III. FEJEZET
SPORTOLÓKKAL, EGYESÜLETI
ALKALMAZOTTAKKAL KAPCSOLATOS ADATKEZELÉSEK
6. Sportolói nyilvántartás
(1)
A sportolóktól kizárólag
olyan adatok kérhetők és tarthatók nyilván, valamint
olyan orvosi alkalmassági vizsgálatok végezhetők, amelyek a sportoláshoz szükségesek és a
sportoló személyhez fűződő jogait nem
sértik.
(2)
Az Egyesület a sportoló
jogos érdekeinek érvényesítése (Rendelet 6. cikk (1) bekezdése f)) jogcímén
egyesületi tagság létesítése, teljesítése vagy megszűnése céljából kezeli a munkavállaló alábbi adatait:
1. név
2. születési név
3. születési ideje,
4. anyja neve,
5. lakcíme,
6. TAJ száma,
7.
telefonszám,
8.
e-mail cím,
9.
egyesületbe történő belépésének
kezdő és befejező időpontja,
10.
sportoló tevékenységi
területe
11.
fénykép,
12.
edzési díj összege, a
fizetéssel kapcsolatos adatok,
13.
a sportoló edzésének
értékelése,
14.
az egyesületi tagság
megszűnésének módja, indokai,
15.
a sportolói alkalmassági vizsgálatok összegzése,
16.
gyógyszerszedésre, táplálék
kiegészítőkre vonatkozó adatok
17.
allergia, ételallergia
18.
sportolót ért balesetek
jegyzőkönyveiben rögzített adatokat;
19.
edzések, versenyek alkalmával
rögzített adatokat, felvételeket.
(3)
Betegségre vonatkozó
adatokat az Egyesület csak a sportolás
megfelelő körülményei- nek biztosítása céljából
kezel.
(4)
A személyes adatok
címzettjei: a egyesület vezetője, az edző, az
Egyesület adatkezelési feladatokat ellátó munkavállaló.
(5)
A személyes adatok
tárolásának időtartama: az egyesületi tagság megszűnését követő 1 év.
(6)
Az érintettel az
adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a sportoló érdekeinek
érvényesítésén alapul
(7)
A sportoló a Serdin lap
kitöltésével egyidejűleg a jelen szabályzat 1.b.) számú
melléklete szerinti Tájékoztató átadásával
tájékoztatja a sportolót személyes adatainak kezeléséről és
személyhez fűződő jogokról.
7. Sportorvosi alkalmassági vizsgálatokkal kapcsolatos adatkezelés
(1) A sportolóval
szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet sportolásra vonatkozó szabály ír elő, vagy amely sportolásra,
versenyzésre vonatkozó szabályban meghatározott jog gyakorlása,
kötelezettség teljesítése érdekében
szükséges. A vizsgálat előtt részletesen tájékoztatni kell a sportolót többek között arról, hogy az alkalmassági
vizsgálat milyen készség, képesség
felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik. Amennyiben jogszabály írja elő a
vizsgálat elvégzését, akkor tájékoztatni
kell a munkavállalókat a jogszabály címéről és a pontos
jogszabályhelyről
is. E Tájékoztatáshoz kapcsolódó adatkezelési tájékoztató mintáját,
valamint a hatályos rendeleteket jelen szabályzat 3. számú melléklete tartalmazza.
(2)
Az egyértelműen
sportolással kapcsolatos, az edzések hatékonyabb megszervezése,
lebonyolítása érdekében csak akkor tölthető ki a sportolók nagyobb csoportjával pszichológiai, vagy személyiségjegyek kutatására alkalmas tesztlap, ha az elemzés során felszínre került adatok
nem köthetők az egyes konkrét sportolóhoz, vagyis
anonim módon történik az adatok feldolgozása.
(3)
A kezelhető személyes adatok köre: a
sportolói alkalmasság ténye, és az ehhez szükséges feltételek.
(4)
Az adatkezelés jogalapja:
a sportoló jogos érdeke.
(5)
A személyes adatok
kezelésének célja: sportolói nyilvántartás létesítése, fenntartása.
(6)
A személyes adatok
címzettjei, illetve a címzettek kategóriái: A vizsgálat eredményt a vizsgált sportolók, illetve a vizsgálatot végző szakember ismerhetik meg. A egyesület csak azt az információt kaphatja meg, hogy a vizsgált személy a sportolásra alkalmas-e vagy sem, illetve milyen
feltételek biztosítandók ehhez. A vizsgálat
részleteit, illetve annak teljes dokumentációját azonban a egyesület nem ismerheti meg.
(7)
A személyes adatok
kezelésének időtartama: az egyesületi tagság megszűnését követő 1 év.
8. Sportolók adatainak kezelése
(1) A kezelhető
személyes adatok köre: a természetes személy neve, születési ideje, helye, anyja neve, lakcím, TAJ szám,
fénykép, telefonszám, e-mail cím, a sportolóról készített edzői
feljegyzés (ha van), gyógyszerszedéssel, allergiával kapcsolatos adatok.
(2) A személyes adatok kezelésének célja: az egyesületbe való jelentkezés.
(3)
Az adatkezelés jogalapja:
az érintett hozzájárulása.
(4)
A személyes adatok
címzettjei, illetve a címzettek kategóriái: az Egyesület vezetője, az
edző, az adatkezelési feladatokat ellátó munkavállaló.
(5)
A személyes adatok
tárolásának időtartama: az egyesületi tagság ideje alatt, illetve a tagság
megszűnését követően maximum 1 évig.
(6)
A munkáltató csak az
érintett kifejezett, egyértelmű és önkéntes hozzájárulása
alapján őrizheti meg a sportolói adatokat, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében
szükség van. E hozzájárulást a felvételi
eljárás lezárását követően kell kérni a jelentkezőktől.
9. E-mail fiók használatának ellenőrzésével
kapcsolatos adatkezelés
(1)
Ha az Egyesület e-mail
fiókot bocsát a munkavállaló rendelkezésére — ezen email címet és fiókot a munkavállaló kizárólag munkaköri feladatai céljára használhatja, annak érdekében, hogy az Egyesület tagjai ezen keresztül
tartsák egymással a kapcsolatot, vagy az
Egyesület képviseletében levelezzenek más személyekkel, szervezetekkel.
(2) A munkavállaló az e-mail fiókot személyes célra nem használhatja, a fiókban
személyes leveleket nem tárolhat.
