Kezdőlap Adatkezelési tájékoztató

Adatkezelési tájékoztató

PREAMBULUM

Az Oxygen Group Korlátolt Felelősségű Társaság (székhelye: 1148 Budapest, Adria sétány 14., adószáma: 22777643-2-42, cégjegyzékszám: 01-09-293521, képviseli: Láday Lóránt ügyvezető, a továbbiakban: Adatkezelő) kiemelten fontosnak tartja az érintettek, így különösen munkatársai, partnerei, ügyfelei, látogatói információs önrendelkezési jogának tiszteletben tartását. Az Adatkezelő a személyes adatokat bizalmasan, a hatályos európai uniós, és hazai jogszabályoknak, valamint a kialakult (adatvédelmi) hatósági gyakorlatnak megfelelően kezeli, és megtesz minden olyan információbiztonsági és szervezési intézkedést, amely az adatok biztonságát, bizalmasságát, sértetlenségét és rendelkezésre állását garantálja.

Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (a továbbiakban: GDPR), továbbá az információs önrendelkezési jogáról és az információszabadságról szóló 2011. évi CXII. törvény (a
továbbiakban: lnfotv.), foglaltak alapján az Adatkezelő az általa kezelt személyes adatok védelme érdekében az alábbi szabályzatot (a továbbiakban: Szabályzat) alkotja.

I. Fejezet

ÁLTALÁNOS RENDELKEZÉSEK

Az Adatkezelő és a személyi állomanyába tartozó valamennyi foglalkoztatott, így különösen a vele munkaviszonyban vagy munkavégzésre irányuló egyéb jogviszonyban álló személyek, illetve az általa megbízott adatfeldolgozók kötelesek a Szabályzatban foglaltakat magukra nézve kötelezőnek elismerni és az Adatkezelő tevékenységei körében végzett adatkezelések vonatkozásában a Szabályzatban foglaltak szerint eljárni.

1. A Szabályzat célja és hatálya

1.1. A Szabályzat célja, hogy meghatározza az Adatkezelő által a tevékenységei körében végzett adatkezelések törvényes rendjét, valamint biztosítsa az adatvédelem, az információs önrendelkezési jog és az adatbiztonság követelményeinek érvényesülését, megakadályozza a jogosulatlan hozzáférést, az adatok jogosulatlan megváltoztatását és nyilvánosságra hozatalát.

1.2. A Szabályzat tárgyi hatálya a személyes adatoknak minden, az Adatkezelő által a tevékenységei körében végzett kezelésére kiterjed.

1.3. A Szabályzat személyi hatálya kiterjed:

a) az Adatkezelőnél – a foglalkoztatási jogviszony jellegétől függetlenül – foglakoztatási jogviszonyban, így különösen munkaviszony, vagy egyéb munkavégzésre irányuló jogviszony alapján munkát végző természetes személyre (a továbbiakban együtt: Munkatárs).

b) minden, az Adatkezelő szolgáltatásait vagy szervezeti egységeit, infrastruktúráját igénybe vevő, vagy az Adatkezelővel akár jogviszony létesítése céljából, akár egyéb célból ténylegesen kapcsolatba került, vagy kerülő természetes személyre (megbízó, ügyfél).

c) azon személyekre is, akik az Adatkezelővel nem állnak az a) és b) pontok szerinti jogviszonyban, illetve kapcsolatban, azonban személyes adataikat jogszabályi előírás folytán az Adatkezelő kezeli.

d) az Adatkezelő által adatfeldolgozóként igénybe vett szerződött partnerek adatfeldolgozást végző munkatársaira, valamint

e) az Adatkezelővel szerződött partneri viszonyban állók munkatársaira.

1.4. Jelen Szabályzat alkalmazásában

a) érintett/ adatalany: a személyes adat alapján azonosított vagy – közvetve, vagy közvetlenül – azonosítható természetes személy;

b) személyes adat: érintettre vonatkozó bármely információ;

c) különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok;

d) adatkezelés: a személyes adatokon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

e) adattovábbítás: a személyes adat egy meghatározott harmadik személy számára történő hozzáférhetővé tétele;

f) nyilvánosságra hozatal: a személyes adat bárki számára történő hozzáférhetővé tétele;

g) adattörlés: a személyes adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;

h) adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza;

i) adatfeldolgozó: az a természetes vagy jogi személy, illetve bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

j) címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e;

k) harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

i) harmadik ország: minden, az Európai Gazdasági Térségen kívüli ország;

m) hozzájárulás: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

n) adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

o) titoksértési incidens: olyan incidens, amelynek eredményeként a személyes adatok jogosulatlan vagy véletlen közlése vagy az ilyen adatokhoz való jogosulatlan vagy véletlen hozzáférés következett be;

p) sértetlenségi incidens: olyan incidens, amelynek eredményeként a személyes adatok jogosulatlan vagy véletlen módosítása következett be;

q) hozzáférhetőségi incidens: olyan incidens, amelynek eredményeként a személyes adatokhoz való hozzáférhetőség jogosulatlan vagy véletlen elvesztés vagy jogosulatlan vagy véletlen megsemmisítés miatt következett be;

r) adatbiztonság: minden olyan technikai vagy szervezési intézkedés, amelynek célja a kezelt személyes adatok – fizikai, optikai vagy szervezeti – biztonságának biztosítása, így különösen azok az intézkedések, amelyek a személyes adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet szolgálják;

s) átnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

t) személyes adat megsemmisítése: a személyes adat egyáltalán nem, vagy az Adatkezelő számára nem használható formában létezik;

u) személyes adat elvesztése: az Adatkezelő már nem rendelkezik a személyes adat felett, nem fér hozzá, vagy az nincsen a birtokában;

v) személyes adat megváltoztatása: a személyes adat módosult, sérült, vagy már nem
hiánytalan;

w) személyes adat közlése vagy az ahhoz való hozzáférés: a személyes adat arra nem jogosult címzett részére történő hozzáférhetővé tétele;

x) nemvárt esemény: minden olyan esemény, amely az Adatkezelő kezelésében lévő információk megsemmisítésével, elvesztésével, megváltoztatásával, illetve jogosulatlan közlésével vagy az azokhoz való hozzáféréssel jár, ideértve különösen a t) -w) pontokban foglalt eseteket is;

y) NAIH: Nemzeti Adatvédelmi es lnformációszabadság Hatóság.

II. fejezet

AZ ADATKEZELŐ ADATVÉDELMI RENDSZERE

2. Az Adatkezelő megnevezése és elérhetőségei

2.1. A Szabályzat hatálya alá tartozó adatkezelések tekintetében az Oxygen Group Korlátolt Felelősségű Társaság minősül adatkezelőnek.

2.2. Az Adatkezelőre vonatkozó adatok:

a) Adatkezelő megnevezése: Oxygen Group Korlátolt Felelősségű Társaság

b) székhelye: 1148 Budapest, Adria sétány 14.

c) adószáma: 22777643-2-42

d) cégjegyzékszáma: 01-09-293521

e) e-mail címe: info@oxygenmedia.hu

f) képviseli: Láday Lóránt ügyvezető

3. Az adatvédelmi tisztviselő (DPO)

3.1. Az Adatkezelő adatvédelmi tisztviselőt jelölt ki az adatvédelem megfelelő szintje érvényesülésének fenntartása, valamint az adatvédelmi teendők koordinálása érdekében.

Az Adatkezelő adatvédelmi tisztviselőjét az Adatkezelő ügyvezetője bízza meg.

3.2. Az adatvédelmi tisztviselő legalább a következő feladatokat látja el:

a) tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére a GDPR, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;

b) ellenőrzi a GDPR-nak, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az Adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyi állomány tudatosság­ növelését és képzését, valamint a kapcsolódó auditokat is;

c) kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat GDPR 35. cikke szerinti elvégzését;

d) gondoskodik az Adatkezelő által a tevékenységei körében végzett adatkezelésekkel kapcsolatos adatkezelési tájékoztatók és a Szabályzat naprakészségéről, elérhetőségéről;

e) figyelemmel kíséri az Adatkezelő által a tevékenységei körében végzett adatkezeléseket;

f) közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;

g) együttműködik a Nemzeti Adatvédelmi es lnformációszabadság Hatósággal (NAIH);

h) az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a NAIH felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele;

i) felügyeli az adatvédelmi tevékenységek nyilvántartását (belső adatvédelmi nyilvántartás);

j) vezeti az adatvédelmi incidensek nyilvántartását;

k) véleményezi a részére megküldött, adatvédelmi kérdéseket érintő belső szabályozási dokumentumok tervezetét;

l) az adatvédelmi kérdésekkel összefüggésben az info@oxygenmedia.hu e-mail címen fogadja az Adatkezelő munkatársainak, illetve egyéb érintett megkeresését, konzultációs kérdéseit és azzal érdemben foglalkozik;

m) minden év február 15-ig elkészíti az Adatkezelő előző éves adatvédelmi tevékenységéről készült jelentést, valamint elkészíti a tárgyévi munkatervet és ellenőrzési tervet;

n) az adatvédelmi kérdésekkel összefüggésben tájékoztatja az Adatkezelő ügyvezetőjét.

3.3. Az adatvédelmi tisztviselő a fentieken túlmenően ellátja a Szabályzatban részére meghatározott feladatokat, illetve fő szabály szerint minden olyan feladatot, amellyel az Adatkezelő megbízza, kivéve abban az esetben, ha a feladat a GDPR (97) preambulumbekezdésében, vagy a 38. cikk {6} bekezdésében meghatározottak szerint összeférhetetlen az adatvédelmi tisztviselői tevékenység ellátásával. Az adatvédelmi tisztviselő az Adatkezelő ügyvezetőjének tartozik felelősséggel.

III. fejezet

AZ ADATKEZELÉS ELVEI

4. Az Adatkezelő számára kiemelten fontos érték, egyben cél is a személyes adatok védelme. Az Adatkezelő ezért az általa folytatott tevékenységekkel összefüggésben végzett adatkezelések vonatkozásában betartja a releváns adatkezelési elveket.

