A Magyar Sumo Szakszövetség és a …………………………………. (továbbiakban együtt: Adatkezelő) az Európai Parlament és Tanács (EU) 2016/679 számú, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló általános adatvédelmi rendeletével (továbbiakban: Általános Adatvédelmi Rendelet/GDPR) összhangban az alábbi tájékoztatást adja

I.                    Adatkezelő

Név: Magyar Sumo Szakszövetség

Székhely: 1165 Budapest, Diósy Lajos u. 22/D.

Honlap: https://www.sumo.hu/

Telefonszám: +36-70-389-7393

E-mail cím: info@sumo.hu

Képviselő: László Ancsin

Képviselő elérhetősége: jegyzo16@gmail.com

valamint,

Név:

Székhely:

Honlap:

Telefonszám:

Fax:

E-mail cím:

Képviselő:

Képviselő elérhetősége:

II.                  Az adatvédelmi tisztviselők elérhetősége

A Sumo Szakszövetség esetén:

Adatvédelmi tisztviselő neve: Közinformatika Nonprofit Kft.

E-mail cím: dpo@kozinformatika.hu

levelezési cím: 1043 Budapest, Csányi László u. 34

Telefonos elérhetősége: 06 (1) 610 9383 / 103

III.                Érintettek kategóriái

A verseny helyszínére belépő természetes személyek, különös tekintettel a versenyen résztvevő személyekre

IV.               Kezelt adatok köre

•          érintett fotója, képmása

•          érintettről készült videofelvétel (képmás, hang)

V.                 Az adatkezelés célja

A szervezett sportversenyek dokumentálása, hírközlés, az Adatkezelő tevékenységének népszerűsítése a médiában, honlapon, közösségi oldalon, híroldalakon.

VI.               Az adatkezelés jogalapja

A GDPR 6. cikk (1) bekezdés f) pontja alapján, az Adatkezelő jogos érdeke.

VII.              A kezelt személyes adatok forrása

A személyes adatok forrása az érintett.

VIII.           A személyes adatok továbbítása, címzettjei, illetve a címzettek kategóriái[1]

Adatkezelő csak kivételes esetben és jogszabályi kötelezettség alapján adja át az Érintett személyes adatait állami szervek, hatóságok – így különösen bíróság, ügyészség, nyomozó hatóság és szabálysértési hatóság, Nemzeti Adatvédelmi és Információszabadság Hatóság – számára.

Amennyiben az adatkezelés, közösségi oldalakon valósul meg, az adatkezelés időtartamára, módjára, illetve az adatok törlési és módosítási lehetőségeire a közösségi oldal szabályozása vonatkozik.

IX.                A személyes adatok tárolásának ideje

A felvételek publikálásra kerülnek, utólagosan nem lehetséges a felvételek eltávolítása. Az Adatkezelőnél 1 évig kerülnek eltárolásra a nyers felvételek.

X.                  Az adatszolgáltatás elmaradásának lehetséges következményei

Az adatok szolgáltatásának elmaradása esetén a versenyre való belépés nem biztosítható.

XI.                Automatizált döntéshozatal (továbbá profilalkotás)

Az adatkezelés során automatizált döntéshozatalra, ideértve a profilalkotást is, nem kerül sor.

XII.              Az érintett adatkezeléssel kapcsolatos jogai

1.      Érintett tájékoztatáshoz való joga

A jelen Adatvédelmi tájékoztatóval biztosítja az Adatkezelő a tájékoztatást adatkezelési tevékenységről.

2.      Hozzáférés joga:

Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

• adatkezelő által kezelt, adatokról, az érintett személyes adatok kategóriáiról,
• ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ
• az adatkezelés céljáról, jogalapjáról
• adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
• azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
• az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen,
•  a felügyeleti hatósághoz címzett panasz benyújtásának jogáról,
• automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

 Az Érintett kérésére az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az Érintett rendelkezésére bocsátja első alkalommal díjmentesen.

Az Érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, díjat számíthat fel.

Az adatbiztonsági követelmények teljesülése és az érintett jogainak védelme érdekében az Adatkezelő köteles meggyőződni az érintett és a hozzáférési jogával élni kívánó személy személyazonosságának egyezéséről, ennek érdekében a tájékoztatás, az adatokba történő betekintés, illetve azokról másolat kiadása is az érintett személyének azonosításához kötött.

3.      Helyesbítéshez való jog

Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.

4.      Törléshez való jog

Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje az Érintettre vonatkozó személyes adatokat, amennyiben a jogszabályban rögzített indokok valamelyike fennáll.

5.      Az adatkezelés korlátozásához való jog

Az Érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

1. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
2. az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
3. az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
4. az érintett a GDPR 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az Érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

6.      A tiltakozáshoz való jog

Az Érintett személy saját helyzetével kapcsolatos okokból bármikor tiltakozhat az adatkezelés ellen, ha álláspontja szerint az Adatkezelő a személyes adatát a jelen adatkezelési tájékoztatóban megjelölt céllal összefüggésben nem megfelelően kezelné. Ebben az esetben az Adatkezelőnek kell igazolnia, hogy a személyes adat kezelését olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

XIII.            Az érintetti joggyakorlás általános szabályai

Amennyiben a személyes adat szolgáltatása jogszabályi kötelezettségen alapul, és az érintett ennek nem tesz eleget, az – az adott eljárási jogszabály rendelkezéseire figyelemmel – a kérelem visszautasítását vagy elutasítását eredményezheti.

Az Adatkezelő indokolatlan késedelem nélkül, de legfeljebb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az Érintettet kérelme nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az Érintettet. Ha az Érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az Érintett azt másként kéri.