(3)
A munkáltató jogosult az
e-mail fiók teljes tartalmát és használatát rendszeresen
— 3 havonta - ellenőrizni, ennek során az adatkezelés jogalapja a munkáltató jogos érdeke. Az ellenőrzés célja az e-mail fiók használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, továbbá a munkavállalói
kötelezettségek (Mt. 8.§, 52. §) ellenőrzése.
(4) Az
ellenőrzésre és adatkezelésre a munkáltató vezetője, vagy a munkáltatói jogok
gyakorlója jogosult.
(5) Amennyiben az ellenőrzés körülményei nem zárják ki, ennek lehetőségét, biztosítani
kell, hogy a munkavállaló jelen lehessen az ellenőrzés során.
(6)
Az ellenőrzés előtt
tájékoztatni kell a munkavállalót arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre, munkáltató részéről ki végezheti az ellenőrzést, - milyen szabályok szerint kerülhet sor
ellenőrzésre (fokozatosság elvének betartása) és
mi az eljárás menete, - milyen jogai és jogorvoslati
lehetőségei vannak a az e-mail fiók ellenőrzésével együtt járó adatkezeléssel
kapcsolatban.
(7)
Az ellenőrzés során a fokozatosság elvét kell
alkalmazni, így elsődlegesen az e-mail
címéből és tárgyából kell megállapítani, hogy az a munkavállaló munkaköri feladatával kapcsolatos, és nem
személyes célú. Nem személyes célú e-mailek tartalmát a munkáltató
korlátozás nélkül vizsgálhatja.
(8)
Ha jelen szabályzat
rendelkezéseivel ellentétben az állapítható meg, hogy a munkavállaló az e-mail fiókot személyes célra használta, fel kell szólítani
a munkavállalót, hogy a személyes adatokat
haladéktalanul törölje. A munkavállaló távolléte,
vagy együttműködésének hiánya esetén a személyes adatokat az ellenőrzéskor a munkáltató törli. Az e-mail fiók jelen
szabályzattal ellentétes használata miatt a
munkáltató a munkavállalóval szemben munkajogi jogkövetkezményeket
alkalmazhat.
(9)
A munkavállaló az e-mail
fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban e
szabályzatnak az érintett jogairól szóló fejezetében írt jogokkal élhet.
10. Számítógép, laptop, tablet ellenőrzésével
kapcsolatos adatkezelés
(1) z Egyesület által a munkavállaló részére munkavégzés céljára
rendelkezésre bocsátott számítógépet, laptopot, tabletet a munkavállaló
kizárólag munkaköri feladata ellátására
használhatja, ezek magáncélú használatát az Egyesület megtiltja, ezen eszközökön a munkavállaló
semmilyen személyes adatot, levelezését
nem kezelheti, és nem tárolhatja. A munkáltató ezen eszközökön tárolt
adatokat ellenőrizheti. Ezen eszközök munkáltató általi ellenőrzésére és
jogkövetkezményire egyebekben az előbbi 9.§ rendelkezései irányadók.
11. A munkahelyi internethasználat ellenőrzésével
kapcsolatos adatkezelés
(1)
A munkavállaló csak a
munkaköri feladatával kapcsolatos honlapokat tekintheti
meg, a személyes célú munkahelyi internethasználatot a munkáltató megtiltja.
(2)
A munkaköri feladatként az
Egyesület nevében elvégzett internetes regisztrációk
jogosultja az Egyesület, a regisztráció során a társaságra utaló azonosítót, jelszót kell alkalmazni. Amennyiben a személyes adatok megadása
is szükséges a regisztrációhoz, a munkaviszony
megszűnésekor azok törlését köteles kezdeményezni az Egyesület.
(3)
A munkavállaló
munkahelyi internethasználatát a munkáltató ellenőrizheti, amelyre és
jogkövetkezményire a 9. § rendelkezései irányadók.
12. Céges mobiltelefon használatának ellenőrzésével
kapcsolatos adatkezelés
(1) A munkáltató nem engedélyezi a céges mobiltelefon magáncélú
használatát, a mobiltelefon csak munkavégzéssel
összefüggő célokra használható, és a munkáltató
valamennyi kimenő hívás hívószámát és adatait, továbbá a mobiltelefonon tárolt adatokat ellenőrizheti.
(2)
A munkavállaló köteles bejelenteni a munkáltatónak,
ha a céges
mobiltelefont magáncélra használta. Ez
esetben az ellenőrzés akként folytatható le, hogy a munkáltató
hívásrészletezőt kér a telefonszolgáltatótól és felhívja a munkavállalót arra, hogy a dokumentumon a magáncélú
hívások esetében a hívott számokat tegye felismerhetetlenné. A munkáltató előírhatja, hogy a magáncélú hívások költségeit
a munkavállaló viselje.
(3)
Egyebekben az
ellenőrzésre és jogkövetkezményire a 9.§ rendelkezései irányadók.
13. Edzéseken, versenyeken rögzített videó felvételekkel kapcsolatos
adatkezelés
(1)
Edzéseken, versenyeken a sportoló teljesítményének rögzítése, kielemzése
céljából fénykép, illetve videó felvétel készíthető az érintettek, illetve
törvényes képviselőik beleegyezésével
(2) Ezen adatkezelés jogalapja az egyesület jogos érdekeinek érvényesítése, és az érintett
hozzájárulása.
(3)
A tájékoztatást
minden egyes esetben meg kell adni. Ez a
tájékoztatás tartalmazza a fénykép, videó felvétel tényéről, valamint a személyes adatokat
tartalmazó kép- és hangfelvétel 
készítésének,
tárolásának céljáról, az adatkezelés jogalapjáról, a felvétel tárolásának helyéről, a tárolás időtartamáról, a rendszert alkalmazó
(üzemeltető) személyéről, az adatok megismerésére
jogosult személyek köréről, a felvétel tárolásával kapcsolatos adatbiztonsági
intézkedésekről, továbbá az érintettek jogaira és
érvényesítésük rendjére vonatkozó tájékoztatást is. A tájékoztatás mintája a
szabályzat 4. számú melléklete.
(4) Adatbiztonsági intézkedések:
a)
A felvétel hordozó
eszközeit elzárt helyen kell tárolni.
b) A tárolt képfelvételekhez hozzáférés csak biztonságos módon, és akként történhet,
hogy az adatkezelő személye azonosítható legyen.
c)A tárolt képfelvételek visszanézését és a képfelvételekről készített
mentést dokumentálni kell.