4.1. Az Adatkezelő számára kiemelten fontos érték a tisztességesség követelménye.

4.1.1. Ennek megfelelően az Adatkezelő mindenkor tiszteletben tartja az érintettek emberi méltóságát és magánéletét.

4.1.2. Tilos minden olyan tevékenység, amely az adatalanyok magánéletének szükségtelen megzavarásával jár.

4.1.3. Tilos minden olyan tevékenység, amely az érintettek személyes adatainak rejtett vagy titkos kezelésével jár, vagy az érintettek titkos megfigyelését eredményezi.

4.2. Az Adatkezelő mindenkor eleget tesz a jogszerűség követelményének.

4.2.1. Az Adatkezelő az általa folytatott tevékenységekkel összefüggésben végzett adatkezelések során a mindenkor hatályos adatvédelmi előírások betartásával jár el.

4.2.2. Az Adatkezelő továbbá eleget tesz a személyes adatok kezelésének jogalapjával kapcsolatos követelményeknek.

4.3. Az Adatkezelő törekszik arra, hogy az általa folytatott tevékenységekkel összefüggésben végzett adatkezelések átláthatóak legyenek az adatalanyok számára.

4.3.1. Az Adatkezelő e követelményt különösen a tájékoztatáshoz és hozzáféréshez való jog gyakorlásával összefüggésben, valamint az érintettel folytatott minden kommunikáció során érvényesíti.

4.4. Az Adatkezelő az általa folytatott tevékenységekkel összefüggésben végzett adatkezelések során mindenkor a célhoz kötöttség követelményére tekintettel jár el.

4.4.1. Az Adatkezelő a személyes adatokat kizárólag előre meghatározott, egyértelmű jogszerű cél – jog gyakorlása vagy kötelezettség teljesítése – érdekében kezeli. Az adatkezelésnek mindvégig meg kell felelnie e célnak.

4.4.2. Tilos a személyes adatokat a céllal össze nem egyeztethető módon kezelni.

4.4.3. Tilos a személyes adatokat előre meghatározott, egyértelmű és jogszerű cél hiányában kezelni.

4.4.4. Az Adatkezelő az általa folytatott tevékenységekkel összefüggésben végzett adatkezelések során csak olyan személyes adatot kezel, amely az adatkezelés célja szempontjából megfelelő és releváns, illetve az adatkezelés célja eléréséhez szükséges.

4.5. Az Adatkezelő az általa folytatott tevékenységekkel összefüggésben végzett adatkezelések során csak olyan személyes adatot kezel, amely pontos és naprakész.

4.5.1. Az Adatkezelő köteles minden észszerű intézkedést meghozni az adatkezelés céljai
szempontjából pontatlan személyes adatok haladéktalan törlése vagy helyesbítése érdekében.

4.6. Az Adatkezelő az általa folytatott tevékenységekkel összefüggésben végzett adatkezelések során biztosítja, hogy a kezelt személyes adatok az érintettek azonosítását csak az adatkezelés céljának eléréséhez szükséges ideig teszik lehetővé.

4.7. Az Adatkezelő megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

4.8. Az Adatkezelő biztosítja az általa folytatott tevékenységekkel összefüggésben végzett adatkezelések megfelelőségének igazolásához szükséges dokumentumok rendelkezésre állását és naprakészségét.

4.8.1. Az Adatkezelő köteles bizonyítani azt, hogy az általa folytatott tevékenységekkel összefüggésben végzett adatkezelések megfelelnek a vonatkozó adatvédelmi előírásoknak.

IV. fejezet

AZ ADATKEZELÉS JOGALAPJAI

5. A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c) az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e) az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

f) az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek;

g) különleges adatok esetében különösen akkor, ha az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

6. Kétség esetén a jogalap alkalmazhatóságáról az Adatkezelő az adatvédelmi tisztviselővel egyetértésben dönt.

7. Az érintett hozzájárulása

7.1. Az érintett hozzájárulása akkor tekinthető az adatkezelés érvényes jogalapjának, amennyiben az az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

7.2. Az érintett hozzájárulása során biztosítani kell azt, hogy valódi választasi lehetőség álljon az érintett rendelkezésére, a beleegyezés ,,tudatossága” felől nem lehet kétség.

7.2.1. Nem minősül önkéntesnek a hozzájárulás akkor, ha annak következményei aláássák az egyén választási szabadságát.

7.3. Az érintett hozzájárulása esetén továbbá:

a) az Adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult;

b) az Adatkezelőnek biztosítania kell azt, hogy az érintett a hozzájárulását bármikor visszavonhassa, és a hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tennie, mint annak megadását;

c) a hallgatás, az előre bejelölt négyzet vagy a nem cselekvés nem minősül hozzájárulásnak;

d) a hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna;

e) nem tekinthető önkéntesnek a beleegyezés, ha nem tesz lehetővé külön-külön hozzájárulást a különböző személyes adatkezelési műveletekhez;

f) nem tekinthető önkéntesnek a hozzájárulás, ha a szerződés teljesítését (például a szolgáltatás nyújtását) olyan adatkezeléshez való hozzájárulásához kötik, amely adatkezelés nem szükséges a szerződés teljesítéséhez;

g) a hozzájárulás nem szolgálhat érvényes jogalapként akkor, ha az érintett és az Adatkezelő
között egyértelműen egyenlőtlen viszony áll fenn;

h) ha az Adatkezelő írásbeli nyilatkozaton keresztül szerzi be az érintett hozzájárulását, akkor a nyomtatványon a hozzájárulás iránti kérelmet egyértelműen és világosan el kell választani a szerződés többi részétől, valamint ezen kérelmet érthető és egyszerű nyelvezettel kell az adatkezelőnek megfogalmaznia.

7.4. A hozzájárulás beszerzése előtt az Adatkezelő, a vele munkaviszonyban vagy munkavégzésre irányuló egyéb jogviszonyban álló személy, vagy az Adatkezelővel kötött szerződés alapján eljáró adatfeldolgozó köteles megfelelő tájékoztatásban részesíteni az érintettet. A tájékoztatás megtörténhet az erre rendszeresített hozzájáruló nyilatkozaton feltüntetett információk megismerése révén. Ebben az esetben elegendő időt kell biztosítani az érintett számára arra, hogy megismerje a tájékoztatást és megértse a benne foglaltakat.

7.4.1. Az érintett jogosult további információkat és felvilágosítást kérni az Adatkezelőtől, az Adatkezelővel munkaviszonyban vagy munkavégzésre irányuló egyéb jogviszonyban álló személytől, vagy az Adatkezelővel kötött szerződés alapján eljáró adatfeldolgozótól. A tájékoztatás vagy felvilágosítás megadása kötelező.

8. A szerződéses jogalap

8.1. Az Adatkezelő és az érintett közötti szerződés létrehozása és teljesítése jogalapot teremthet a személyes adatok kezelésére.

8.2. A szerződés megkötése érdekében akkor kezelhetők személyes adatok, ha:

a) a szerződést az Adatkezelő köti az érintettel;

b) az érintett bocsátja az adatokat az Adatkezelő rendelkezésére;

c) az adatok az Adatkezelő és az érintett közötti szerződés megkötéséhez szükségesek.

8.3. A szerződés teljesítése érdekében akkor kezelhetők a személyes adatok, ha:

a) létezik a szerződés, amelynél az érintett az egyik fél;

b) a szerződés érvényes;

c) az adatkezelés ténylegesen szükséges a szerződés általános célkitűzésének eléréséhez.

8.4. A szükségesség követelménye a szerződéses jogalap alkalmazásának előfeltétele. E követelmény nem redukálható pusztán a szerződéses kitételek vizsgálatára, hanem feltételezi az adatvédelmi garanciák, illetve a GDPR-ban meghatározott alapelvek mérlegelését is, különös tekintettel a tisztességes eljárás, a célhoz kötöttség és az adattakarékosság elvére. Amennyiben tehát az adatkezelés hasznos, de nem objektíve szükséges a szerződés teljesítéséhez, nem alkalmazható a szerződéses jogalap.

9. A jogos érdek

9.1. Az Adatkezelő – ideértve azt az adatkezelőt is, akivel a személyes adatokat közölhetik – vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve, hogy az
érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, figyelembe véve az adatkezelővel való kapcsolata alapján az érintett észszerű elvárásait.

9.2. Az Adatkezelő – ideértve azt az adatkezelőt is, akivel a személyes adatokat közölhetik – vagy valamely harmadik fél jogos érdeke nem teremthet jogalapot az adatkezelésre, amennyiben az adatkezelést az Adatkezelő- ideértve azt az adatkezelőt is, akivel a személyes adatokat közölhetik

– vagy valamely harmadik fél közfeladat ellátásával összefüggésben végzi.

9.3. A jogos érdek fennállásának megállapításához megvizsgálandó többek között az, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat-e észszerűen arra, hogy adatkezelésre az adott célból kerülhet sor.

9.4. Az érintett érdekei és alapvető jogai elsőbbséget élvezhetnek az Adatkezelő érdekével szemben, ha a személyes adatokat olyan körülmények között kezelik, amelyek közepette az érintettek nem számítanak további adatkezelésre.

9.5. A jogos érdek jogalapként történő kezeléséhez az szükséges, hogy az Adatkezelő elvégezze az ún. érdekmérlegelési tesztet. Az érdekmérlegelési teszt a következő lépésekből áll:

a) meg kell határozni az adatkezelő jogszerű, egyértelmű és valós érdekét;

b) azonosítani kell az érintett alapvető jogait és szabadságait, valamint figyelembe kell venni az érintett elvárásait;

c) elemezni kell az adatkezelés szükségességét és arányosságát;

d) további olyan intézkedéseket kell meghatározni, amelyek az adatkezelés hatásait csökkentik.