Az Adatkezelő az Érintett részére a tájékoztatást és intézkedést díjmentesen biztosítja. Ha az Érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:

1. észszerű összegű díjat számíthat fel, vagy
2. megtagadhatja a kérelem alapján történő intézkedést.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.

Ha az Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az Érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

XIV.           Jogérvényesítési lehetőségek

Az Érintett a személyes adatai kezelésével kapcsolatban bármikor fordulhat az Adatkezelőhöz közvetlenül az 1. pontban rögzített elérhetőségen, vagy az Adatkezelő adatvédelmi tisztségviselőjéhez a Közinformatika Nonprofit Kft-hez (levelezési cím: 1043 Budapest, Csányi László u. 34., E-mail cím: dpo@kozinformatika.hu).

Az Érintettnek lehetősége van adatainak védelme érdekében bírósághoz fordulni. A bíróság az ügyben soron kívül jár el.  A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye, illetve az Adatkezelő székhelye szerint illetékes Törvényszék előtt is megindítható.

A lakóhelye vagy tartózkodási helye szerinti törvényszéket megkeresheti a http://birosag.hu/ugyfelkapcsolati-portal/birosag-kereso oldalon. Az Adatkezelő székhelye szerint a perre a Fővárosi Törvényszék rendelkezik illetékességgel.

Az Érintett a személyes adatai kezelésével kapcsolatos panasz esetén a Nemzeti Adatvédelmi és Információszabadság Hatósághoz is fordulhat (Nemzeti Adatvédelmi és Információszabadság Hatóság, postai cím: 1363 Budapest, Pf. 9., cím: 1055 Budapest, Falk Miksa utca 9-11., Telefon: +36 (1) 391-1400; Fax: +36 (1) 391-1410; E-mail: ugyfelszolgalat@naih.hu; honlap: www.naih.hu).

---

[1] A címzett fogalmát lásd: GDPR 4. cikk 9. pontja. 

Adatkezelési tájékoztató a Magyar Sumo Szakszövetség dopping vizsgálathoz kapcsolódó adatkezelésekhez

A Magyar Sumo Szakszövetség (továbbiakban: Adatkezelő) az Európai Parlament és Tanács (EU) 2016/679 számú, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló általános adatvédelmi rendeletével (továbbiakban: Általános Adatvédelmi Rendelet/GDPR) összhangban az alábbi tájékoztatást adja

I. Adatkezelő

Név: Magyar Sumo Szakszövetség

Székhely: 1165 Budapest, Diósy Lajos u. 22/D.

Honlap: https://www.sumo.hu/

Telefonszám: +36-70-389-7393

E-mail cím: info@sumo.hu

Képviselő: László Ancsin

Képviselő elérhetősége: jegyzo16@gmail.com

II. Az adatvédelmi tisztviselők elérhetősége

Adatvédelmi tisztviselő neve: Közinformatika Nonprofit Kft.

E-mail cím: dpo@kozinformatika.hu

levelezési cím: 1043 Budapest, Csányi László u. 34

Telefonos elérhetősége: 06 (1) 610 9383 / 103

III. Érintettek kategóriái

Sportoló (kiskorú sportoló esetén: Szülő/Törvényes képviselő)

IV. Kezelt adatok köre

Sportoló (és törvényes képviselőjének) neve, születés helye és ideje, anyja neve, lakcíme

V. Az adatkezelés célja

A jogszabály szerinti doppingvizsgálat lefolytatása.

VI. Az adatkezelés jogalapja

A GDPR 6. cikk (1) bekezdés c) pontja, az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges, tekintettel a doppingellenes tevékenység szabályairól szóló 43/2011. (III. 23.) Korm. rendelet 4. paragrafusára.

VII. A kezelt személyes adatok forrása

A kezelt személyes adatok forrása az érintett.

VIII. A személyes adatok továbbítása, címzettjei, illetve a címzettek kategóriái[1]

Az adatok címzettjei: HUNADO (Magyar Antidopping Csoport)

Adatkezelő csak kivételes esetben és jogszabályi kötelezettség alapján adja át az Érintett személyes adatait állami szervek, hatóságok – így különösen bíróság, ügyészség, nyomozó hatóság és szabálysértési hatóság, Nemzeti Adatvédelmi és Információszabadság Hatóság – számára.

IX. A személyes adatok tárolásának ideje

Az adatok megőrzési ideje: 18 hónap. Büntetés esetén, a büntetés lejáratát követő 10 évig

X. Az adatszolgáltatás elmaradásának lehetséges következményei

A személyes adatok szolgáltatása jogszabályon alapul. Az Adatkezelő kötelezettségeinek teljesítése szempontjából kötelező az adatkezelés. A szükséges adatok megadása nélkül Adatkezelő nem képes a kötelezettségeinek eleget tenni.

XI. Automatizált döntéshozatal (továbbá profilalkotás)

Az adatkezelés során automatizált döntéshozatalra, ideértve a profilalkotást is, nem kerül sor.

XII. Az érintett adatkezeléssel kapcsolatos jogai

1. Érintett tájékoztatáshoz való joga

A jelen Adatvédelmi tájékoztatóval biztosítja az Adatkezelő a tájékoztatást adatkezelési tevékenységről.

2. Hozzáférés joga:

Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

• adatkezelő által kezelt, adatokról, az érintett személyes adatok kategóriáiról,
• ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ
• az adatkezelés céljáról, jogalapjáról
• adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
• azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
• az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen,
•  a felügyeleti hatósághoz címzett panasz benyújtásának jogáról,
• automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

 Az Érintett kérésére az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az Érintett rendelkezésére bocsátja első alkalommal díjmentesen.

Az Érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, díjat számíthat fel.