(5)Az, akinek jogát vagy jogos érdekét a kép-, hang-, vagy a kép- és hangfelvétel adatának rögzítése érinti, a kép-, hang-, valamint kép- és hangfelvétel rögzítésétől számított három munkanapon belül jogának vagy
jogos érdekének igazolásával kérheti, hogy
az adatot annak kezelője ne semmisítse meg, illetve ne törölje.
IV. FEJEZET
SZERZŐDÉSHEZ KAPCSOLÓDÓ ADATKEZELÉSEK
14. Versenyszervezés céljából
felkeresett, megbízott partnerek, hivatalok, szolgáltatók nyilvántartása
(3)
(1) A versenyszervezés céljából felkeresett partnerek, hivatalok, szolgáltatók
képviseletében természetes személy nevét,
telefonszámát, e-mail címét kezeli az Egyesület az érintettek beleegyezésével. Ezen adatokat harmadik félnek nem adja
tovább. A fenti adatok címzettje az Egyesület vezetője, valamint az Egyesület
részéről megbízott kapcsolattartó. Az adatok tárolásának időtartama:
visszavonásig tárolja az Egyesület. Az adatkezelés kikötésről szóló
tájékoztatót az 5. számú melléklet tartalmazza.
(3) Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni
kell, hogy az adatkezelés kapcsolattartás céljából történik és az harmadik fél
részére nem kerül továbbításra, csak a természetes személy felhatalmazását,
illetve beleegyezését követően. A Hozzájáruló nyilatkozat a szabályzat 5.a). számú melléklete .
15. Verseny szervezés lebonyolításában részt vevő partnerek, hivatalok,
szolgáltatók természetes személy képviselőinek elérhetőségi adatai
(1) A kezelhető személyes adatok
köre: a természetes személy neve, telefonszáma, e-mail címe
(2) A személyes adatok kezelésének
célja: a versennyel kapcsolatos üzleti kapcsolattartás; jogalapja: az érintett
hozzájárulása
(3) A személyes adatok címzettjei;
illetve a címzettek kategóriája: az Egyesület vezetője, ügyintézője,
sportszervezője
(4) A személyes adatok tárolásának
időtartama: a természetes személy hozzájárulásának visszavonásáig
(5) Az adatok kezeléséhez a
természetes személy telefonos egyeztetés során, illetve a megrendelő
aláírásával járul hozzá és a természetes személy kéréséig tárolható.
16. Látogatói adatkezelés az Egyesület honlapján – Tájékoztatás sütik
(cookie) alkalmazásáról
(1) A süti (angolul cookie) egy
olyan adat, amit a meglátogatott weboldal küld a látogató böngészőjének
(változónév-érték formában), hogy az eltárolja és később ugyanaz a weboldal be
is tudja tölteni a tartalmát.
(2) Egy felhasználónak az
elektronikus hírközlő végberendezésen csak az érintett felhasználó világos és
teljes körű – az adatkezelés céljára is kiterjedő- tájékoztatást követő
hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adatokat
hordozni (2003. évi C. törvény 155.§/4/). Ez alapján az Egyesület honlapján az
első látogatáskor egy rövid összefoglalót kell adni a látogató számára a sütik
alkalmazásáról és egy linken keresztül utalni kell a teljes körű tájékoztató
elérésére (2. számú melléklet szerinti
adatkezelési tájékoztató). E tájékoztatóval az Egyesület biztosítja, hogy a
látogató a honlap információs társadalommal összefüggő szolgáltatásainak
igénybevétele előtt és az igénybevétel során bármikor megismerhesse, hogy az
Egyesület mely adatkezelési célokból mely adatfajtákat kezel, ideértve az
igénybe vevővel közvetlenül kapcsolatba nem hozható adatok kezelését is.
(3) Az elektronikus kereskedelmi
szolgáltatások, valamint az információs társadalmi szolgáltatások egyes
kérdéseiről szóló 2001.CVIII. törvény (Elkertv.) 13/A.§ (3) bekezdése szerint a
szolgáltató a szolgáltatás nyújtása céljából kezelheti azon személyes adatokat,
amelyek a szolgáltatás nyújtásához technikailag elengedhetetlenül szükségesek.
A szolgáltatónak az egyéb feltételek azonossága esetén úgy kell megválasztania
és minden esetben oly módon kell üzemeltetnie az információs társadalommal
összefüggő szolgáltatás nyújtása során alkalmazott eszközöket, hogy személyes
adatok kezelésére csak akkor kerüljön sor, ha ez a szolgáltatás nyújtásához és
az e törvényben meghatározott egyéb célok teljesüléséhez feltétlenül szükséges,
azonban ebben az esetben is csak a szükséges mértékben és ideig.
17. Regisztráció az
Egyesület honlapján
(1) A honlapon a
regisztráló természetes személy az erre vonatkozó négyzet bejelölésével adhatja
meg hozzájárulását személyes adatai kezeléséhez. Tilos a négyzet előre
bejelölése.
(2) A kezelhető személyes
adatok köre: a természetes személy neve (vezetéknév, keresztnév), címe,
telefonszáma, e-mail címe, online azonosító, számlázási, postázási név és cím.
(3) A személyes adatok
kezelésének célja:
1. A honlapon nyújtott
szolgáltatások teljesítése.
2. Kapcsolatfelvétel,
elektronikus, telefonos, SMS, és postai megkereséssel.
3. Tájékoztatás az Egyesület
tevékenységeiről, szolgáltatásairól
4. A honlap használatának
elemzése.
(4) Az adatkezelés
jogalapja az érintett hozzájárulása
(5) A személyes adatok
címzettjei, illetve a címzettek kategóriái: az Egyesület adatfeldolgozó
tevékenységet végző munkavállalói.
(6) A személyes adatok
tárolásának időtartama: a regisztráció / szolgáltatás aktív fennállásáig, vagy
az érintett hozzájárulása visszavonásáig (törlési kérelméig).
V. FEJEZET
ADATBIZONSÁGI INTÉZKEDÉSEK
18. Adatbiztonsági
intézkedések
1. )Az Egyesület valamennyi
célú és jogalapú adatkezelése vonatkozásában a személyes adatok biztonsága
érdekében köteles megtenni azokat a technikai és szervezési intézkedéseket és
kialakítani azokat az eljárási szabályokat, amelyek a Rendelet és az Infotv.,
érvényre juttatásához szükségesek.