9.6. A munkatársak ellenőrzésével kapcsolatos adatkezelésekre vonatkozó érdekmérlegelési tesztet a Munkatársi tájékoztató tartalmazza.

10. Kötelező adatkezelés

10.1. Az Adatkezelőre vonatkozó jogi kötelezettség teljesítése is jelentheti az adatkezelés jogalapját.

10.2. A jogi kötelezettség teljesítése abban az esetben szolgáltathat jogalapot a személyes adatok kezeléséhez, amennyiben:

a) azt uniós vagy hazai jogszabály rendeli el;

b) a rendelkezés közvetlenül az Adatkezelőre vonatkozó kötelezettséget tartalmaz;

c) a rendelkezés közérdekű célt szolgál;

d) a rendelkezés arányos az elérni kívánt jogszerű céllal.

V. Fejezet

AZ ÉRINTETTI JOGOK

11. Előzetes tájékoztatási kötelezettség

11.1. Az érintettek részére a személyes adatok megszerzésének időpontjában tájékoztatást kell adni a személyes adatok kezelésének tényéről, céljáról, jogalapjáról, a kezelt adatok köréről, az adatkezelés módjáról, időtartamáról vagy az időtartam meghatározásának szempontjairól, az adattovábbítás szabályairól a felügyeleti hatósághoz címzett panasz benyújtásának jogáról.

11.2. A 11.1. pont szerinti tájékoztatás mellett az érintett figyelmét kifejezetten fel kell hívni a tiltakozáshoz való jog érvényesítésének lehetőségére, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

11.3. A 11.1. és a 11. 2. pontok szerinti tájékoztatást:

a) az álláspályázatot benyújtók számára az álláspályázati felhívás közzétételét szolgáló oldalon a vonatkozó adatkezelési tájékoztató szerinti tartalommal kell nyújtani;

b) az Adatkezelővel munkaviszonyt, munkavégzésre irányuló egyéb jogviszonyt létesítő személyek részére a jogviszony létrejöttekor a vonatkozó adatkezelési tájékoztatók szerinti tartalommal kell nyújtani;

c) az AdatkezeIő által szervezett képzéseken, vizsgákon résztvevők számára a vonatkozó
adatkezelési tájékoztató szerinti tartalommal kell nyújtani;

11.4. A 11.3. pont a) és c) pontja szerinti tájékoztatásokat az Adatkezelő honlapján, tömör, átlátható, és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell elhelyezni.

11.5. A 11.3. b) pont szerinti tájékoztatást a jogviszony létesítésekor elektronikus formában kell megadni, melynek megtörténtét az érintett papír alapú nyilatkozatával írásban igazolni köteles.

12. A hozzáféréshez való jog

12.1. Az érintett kérelmére az adatkezelést végző illetékes ügyintéző vagy az adatvédelmi tisztviselő a kérelem beérkezésétől számított 30 napon belül tájékoztatást ad az érintett vonatkozásában folyamatban lévő adatkezelésről.

12.1.1. Az érintett jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

a) az adatkezelés céljai;

b) az érintett személyes adatok kategóriái;

c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;

d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;

f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;

g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ.

12.1.2. A személyes adatokhoz való hozzáférést úgy kell biztosítani, hogy ez alatt az érintett más személy személyes adatait lehetőleg ne ismerhesse meg. Ez alól kivételt képezhetnek azok a személyes adatok, amelyek mind az érintettre, mind pedig egy másik személyre vonatkoznak.

12.1.3. Az érintett hozzáféréshez való jogát az Adatkezelő az elérni kívánt céllal arányosan korlátozhatja vagy megtagadhatja, ha ezen intézkedés elengedhetetlenül szükséges:

a) az Adatkezelő részvételével végzett vizsgálatok vagy eljárások – így különösen büntetőeljárás – hatékony és eredményes lefolytatásának;

b) bűncselekmények hatékony és eredményes megelőzésének és felderítésének;

c) bűncselekmények elkövetőivel szemben alkalmazott büntetések és intézkedések végrehajtásának;

d) a közbiztonság hatékony és eredményes védelmének;

e) az állam külső és belső biztonsága hatékony és eredményes védelmének, így különösen honvédelem és nemzetbiztonság; vagy

f) harmadik személyek alapvető jogai védelmének biztosításához.

12.1.4. Amennyiben az Adatkezelő a 12.1.3. pontban foglaltak szerint megtagadja vagy korlátozza az érintett hozzáférési jogát, erről haladéktalanul írásban tájékoztatja érintettet – amennyiben a korlátozás, megtagadás célját ez nem veszélyezteti – az intézkedés indokát is megjelölve. A tájékoztatásban az Adatkezelő külön felhívja érintett figyelmét, hogy hozzáférési jogát a felügyeleti hatóság közreműködésével is gyakorolhatja.

12.2. Az Adatkezelő a Szabályzat 1. számú függelékében foglalt, önálló nyilvántartásban tartja nyilván a hozzáféréshez való jog gyakorlásával kapcsolatos intézkedéseit. Amennyiben az Adatkezelő az 12.1.3. pontban foglalt intézkedést alkalmaz, az intézkedés jogi és ténybeli indokait is megjelöli.

13. A helyesbítéshez való jog gyakorlása

Az érintett kérelmére az adatkezelést végző illetékes ügyintéző vagy az adatvédelmi tisztviselő indokolatlan késedelem nélkül helyesbíti az érintettre vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését is.

14. A törléshez való jog

14.1. Az érintett kérelmére az adatkezelést végző illetékes ügyintéző vagy az adatvédelmi tisztviselő indokolatlan késedelem nélkül törli az érintett személyes adatait vagy azoknak az érintett által meghatározott körét, feltéve, hogy az alábbi esetek valamelyike fennáll:

a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

e) az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adat kezelésére;

d) a személyes adatokat jogellenesen kezelték;

e) a személyes adatokat az Adatkezelő által alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell.

14.1.1. Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és a 14.1. pont értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlése érdekében.

14.2. Az Adatkezelő a személyes adatok törlését a jogszerű kérelem ellenére sem végezheti el, amennyiben az adatkezelés szükséges:

a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;

b) a személyes adatok kezelését előíró, az adatkezelő által alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése céljából;

e) közérdekből végzett feladat végrehajtása céljából;

d) közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az adattörlés valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést

e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

15. Az adatkezelés korlátozásához való jog

15.1. Az érintett kérelmére az adatkezelést végző illetékes ügyintéző korlátozza az adatkezelést, ha az alábbi feltételek valamelyike teljesül:

a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelést végző illetékes ügyintéző vagy az adatvédelmi tisztviselő ellenőrizze a személyes adatok pontosságát;

b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

c) az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljábóI, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

d) az érintett tiltakozási jogával élt az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

15.2. Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

15.3. Az adatkezelést végző illetékes ügyintéző vagy az adatvédelmi tisztviselő az érintettet, akinek a kérésére az (1) bekezdés alapján korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

16. A címzettek tájékoztatásának kötelezettsége

Az Adatkezelő minden olyan címzettet tájékoztat a személyes adatot érintő valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel.

17. Az adathordozhatósághoz való jog

17.1. Az érintett kérelmére az adatkezelést végző illetékes ügyintéző biztosítja a személyes adatok hordozhatóságát az alábbi feltételek teljesülése esetén:

a) a személyes adatokat az érintett bocsátotta az Adatkezelő rendelkezésére;

b) az adatkezelés jogalapja hozzájárulás vagy az érintett és az Adatkezelő között kötött szerződés;

c) adatkezelés automatizált módon történik;

d) a személyes adatok hordozása nem érinti hátrányosan mások jogait vagy szabadságait.

17.2. Az adathordozhatósághoz való jog gyakorlása során az Adatkezelő köteles a személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban az érintett rendelkezésére bocsátani
{PDF/XML).

17.3. Az érintett kérheti, hogy az Adatkezelő a személyes adatokat közvetlenül egy másik adatkezelő részére továbbítsa. E lehetőséggel az érintett abban az esetben élhet csak, ha az technikailag megvalósítható.

17.4. Az Adatkezelő emellett – a hozzáféréshez való jog érvényesülésének elősegítése érdekében – papír alapon is köteles rendelkezésre bocsátani a személyes adatokat.

18. A tiltakozáshoz való jog

18.1. Amennyiben az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, az érintett tiltakozhat a személyes adatok kezelése ellen.

18.1.1. Tiltakozás esetén az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

18.2. Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen.

18.2.1. Amennyiben az érintett tiltakozik a személyes adatok közvetlen üzletszerzés céljából történő
kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

19. A jogorvoslathoz való jog

19.1. Adatkezeléssel kapcsolatos jogainak megsértése esetén az érintett – az adatkezelést végző ügyintéző útján vagy közvetlenül – az adatvédelmi tisztviselőhöz fordulhat, aki a panaszt megvizsgálja, és ha alapos, az Adatkezelő ügyvezetőjénél intézkedést kezdeményez, ellenkező esetben a panaszt elutasítja.

19.1.1. Az elutasításról az Adatkezelő a panaszost a kérelem kézhezvételét követő 30 napon belül írásban tájékoztatja, a kérelem elutasításának ténybeli és jogi indokait is közölve. A kérelem elutasítása esetén a panaszost tájékoztatni kell a bírósági jogorvoslat, továbbá a felügyeleti szervhez fordulás lehetőségéről is. Az elutasított kérelmekről az adatvédelmi tisztviselő jegyzőkönyvet köteles felvenni.

19.2. Ha az érintett továbbra is sérelmezi azt, ahogy a Adatkezelő kezeli az adatait, vagy közvetlenül hatósághoz szeretne fordulni, akkor bejelentéssel élhet a Nemzeti Adatvédelmi és lnformációszabadság Hatóságnál (dm: 1055 Budapest, Falk Miksa utca 9-11., postacím: 1363 Budapest, Pf . 9., e-mail: ugyfelszolg,dat@naih.hu, honlap: www.naih.hu).