Az adatbiztonsági követelmények teljesülése és az érintett jogainak védelme érdekében az Adatkezelő köteles meggyőződni az érintett és a hozzáférési jogával élni kívánó személy személyazonosságának egyezéséről, ennek érdekében a tájékoztatás, az adatokba történő betekintés, illetve azokról másolat kiadása is az érintett személyének azonosításához kötött.

3. Helyesbítéshez való jog

Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.

4. Törléshez való jog

Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje az Érintettre vonatkozó személyes adatokat, amennyiben a jogszabályban rögzített indokok valamelyike fennáll.

5. Az adatkezelés korlátozásához való jog

Az Érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

1. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
2. az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
3. az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
4. az érintett a GDPR 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az Érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

6. A tiltakozáshoz való jog

Az Érintett személy saját helyzetével kapcsolatos okokból bármikor tiltakozhat az adatkezelés ellen, ha álláspontja szerint az Adatkezelő a személyes adatát a jelen adatkezelési tájékoztatóban megjelölt céllal összefüggésben nem megfelelően kezelné. Ebben az esetben az Adatkezelőnek kell igazolnia, hogy a személyes adat kezelését olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

XIII. Az érintetti joggyakorlás általános szabályai

Amennyiben a személyes adat szolgáltatása jogszabályi kötelezettségen alapul, és az érintett ennek nem tesz eleget, az – az adott eljárási jogszabály rendelkezéseire figyelemmel – a kérelem visszautasítását vagy elutasítását eredményezheti.

Az Adatkezelő indokolatlan késedelem nélkül, de legfeljebb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az Érintettet kérelme nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az Érintettet. Ha az Érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az Érintett azt másként kéri.

Az Adatkezelő az Érintett részére a tájékoztatást és intézkedést díjmentesen biztosítja. Ha az Érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:

1. észszerű összegű díjat számíthat fel, vagy
2. megtagadhatja a kérelem alapján történő intézkedést.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.

Ha az Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az Érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

XIV. Jogérvényesítési lehetőségek

Az Érintett a személyes adatai kezelésével kapcsolatban bármikor fordulhat az Adatkezelőhöz közvetlenül az 1. pontban rögzített elérhetőségen, vagy az Adatkezelő adatvédelmi tisztségviselőjéhez a Közinformatika Nonprofit Kft-hez (levelezési cím: 1043 Budapest, Csányi László u. 34., E-mail cím: dpo@kozinformatika.hu).

Az Érintettnek lehetősége van adatainak védelme érdekében bírósághoz fordulni. A bíróság az ügyben soron kívül jár el.  A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye, illetve az Adatkezelő székhelye szerint illetékes Törvényszék előtt is megindítható.

A lakóhelye vagy tartózkodási helye szerinti törvényszéket megkeresheti a http://birosag.hu/ugyfelkapcsolati-portal/birosag-kereso oldalon. Az Adatkezelő székhelye szerint a perre a Fővárosi Törvényszék rendelkezik illetékességgel.

Az Érintett a személyes adatai kezelésével kapcsolatos panasz esetén a Nemzeti Adatvédelmi és Információszabadság Hatósághoz is fordulhat (Nemzeti Adatvédelmi és Információszabadság Hatóság, postai cím: 1363 Budapest, Pf. 9., cím: 1055 Budapest, Falk Miksa utca 9-11., Telefon: +36 (1) 391-1400; Fax: +36 (1) 391-1410; E-mail: ugyfelszolgalat@naih.hu; honlap: www.naih.hu).

---

[1] A címzett fogalmát lásd: GDPR 4. cikk 9. pontja. 

Magyar Sumo Szakszövetség

 Adatvédelmi és Adatkezelési Szabályzata

2020.

Tartalom

Magyar Sumo Szakszövetség Adatvédelmi és Adatkezelési Szabályzata

Preambulum

I.       Kapcsolódó jogszabályok

II.      A Szabályzat hatálya

III.    Értelmező rendelkezések

IV.         Az Adatkezelő adatkezelésének alapelvei

V.      Az Adatkezelő adatvédelmi szervezete

VI.         A személyes adatok kezelésének törvényes alapjai

VII.        Az Érintettek tájékoztatása

VIII.       A tájékoztatás minimális tartalma

IX.     Az érintett adatkezeléssel összefüggő jogairól

X.      Hozzájárulás

XI.     Az érintett természetes személyekre vonatkozó különleges személyes adatok köre és az adatkezelés különös szabályai

XII.        Adattovábbításra vonatkozó rendelkezések

XIII.       Adatfeldolgozók, adatfeldolgozás

XIV.       Közös adatkezelők

XV.        További ügymenetek: panasz, észrevétel

XVI.       Beépített és alapértelmezett adatvédelem

XVII.      Az adatkezelési tevékenységek nyilvántartása

XVIII.         Adatvédelmi hatásvizsgálat

XIX.       Az adatvédelmi tisztviselő

XX.         Adatbiztonság – adatvédelmi incidens

XXI.       Az érintett jogorvoslati jogosultságai és a jogorvoslati jogok érvényesítésének feltételei

Preambulum

Az Adatkezelési Szabályzat kiadásának célja, az Alaptörvényre alapulóan az Európai Parlament és a Tanács (EU) 2016/679 Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet), a továbbiakban „GDPR”, továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, a továbbiakban: „Info tv.” rendelkezéseinek való megfelelés biztosítása, az adatkezelés és adatfeldolgozás szabályainak a Magyar Sumo Szakszövetség (a továbbiakban: Adatkezelő) tevékenységeire vonatkozó megállapítása, annak érdekében, hogy az érintett természetes személyek törvényben biztosított alapvető jogai és szabadságai ne sérüljenek.

