan címzettek
kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a
harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
- adott esetben a személyes adatok harmadik országba vagy
nemzetközi szervezet részére történő továbbítására vonatkozó információk,
beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a
rendelet 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás
esetében a megfelelő garanciák leírása;
- ha lehetséges, a különböző adatkategóriák törlésére előirányzott
határidők; - ha lehetséges, az adatkezelés biztonságával kapcsolatos
technikai és szervezési intézkedések általános leírása.
Adatfeldolgozók: Minden adatfeldolgozó és – ha van ilyen –
az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett
adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő
információkat tartalmazza:
- az adatfeldolgozó vagy adatfeldolgozók neve és
elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy
akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő
vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a
neve és elérhetőségei;
- az egyes adatkezelők nevében végzett adatkezelési tevékenységek
kategóriái; - adott esetben a személyes adatok harmadik országba vagy
nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország
vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének
második albekezdése szerinti továbbítás esetében a megfelelő garanciák
leírása;
- ha lehetséges, az adatkezelés biztonságával kapcsolatos
technikai és szervezési intézkedések általános leírása.
A nyilvántartásokat írásban kell vezetni, ideértve az
elektronikus formátumot.
Az adatkezelő vagy az adatfeldolgozó, valamint – ha van ilyen – az
adatkezelő vagy az adatfeldolgozó képviselője megkeresés alapján a felügyeleti
hatóság részére rendelkezésére bocsátja a nyilvántartást.
Az előzőekben leírt nyilvántartási kötelezettségek nem
vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy
szervezetre, kivéve, ha az általa végzett adatkezelés az érintettek jogaira és
szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem
alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok 9. cikk (1)
bekezdésében említett különleges kategóriáinak vagy a 10. cikkben említett,
büntetőjogi felelősség megállapítására vonatkozó határozatokra és
bűncselekményekre vonatkozó személyes adatoknak a kezelésére.
Együttműködés a felügyeleti hatósággal
Az adatkezelő és az adatfeldolgozó, valamint – ha van ilyen – az
adatkezelő vagy az adatfeldolgozó képviselője feladatai végrehajtása során a
felügyeleti hatósággal – annak megkeresése alapján – együttműködik.
Az adatkezelés biztonsága
Az adatkezelő és az adatfeldolgozó a tudomány és technológia
állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre,
körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira
jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével
megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében,
hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja,
ideértve, többek között, adott esetben:
- a személyes adatok álnevesítését és titkosítását; - a
személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos
bizalmas jellegének biztosítását, integritását, rendelkezésre állását és
ellenálló képességét;
- fizikai vagy műszaki incidens esetén az arra való
képességet, hogy a személyes adatokhoz való hozzáférést és az adatok
rendelkezésre állását kellő időben vissza lehet állítani;
- az adatkezelés biztonságának garantálására hozott technikai és
szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és
értékelésére szolgáló eljárást.
A biztonság megfelelő szintjének meghatározásakor kifejezetten
figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek
különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen
vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából,
jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan
hozzáférésből erednek.
"Az adatkezelő és az adatfeldolgozó intézkedéseket hoz annak
biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt
eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek
kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett
adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi
őket. "
Kizárólag olyan személyes adat továbbítható, amely törvényesen
van az adatkezelő birtokában.
Az adatkezelő birtokában álló személyes adatokból továbbítani
az érintett önkéntes, az adatkezelés körülményeit illetően tájékozott
hozzájárulása hiányában csak törvény felhatalmazása alapján, a törvényben
meghatározott szerv, vagy személy részére, és csak törvényben meghatározott
adatkörben, a célhoz kötöttség elvének maradéktalan érvényesítésével lehet.
"Abban az esetben, amikor valamely adattovábbítási kérelem
olyan személyes adatra vonatkozik, amely esetében gazdálkodó szervezetünk csak
adatfeldolgozásra jogosult, a kérelmet – jogszabály kifejezett eltérő
rendelkezése hiányában – el kell utasítani és a kérelmezőt tájékoztatni kell
arról, hogy a kért adatoknak ki a tényleges adatkezelője. "
"Az adatkezelést végző személy bármely adattovábbításra irányuló
megkeresésről haladéktalanul, írásban tájékoztatja az adatkezelést végző
szervezeti egység vezetőjét."