19.2.1. Az érintettnek lehetősége van továbbá személyes adatainak védelme érdekében bírósághoz fordulni, amely az ügyben soron kívül jár el. Ebben az esetben az érintett szabadon választhat, hogy a lakóhelye (állandó lakcím) vagy a tartózkodási helye (ideiglenes lakcím) szerinti törvényszéknél (http://birosag.hu/torvenyszekek) nyújtja-e be keresetét.

19.2.2. Az érintett a lakóhelye vagy tartózkodási helye szerinti törvényszéket megkeresheti a http://birosag.hu/ugyfelkapcsolati-portal/birosag-kereso oldalon.

VI. Fejezet

ADATBIZTONSÁG

20. Az Adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a GDPR-ral összhangban történik. ldeértve többek között, adott esetben:

a) a személyes adatok álnevesítését és titkosítását;

b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;

c) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;

d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

21. A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

22. Az Adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre, amelyek célja egyrészt a Szabályzat 4. pontjában foglalt elvek hatékony megvalósítása, másrészt a további adatvédelmi garanciák beépítése az adatkezelés folyamatába.

23. Az Adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

24. Személyes adatot tartalmazó irat nem hagyható olyan helyen, ahol harmadik személy is hozzáférhet. Az ilyen iratok elzárásáról azokban az irodákban, illetve személyzeti helyiségekben is gondoskodni kell, ahol az illetékes iratkezelőkön kívül más, harmadik személy is megfordulhat.

25. Az adathordozó képek és dokumentációk elhelyezésének-, fizikai védelmének biztonságáról az adatkezelő szervezeti egység vezetője az adatvédelmi tisztviselővel egyetértésben dönt.

26. A szervezeti egységeknél kialakítandó adatkezelési rendszer környezetének védelméről a helyi adottságok figyelembevételével az illetékes vezetőknek kell gondoskodni, beleértve az adatsértések megelőzését is.

27. A manuálisan kezelt személyes adatok elvesztésének megelőzése érdekében eredeti iratokat csak hivatalos ügyintézés, különösen bírósági eljárás vagy nyomozati eljárás során lehet kiadni. Kiadást megelőzően az eredeti iratokról az illetékes szervezeti egységnél történő megőrzés céljára hiánytalan másolatot kell készíteni.

28. Személyes adatokat ért sérülés vagy megsemmisülés esetén a rendelkezésre alló egyéb adatforrásokból meg kell kísérelni a lehetséges mértékig a károsodott adatok pótlását. A sérült adat pótlásáért annak a szervezeti egységnek a vezetője felelős, ahol a sérülés bekövetkezett. Az adatpótlásba be kell vonni azon illetékes adatkezelő személyt, aki az adatok rögzítésében közreműködött. A pótolt adatokon a pótlás tényét fel kell tüntetni.

VI. Fejezet

AZ ADATVÉDELMI INCIDENSEK KEZELÉSE

29. Az adatvédelmi incidens észlelése

29.1. Az Adatkezelő akár belső, akár külső jelzés alapján értesülhet a nemvárt eseményről.

29.2. Belső jelzésnek minősül, ha az Adatkezelővel munkaviszonyban, munkavégzésre irányuló egyéb jogviszonyban álló személy, vagy az Adatkezelővel kötött szerződés alapján eljáró adatfeldolgozó észleli a nemvárt eseményt.

29.2.1. Amennyiben az Adatkezelővel munkaviszonyban, munkavégzésre irányuló egyéb jogviszonyban álló személy észleli a nemvárt eseményt, köteles haladéktalanul, legfeljebb azonban az

29.2. pont szerinti észleléstől számított 2 órán belül tájékoztatni közvetlen felettesét, illetve az Adatkezelő ügyvezetőjét.

29.2.2. Amennyiben az Adatkezelővel munkaviszonyban, munkavégzésre irányuló egyéb jogviszonyban álló olyan személy észleli a nemvárt eseményt, akinek nincs közvetlen felettese, köteles haladéktalanul, legfeljebb azonban a 29.2. pont bekezdés szerinti észleléstől számított 2 órán belül tájékoztatni az Adatkezelő ügyvezetőjét.

29.2.3. Amennyiben az Adatkezelővel kötött szerződés alapján eljáró adatfeldolgozó észleli a nemvárt eseményt, köteles az említett szerződésben meghatározott kapcsolattartó útján haladéktalanul, legfeljebb azonban az 29.2. pont szerinti észleléstől számított 2 órán belül tájékoztatni az Adatkezelő ügyvezetőjét.

29.3. Külső jelzésnek minősül, ha a 29.2. pontban meghatározott személyek körén kívül eső bármely személy észleli a nemvárt eseményt, és erről- szóban, írásban vagy elektronikus úton – tájékoztatja az Adatkezelőt.

29.3.1. Amennyiben a külső jelzés az Adatkezelővel munkaviszonyban, munkavégzésre irányuló egyéb jogviszonyban álló személyhez érkezik, e személy köteles haladéktalanul, legfeljebb azonban az 29.2. pont szerinti észleléstől számított 2 órán belül tájékoztatni közvetlen felettesét, illetve az Adatkezelő ügyvezetőjét.

29.3.2. Amennyiben az Adatkezelővel munkaviszonyban, munkavégzésre irányuló egyéb jogviszonyban álló olyan személyhez érkezik a tájékoztatás, akinek nincs közvetlen felettese, köteles haladéktalanul, legfeljebb azonban az 29.2. pont szerinti észleléstől számított 2 órán belül tájékoztatni az Adatkezelő ügyvezetőjét.

29.3.3. Amennyiben az Adatkezelővel kötött szerződés alapján eljáró adatfeldolgozóhoz érkezik a tájékoztatás, köteles az említett szerződésben meghatározott kapcsolattartó útján haladéktalanul, legfeljebb azonban az 29.3. pont szerinti észleléstől számított 2 órán belül tájékoztatni az Adatkezelő ügyvezetőjét.

29.3.4. A NAIH Adatkezelő részére küldött megkeresése minden esetben külső jelzésnek minősül.

29.4. Az Adatkezelő ügyvezetője köteles haladéktalanul, legfeljebb azonban a beérkezéstől számított 2 órán belül továbbítani a nemvárt eseményről szóló tájékoztatást az Adatkezelő adatvédelmi tisztviselője részére.

29.5. Az adatvédelmi tisztviselő köteles a hozzá beérkezett a nemvárt eseményről szóló tájékoztatást haladéktalanul megvizsgálni.

29.5.1. Az adatvédelmi tisztviselő eljárása során az alábbi tényezőket veszi figyelembe:

a) a nemvárt esemény személyes adatokat érint-e;

b) a nemvárt esemény a biztonság sérüléséből következett-e be;

c) a biztonság sérülése milyen eredménnyel járt a személyes adatokra nézve.

29.5.2. Az adatvédelmi tisztviselő jogosult a nemvárt esemény vizsgálatával összefüggésben az Adatkezelővel munkaviszonyban, munkavégzésre irányuló egyéb jogviszonyban álló személytől, valamint az Adatkezelővel kötött szerződés alapján eljáró adatfeldolgozótól információt, tájékoztatást kérni.

29.6. Amennyiben az adatvédelmi tisztviselő – a 29.5.1. a)-b) pontja esetében végzett vizsgálat eredményeként – megállapítja, hogy a személyes adatokat érintő nemvárt esemény a biztonság sérüléséből következett be, az a GDPR 33. cikk (1) bekezdése szerinti tudomásra jutásnak minősül.

29.6.1. Amennyiben az adatvédelmi tisztviselő a vizsgálat következtében megállapítja, hogy a nemvárt esemény adatvédelmi incidensnek minősül, köteles elvégezni az incidens kategorizálását is.

30. Az adatvédelmi incidens kivizsgálása

30.1. Az adatvédelmi tisztviselő haladéktalanul, legfeljebb azonban a 29.4. pont szerinti tudomásra jutásáról számított 2 órán belül értesíti az Adatkezelő ügyvezetőjét az adatvédelmi incidensről, és összehívja az incidenskezelő csoportot.

30.2. Az incidenskezelő csoport feladata az adatvédelmi incidens körülményeinek feltárása, az adatvédelmi incidens kockázatainak felmérése, elemzése és kezelése, valamint az adatvédelmi incidenssel kapcsolatos további intézkedések megtételére vonatkozó döntéshozatal.

30.2.1. Az incidenskezelő csoport vezetését és irányítását az adatvédelmi tisztviselő látja el.

30.2.2. Az incidenskezelő csoport az adatvédelmi incidens kezelésének lezárásáig folyamatosan ülésezik az adatvédelmi tisztviselő által meghatározott rendszerességgel.

30.2.3. Az incidenskezelő csoport az adatvédelmi incidens kezelésének lezárásával szűnik meg, ideértve a NAIH esetleges eljárása keretében hozott döntéseket is.

30.2.4. Az incidenskezelő csoport a tevékenységének lezárásaként jelen Szabályzat 5. számú függelékében foglaltak szerinti formában és tartalommal jelentést készít az Adatkezelő ügyvezetőjének az incidens kezelésével kapcsolatban.

30.2.5. Az incidenskezelő csoport tagjai:

a) az adatvédelmi tisztviselő;

b) az Informatikai Referens (IR)

c) az érintett munkatársa;

d) az Adatkezelő ügyvezetője vagy az általa megbízott személy. Az incidenskezelő csoport tagja szükség esetén egyéb személy is lehet.

30.3. Az incidenskezelő csoport első ülését az adatvédelmi tisztviselő nyitja meg.

30.3.1. Az adatvédelmi tisztviselő az incidenskezelő csoport első ülésén ismerteti az adatvédelmi incidenssel kapcsolatban rendelkezésre álló információkat, tényeket, különös tekintettel az adatvédelmi incidens bekövetkezésének körülményeire és az incidens kategorizálására.