I. Kapcsolódó jogszabályok

1. A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló az EU Parlament és Tanács 2016/679. számú Rendelete (GDPR),
   1. 2004. évi I. törvény a sportról
   1. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.),

II. A Szabályzat hatálya

1. § A Szabályzat hatálya kiterjed

(1) Az Adatkezelő valamennyi szervezeti egységére,

(2) Az Adatkezelő valamennyi dolgozójára, függetlenül a munkavégzés jogviszonyától (munkaviszony, megbízási jogviszony, munkavégzésre irányuló egyéb jogviszony),

(3) Az adatfeldolgozóra, továbbá az Adatkezelővel szerződéses jogviszonyban álló egyéb szervezetekre („Harmadik személy”) és alkalmazottaira, akik az Adatkezelő által kezelt személyes adatok kezelésében, feldolgozásában közreműködnek, avagy a jogszerű tevékenységük során az Adatkezelő által kezelt személyes adatokat ismerhetnek meg.

2. § A Szabályzat rendelkezéseit az Adatkezelő honlapja tekintetében is alkalmazni kell. Amennyiben a honlapot nem az Adatkezelő üzemelteti, az üzemeltetőre az 1. § (3) bekezdés rendelkezése vonatkozik.

3. § (1) A Szabályzatot a manuálisan és az automatizált eszközzel végzett személyes adatkezelésre egyaránt alkalmazni kell, függetlenül attól, hogy az adat kezelése digitálisan, egyéb elektronikus rögzítővel (pl. hang- vagy kép-, videófelvétel) vagy papíralapon történik.

(2) A jelen Szabályzat alkalmazása kötelező a személyes adatok bármely módon történő gyűjtésére, az adatkezelés teljes folyamatára, az adatok törléséig,       megsemmisítéséig, avagy amíg az adatok anonimizálása meg nem történik.

4. § A Szabályzat hatálya alá tartozik az Adatkezelő által kezelt valamennyi élő személyre vonatkozó személyes adat.

5. § A Szabályzat betartása az 1. § rendelkezésében megjelölt címzettek számára          kötelező.

6. § A jelen Szabályzat rendelkezéseit az Adatkezelő más szabályzatainak rendelkezéseivel összhangba kell hozni. Amennyiben a Szabályzat és egyéb más szabályzatok rendelkezései ugyanabban a tárgyban eltérően rendelkeznek, az adatvédelmi tisztviselő állásfoglalását kell kikérni. Kétség esetén a jelen Szabályzat rendelkezései alkalmazandók.

III. Értelmező rendelkezések

7. § Értelmező rendelkezések a Szabályzat alkalmazásában a GDPR és az Info. tv. rendelkezéseinek megfelelően:

(1) „Személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

(2) „Adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

(3) „Adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.

(4) „Adatvédelmi megbízott”: az adatkezelési művelet végzésével érintett szervezeti egység vezetője által az Adatvédelmi Tisztviselő javaslatának figyelembevételével kijelölt tisztviselő, aki az adatvédelmi feladatok ellátásának önálló szervezeti egységen belüli felelőse.

(5) „Adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

(6) „Adatfeldolgozás”: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége.

(7) „Címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak.

(8) „Harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.

(9) „Profilalkotás”: a személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják. (Profilalkotás törvényi felhatalmazás hiányában az Adatkezelő tevékenységében nem megengedett.).

(10) „Az adatkezelés korlátozása”: a tárolt személyes adat megjelölése jövőbeli kezelésük korlátozása céljából.

(11) „Álnevesítés” (pszeudo-anonimizálás): személyes adat olyan módon történő kezelése, amely további információ felhasználása nélkül megállapíthatatlanná teszi, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni.

(12) „Anonimizálás”: személyes adat olyan módon történő kezelése, amely következtében a személyes adat kapcsolata a természetes személlyel már nem állítható helyre. Az adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, a statisztikai vagy kutatási célú adatkezelést is ideértve.

(13) „Nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető.

(14) „Az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

(15) „Adattovábbítás”: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.

(16) „A személyes adatok különleges kategóriái”: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji, etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.

(17) „Genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered.

(18) „Biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat.

(19) „Egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról.

(20) „Bűnügyi személyes adat”: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat.

(21) „Közérdekű adat”: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat.

(22) „Közérdekből nyilvános adat”: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli.

(23) „Adattörlés”: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges.

(24) „Nyilvánosságra hozatal”: az adat bárki számára történő hozzáférhetővé tétele.

(25) „Adatmegjelölés”: az adat azonosító jelzéssel történő ellátása annak megkülönböztetése céljából.

(26) „Adatmegsemmisítés”: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése.

(27) „Adatállomány”: az egy nyilvántartásban kezelt adatok összessége.

(28) „Tiltakozás”: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kér.

(29) „Adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

(30) „Adatfelelős”: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett.

(31) „Adatközlő”: az a közfeladatot ellátó szerv, amely – ha az adatfelelős nem maga teszi közzé az adatot – az adatfelelős által hozzá eljuttatott adatot honlapon közzéteszi.

(32) Felügyeleti hatóság

Nemzetei Adatvédelmi és Információszabadság Hatóság székhely: 1055 Budapest, Falk Miksa utca 9-11. levelezési cím: 1374 Budapest, Pf. 603.

8. § (1) Adatvédelmi tisztviselő (DPO):

név:                        Löfflinger Attila

cégnév:                  Közinformatika Közigazgatási Informatikai Szolgáltató Központ Nonprofit Kft.

telefonszám:          06 (1) 610 9383 / 104

email:                     lofflinger.attila@kozinformatika.hu

cím:                        1043 Budapest, Csányi L. utca 34.