Adattovábbítási kérelem elbírálására és engedélyezésére –
kivéve a jogszabály által előírt adattovábbítást, - a szervezeti vezető
jogosult.
Bizonytalanság esetében be kell vonni a kijelölt adatvédelmi
felelőst is a döntés elősegítése érdekében.
Az adatkérés teljesítéséhez minden esetben vizsgálni kell a
továbbíthatóság jogalapját, a célhoz kötöttség és a szükségesség elveinek
teljesülését, a továbbítás biztonsági feltételeit és az érintett
tájékoztatásával kapcsolatos követelményeket.
Adattovábbítási kérelmet, csak írásban szabad befogadni, azzal
hogy a kérelemnek tartalmaznia kell a jogalapot, a cél meghatározását, a
törvényi jogalapot, a kért adatok pontos meghatározását.
A személyes adatok nyilvánosságra hozatala, csak az érintett
kifejezett és dokumentált hozzájárulásával engedélyezett.
Gazdálkodó szervezetünk valamennyi alkalmazottja köteles
gondoskodni a személyes adatok védelméről és az adatok, illetve az adatkezelés
biztonságáról.
Minden munkavállaló felelős a tevékenységi körén belül, az
általa használt céges eszközök tekintetében, hogy kizárólag bizonyíthatóan
jogszerűen bekerült személyes adatok legyenek elérhetők.
Aki tudomással bír a társaságnál fellelhető, jogszerűtlenül
fellelhető személyes adatokról és ezt nem jelzi a kijelölt adatvédelmi
felelősnek, vagy közvetlen felelősének, az elhallgatásért ő maga is felelősségre
vonható.
Jogszerűtlen adatkezelést még utasításra sem szabad
végrehajtani.
Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak
Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem
nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi
incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak,
kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a
természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem
történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására
szolgáló indokokat is.
Az adatfeldolgozó az adatvédelmi incidenst, az arról való
tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az
adatkezelőnek.
A bejelentés tartalma: - ismertetni kell az
adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek
kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok
kategóriáit és hozzávetőleges számát;
- közölni kell az adatvédelmi tisztviselő vagy a további
tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
- ismertetni kell az adatvédelmi incidensből eredő,
valószínűsíthető következményeket; - ismertetni kell az adatkezelő által az
adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve
adott esetben az adatvédelmi incidensből eredő esetleges hátrányos
következmények enyhítését célzó intézkedéseket.
Ha és amennyiben nem lehetséges az információkat egyidejűleg
közölni, azok további indokolatlan késedelem nélkül később részletekben is
közölhetők.
Az adatkezelő nyilvántartja az adatvédelmi incidenseket,
feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az
orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a
felügyeleti hatóság ellenőrizze a követelményeknek való megfelelést.
Az érintett tájékoztatása az adatvédelmi incidensről
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal
jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő
indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi
incidensről.
Az érintett részére adott tájékoztatásban világosan és
közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell
legalább a következő információkat és intézkedéseket:
- közölni kell az adatvédelmi tisztviselő vagy a további
tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
- ismertetni kell az adatvédelmi incidensből eredő,
valószínűsíthető következményeket; - ismertetni kell az adatkezelő által az
adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve
adott esetben az adatvédelmi incidensből eredő esetleges hátrányos
következmények enyhítését célzó intézkedéseket.
Nem áll fenn az érintett felé a tájékoztatási kötelezettség,
ha: - az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket
hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által
érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket –
mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való
hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az
adatokat;
- az adatkezelő az adatvédelmi incidenst követően olyan
további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és
szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem
valósul meg;
- a tájékoztatás aránytalan erőfeszítést tenne szükségessé.
Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell
tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az
érintettek hasonlóan hatékony tájékoztatását.
Adatvédelmi hatásvizsgálat
Ha az adatkezelés valamely – különösen új technológiákat alkalmazó
– típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira,
valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és
szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően
hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek
a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú
adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek,
egyetlen hatásvizsgálat keretei között is értékelhetőek.
Nem kezelünk olyan jellegű és mértékű személyes adatot, amely
valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és
szabadságaira nézve, s ezért nem végzünk adatvédelmi hatásvizsgálatot.