30.3.2. Az incidenskezelő csoport ezt követően megkezdi az adatvédelmi incidens kockázatainak felmérését és elemzését, azok valószínűségének és súlyosságainak figyelembevételével. A kockázatok tekintetében azok forrását, a kiszolgáló környezetet, a személyes adatokat, illetve az incidens lehetséges hatásait kell vizsgálni.

30.4. A kockázatok forrása tekintetében figyelembe vehető tényezők:

a) az incidens véletlen belső magatartás vagy tevékenység eredménye;

b) az incidens szándékos belső magatartás vagy tevékenység eredménye;

c) az incidens véletlen külső magatartás vagy tevékenység eredménye;

d) az incidens szándékos belső magatartás vagy tevékenység eredménye.

30.5. A kiszolgáló környezet szempoantjából figyelembe vehető tényezők:

a) az adatkezelés eszközei (papír alapú vagy automatizált módszerekkel történő adatkezelés);

b) az incidenssel érintett rendszer (levelező rendszer, adathordozó stb.);

c) a kiszolgáló környezet biztonságát védő intézkedések (pl. titkosítás, elnevesítés, tűzfal);

d) a kiszolgáló környezet ellenállóképessége;

e) az incidens elhárítása érdekében előzetesen tett intézkedések hatékonysága;

f) az incidens bekövetkeztét lehetővé tevő tényezők;

g) az incidens bekövetkeztét befolyásoló egyéb tényezők;

h) a rendszerszerű működés helyreállításának valószínűsége.

30.6. A személyes adatok szempontjából figyelembe vehető tényezők:

a) a személyes adatok kategóriái, különös tekintettel a különleges adatokra;

b) személyes adatok száma;

c) érintettek kategóriái, különös tekintettel az érintettek kiszolgáltatott helyzetére (gyermek, munkatárs);

d) az érintettek azonosíthatósága;

e) az érintettek száma.

30.7. Az incidens hatásai szempontjából figyelembe vehető tényezők:

a) fizikai kár vagy veszély;

b) vagyoni kár;

c) nem vagyoni kár.

30.8. Az incidenskezelő csoport köteles az adatvédelmi incidenst egyedileg, kockázati szint szerint besorolni a következők szerint: alacsony, közepes vagy magas kockázatú incidens.

30.9. A 30.4. pont b)-d) pontjaiban foglalt esetek, a 30.6. pont a) pontjában foglalt különleges adatok és c) pontjában foglalt kiszolgáltatott helyzetben lévő érintettek, a 30.7. pont b) pontja szerinti személyes adatok, illetve e) pontja szerinti érintettek magas száma közepes vagy magasabb kockázatot jelent.

30.10. Szintén valószínűsíthetően magasabb kockázattal jar az adatvédelmi incidens a természetes személyek jogaira és szabadságaira nézve, ha annak eredménye:

a) az érintett hátrányos megkülönböztetése;

b) személyazonosság-lopás;

c) személyazonossággal való visszaélés;

d) pénzügyi veszteség;

e) az érintett jó hírnevének sérelme;

f) a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése;

g) álnevesítés engedély nélkül történő feloldása;

h) bármilyen egyéb jelentős gazdasági vagy szociális hátrány;

i) alapvető jogai vagy szabadságai gyakorlásának ellehetetlenülése;

j) az érintettek saját személyes adatai feletti önrendelkezései jogának megszűnése;

k) személyes jellemzők értékelésére személyes profil létrehozása vagy felhasználása céljából.

30.11. Amennyiben az adatvédelmi incidens alacsony kockázatú, úgy kell tekinteni, hogy az
valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

30.12. Amennyiben az adatvédelmi incidens közepes kockázatú, úgy kell tekinteni, hogy az – a GDPR 33. cikk (1) bekezdése szerint – valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve.

30.13. Amennyiben az adatvédelmi incidens magas kockázatú, úgy kell tekinteni, hogy az – a GDPR 34. cikk (1) bekezdése szerint – valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve.

30.14. Az incidenskezelő csoport köteles továbbá meghozni mindazon intézkedéseket, amelyek az adatvédelmi incidens következményeinek mérséklése vagy elhárítása érdekében szükséges, ideértve az érintett rendszerek működésének helyreállítását, az érintettek esetleges tájékoztatását, valamint

– szabálysértés vagy bűncselekmény esetén – a szabálysértések vagy bűncselekmények felderítésére hatáskörrel és illetékességgel rendelkező szervek értesítését.

30.15. Az adatvédelmi incidens bejelentése

30.15.1. Amennyiben az adatvédelmi incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő köteles indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelentést tenni a NAIH-hoz jelen Szabályzat 6. számú függelékben foglaltak szerinti formában és tartalommal.

30.15.2. Amennyiben az adatvédelmi incidens körülményeinek feltárása, kockázatainak felmérése indokolttá teszi, a bejelentés részletekben is történhet.

30.15.3. Az Adatkezelő nevében a bejelentési kötelezettséget az adatvédelmi tisztviselő papír alapon, vagy a NAIH honlapján elérhető elektronikus bejelentési rendszer útján teljesít i.

30.15.4. A NAIH részére tett bejelentésnek tartalmaznia kell:

a) az Adatkezelő adatait;

b) az adatvédelmi incidens időpontját;

c) az adatvédelmi incidensről való tudomásszerzés időpontját;

d) az adatvédelmi incidens észlelésének módját;

e) az esetleges késedelmes tájékoztatás indokait;

f) az adatvédelmi incidens jellegét;

g) az adatvédelmi incidenssel érintett személyes adatokat;

h) az adatvédelmi incidenssel érintett személyes adatok becsült számát;

i) az érintettek kategóriáit;

j) az adatvédelmi incidens előtt alkalmazott intézkedéseket;

k) az adatvédelmi incidens következményeinek a megjelölését;

l) az érintetteket ért fizikai, anyagi vagy nem vagyoni károkat, vagy egyéb jelentős következményeket, valamint a valószínűsíthető következmények súlyosságát;

m) a megtett intézkedéseket;

n) az adatvédelmi incidens orvoslására tett intézkedéseket;

o) az egyéb bejelentéseket;

p) az adatvédelmi tisztviselő nevét és elérhetőségeit.

30.15.5. Az adatvédelmi tisztviselő köteles együttműködni a NAIH-hal az adatvédelmi incidensek kezelésével összefüggésben indult eljárások során.

30.15.6. Az adatvédelmi tisztviselő köteles a NAIH rendelkezésére bocsátani az adatvédelmi incidensek kezelésével összefüggésben indult eljárások lefolytatásához szükséges további információkat.

30.15.7. Annak érdekében, hogy az adatvédelmi tisztviselő teljesíteni tudja a fenti kötelezettséget, jogosult az Adatkezelővel munkaviszonyban, munkavégzésre irányuló egyéb jogviszonyban álló személytől, valamint az Adatkezelővel kötött szerződés alapján eljáró adatfeldolgozótól információt, tájékoztatást kérni.

30.15.8. Az incidenskezelő csoport tagjai kötelesek közreműködni az adatvédelmi tisztviselővel a fenti kötelezettség teljesítése során.

30.15.9. Amennyiben a 9.3.1. pont szerinti bejelentés mellőzésére kerül sor, annak okait az adatvédelmi tisztviselő dokumentálni köteles.

30.15.10. A bejelentés megtörténtével vagy mellőzésével kapcsolatos információk az incidenskezelő csoport 30.2.4. pont szerinti jelentésének részét képezik.

30.16. Az érintettek tájékoztatása

30.16.1. Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő köteles indokolatlan késedelem nélkül tájékoztatni az érintettet az adatvédelmi incidensről jelen Szabályzat 7. számú függelékben foglaltak szerinti formában és tartalommal.

30.16.2. Az Adatkezelő nevében a 30.16.1.pont szerinti kötelezettséget az adatvédelmi tisztviselő teljesíti.

30.16.3. Amennyiben az adatvédelmi incidens az Adatkezelővel munkaviszonyban, munkavégzésre irányuló egyéb jogviszonyban álló személyeket érint, a tájékoztatást az érintetteket foglalkoztató szervezeti egységek bevonásával, a munkatársakkal történő kapcsolattartás céljára használt rendszerek segítségével kell megadni.

30.16.4. Amennyiben az adatvédelmi incidens a 30.16.3. bekezdés hatálya alá nem tartozó személyeket érint, a tájékoztatást az érintettekkel történő kapcsolattartás céljára használt rendszerek segítségével kell megadni. Ebben az esetben a tájékoztatás tartalmának kialakításában az Adatkezelő sajtókapcsolatokért felelős munkatársa közreműködik.

30.16.5. Amennyiben – az érintettek nagy számára tekintettel – a személyes tájékoztatás lehetetlen lenne vagy aránytalan költséggel járna az Adatkezelőre nézve, a tájékoztatás helyi vagy országos sajtótermékekben megjelentetett figyelemfelhívó jelzés útján is megadható.

30.16.6. A 30.16.4. es 30.16.5. pontokban foglalt esetekben az Adatkezelő honlapján figyelemfelhívó jelzést kell elhelyezni, amely általános tájékoztatást nyújt az incidens jellegéről, az érintett személyes adatok, illetve az érintettek kategóriáról.

30.16.7. Az érintett vagy érintettek részére nyújtott tájékoztatásnak tartalmaznia kell legalább:

a) az adatvédelmi incidens jellegének leírását;

b) az adatvédelmi tisztviselő nevét és elérhetőségeit;

c) az adatvédelmi incidens valószínűsíthető következményeinek ismertetését;

d) az adatvédelmi incidens orvoslására tett vagy tervezett intézkedések ismertetését, beleértve adott esetben az incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkeéeseket is;

e) az érintettek által az adatvédelmi incidens orvoslására tehető intézkedések ismertetését, beleértve adott esetben az incidensből eredő esetleges hátrányos következmények enyhtését célzó intézkedéseket is.