IV. Az Adatkezelő adatkezelésének alapelvei

9. § (1) A személyes adatok:

a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);

b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);

c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);

d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);

e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);

f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).

(2) A személyes adatok kezelését tisztességesnek és törvényesnek kell tekinteni, ha az érintett véleménynyilvánítási szabadságának biztosítása érdekében az érintett véleményét megismerni kívánó személy az érintett lakóhelyén vagy tartózkodási helyén felkeresi, feltéve, hogy az érintett személyes adatait e törvény rendelkezéseinek megfelelően kezelik és a személyes megkeresés nem üzleti célra irányul.

(3) Az alapelvek és a Szabályzat valamennyi rendelkezése betartásáért, a személyes adatok kezelésének törvényességéért az Adatkezelő felelős. A felelőssége alapján a felügyeleti hatóság vagy bíróság felhívására az Adatkezelő bizonyítja, hogy a személyes adatkezelés a törvényi rendelkezéseknek megfelelő.

(4) Az Adatkezelő az adatkezelés jogszerűségét, átláthatóságát, illetve az adatkezelésre vonatkozó rendelkezések betartását az adatvédelmi tisztviselő szakmai közreműködésével biztosítja. Az adatvédelmi tisztviselőhöz bármely Érintett (pl. ügyfél, dolgozó) észrevétellel fordulhat. Az adatvédelmi tisztviselő működésének szabályairól, feladatairól a jelen Szabályzat külön rendelkezik.

(5) A személyes adatok kezelése során az adatok személyes jellege megmarad mindaddig, amíg a kapcsolata az érintettel helyreállítható.

(6) Az Adatkezelő az adatbiztonságra vonatkozó szabályzatában (Információbiztonsági Szabályzat, továbbiakban: IBSZ) rendelkezik részletesen azokra a szabályokra nézve, amelyek az adatkezelés során arra alkalmas műszaki vagy szervezési – így különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisülésével vagy károsodásával szembeni védelmet kialakító – feltételek meghatározásával biztosítják a személyes adatok és az adatkezelés megfelelő biztonságát.

(7) Az Adatkezelő az átlátható és tisztességes eljárás érdekében az általa kezelt személyes adatokról, adatkezelési folyamatokról nyilvántartást vezet. A nyilvántartás tételesen tartalmazza a személyes adatokat, adatkezelési folyamatokat az adatkezelést ténylegesen végző szervezeti egység megjelölésével, továbbá egyéb olyan adatokat, amelyek biztosítják, hogy az Adatkezelő a személyes adatok kezelését a törvényi kötelezettségeket maradéktalanul betartva végzi.

V. Az Adatkezelő adatvédelmi szervezete

10. § Az adatvédelmi szabályok betartatásáért az Adatkezelő elnöke felel, aki jogosult az adatvédelem és adatkezelés belső szabályait meghatározni, szervezeti rendjét meghatározni, a vezetése alá tartozó bármely személynek egyedi utasítást adni, tájékoztatást kérni, illetve, bármely kérdésben az adatvédelmi tisztviselő írásbeli vagy szóbeli álláspontját, javaslatát kikérni. Az Adatkezelő elnöke a folyamatba épített adatvédelem útján ellenőrzi az adatkezelés jogszerűségét, az adatvédelmi szabályok maradéktalan betartását.

11. § A szervezeti egységek jogszerű adatkezelési gyakorlatának biztosításáért, az önálló szervezeti egység dolgozói részéről az adatvédelmi, adatkezelési szabályok betartatásáért a szervezeti egység vezetője felelős. A vezetők jogosultak az Adatvédelmi Tisztviselő tanácsát, javaslatát, véleményezését kérni.

12. § Az Adatvédelmi Tisztviselőhöz a kompetenciájába tartozó ügyekben bármely dolgozó fordulhat indokolt esetben.

13. § Az Adatvédelmi Tisztviselő rendszeresen tájékozódik az adatvédelmi és adatkezelési szabályok betartásáról, illetve a saját éves ellenőrzési terve vagy az Adatkezelő elnökének felkérése alapján, továbbá minden olyan esetben amikor ezt az Adatvédelmi Tisztviselő a jogszerű feladatellátásához szükségesnek tartja, ellenőrzést tart, értékeli a szervezeti egységek adatvédelmi-adatkezelési gyakorlatát. A tapasztaltak alapján ajánlásokat fogalmaz meg, valamint mérlegeli, hogy szükséges-e soron kívüli ismeretbővítő oktatás tartása, ha igen, a vezetőknek vagy a dolgozóknak ismeretbővítő oktatást tart a szükséges újítások kapcsán.

14. § Az Adatkezelő dolgozóinak kötelezettsége a jelen Szabályzat előírásainak maradéktalan betartása.

15. § A vezetők és az Adatkezelő dolgozói kötelesek tájékoztatni az Adatvédelmi Tisztviselőt bármely általuk észlelt adatvédelmi, adatkezelési problémáról.

16. § Az adatkezelő dolgozóinak kötelezettsége, hogy észrevétel esetén az adatkezeléssel kapcsolatosan feltárt visszásságot haladéktalanul megszüntessék. Amennyiben a dolgozó megítélése alapján a visszásságot nem tudja megszűntetni, az ezzel kapcsolatos információkat továbbítja a felettesének, valamint az Adatvédelmi Tisztviselőnek.