Előzetes konzultáció
Amennyiben egy adatvédelmi hatásvizsgálat megállapítja, hogy az
adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések
hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését
megelőzően az adatkezelő konzultál a felügyeleti hatósággal.
Az adatkezelő a felügyeleti hatósággal folytatott konzultáció
során a felügyeleti hatóságot tájékoztatja:
- adott esetben az adatkezelésben részt vevő adatkezelő, közös
adatkezelők és adatfeldolgozók feladatköreiről, különösen vállalkozáscsoporton
belüli adatkezelés esetén;
- a tervezett adatkezelés céljairól és módjairól; - az
érintettek e rendelet értelmében fennálló jogainak és szabadságainak védelmében
hozott intézkedésekről és garanciákról;
- adott esetben, az adatvédelmi tisztviselő elérhetőségeiről; -
a lefolytatott adatvédelmi hatásvizsgálatról; - a felügyeleti hatóság által
kért minden egyéb információról.
Adatvédelmi tisztviselő
Az adatvédelmi tisztviselő kijelölése
Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl
ki minden olyan esetben, amikor:
- az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan
adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél
és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű
megfigyelését teszik szükségessé;
- az adatkezelő vagy az adatfeldolgozó fő tevékenységei
a személyes adatok különleges kategóriáinak, vagy büntetőjogi felelősség
megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok
nagy számban történő kezelését foglalják magukban.
Az adatvédelmi tisztviselőt szakmai rátermettség és különösen
az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a rendelet
39. cikkében említett feladatok ellátására való alkalmasság alapján kell
kijelölni.
Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó
alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a
feladatait.
Az adatkezelő vagy az adatfeldolgozó közzéteszi az adatvédelmi
tisztviselő nevét és elérhetőségét, és azokat a felügyeleti hatósággal
közli.
Az adatvédelmi tisztviselő jogállása
Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi
tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő
módon és időben bekapcsolódjon.
Az adatkezelő és az adatfeldolgozó támogatja az adatvédelmi
tisztviselőt a feladatai ellátásában azáltal, hogy biztosítja számára azokat az
forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az
adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi
tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.
Az adatkezelő és az adatfeldolgozó biztosítja, hogy az
adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat
senkitől ne fogadjon el. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi
tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és
szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő
vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.
Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban
uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az
adatok bizalmas kezelésére vonatkozó kötelezettség köti.
Az adatvédelmi tisztviselő más feladatokat is elláthat. Az
adatkezelő vagy az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon
összeférhetetlenség.
Az adatvédelmi tisztviselő feladatai
Az adatvédelmi tisztviselő legalább a következő feladatokat
ellátja:
- tájékoztat és szakmai tanácsot ad az adatkezelő vagy az
adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e
rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések
szerinti kötelezettségeikkel kapcsolatban;
- ellenőrzi az e rendeletnek, valamint az egyéb uniós vagy
tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az
adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való
megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben
vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó
auditokat is;
- kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra
vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
- együttműködik a felügyeleti hatósággal; és - az
adatkezeléssel összefüggő ügyekben – ideértve az előzetes konzultációt is –
kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott
esetben bármely egyéb kérdésben konzultációt folytat vele.
A személyes adatok harmadik országokba vagy nemzetközi szervezetek
részére történő továbbítása
Az adattovábbításra vonatkozó általános elv
Olyan személyes adatok továbbítására – ideértve a személyes adatok
harmadik országból vagy nemzetközi szervezettől egy további harmadik országba
vagy további nemzetközi szervezet részére történő újbóli továbbítását is –,
amelyeket harmadik országba vagy nemzetközi szervezet részére történő
továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni,
csak abban az esetben kerülhet sor, e rendelet egyéb rendelkezéseinek betartása
mellett, ha az adatkezelő és az adatfeldolgozó teljesíti az e fejezetben
rögzített feltételeket. E fejezet valamennyi rendelkezését alkalmazni kell annak
biztosítása érdekében, hogy a természetes személyek számára e rendeletben
garantált védelem szintje ne sérüljön.
Adattovábbítás megfelelőségi határozat alapján
Személyes adatok harmadik országba vagy nemzetközi szervezet
részére történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította,
hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több
meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő
védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön
engedély.