30.16.8. Annak érdekében, hogy az adatvédelmi tisztviselő teljesíteni tudja a 14.1.1. pontban foglalt kötelezettségét, javasolt az Adatkezelővel munkaviszonyban, munkavégzésre irányuló egyéb jogviszonyban álló személytől, valamint az Adatkezelővel kötött szerződés alapján eljáró adatfeldolgozótól információt, tájékaztatást kérni.

Az incidenskezelő csoport tagjai kötelesek közreműködni az adatvédelmi tisztviselővel a 14.1.1. pontban foglalt kötelezettség teljesítése során.

30.16.9. Amennyiben a 14.1.1. pont szerinti tájékoztatás mellőzésére kerül sor, annak okait az adatvédelmi tisztviselő dokumentálni köteles.

A tájékaztatás megtörténtével vagy mellőzésével kapcsolatos információk az incidenskezelő csoport 30.2.4. pont szerinti jelentésének részét képezik.

30.17. Az adatvédelmi incidensek nyilvántartása

30.17.1. Az Adatkezelő köteles nyilvántartani az adatvédelmi incidenseket, tekintet nélkül azok kockázati besorolására.

30.17.2. Az Adatkezelő a 30.17.1. pont szerinti kötelezettségének a 2. számú függelékben foglaltak szerinti formában és tartalommal tesz eleget.

30.17.3. Az adatvédelmi incidensek nyilvántartása tartalmazza:

a) az Adatkezelő megnevezését és elérhetőségeit;

b) az adatvédelmi incidens azonosítóját;

c) az érintett személyes adatok körét;

d) az adatvédelmi incidenssel érintettek körét;

e) az adatvédelmi incidenssel érintettek számát;

f) az adatvédelmi incidens megtörténtének időpontjat;

g) az adatvédelmi incidens tudomásra jutásának időpantjat;

h) az adatvédelmi incidens jellegét;

i) az adatvédelmi incidens körülményeit;

j) az adatvédelmi incidens hatásait;

k) az adatvédelmi incidens elhárítására megtett intézkedéseket;

l) az adatkezelést előíró jogszabályban meghatározott egyéb adatokat;

m) a bejelentési kötelezettség tényét;

n) a hatósági bejelentés időpontját;

o) a bejelentő személy nevét;

p) a tájékoztatási kötelezettség tényét;

q) az érintettek tájékoztatásának időpontját;

r) a bejegyzés dátumát.

30.17.4. Az Adatkezelő nevében a 30.17.1. pont szerinti kötelezettséget az adatvédelmi tisztviselő teljesíti.

30.17.5. Az adatvédelmi tisztviselő gondoskodik az adatvédelmi incidensek nyilvántartásának naprakészen tartásáról, frissítéséről.

30.17.6. Az adatvédelmi tisztviselő köteles a nyilvántartást a NAIH ez irányú kérésére rendelkezésre bocsátani.

VIII. Fejezet

ELSZÁMOLTATHATÓSÁG

31. Az adatkezelésre és adatfeldolgozásra vonatkozó általános követelmények

31.1. Az Adatkezelővel a jelen Szabályzat 1.1.3. pontja szerint jogviszonyban álló személy, aki személyes adat birtokába jut, ilyet munkaköre vagy tisztsége alapján kezel, köteles védeni és őrizni a személyes adatokat, és minden erőfeszítést megtenni annak érdekében, hogy azoknak megfelelő védelmét biztosítsa.

31.2. Az adatokat védeni kell, különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásábóI fakadó hozzáférhetetlenné válás ellen.

31.3. Az Adatkezelővel jogviszonyban állók, illetve az Adatkezelő képviseletében eljáró személyek kötelesek bizalmasan kezelni minden olyan személyes adatot, amely számukra a jogviszonyukkal összefüggésben vált ismertté.

31.4. Az Adatkezelővel jogviszonyban álló, adatkezelést vagy adatfeldolgozást végző személyek felelősséggel tartoznak minden olyan kárért, amely adatkezelési, adatvédelmi kötelezettségük megszegéséből származik.

31.5. Ha az adatkezelést az Adatkezelő nevében más végzi, az Adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés követelményeinek való megfelelést és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

31.6. Az adatfeldolgozó áItal végzett adatkezelést olyan szerződésnek kell szabályoznia, amely köti az adatfeldolgozót az Adatkezelővel szemben. A szerződés kizárólag írásban köthető meg.

31.7. A szerződésben rögzíteni kell különösen az alábbiakat:

a) az Adatkezelő és az adatfeldolgozó megnevezése;

b) az adatkezelés tárgya;

c) a kezelendő személyes adatok típusa;

d) a kezelendő személyes adatok mennyisége (ha lehetséges);

e) az érintettek kategóriái;

f) az adatkezelés jellege és célja;

g) az adatkezelés jogalapja;

h) az adatkezelés időtartama;

i) teendők az adatkezelési szolgáltatás nyújtásának befejezése esetén;

j) az Adatkezelő kötelezettségeit és jogai;

k) az adatfeldolgozó a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli, – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is -, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;

l) az Adatkezelő és az adatfeldolgozó közötti utasításadás, illetve kapcsolattartás módja;

m) a további adatfeldolgozó igénybevételére vonatkozó döntés;

n) az adatfeldolgozó a további adatfeldolgozó igénybevételére vonatkozóan tiszteletben tartja a jogszabályi elírásokat;

o) titoktartási kötelezettség;

p) adatbiztonsági előírások;

q) közreműködés az adatbiztonsági előírások érvényesítésében, az incidensek kezelésében és a hatásvizsgálatok elvégzésénél;

r) közreműködés az érintetti jogok gyakorlásában;

s) információk nyújtása az Adatkezelőnek és az Adatkezelő ellenőrzési jogosultsága;

t) az Adatkezelő ellenőrzésének kivitelezési módja;

u) a felelősség egyes kérdései;

v) a jogérvényesítési lehetőségek.

31.8. Amennyiben szükséges, az adatkezelő és az adatfeldolgozó további intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat.

32. Az adattovábbításra vonatkozó követelmények

32.1. Az Adatkezelő szervezeti rendszeren belül a személyes adatok – a feladat elvégzéséhez szükséges mértékben és ideig – olyan szervezeti egységhez, személyhez továbbíthatók, amelynek az Adatkezelőnél végzett feladatának ellátásához a személyes adatok megismerése és kezelése szükséges.

32.2. Az Adatkezelőnél különböző célra irányuló adatkezelések csak törvényes céloknak megfelelően, indokolt esetben kapcsolhatók össze.

32.3. Olyan megkeresés, amely az Adatkezelő által kezelt személyes adat továbbítására irányul csak jogszabályi előírás alapján, vagy csak a (2) bekezdésben foglalt feltételek fennállása esetén teljesíthető. Minden más esetben az adattovábbítás teljesítését meg kell tagadni.

32.4. Olyan esetben, amikor az adattovábbítás nem jogszabályi kötelezettségen alapul, a megkeresés csak akkor teljesíthető, ha az érintett ehhez – részletes tájékoztatást követően – igazolható módon hozzájárul, vagy ha az az Adatkezelő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges.

32.5. Külföldre irányuló adattovábbítás esetén az adattovábbítást végzőnek külön meg kell győződnie arról, hogy a külföldre történő adattovábbítás GDPR-ban előírt feltételei fennállnak-e. Ennek kapcsán vizsgálandó, hogy az adattovábbítás a GDPR-ban meghatározott valamely jogalapnak megfelelően történik-e, és az adatok megfelelő védelmi szintje az adatokat átvevő adatkezelőnél biztosított-e. Ha az adattovábbítás az Európai Gazdasági Térség valamely tagállamába irányul, úgy a személyes adatok megfelelő szintű védelmét nem kell vizsgálni.

32.6. Olyan személyes adatok továbbítására – ideértve a személyes adatok harmadik országból vagy nemzetközi szervezettől egy további harmadik országba vagy további nemzetközi szervezet részére történő újbóli továbbítását is -, amelyeket harmadik országba vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor, ha az adatkezelő és az adatfeldolgozó egyaránt teljesíti a GDPR-ban rögzített feltételeket.

32.7. Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására sor kerülhet, ha az Európai Bizottság megállapította, illetve az Európai Unió Hivatalos Lapjában és annak honlapján közzétette, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít (megfelelőségi határozat). Az ilyen adattovábbításhoz nem szükséges külön engedély.

32.8. Személyes adatok továbbítása során, amennyiben az postai küldeményként történik, biztosítani kell, hogy a küldemény zártan kerüljön feladásra.

32.9. Az Adatkezelő vállalja, hogy a személyes adatokat statisztikai célra kizárólag úgy adja át, hogy gondoskodik arról, hogy azt az érintettel ne lehessen kapcsolatba hozni.

32.10. Az Adatkezelő az általa végzett adattovábbításokat a Szabályzat 3. számú függelékét képező nyilvántartás szerinti tartalommal tartja nyilván.

33. Az adatkezelési tevékenységek nyilvántartása

33.1. Az Adatkezelő köteles nyilvántartani minden olyan adatkezelési tevékenységet, amely:

a) az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár;

b) nem alkalmi jellegű;

c) különleges adatok vagy bűnügyi személyes adatok kezelésével jár.

33.2. Az Adatkezelő a 33.1. pont szerinti kötelezettségének a 4. számú függelékben foglaltak szerinti tartalommal tesz eleget.

33.3. Az Adatkezelő 33.1. pont szerinti kötelezettségét az adatvédelmi tisztviselő teljesíti.

33.4. Az adatvédelmi tisztviselő gondoskodik az adatvédelmi tevékenységek nyilvántartásának naprakészen tartásának felügyeletérőI.