2. )Az Adatkezelő az adatokat
megfelelő intézkedésekkel védi a véletlen vagy jogellenes megsemmisítés,
elvesztés, megváltoztatás, sérülés, jogosulatlan nyilvánosságra hozatal vagy az
azokhoz való jogosulatlan hozzáférés ellen.
3. )Az Egyesület a személyes
adatokat bizalmas adatként minősíti és kezeli. A munkavállalókkal a személyes
adatok kezelésére vonatkozóan titoktartási kötelezettséget ír elő, amelyre a 6. számú melléklet szerinti
kikötést kell alkalmazni. A személyes adatokhoz való hozzáférést a Társaság
jogosultsági szintek megadásával korlátozza.
4. )Az Egyesület az
informatikai rendszereket tűzfallal védi, és vírusvédelemmel látja el.
5.)Az Egyesület alkalmazottai
a munkahelyi gépekhez csatlakoztathatják saját számítástechnikai eszközeiket,
adattároló és rögzítő eszközeiket.
6.) Az Egyesület az
elektronikus adatfeldolgozást, nyilvántartást számítógépes program útján végzi,
amely megfelel az adatbiztonság követelményeinek. A program biztosítja, hogy az
adatokhoz csak célhoz kötötten, ellenőrzött körülmények között csak azon
személyek férjenek hozzá, akiknek a feladataik ellátása érdekében erre
szükségük van.
7.) A személyes adatok
automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további
intézkedésekkel biztosítja:
a) a jogosulatlan adatbevitel
megakadályozását;
b) az automatikus
adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli
berendezés segítségével történő használatának megakadályozását;
c) annak ellenőrizhetőségét
és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés
alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
d)
annak ellenőrizhetőségét
és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az
automatikus adatfeldolgozó rendszerekbe;
e) a telepített rendszerek
üzemzavar esetén történő helyreállíthatóságát és
f) azt, hogy az automatizált feldolgozás során
fellépő hibákról jelentés készüljön.
8.) Az Egyesület a
személyes adatok védelme érdekében gondoskodik az elektronikus úton folytatott
bejövő és kimenő kommunikáció ellenőrzéséről.
9.) Az Egyesület által
kezelt személyes adatok interneten történő megosztása tilos!
10.) A munkahelyen és az
Egyesület eszközein fájl letöltő-, játék-, csevegő-, szexuális szolgáltatásokat
kínáló oldalak látogatása szigorúan tilos!
11.) Külső forrásból
kapott vagy letöltött, nem engedélyezett programok használata tilos!
(12) A folyamatban levő
munkavégzés, feldolgozás alatt levő iratokhoz csak az illetékes ügyintézők
férhetnek hozzá, a személyes adatokat tartalmazó iratokat biztonságosan elzárva
kell tartani.
(13) Biztosítani kell az
adatok és az azokat hordozó eszközök, iratok megfelelő fizikai védelmét.
VI. FEJEZET
AZ EGYESÜLET ADATFELDOLGOZÓ TEVÉKENYSÉGE
19. Adatfeldolgozó
tevékenységek
Az Egyesület az alábbi tevékenységek
tekintetében végez adatfeldolgozást:
1. Edzések
-
sportolók nyilvántartása
-
kiskorú sportolók esetén
kapcsolattartó elérhetőségei
-
edzések, edzőtáborok,
táborok kapcsán szálláshelyek, éttermek, közlekedési vállalatok, magánszemélyek
2. Versenyek lebonyolítása
-
versenyszervezés
lebonyolításához kapcsolatok elérhetőségei, számlázási adatok
-
versenyen induló sportolók
adatai, elérhetőségei
20. Adatfeldolgozói
garancianyújtás
(1) Az Egyesület
adatfeldolgozóként garantálja — különösen a szakértelem, a meg- bízhatóság és
az erőforrások tekintetében — hogy az Európai Parlament és Tanács 2016.április
27-i (EU) rendeletének követelményeinek teljesülését biztosító technikai és
szervezési intézkedéseket végrehajtja, ideértve az adatkezelés biztonságát is.
(2) Az Adatfeldolgozó
tevékenysége során biztosítja, hogy az érintett személyes adatokhoz való
hozzáférésre feljogosított személyek — ha jogszabályon alapuló megfelelő
titoktartási kötelezettség hatálya alatt egyébként nem állnak — az általuk
megismert személyes adatok vonatkozásában titoktartási kötelezettséget
vállaljanak. Az alkalmazandó Titoktartási
nyilatkozat szövegét jelen szabályzat 6.
számú melléklete tartalmazza.
(7) Az Egyesület megfelelő
hardver és szoftver eszközökkel rendelkezik., az adatkezelés jogszerűségének és
az érintettek jogai védelmének biztosítására alkalmas műszaki és szervezési
intézkedések végrehajtására kötelezettséget vállal.
(8) Az Egyesület az állami
szervekkel való elektronikus kapcsolattartás jogi és technikai feltételeivel
rendelkezik.
(10) Egyesületünk
vállalja, hogy a megbízó adatkezelő rendelkezésére bocsát minden olyan
információt, amely az adatfeldolgozó igénybevételére vonatkozó jogi
rendelkezéseknek való megfelelés igazolásához szükséges.
21. A megbízó (adatkezelő)
kötelezettségei és jogai
1.
Adatkezelő jogosult
ellenőrizni Adatfeldolgozónál a szerződés szerinti tevékenység végrehajtását.
2.
Adatkezelőnek a
szerződésben meghatározott feladatokkal kapcsolatos utasításai jogszerűségéért
az Adatkezelőt terheli felelősség, ugyanakkor az Adatfeldolgozó köteles
haladéktalanul jelezni az Adatkezelőnek, amennyiben Adatkezelő utasítása vagy
annak végrehajtása jogszabályba ütközne.
3. Az Adatkezelő
kötelezettsége, hogy az érintett természetes személyeket jelen szerződés
szerinti adatfeldolgozásról tájékoztassa, ha jogszabály előírja,
hozzájárulásukat beszerezze.
22. Egyesületünk, mint
adatfeldolgozó kötelezettségei és jogai
1. Utasítási jog: Az Adatfeldolgozó
tevékenysége során kizárólag az Adatkezelő írásbeli utasítása alapján jár el.