17. § Az Adatvédelmi Tisztviselő együttműködik az Információbiztonsági Felelőssel (továbbiakban: IBF.). Az Adatkezelő elnöke, az Adatvédelmi Tisztviselő és az Információbiztonsági Felelős szükség szerinti rendszerességgel együttesen értékelik az Adatkezelő Adatbiztonsági Szabályzatában meghatározottak érvényesülését, illetve az adatvédelem szintjéhez szükséges, továbbá az adatkezeléshez kapcsolódó érintetti jogok gyakorlásához szükséges informatikai háttér biztosítására vonatkozó szabályokat.

VI. A személyes adatok kezelésének törvényes alapjai

18. § Személyes adat kizárólag egyértelműen meghatározott, jogszerű célból kezelhető. A jelen szakaszban felsorolt, bármely törvényi feltétel teljesülése biztosítja az adatkezelés kellő jogi alapját.

19. § Az adatkezelés jogalapja lehet:

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Az f) pont nem alkalmazható, ha az Adatkezelő közhatalmi jogosítványának gyakorlása keretében végzett feladatának ellátása során jár el.

A c) és e) pont szerinti adatkezelés jogalapját a következőknek kell megállapítania:

a) az uniós jog, vagy

b) azon tagállami jog, amelynek hatálya alá az adatkezelő tartozik.

Az adatkezelés célját a fenti jogalapokra való hivatkozással kell meghatározni, az e) pontban említett adatkezelés tekintetében közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat, vagy annak végrehajtása.  (Ilyen feladatnak minősül az Adatkezelő tevékenysége során a közszolgáltatási szerződés keretében ellátandó feladatai). Az adatkezelésnek közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.

20. § Az Adatkezelő automatizált adatkezelést döntés meghozatala érdekében nem folytat.

21. § Különleges személyes adat:

A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

22. § (1) Az Adatkezelő az általános adatvédelmi rendelet 6. cikk (1) bekezdés b), c) és e) pontjában meghatározott adatkezelés (a továbbiakban: kötelező adatkezelés) esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségességét időszakosan felülvizsgálja, a felülvizsgálatot az adatkezelést elrendelő törvény, illetve kormányrendelet, helyi önkormányzati rendeletek határozzák meg.

(2) Ha a kötelező adatkezelés időtartamát vagy szükséges időszakos felülvizsgálatát törvény, kormányrendelt, helyi önkormányzatrendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább évente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az adatkezelő dokumentálja, e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) kérésére a Hatóság rendelkezésére bocsátja.

23. § Az Adatkezelő az általa kezelt személyes adatokról, az adatok típusának megjelölésével, részletes nyilvántartást vezet a személyes adatkezelés átláthatóságának biztosítása érdekében a törvényi kötelezettséggel összhangban. A nyilvántartásokat az Adatvédelmi Tisztviselő vezeti a szervezeti egységek vezetői által szolgáltatott adatok alapján.  

VII. Az Érintettek tájékoztatása

24. § Az Adatkezelő feladatainak ellátása során az érintetteket az egyes adatkezelésekről külön adatkezelési tájékoztatók útján tájékoztatja.

25. § A tájékoztatás megtörténtét az érintettnek igazolnia kell aláírásával, kijelentve, hogy a tájékoztatást megismerte, megértette. A tájékoztatásnak az érintett jogairól és a jogorvoslat lehetőségeiről is részletesen ki kell térnie.

26. § Minden ügyintézéshez, adatkezeléséhez vizsgálni kell, hogy a már meglévő tájékoztatás megfelelő-e, alkalmazható-e, mint teljes körű tájékoztatás. Amennyiben az adott ügyben igazoltan nem áll rendelkezésre megfelelő és teljes körű tájékoztatás azt a probléma észlelését követően haladéktalanul jelezni kell az Adatvédelmi Tisztségviselőnek, aki a lehető legrövidebb időn belül pótolja az adott ügyfajtára a tájékoztatást. Minden esetben kötelező az érintettnek az adatkezelésről tájékoztatást adni. a tájékoztatást kötelező megadni.

27. § Az Adatkezelő az ügyintézési eljárásaiban valamennyi ügyben alkalmazott tájékoztatást elsődlegesen írásban, közérthető és egyszerű megfogalmazással kell, hogy kialakítsa. Törekedni kell a tájékoztató tömörségére. A tájékoztatók tartalmi kialakításáért az Adatvédelmi Tisztviselő felel. A tájékoztatók alkalmazását az önálló szervezeti egységek vezetői ellenőrzik.

28. § Az írásbeli tájékoztatókról nyilvántartást kell vezetni, hogy egyrészről nyilvánvalóan megállapítható legyen, az adott ügyre / ügytípusra nézve rendelkezésre áll-e a törvényes követelményeknek megfelelő tájékoztató, másrészről legalább az adatok megőrzési, tárolási idejéig bizonyítani lehessen, hogy az Érintett megkapta a szükséges tájékoztatást és tudomásul vette. A tájékoztatókról szóló nyilvántartást az Adatvédelmi Tisztviselő vezeti.

29. § Az Érintettnek a jogai gyakorlásához a tájékoztatására vonatkozó valamennyi rendelkezés betartása kiemelten fontos, egyúttal az Adatkezelő jogszerű feladatellátásának a bizonyítására szolgáló eljárás, amely az Adatkezelő kiemelt érdeke, ennek megfelelően betartása valamennyi dolgozó számára kötelező.

30. § Új tájékoztató tartalmára az adott ügy, ügyek, ügytípusok intézésére kellő tapasztalattal rendelkező ügyintéző tesz javaslatot, amelyet az önálló szervezeti egység vezetője hagy jóvá az Adatvédelmi Tisztviselő álláspontjának kikérésével, szükség szerinti közreműködésével. A tájékoztató kötelező bevezetéséről az Adatkezelő vezetője dönt.