33.5. Az adatvédelmi tisztviselő köteles a nyilvántartást a NAIH ez irányú kérésére rendelkezésre bacsátani.

33.6. Az adatvédelmi tevékenységek nyilvántartása tartalmazza:

a) az Adatkezelő megnevezését és elérhetőségeit;

b) az adatkezelés megnevezését;

c) a tényleges adatkezelés helyét;

d) az adatkezelés céljat;

e) az adatkezelés jogalapjat;

f) az adatkezelés jogalapjának megnevezését;

g) közös adatkezelés esetén a közös adatkezelő megnevezését és elérhetőségeit;

h) az adatkezelés helyét;

i) az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét;

j) az adatkezelés technológiáját;

k) az informatikai alkalmazás megnevezését;

l) az adatkezelő által kezelt személyes adatok körét;

m) az adatkezelés időtartamát;

n) az adatak forrását;

o) adattovábbítás esetén az adatok fajtáját;

p) a címzett megnevezését és elérhetőségét;

q) a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő adattovábbítása esetén a megfelelő garanciára vonatkozó információkat;

r) az adattovábbítás jogalapját;

s) az érintettek körét;

t) az adatbiztonság garantálása érdekében alkalmazott technikai és szervezési intézkedések leírását.

34. Az adatvédelmi hatásvizsgálat és az előzetes konzultáció

34.1. Amennyiben az adatkezelés valamely – különösen új technológiákat alkalmazó, típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira – valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az Adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

34.2. Amennyiben az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az Adatkezelő konzultál a felügyeleti hatósággal (előzetes konzultáció). Az Adatkezelő előzetes konzultáció szükségessége esetén a felügyeleti hatóság álláspontját az érintett adatkezeléssel összefüggő döntések meghozatala során köteles figyelembe venni.

IX. Fejezet

AZ ADATKEZELÉS SPECIÁLIS ESETEI

35. A munkatársak adatainak kezelése

35.1. Az Adatkezelő valamennyi munkaviszonyt vagy munkavégzésre irányuló egyéb jogviszonyt létesítőt köteles tájékoztatni a munkavégzéssel kapcsolatos adatkezelésekről. A tájékoztatás megismeréséről az érintett írásban nyilatkozik.

35.2. A bér- és munkaügyi nyilvántartás adatai a foglalkoztatott jogviszonyával kapcsolatos tények megállapítására, a besorolási követelmények igazolására, bérszámfejtésre, társadalombiztosítási ügyintézésre és statisztikai adatszolgáltatásra használhatók fel.

36. Az adatkezelés módja

36.1. Manuálisan kezelt személyes adatok

36.1.1. Az Adatkezelőnek az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lennie a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választania, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az Adatkezelőnek.

36.1.2. A manuálisan kezelt személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani:

a) az irattári kezelésbe vett iratokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben kell elhelyezni;

b) a folyamatos aktív kezelésben lévő iratokhoz csak az illetékes ügyintézők férhetnek hozzá, a személyzeti, a bér- és munkaügyi iratokat biztonságosan elzárva kell tartani,

c) az adatkezelések iratainak archiválását rendszeresen el kell végezni, az archivált iratokat a vonatkozó előírásoknak megfelelően kell szétválogatni és irattári kezelésbe venni.

36.1.3. A 36 .1. 2. b) pontja szerinti helyiségek, illetve szekrények kulcsához való hozzáférés rendjét az Adatkezelő ügyvezetője állapítja meg, melyet az adatvédelmi tisztviselő részére tájékoztatásul megküld.

36.1.4. Az Adatkezelő munkatársa az lnfotv., a GDPR és jelen szabályzat előírásai alapján személyes adatnak minősülő adatokat tartalmazó iratokat köteles munkaidőn túl – és amelyeket lehetséges, munkaidőben is – szekrényében zárva tartani. Az asztalon és az irodában egyéb helyen hivatalos iratok csak a munkavégzés céljából és annak időtartama alatt tárolhatók.

36.1.5. A 36.1.4. bekezdésben felsorolt iratok elzárásáért az az ügyintéző felelős, akinél azok a
munkaidő befejezésekor találhatók.

36.1.6. Az egyéb szempontokon túl adatvédelmi megfontolásból azokat a helyiségeket, ahol közös használatú nyomtató vagy másológép üzemel, az adatbiztonsági követelmények figyelembevételével kell használni.

31.6.7. Személyes adatokat is tartalmazó iratot az Adatkezelő hivatali helyiségéből kivinni – munkaköri feladat ellátásának kivételével – csak a közvetlen felettes vezető engedélyével lehet. Az ügyintéző ez esetben is köteles gondoskodni arról, hogy az ne vesszen el, ne rongálódjon vagy semmisüljön meg, és tartalma illetéktelen személy tudomására ne jusson.

36.2. Elektronikusan kezelt személyes adatok

36.2.1. Amennyiben az Adatkezelő olyan elektronikus rendszerben kezel személyes adatot, amelybe csak a hozzáférési listára felvett, nyilvántartott, illetékes munkatárs léphet be, úgy az illetékes munkatársnak egyéni, titkos jelszóval kell bejelentkeznie a rendszerbe. Az adatkezelés befejeztével a rendszerből ki kell lépni. A rendszerben történt, jelszóval védett adatkezelésért az Adatkezelő felel.

36.2.2. Az adatvédelmi incidensek elkerülése érdekében a munkatárs kötelessége az egyéni jelszavának védelme. Az egyéni jelszó a munkatárson kívül kizárólag az adatkezelési szoftver fejlesztését, üzemeltetését ellátó informatikai munkatársak, valamint az adatvédelmi tisztviselő által ismerhető meg, ha az az Adatkezelőnél elvégzendő feladatuk ellátásához szükségessé válik.

36.2.3. Az adatkezelésre használt számítógépek adatbevitelre, lekérdezésre alkalmas állapotban történő, felügyelet nélkül hagyása tilos.

36.2.4. Az Adatkezelő kizárólag olyan adatkezelési rendszert alkalmazhat, amely a rendszerbe történt belépést regisztrálja, illetve a rögzített adatokról megállapítható, hogy az adatrögzítés ki által és milyen időpontban történt.

36.2.5. Az iratok telefaxon, az adatok telefonon, és egyéb elektronikus úton csak kellő körültekintéssel
és kizárólag az Adatkezelő technikai eszközeinek igénybevételével továbbíthatók.

37. A munkatársakat érintő ellenőrzések szabályai

37.1. Postai küldemények

A munkahelyre érkezett postai küldemény, amennyiben feltételezhető, hogy az személyre szóló – például “s.k.” jelzéssel ellátott vagy azon a címzett pontos neve feltüntetésre került – először a munkatársnak kell átadni. Amennyiben ilyen tartalmú levél mégis felbontásra kerül, akkor azt vissza kell zárni, és a felbontás dátumát, valamint a levél tartalmát megismerő személy nevét fel kell rajta tüntet ni.

37.2. Telefonok használatának ellenőrzése

37.2.1. Az Adatkezelő által a munkatársak rendelkezésére bocsátott mobil és vezetékes telefonokat elsődlegesen hivatalos célból lehet használni, a magáncélú használat alkalomszerűen, az erőforrások arányos igénybevételéig, csak és kizárólag kérelemre egyedi esetben engedélyezett.

37.2.2. Amennyiben az Adatkezelő, mint munkáltató a jogos érdekére hivatkozva ellenőrizni kívánja
a munkatársak telefonhasználatát, akkor ez kizárólag a hivatalos használatra terjedhet ki, a magáncélú használat ellenőrzése tilos. Az ellenőrzés során főszabály szerint az Adatkezelő biztosítja a munkatárs jelenlétét és ellenőrzés során a fokozatosság elvének betartásával jár el. Az ellenőrzés lefolytatása előtt a munkáltatói jogkörgyakorló köteles a munkatársat az adatkezelés körülményeiről tájékoztatni.

Amennyiben a munkáltatói ellenőrzés a munkatárshoz köthető híváslista ellenőrzéséhez kapcsolódik, akkor a távközlési szolgáltatótól meg kell kérni az adott telefonszámhoz tartozó részletes híváslistát olyan módon, hogy a híváslistában szereplő telefonszámok utolsó három számjegye nem felismerhető formában (anonimizáltan) szerepeljen, amely alapján a munkatárs a magáncélú hívásait kiválogathatja. Ezt az anonimizált híváslistát kizárólag az érintett munkatárs és a munkáltatói jogkörgyakorló ismerheti meg.

37.2.3. Abban az esetben, ha a munkatárs visszaadja az általa használt mobiltelefont akár a munkaviszony fennállása alatt, akár a munkaviszony megszűnésekor/megszüntetésekor, gondoskodni kell arról, hogy az eszközön tárolt esetleges magánjellegű adatokat – így telefonszámokat, üzeneteket, képeket, filmeket, egyéb formájú és tartalmú adatokat – az érintett lementhesse, majd azokat visszaállíthatatlan módon törölni kell. A munkatárs köteles a magánjellegű tartalmak eltávolításáról jelen Szabályzat 8. számú függelékben foglaltak szerinti formában és tartalommal írásbeli nyilatkozatot tenni. A készüléket csak azt követően lehet átadni harmadik személy részére, ha az eszközkiadásért felelős személy meggyőződött arról, hogy azon magánjellegű adat már nincs, vagy nem fellelhető. Az eljárást lefolytató személyt a megismert magánjellegű adatok tekintetében titoktartási kötelezettség terheli, azt harmadik személy részére nem adhatja át, rá vonatkozó információt nem közölhet.

37.3. E-mail postafiók használatának és ellenőrzésének adatvédelmi szabályai

37.3.1. Az Adatkezelő a munkavégzés céljára rendelkezésre bocsátott e-mail postafiókot hivatalos célból adja át a munkatársnak, mely fiók magáncélra nem használható.

37.3.2. Az Adatkezelő informatikai rendszereinek üzembiztos működéséért felelős Informatikai Referense {IR} jogosult az e-mail postafiók tárolókapacitását meghatározni, az e-mailhez csatolt fájlok méretét és formátumát korlátozni, és köteles az ezzel kapcsolatos információkról a munkatársakat szükség szerint, de legalább félévente e-mailben tájékoztatni. E beállításokat, és a szervezeti egység által meghatározott további felhasználói szabályokat a munkatársak kötelesek betartani.