2. Titoktartás: Az Adatfeldolgozó
tevékenysége során biztosítja, hogy az érintett személyes adatokhoz való
hozzáférésre feljogosított személyek — ha jogszabályon alapuló megfelelő
titoktartási kötelezettség hatálya alatt egyébként nem állnak — az általuk
megismert személyes adatok vonatkozásában titoktartási kötelezettséget
vállaljanak.
3. Adatbiztonság: Az Adatfeldolgozó a
tudomány és technológia állása és a megvalósítás költségei, továbbá az
adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes
személyek jogaira és szabadságaira jelentett, változó valószínűségű és
súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési
intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő
szintű adatbiztonságot garantálja. Az Adatfeldolgozó intézkedéseket hoz annak
biztosítására, hogy az irányítása alatt eljáró, a személyes adatokhoz
hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő
utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől
való eltérésre uniós vagy tagállami jog kötelezi őket. Az Adatfeldolgozó gondoskodik
arról, hogy a tárolt adatokhoz belső rendszeren keresztül vagy közvetlen
hozzáférés útján kizárólag az arra feljogosított személyek, és kizárólag az
adatkezelés céljával összefüggésben férjenek hozzá. Az Adatfeldolgozó
gondoskodik a felhasznált eszközök szükséges, rendszeres karbantartásáról,
fejlesztéséről. Az adatokat tároló eszközt megfelelő fizikai védelemmel
ellátott zárt helyiségben helyezi el, gondoskodik annak fizikai védelméről is.
Adatfeldolgozó a szerződésben meghatározott feladatok ellátása érdekében
megfelelő ismerettel és gyakorlattal rendelkező személyeket köteles igénybe
venni. Köteles továbbá gondoskodni az általa igénybe vett személyek
felkészítéséről a betartandó adatvédelmi jogszabályi rendelkezések, a jelen
szerződésben foglalt kötelezettségek, valamint az adatfelvétel célja és módja
tekintetében.
4. További adatfeldolgozó
igénybevétele: Az Adatfeldolgozó
vállalja, hogy további adatfeldolgozót csak a Rendeletben és az Infotv-ben
meghatározott feltételek teljesítése mellett vesz igénybe. Az adatkezelő jelen
szerződésben általános felhatalmazást ad az Adatfeldolgozónak, hogy további
adatfeldolgozót (alvállalkozót) vegyen igénybe. Az Adatfeldolgozó a további
adatfeldolgozó igénybe vételét megelőzően tájékoztatja az adatkezelőt a további
adatfeldolgozó személyéről, valamint a további adatfeldolgozó által végzendő
tervezett feladatokról. Ha az adatkezelő ezen tájékoztatás alapján a további
adatfeldolgozó igénybe vételével szemben kifogást emel, a további
adatfeldolgozó igénybevételére az adatfeldolgozó
kizárólag a kifogásban megjelölt feltételek teljesítése esetén jogosult. Ha az
adatfeldolgozó bizonyos, az adatkezelő nevében végzett konkrét adatkezelési
tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, erre
köteles írásba foglalt szerződést kötni, és abban a további adatfeldolgozóra is
ugyanazokat az adatvédelmi kötelezettségeket telepíteni, mint amelyek az
adatkezelő és az adatfeldolgozó között létrejött jelen szerződésben
szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő
garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések
végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e
rendelet követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi
kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az
adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.
5. Együttműködés az
Adatkezelővel:
a) Egyesületünk, mint
adatfeldolgozó tevékenysége során minden megfelelő eszközzel segíti az
Adatkezelőt az érintettek jogai érvényesítésének elősegítése, ezzel kapcsolatos
kötelezettségei teljesítése érdekében.
b) Egyesületünk, mint
Adatfeldolgozó segíti az adatkezelőt a Rendelet 32-36. cikk (Adatbiztonság,
Adatvédelmi hatásvizsgálat és előzetes konzultáció) szerinti kötelezettségek
teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó
rendelkezésére álló információkat.
e)Egyesületünk, mint
adatfeldolgozó az adatkezelő rendelkezésére bocsát minden olyan információt,
amely a Rendelet 28. cikkében (Az adatfeldolgozó) meghatározott kötelezettségek
teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és
elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett
auditokat, beleértve a helyszíni vizsgálatokat is. Ezen ponttal kapcsolatban az
adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy
annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy uniós
adatvédelmi rendelkezéseket.
23. Egyesületünk
adatfeldolgozási tevékenységének általános szerződési feltételei
(1) Az Egyesület az
adatfeldolgozási tevékenységre a megbízóval írásbeli szerződést köt.
(2) Az Egyesület
adatfeldolgozási tevékenységének általános szerződési feltételeit jelen
szabályzat 7. számú melléklete tartalmazza.
(3) Az általános szerződési
feltétel tartalmát a másik féllel a szerződéskötést megelőzően meg kell
ismertetni, és azt a másik félnek el kell fogadnia.
VII. FEJEZET
ADATVÉDELMI INCIDENSEK KEZELÉSE
24. Az adatvédelmi
incidens fogalma
(1)
Adatvédelmi incidens:: a
biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt
személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését,
megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan
hozzáférést eredményezi; (Rendelet 4. cikk 12.)
(2)
A leggyakoribb jelentett
incidensek lehetnek például: a laptop vagy mobil telefon elvesztése, személyes
adatok nem biztonságos tárolása (pl. szemetesbe dobott fizetési papírok);
adatok nem biztonságos továbbítása, ügyfél- és vevő-partnerlisták illetéktelen
másolása, továbbítása, szerver elleni támadások, honlap feltörése
25. Adatvédelmi incidensek
kezelés, orvoslása
(1) Adatvédelmi incidensek
megelőzése, kezelése, a vonatkozó jogi előírások betartása az Egyesület
vezetőjének feladata.
(2) Az informatikai
rendszereken naplózni kell a hozzáféréseket és hozzáférési kísérleteket, és
ezeket folyamatosan elemezni kell.
(3) Amennyiben az Egyesület
ellenőrzésre jogosult munkavállalói a feladataik ellátása során adatvédelmi
incidenst észlelnek, haladéktalanul értesíteniük kell az Egyesület vezetőjét.
(4) Az Egyesület munkavállalói
kötelesek jelenteni az Egyesület vezetőjének, vagy a munkáltatói jogok
gyakorlójának, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek.