31. § Az Adatvédelmi Tisztviselő a kész tájékoztatókat nyilvántartásba veszi. A nyilvántartás alapvető szempontjait a szervezeti egységek vezetővel együttesen állapítja meg. A nyilvántartás célja, hogy az Adatkezelő valamennyi vezető állású munkavállalója, továbbá az egyes ügyekben eljáró munkavállalók, ügyintézők hozzáférjenek. A nyilvántartásban csak a hozzáférési jogosultsággal rendelkezők hajthatnak végre módosítást, egyebekben a tájékoztató-dokumentumok módosítása nem lehetséges, ezt megfelelő védelemmel biztosítani kell.

VIII. A tájékoztatás minimális tartalma

32. § (1) Az egyes tájékoztatókban az alábbi információkat kell rendelkezésre bocsátani:

Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:

1. az adatkezelőnek és az adatkezelő képviselőjének a kiléte és elérhetőségei;
   1. az adatvédelmi tisztviselő elérhetőségei;
      1. a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
         1. a GDPR 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei (az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek);
         1. adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái;
         1. adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat;
         1. a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
         1. az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
         1. a GDPR 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
         1. a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
         1. arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
         1. automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

Az 32. § (1) bek. nem alkalmazandó, ha és amilyen mértékben az érintett már rendelkezik az információkkal.

(2) Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:

1. az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
2. az adatvédelmi tisztviselő elérhetőségei;
3. a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
4. az érintett személyes adatok kategóriái;
5. a személyes adatok címzettjei, illetve a címzettek kategóriái;
6. adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat;
7. a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
8. ha az adatkezelés a GDPR 6. cikk (1) bekezdésének f) pontján alapul, az adatkezelő vagy harmadik fél jogos érdekeiről;
9. az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
10. a GDPR 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
11. a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
12. a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e;
13. automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

A 32. § (2) bekezdés nem kell alkalmazni, ha és amilyen mértékben

a) az érintett már rendelkezik az információkkal

b) az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik vagy

c) a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.

33. § A tájékoztatás módjai:

1. Az Érintett – ügyfél – személyes eljárása esetén írásbeli tájékoztatót kell átadni, amely átolvasása után az Érintett (ügyfél) aláírásával igazolja, hogy azt megismerte. Az aláírásával igazolja a tájékoztató tartalmának megértését és tudomásulvételét.
   1. Amennyiben az Érintett – ügyfél – az ügyintézés megindítását postai úton megküldött levélben kéri, postafordultával, szintén postai úton kell számára a tájékoztatót megküldeni, arra történő figyelmeztetéssel, hogy a tájékoztató tudomásulvételének igazolása az ügyintézés megindításának feltétele.
   1. E-mailben akkor lehet a tájékoztatót megküldeni, ha az Érintett maga is e-mailben kezdeményezte az ügyintézést, de a tájékoztató visszaküldése csak postai úton vagy személyes, illetve meghatalmazott személyes eljárásával lehetséges.
   1. Telefonon csak abban az esetben adható tájékoztatás, ha az Érintett telefonon kezdeményezi az ügyintézést, különösen, ha az ügyintézés érdemi megindítását megelőzően érdeklődik, avagy az ügytípus olyan, általános vagy gyakran ismétlődő eljárást tesz lehetővé, amelyre nézve a tájékoztatás tartalma nem tekinthető specifikusnak, illetve egyértelműen megállapítható, hogy az ügyfelek számára ismert tartalommal bír. Ha az Érintett kérelme telefonon elintézhető, a tájékoztatás megtörténtének tényét, módját akkor kell rögzíteni, ha a telefonon való megkeresésről írásban legalább feljegyzés történik.

34.§ Az Adatvédelmi Tisztviselőnek törekednie kell arra, hogy ösztönözze a dolgozók az adatkezelési folyamatok kapcsán az egyszerű, könnyen kezelhető és érvényesíthető tájékoztatók alkalmazását, ennek megfelelően a tájékoztatókat lehetőség szerint az ügyintézés megindításához kitöltendő nyomtatvány – elkülönült – részeként kell kialakítani.

35. § Az Adatkezelő adatkezelési folyamat egyszerűsítése érdekében törekedni kell arra, hogy az Adatkezelő hivatalos weboldalán részletes, általános tájékoztató és minél több olyan adatkezelési, adatvédelmi információ elérhető legyen, amely egy-egy ügytípusra vonatkozik. Az ügytípusok leírásánál, így különösen, ha az adott ügytípus körében az ügyintézés megindításához űrlap, nyomtatvány is elérhető, ki kell alakítani, hogy a honlapon hozzáférhető releváns adatvédelmi-, adatkezelési szabályok közvetlenül a leírások, űrlapok megfelelő részére való koppintással (link beiktatásával) elérhetőek legyenek.

36. § A tájékoztatást bármely módon történik, úgy kell megtenni, hogy utólagosan is bizonyítható legyen.

37. § Amennyiben az ügyintézés megkezdését megelőzően az érintett számára adott tájékoztatáshoz képest az ügyintézés során a korábbi tájékoztatás bármely elemében változás következett be, az ilyen körülményekről az Érintettet tájékoztatni kell.

38. § Ha az Adatkezelő jogszerű eljárása körében a személyes adatokat más célra kívánja használni, mint amilyen célból az adatokat beszerezte, az adatkezelés előtt ismét meg kell adni a jelen cím szerinti tartalommal a tájékoztatót, amelyben az új cél szerepel. Ismételt tájékoztatás nélkül az adatkezelés megkezdése tilos.

39. § Az érintett azonosítása:

(1) A személyesen eljáró érintettől személyi azonosító okmány, lakcímkártya vagy útlevél együttes megtekintésével és tartalmának rögzítésével lehet az azonosítást elvégezni.