37.3.3. A munkatárs további nem üzleti e-mail postafiókokat a munkahelyi számítógépen nem nyithat meg, és nem használhat.

37.3.4. Az Adatkezelő, mint munkáltató jogos érdekére hivatkozva ellenőrizheti a munkatárs által folytatott hivatalos levelezést a jelen Szabályzatban foglaltak betartásával. Az ellenőrzés során az Adatkezelő fő szabály szerint biztosítja a munkatárs személyes jelenlétét, továbbá az ellenőrzés során a fokozatosság elvének betartásával jár el. Az ellenőrzés alapját az Adatkezelő által elkészített érdekmérlegelési teszt eredménye adja. Az ellenőrzésre jogosult munkáltatói jogkör gyakorló köteles a munkatársat dokumentált módon, a tényleges ellenőrzés megkezdése előtt tájékoztatni, hogy mely, pontosan meghatározott érdek miatt kerül sor az ellenőrzésre. A munkatárs az ellenőrzés során az e­ mail tartalmának megtekintése előtt köteles jelezni az Adatkezelőnek, illetve az Adatkezelő képviseletében eljáró személynek, ha az adott e-mail személyes adatot tartalmaz. A munkaköri feladatokkal kapcsolatos e-mailek tartalmát az Adatkezelő korlátozás nélkül vizsgálhatja.

37.3.5. Amikor a hivatalos e-mail postafiók tartalmát az Adatkezelő ellenőrizni kívánja – a lépcsőzetes ellenőrzési rendszer alapján -, elsősorban a levelek fejlécének listáját jogosult az IR-től megkérni. A lista tartalmazhatja a postafiókba érkezett és onnan küldött levelek címzettjeit, tárgyát, valamint, amennyiben további adat ismerete szükséges a küldés vagy fogadás időtartamát, és az esetlegesen csatolt fájl nevét, méretét. A lista megismerését követően a munkáltatói jogkörgyakorló kijelölheti azokat a leveleket, amelyeket a munkatársnak át kell adnia, aki a kérést csak abban az esetben jogosult megtagadni, ha a levél magánjellegű. A magánjellegű levelek tartalmát az Adatkezelő nem ismerheti meg. A tilalom ellenére folytatott magánjellegű levelezés esetében ugyanis a levél tartalmának megismerése nem szükséges a munkatárssal szemben esetlegesen alkalmazandó munkajogi jogkövetkezményekhez. Ilyen levelek törlésére a munkáltatói jogkörgyakorló jogosult felszólítani a munkatársat, a munkatárs pedig köteles eleget tenni a felszólításnak

37.3.6. Amennyiben olyan időpontban kellene az e-mail postafiókban tárolt levelek közül a szükséges hivatalos tárgyú leveleket kiválogatni, amikor az érintett munkatárs tartósan nem tartózkodik a számítógép mellett, az érintett kijelölhet olyan munkatársat, aki helyette a postafiókba belépve ezt megteheti. Ennek hiányában a közvetlen vezető jelölhet ki két személyt, akik együttes jelenlétük mellett csak a meghatározott, hivatalos tárgyú leveleket menthetik le a postafiókból, a nem hivatalos tárgyú levelek tekintetében azonban titoktartási kötelezettsége áll fenn, annak tartalmát nem adhatják át, arról információt nem közölhetnek a vezetővel, vagy más személlyel.

37.3.7. Amennyiben a munkatársat felmentik a munkavégzés alól, a felmentés időtartamára, illetve a munkavégzésre irányuló jogviszonya megszűnésétől számított legfeljebb három hónapos időtartamban a munkatárs e-mail címét a munkatárs és más munkatársak számára hozzáférhetetlenné kell tenni (zárolni), valamint olyan informatikai beállítást kell életbe léptetni, amely a postafiók címre küldött levél feladóját automatikus válaszban arról tájékoztatja, hogy:

a) a postafiók használata megszűnt, és

b) amennyiben hivatalos tárgyú levelet kíván az Adatkezelő részére megküldeni, azt mely e- mail vagy postacímre teheti meg.

37.3.8. A 37.3.7. pontban deklarált határidő leteltét követően az e-mail postafiók címet inaktívvá kell tenni, vagyis olyan informatikai beállítást kell életbe léptetni, amely megakadályozza, hogy a postafiók további levelet fogadhasson.

37.3.9. A 37.3.7. pont szerinti tájékoztatásban nem lehet adatot, információt szolgáltatni arról, hogy az e-mail postafiók használata mely okból szűnt meg, illetőleg, hogy az érintett munkatárs jogviszonya megszűnt-e, ha igen, a megszűnés mely okból történt.

37.3.10. A postafiók hozzáférhetetlenné, illetve inaktívvá tétele mellett tilos olyan beállítás alkalmazása, mely a postafiókba érkező leveleket más e-mail címre továbbítaná.

37.3.11. A munkatárs számára az utolsó munkában töltött napján – de legkésőbb az attól számított őt munkanapon belül – biztosítani kell, hogy az esetlegesen postafiókjába érkezett magán jellegű leveleit a postafiókjából lementhesse. E mentést csak akkor kontrolálhatja egy erre kijelölt munkatárs, ha a jogviszony megszűnésének oka azt indokolja. Ebben az esetben a kijelölt munkatársat titoktartási kötelezettség terheli a tudomására jutott magánjellegű adatok tekintetében.

37.3.12. Ha a postafiók olyan jellegű hivatalos levelezést tartalmaz, amely a későbbi feladatok ellátása tekintetében szükséges lehet, és a dokumentumok lementése az Adatkezelő részére aránytalan nehézséget okoz, akkor a magánjellegű adatok lementését és végleges eltávolítását követően a postafiók tovább működtethető, melyről az érintett munkatársat is tájékoztatni kell. A postafiókban a továbbiakban csak hivatalos tárgyú levelek kezelhetők.

37.4. A munkatársak rendelkezésére bocsátott internethasználatnak és ellenőrzésének adatvédelmi szabályai

37.4.1. A munkatársak rendelkezésére bocsátott internet kapcsolat célja elsődlegesen a hatékony munkavégzés elősegítése, emellett a szolgáltatás magán célú használata – az Adatkezelő üzleti érdekeinek, jó hírnevének sérelme, valamint az informatikai rendszer kapacitásainak aránytalan korlátozása nélkül – megengedett.

37.4.2. Az Adatkezelő informatikai rendszereinek üzembiztos működéséért felelős informatikai referense (IR) az internet felhasználást korlátozni, és meghatározni azokat a kulcsszavakat, amelyeket tartalmazó weboldalak megnyitását az informatikai rendszer automatikusan elutasít. Ezen szabályokat a vonatkozó belső szabályzat tartalmazza.

37.4.3. Amennyiben megalapozottan vélelmezhető, hogy a munkatárs az internet kapcsolatát a fenti szabályok megsértésével használja, az ügyvezető a szabályszegés körülményeit fő szabály szerint személyes elbeszélgetés útján köteles tisztázni.

37.4.4. Amennyiben 37.4.3. pontban foglalt eljárás nem vezetne eredményre, az ügyvezető kérheti az IR bevonását azzal, hogy az érintett munkatárs számítógépen megnyitott weboldalak listáját részére adják át. Ebben az esetben az adatkezelés jogalapját az Adatkezelő jogos érdeke képezi, amely az általa elvégzett érdekmérlegelési teszten alapul. Az Adatkezelő listát fő szabály szerint az érintett munkatárs jelenlétében jogosult ellenőrizni, és a nem hivatalos jellegű adatokat csak a szükséges mértékben és ideig kezelheti, azzal, hogy azokat részleteiben nem ismerheti meg, nem kezelheti, pusztán az esetleges munkajogi következmények megállapításához szükséges mértékben jogosult az adatokat észrevételezni.

37.5. A munkatárs munkaállomásának ellenőrzése

Azt a területet, ahol a munkatárs dolgozik – így például az íróasztalának fiókját – munkaügyi célból nem lehet ellenőrizni. Amennyiben egyéb célból az ellenőrzés szükségessége felmerül, úgy azt csak abban az esetben lehet megtenni, ha a vonatkozó jogszabályi rendelkezések azt lehetővé teszik, és ezt az adatvédelmi tisztviselő előzőleg jóváhagyta. A munkatársat minden esetben teljeskörűen tájékoztatni kell előzetesen az ellenőrzéssel kapcsolatban megvalósuló adatkezelésről.

37.6. Elektronikus megfigyelőrendszer alkalmazása

Amennyiben az Adatkezelő a munkáltatói ellenőrzés körében elektronikus megfigyelőrendszert kíván alkalmazni, az erre vonatkozó rendelkezéseket külön szabályzatban kell megfogalmaznia. Az ellenőrzéshez fűződő legitim érdek mérlegelése során tekintettel kell lenni az alábbi adatkezelési korlátokra:

a) a munkáltatói ellenőrzés akkor tekinthető jogszerűnek, amennyiben a munkaviszony rendeltetésével közvetlenüI összefüggő okból feltétlenül szükséges,

b) a munkáltatói ellenőrzés és az annak során alkalmazott eszközök, módszerek nem járhatnak az emberi méltóság megsértéslvel, illetőIeg a munkatársak magánélete nem ellenőrizhető,

c) a munkatársakat előzetesen tájékoztatni kell az adatkezelés lényeges körülményeiről,

d) az Adatkezelő köteles a jogszerűség, a tisztességes eljárás és átláthatóság, valamint a célhoz kötöttség elveit az adatkezelés során betartani.

X. Fejezet

ZÁRÓ RENDELKEZÉSEK

Jelen Szabályzat 2022. január 01. napján lép hatályba.

Az Adatkezelő gondoskodik arról, hagy a Szabályzatot a vele munkaviszonyban vagy munkavégzésre irányuló egyéb jogviszonyban álló személyek, illetve az általa megbízott adatfeldolgozók megismerjék.

2022. január 01.

Az Adatkezelési tájékoztató itt letölthető.