(5) Adatvédelmi incidens
bejelenthető az Egyesület központi e-mail címén, telefonszámán, amelyen a
munkavállalók, szerződő partnerek, érintettek jelenteni tudják az alapul
szolgáló eseményeket, biztonsági gyengeségeket.
(6) Adatvédelmi incidens
bejelentése esetén az Egyesület vezetője — az informatikai, pénzügyi és
működési vezető bevonásával — haladéktalanul megvizsgálja a bejelentést, ennek
során azonosítani kell az incidenst, el kell dönteni, hogy valódi incidensről,
vagy téves riasztásról van szó. Meg kell vizsgálni és meg kell állapítani:
a.
az incidens
bekövetkezésének időpontját és helyét,
b.
az incidens leírását,
körülményeit, hatásait,
c.
az incidens során
kompromittálódott adatok körét, számosságát,
d.
a kompromittálódott
adatokkal érintett személyek körét,
e.
az incidens elhárítása
érdekében tett intézkedések leírását,
f.
a kár megelőzése,
elhárítása, csökkentése érdekében tett intézkedések leírását.
(7) Adatvédelmi incidens
bekövetkezése esetén az érintett rendszereket, személyeket, adatokat be kell
határolni és el kell különíteni és gondoskodni kell az incidens bekövetkezését
alátámasztó bizonyítékok begyűjtéséről és megőrzéséről. Ezt követően lehet megkezdeni
a károk helyreállítását és a jogszerű működés visszaállítását.
26. Adatvédelmi incidensek
nyilvántartása
(1) Az adatvédelmi
incidensekről nyilvántartást kell vezetni, amely tartalmazza:
a)
az érintett személyes
adatok körét,
b)
az adatvédelmi incidenssel
érintettek körét és számát,
c)
az adatvédelmi incidens
időpontját,
d)
az adatvédelmi incidens
körülményeit, hatásait,
e)
az adatvédelmi incidens
orvoslására megtett intézkedéseket,
f)
az adatkezelést előíró
jogszabályban meghatározott egyéb adatokat.
(2) A nyilvántartásban
szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.
VIII. FEJEZET
ADATVÉDELMI HATÁSVIZSGÁLAT
ÉS ELŐZETES KONZULTÁCIÓ
27. Adatvédelmi
hatásvizsgálat és előzetes konzultáció
(1)
Ha az adatkezelés valamely
— különösen új technológiákat alkalmazó —típusa —, figyelemmel annak jellegére,
hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár
a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az
adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a
tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.
Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz
hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között
is értékelhetőek.
(2)
Ha az adatvédelmi
hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat
mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas
kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő
konzultál a felügyeleti hatósággal.
(3) Az adatvédelmi
hatásvizsgálat és előzetes konzultáció részletes szabályaira a rendelet 35-36.
ckkei és az Infotv. rendelkezései irányadók.
IX. FEJEZET
AZ ÉRINTETT SZEMÉLY JOGAI
28. Tájékoztatás az
érintett jogairól
(1) Az érintett jogai röviden
összefoglalva:
1. Átlátható tájékoztatás,
kommunikáció és az érintett joggyakorlásának elősegítése
2. Előzetes tájékozódáshoz
való jog — ha a személyes adatokat az érintettől gyűj .
3. Az érintett tájékoztatása
és a rendelkezésére bocsátandó információk, ha a személyes adatokat az
adatkezelő nem tőle szerezte meg
4. Az érintett hozzáférési
joga
5. A helyesbítéshez való jog
6. A törléshez való jog („az
elfeledtetéshez való jog")
7. Az adatkezelés
korlátozásához való jog
8. A személyes adatok
helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához
kapcsolódó értesítési kötelezettség
9. Az adathordozhatósághoz
való jog
10. A tiltakozáshoz való jog
11. Automatizált döntéshozatal
egyedi ügyekben, beleértve a profilalkotást
12. 
Korlátozások
13.Az érintett tájékoztatása az adatvédelmi
incidensről
14. A felügyeleti
hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)
15. A felügyeleti hatósággal
szembeni hatékony bírósági jogorvoslathoz való jog
16.Az adatkezelővel vagy
az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog.
(2) Az érintett jogai
részletesen:
1.Átlátható tájékoztatás, kommunikáció
és az érintett joggyakorlásának elősegítése
1.1. Az adatkezelőnek az
érintett részére a személyes adatok kezelésére vonatkozó valamennyi információt
és minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető
formában, világosan és közérthetően megfogalmazva kell nyújtania, különösen a
gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy
más módon — ideértve adott esetben az elektronikus utat is — kell megadni. Az
érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon
igazolták az érintett személyazonosságát.
1.2. Az adatkezelőnek elő kell
segítenie az érintett jogainak a gyakorlását.
1.3. Az adatkezelő
indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől
számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására
irányuló kérelme nyomán hozott intézkedésekről. E határidő a Rendeletben írt
feltételekkel további két hónappal meghosszabbítható. amelyről az érintettet
tájékoztatni kell.
1.4. Ha az adatkezelő nem tesz
intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a
kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az
intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt
nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati
jogával.
1.5. Az adatkezelő az
információkat és az érintett jogairól szóló tájékoztatást és intézkedést
díjmentesen biztosítja, azonban a Rendeletben írt esetekben díj számítható fel.
A részletes szabályok a
Rendelet 12 cikke alatt találhatók.
2. Előzetes tájékozódáshoz
való jog — ha a személyes adatokat az érintettől gyűjtik
2.1. Az érintett jogosult
arra, hogy az adatkezeléssel összefüggő tényekről és információkról az
adatkezelés megkezdését megelőzően tájékoztatást kapjon. Ennek keretében az
érintettet tájékoztatni kell:
a) az adatkezelő és
képviselője kilétéről és elérhetőségeiről,
b) 
az adatvédelmi tisztviselő
elérhetőségeiről (ha van ilyen)
c) a személyes adatok
tervezett kezelésének céljáról, valamint az adatkezelés jogalapjáról,
d) jogos érdek érvényesítésén alapuló adatkezelés
esetén, az adatkezelő vagy harmadik fél jogos érdekeiről,
e) a személyes adatok
címzettjeiről — akikkel a személyes adatot közlik - , illetve a címzettek
kategóriáiról, ha van ilyen;
e) adott esetben annak
tényéről, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet
részére kívánja továbbítani a személyes adatokat.