A jelenlegi gyakorlat alapján személyes adatokat harmadik országba
vagy nemzetközi szervezet részére nem továbbítunk.
Megfelelő garanciák alapján történő adattovábbítások
Határozat hiányában az adatkezelő vagy adatfeldolgozó csak abban
az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi
szervezet részére, ha az adatkezelő vagy adatfeldolgozó megfelelő garanciákat
nyújtott, és csak azzal a feltétellel, hogy az érintettek számára érvényesíthető
jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.
Kötelező erejű vállalati szabályok
Az illetékes felügyeleti hatóság a rendelet 63. cikkében
meghatározott, egységességi mechanizmusnak megfelelően jóváhagyja a kötelező
erejű vállalati szabályokat, ha az:
- a vállalkozáscsoport vagy a közös gazdasági tevékenységet
folytató vállalkozások csoportja minden érintett tagjára, beleértve az
alkalmazottakat is, jogilag kötelező erejű, alkalmazandó és általuk
érvényesített;
- kifejezetten rendelkezik az érintetteknek a személyes
adataik kezelése tekintetében kikényszeríthető jogairól; és
- megfelel a rendelet 47. cikkének (2) bekezdése által
meghatározott követelményeknek.
Kijelölt adatvédelmi felelős
Neve: Elérhetősége:
A kijelölt adatvédelmi felelős feladatai:
- gondoskodik róla, hogy a jelen szabályzatot minden
munkavállalónk megismerje.
- a szabályzat ismertetése az általunk megbízott adatkezelőkkel,
kiemelt figyelmet fordítva a részükre átadott személyes adatok kezelésére,
biztonságára.
- az esetleges adatvédelmi incidensek kezelése, kapcsolattartás –
amennyiben szükséges, - a felügyeleti hatósággal, illetve az érintettekkel.
- az adatvédelemmel kapcsolatos technikai és szervezési feltételek
folyamatos figyelése és az szükséges beavatkozásokra javaslattétel.
- legalább évente egyszer továbbképzés tartása a személyes
adatokat kezelő munkavállalók részére. Az oktatásról jegyzőkönyv készül, a
résztvevők aláírásával. E jegyzőkönyveket három évig meg kell őrizni.
Személyes adatok leltára
A személyes adatok leltára tartalmazza a gazdálkodó szervezetünk
által kezelt összes személyes adatot, amely a GDPR hatálya alatt van.
A személyes adatok felleltározása az adatkezelési
tevékenységek nyilvántartó lapjainak vezetésével valósul meg. A nyilvántartások
a személyes adatok érintettjei alapján van kategorizálva és egy nyilvántartó egy
adatkezelési célt szolgál. Amennyiben a jogszerűen megszerzett adat az eredeti
cél mellett további célt is szolgál, úgy azt jelezni kell az elsődleges
nyilvántartó lapon, de e mellett külön lapot is nyitni kell a további cél
kezelése érdekében.
Adatkezelési nyilvántartások
Mint
adatkezelő: Érintett Adatkezelési
cél Saját
munkavállalók munkaviszony
létesítése; fenntartása;
megszüntetése Ügyfelek szerződéskötés;
kapcsolattartás; számlázás Igénybe vett
szolgáltatások szerződéskötés;
kapcsolattartás; Beszerzések szerződéskötés;
kapcsolattartás;
Mint
adatfeldolgozó: Érintett Adatkezelési
cél Megbízó
munkavállalói munkaviszonyhoz
kötődő bevallások elkészítése
Adatkezelési tájékoztató
Az érintettet az adatkezelés megkezdése előtt egyértelműen és
részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről,
így különösen:
- a kezelt adatok köre; - az adatok forrása; - az
adatkezelés céljáról; - az adatkezelés jogalapjáról; - az adatkezelésre
jogosult személyéről (neve, címe, elérhetőségei); - az adatfeldolgozással
megbízott személyéről (neve, címe, elérhetőségei); - az adatkezelés
időtartamáról; - ha az érintett személyes adatait az adatkezelő az Info tv 6.
§ (5) bekezdése alapján kezeli; - az adatkezelő által alkalmazott
automatizált döntéshozatal (ha van ilyen); - kik ismerhetik meg az
adatokat; - az érintett adatkezeléssel kapcsolatos jogai; - az érintett
jogorvoslati lehetőségei.
|