2.2. A tisztességes és
átlátható adatkezelés biztosítása érdekében az adatkezelőnek az érintettet a
következő kiegészítő információkról kell tájékoztatnia:
a) a személyes adatok
tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam
meghatározásának szempontjairól;
b) az érintett azon jogáról,
hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való
hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és
tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz
való jogáról;
c) az érintett hozzájárulásán
alapuló adatkezelés esetén arról, hogy a hozzájárulás bármely időpontban
történő visszavonásához való jog, amely nem érinti a visszavonás előtt a
hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
d) a felügyeleti hatósághoz címzett panasz
benyújtásának jogáról;
e) arról, hogy a személyes
adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy
szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a
személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat
az adatszolgáltatás elmaradása;
t) az automatizált
döntéshozatal tényéről, ideértve a profilalkotást is, valamint legalább ezekben
az esetekben az alkalmazott logikáról, és arra vonatkozóan érthető
információkról, hogy az ilyen adatkezelés milyen jelentőséggel, és az
érintettre nézve milyen várható következményekkel bír.
2.3. Ha az adatkezelő a
személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést
kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az
érintettet erről az eltérő célról és minden releváns kiegészítő információról.
Az előzetes tájékozódáshoz
való jog részletes szabályait a Rendelet 13. cikke tartalmazza.
3. Az érintett
tájékoztatása és a rendelkezésére bocsátandó információk, ha a személyes
adatokat az adatkezelő nem tőle szerezte meg
3.1. Ha az adatkezelő a
személyes adatokat nem az érintettől szerezte meg, az érintettet az
adatkezelőnek a személyes adatok megszerzésétől számított legkésőbb egy hónapon
belül; ha a személyes adatokat az érintettel való kapcsolattartás céljára
használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok
első alkalommal való közlésekor tájékoztatnia kell az előbbi 2. pontban írt
tényekről és információkról, továbbá az érintett személyes adatok
kategóriáiról, valamint a személyes adatok forrásáról és adott esetben arról,
hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e.
3.2. A további szabályokra az
előbbi 2. pontban (Előzetes tájékozódáshoz való jog) írtak irányadók.
E tájékoztatás részletes
szabályait a Rendelet 14. cikke tartalmazza.
4. Az érintett hozzáférési
joga
4.1. Az érintett jogosult
arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy
személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés
folyamatban van, jogosult arra, hogy a személyes adatokhoz és az előbbi 2-3.
pontban írt kapcsolódó információkhoz hozzáférést kapjon. (Rendelet 15. cikk).
4.2. Ha személyes adatoknak
harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül
sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra
vonatkozóan a Rendelet 46. cikk szerinti megfelelő garanciákról.
4.3. Az adatkezelőnek az
adatkezelés tárgyát képező személyes adatok másolatát az érintett
rendelkezésére kell bocsátania. Az érintett által kért további másolatokért az
adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat
számíthat fel.
Az érintett hozzáférési
jogára vonatkozó részletes szabályokat a Rendelt 15. cikke tartalmazza.
5. A helyesbítéshez való jog
5.1. Az érintett jogosult
arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a
rá vonatkozó pontatlan személyes adatokat.
5.2. Figyelembe véve az
adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes
adatok — egyebek mellett kiegészítő nyilatkozat útján történő — kiegészítését
is.
Ezen szabályokat a
Rendelet 16. cikke tartalmazza.
6. A törléshez való jog („az
elfeledtetéshez való jog")
6.1. Az érintett jogosult
arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá
vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az
érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje
ha
a) a személyes adatokra
már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon
kezelték;
b) az érintett visszavonja
az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más
jogalapja;
c) az érintett tiltakozik
az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az
adatkezelésre,
d) a személyes adatokat
jogellenesen kezelték;
e) a személyes adatokat az
adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség
teljesítéséhez törölni kell;
f) a személyes adatok
gyűjtésére közvetlenül gyermeknek kínált, információs társadalommal összefüggő
szolgáltatások kínálásával kapcsolatosan került sor.
6.2. A törléshez való jog nem
érvényesíthető, ha az adatkezelés szükséges
a) a véleménynyilvánítás
szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) az adatkezelőre
alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése,
illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány
gyakorlása keretében végzett feladat végrehajtása céljából;
c) a népegészségügy területét
érintő közérdek alapján;
d) a közérdekű archiválás
céljából, tudományos és történelmi kutatási célból vagy statisztikai célból,
amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy
komolyan veszélyeztetné ezt az adatkezelést; vagy
e) jogi igények
előterjesztéséhez, érvényesítéséhez, illetve védelméhez. A törléshez való jogra
vonatkozó részletes szabályokat a Rendelet 17. cikke tartalmazza.
7. Az adatkezelés
korlátozásához való jog
7.1. Az adatkezelés
korlátozása esetén az ilyen személyes adatokat a tárolás kivételével csak az
érintett hozzájárulásával, vagy jogi igények előterjesztéséhez,
érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy
jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos
közérdekéből lehet kezelni.
7.2. Az érintett jogosult
arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha ha az alábbiak
valamelyike teljesül:
a) az érintett vitatja a
személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra
vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes
adatok pontosságát;
b) az adatkezelés jogellenes,
és az érintett ellenzi az adatok törlését, és ehelyett kéri azok
felhasználásának korlátozását;
c) az Adatkezelőnek már nincs
szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli
azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett tiltakozott az
adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg
megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget
élveznek-e az érintett jogos indokaival szemben.
7.3. Az adatkezelés
korlátozásának feloldásáról az érintettet előzetesen tájékoztatni kell.
A vonatkozó szabályokat a
Rendelet 18. cikke tartalmazza.
8. A személyes adatok
helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához
kapcsolódó értesítési kötelezettség
Az adatkezelő minden olyan
címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy
adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot
közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy
erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e
címzettekről.
E szabályok a Rendelet 19.
cikke alatt találhatók.
9. Az adathordozhatósághoz
való jog
9.1. A Rendeletben írt
feltételekkel az érintett jogosult arra, hogy a rá vonatkozó, általa egy
adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben
használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy
ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt
akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére
bocsátotta, ha
a) az adatkezelés
hozzájáruláson, vagy szerződésen alapul; és
b) az adatkezelés
automatizált módon történik.
9.2. Az érintett kérheti a
személyes adatok adatkezelők közötti közvetlen továbbítását is.
9.3. Az adathordozhatósághoz
való jog gyakorlása nem sértheti a Rendelet 17. cikkét (A törléshez való jog
(„az elfeledtetéshez való jog"). Az adtahordozhatósághoz való jog nem
alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre
ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat
végrehajtásához szükséges. E jog nem érintheti hátrányosan mások jogait és
szabadságait.
A részletes szabályokat a
Rendelet 20. cikke tartalmazza.
10. A tiltakozáshoz való
jog
10.1. Az érintett jogosult
arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon
személyes adatainak közérdeken, közfeladat végrehajtásán (6. cikk (1) e)) ,
vagy jogos érdeken (6. cikk f)) alapuló kezelése ellen, ideértve az említett
rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a
személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja,
hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek
elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival
szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy
védelméhez kapcsolódnak.
10.2. Ha a személyes adatok
kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra,
hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő
kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez
kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen
üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a
továbbiakban e célból nem kezelhetők.
10.3. Ezen jogokra legkésőbb
az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni
annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más
információtól elkülönítve kell megjeleníteni.
10.4. Az érintett a
tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel
is gyakorolhatja.
10.5. Ha a személyes adatok
kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból
kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos
okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha
az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van
szükség.
A vonatkozó szabályokat a
Rendelet cikke tartalmazza.
11. Automatizált
döntéshozatal egyedi ügyekben, beleértve a profilalkotást
11.1. Az érintett jogosult
arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen —
ideértve a profilalkotást is — alapuló döntés hatálya, amely rá nézve
joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
11.2. Ez a jogosultság nem
alkalmazandó abban az esetben, ha a döntés:
a)
az érintett és az
adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
b)
meghozatalát az
adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely
az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is
megállapít; vagy
c) az érintett kifejezett
hozzájárulásán alapul.
11.3. Az előbbi a) és c)
pontjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket
tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme
érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő
részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel
szemben kifogást nyújtson be.
A további szabályokat a
Rendelet 22. cikke tartalmazza.
12. Korlátozások
Az adatkezelőre vagy
adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási
intézkedésekkel korlátozhatja jogok és kötelezettségek (Rendelet 1222. cikk,
34. cikk, 5. cikk) hatályát, ha a
korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges
tartalmát.
E korlátozás feltételeit a
Rendelet 23. cikke tartalmazza.
13. Az érintett
tájékoztatása az adatvédelmi incidensről
13.1. Ha az adatvédelmi
incidens valószínűsíthetően magas kockázattal jár a természetes személyek
jogaira és szabadságaira nézve, az adatkezelőnek indokolatlan késedelem nélkül
tájékoztatnia kell az érintettet az adatvédelmi incidensről. E tájékoztatásban
világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és
közölni kell legalább a következőket:
a.
az adatvédelmi tisztviselő
vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és
elérhetőségeit;
b) ismertetni kell az
adatvédelmi incidensből eredő, valószínűsíthető következményeket;
c) ismertetni kell az
adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett
intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő
esetleges hátrányos következmények enyhítését célzó intézkedéseket.
13.2. Az érintettet nem kell
az tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az adatkezelő megfelelő
technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az
intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében
alkalmazták, különösen azokat az intézkedéseket — mint például a titkosítás
alkalmazása —, amelyek a személyes adatokhoz való hozzáférésre fel nem
jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az adatkezelő az
adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek
biztosítják, hogy az érintett jogaira és szabadságaira jelentett, magas
kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan
erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan
közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést
kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
d) A további szabályokat a
Rendelet 34. cikke tartalmazza.
14. A felügyeleti
hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)
Az érintett jogosult arra,
hogy panaszt tegyen egy felügyeleti hatóságnál —különösen a szokásos
tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti
tagállamban —, ha az érintett megítélése szerint a rá vonatkozó személyes adatok
kezelése megsérti a Rendeletet. Az a felügyeleti hatóság, amelyhez a panaszt
benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási
fejleményekről és annak eredményéről, ideértve azt is, hogy a az ügyfél
jogosult bírósági jogorvoslattal élni.
E szabályokat a Rendelet
77. cikke tartalmazza.
15. A felügyeleti hatósággal
szembeni hatékony bírósági jogorvoslathoz való jog
15.1. Az egyéb közigazgatási
vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes
és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti
hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.
15.2. Az egyéb közigazgatási
vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett
jogosult a hatékony bírósági jogorvoslatra, ha az illetékes felügyeleti hatóság
nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az
érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy
annak eredményéről.
15.3. A felügyeleti hatósággal
szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága
előtt kell megindítani.
15.4. Ha a felügyeleti hatóság
olyan döntése ellen indítanak eljárást, amellyel kapcsolatban az egységességi
mechanizmus keretében a Testület előzőleg véleményt bocsátott ki vagy döntést
hozott, a felügyeleti hatóság köteles ezt a véleményt vagy döntést a bíróságnak
megküldeni.
E szabályokat a Rendelet
78. cikke tartalmazza.
16. Az adatkezelővel vagy az
adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
16.1. A rendelkezésre álló
közigazgatási vagy nem bírósági útra tartozó jogorvoslatok — köztük a
felügyeleti hatóságnál történő panasztételhez való jog —sérelme nélkül, minden
érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a
személyes adatainak, e rendeletnek nem megfelelő kezelése következtében
megsértették az e rendelet szerinti jogait.
16.2. Az adatkezelővel vagy az
adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó
tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen
eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam
bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely
tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve.
E szabályokat a Rendelet
79. cikke tartalmazza.
X. FEJEZET
ZÁRÓ RENDELKEZÉSEK
29. A Szabályzat
megállapítása és módosítása
A Szabályzat
megállapítására és módosítására az Egyesület ügyvezetője jogosult.
30. Intézkedések a szabályzat megismertetése
E Szabályzat
rendelkezéseit meg kell ismertetni az Egyesület valamennyi munkavállalójával
(foglalkoztatottjával), és a munkavégzésre irányuló szerződésekben elő kell
írni, hogy betartása és érvényesítése minden munkavállaló (foglalkoztatott)
lényeges munkaköri kötelezettsége. A munkaszerződési kikötés mintája jelen
szabályzat 8. számú melléklete
tartalmazza.
Az Egyesület nem kötheti szerződés megkötését, teljesítését olyan személyes
adatok kezeléséhez való hozzájárulás
megadásához, amelyek nem szükségesek a szerződés teljesítéséhez.