(2) Igazolványt, okmányt fénymásolni, avagy bármely kép eszközzel, képfelvevővel a lefényképezni tilos. Kivételesen a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvényben (Továbbiakban: Pmt.) előírt ügyfél -átvilágítási vizsgálat során kötelező, a törvényben előírt feltételek betartása mellett.

(3) Amennyiben bármely korábban felvett aktában ilyen dokumentum található, annak észlelése esetén az igazolvány tartalmát rögzíteni kell, a képet (fénymásolt képet, fényképet stb.) pedig haladéktalanul meg kell semmisíteni. A megsemmisítésről jegyzőkönyvet kell felvenni.

IX. Az érintett adatkezeléssel összefüggő jogairól

40. § Érintett tájékoztatáshoz való joga

Az Adatkezelő a VII. és VIII. címben rögzített intézkedéseket hozta annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a GDPR 13. és a 14. cikkben említett valamennyi információt tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa.

41. § Az érintett hozzáférési joga

Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

42. § Érintett helyesbítéshez való joga

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

43. § Érintett törléshez való joga („az elfeledtetéshez való jog”)

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

A törlés nem alkalmazandó, amennyiben az adatkezelés szükséges:

Törlés esetén az összes kezelt adatot törölni kell.

44. § Az adatkezelés korlátozásához való jog

Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

Az Adatkezelő az érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

Az adatkezelés korlátozását esetében a személyes adatokon további adatkezelési műveletek nem végezhetők.

45. § Érintett adathordozhatósághoz való joga

Az Érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.

Érintett jogosult arra, hogy kérje a személyes adatok adatkezelők közötti közvetlen továbbítását, amely kérést teljesíteni kell.

46. § Érintett tiltakozáshoz való joga

Bármely érintett számára akkor is biztosítani kell a jogot arra, hogy az egyedi helyzetükre vonatkozó adatok kezelése ellen tiltakozzon, ha a személyes adatok jogszerűen kezelhetők, mert az adatkezelésre közérdekből vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához, illetve az Adatkezelő vagy egy harmadik fél jogos érdekei alapján van szükség.

47. § Érintett jogainak gyakorlása esetében alkalmazandó eljárás

(1) Amennyiben bármely érintetti jogot érintő kérelem érkezik, arról az adatok kezelését ténylegesen végző munkavállaló, ügyintéző haladéktalanul köteles felettesét értesíteni.

 Az adatok kezelését ténylegesen végző munkavállaló, ügyintéző felettese haladéktalanul felveszi a kapcsolatot az Adatvédelmi Tisztviselővel, akivel közösen javaslatot tesznek a megkeresésre, kérelemre adandó válaszra, amelyet az Adatkezelő elnöke elé terjesztenek. A válasz jóváhagyása az Adatkezelő elnökének felelőssége.

(2) Az érintetti jogokat érintő kérelmek esetében az alábbiakat kell figyelembe venni:

Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül köteles tájékoztatni az érintettet a kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.

(3) Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

(4) Az Adatkezelő a tájékoztatást a kérelem beérkezésétől számított 1 hónapon belül, a kérelemmel megegyező formában, írásban postai vagy elektronikus úton, díjmentesen köteles megadni.

(5) Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

(6) Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:

a) észszerű összegű díjat számíthat fel, vagy

b) megtagadhatja a kérelem alapján történő intézkedést.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.

Díj meghatározása esetén az Adatkezelő elnöke külön rendelkezést hoz a tárgyban, amely részletesen és pontosan meghatározza a díjfizetéssel érintett eseteket és feltételeket, valamint a felszámítható díjak összegét.

(7) Ha az Adatkezelő ügyintézőjének megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

(8) Az Érintett jogai gyakorlásának korlátozásához vagy teljesítésének megtagadásához, az Adatkezelő elnöke az Adatvédelmi Tisztviselő álláspontjának kikérését követően meghozott döntése szükséges.

(9) A döntésről tájékoztatni kell az Érintettet, továbbá a jogi, ténybeli indokokról, az őt megillető jogokról és a jogorvoslati lehetőségekről.

X. Hozzájárulás

48.§     A hozzájárulással az Érintett félreérthetetlen beleegyezését adja a személyes adatai kezeléséhez abban az esetben, ha a személyes adatok kezelésének jogalapja az érintett hozzájárulása. A hozzájárulás előfeltétele, az Érintett megfelelő és teljes körű tájékoztatása. A közérthető, egyszerű és teljeskörű tájékoztatás elmaradása esetén az Érintett hozzájáruló nyilatkozata nem tekinthető érvényesnek.

49.§     Ha az adatkezelés hozzájáruláson alapul, az Adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.

50.§     Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti a GDPR előírásait, kötelező erővel nem bír.

51.§     Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

52.§     Az hozzájárulás érvényességét nem érinti, ha az Érintett a feltételek biztosítása ellenére a tájékoztatót, vagy az annak megismeréséről szóló nyilatkozatot annak részletes elolvasása nélkül írja alá.

53.§     Amennyiben az Érintett által indított ügyben – amely esetében az adatkezelés jogalapja a hozzájárulás – más nagykorú személy is érintett (különösen az Érintettel egy háztartásban lakó hozzátartozó), az adatkezeléshez a hozzájárulást ezen személynek is meg kell adnia a tájékoztató alapján, amelyet – ha a további érintett nem személyesen teszi meg a hozzájáruló nyilatkozatát – legalább teljes bizonyító erejű magánokiratba kell foglalni.

54.§     Minden olyan esetben amikor a tájékoztatás tudomásulvétele, avagy a külön hozzájárulás szükségessége kérdéses, az Adatvédelmi Tisztviselő álláspontját ki kell kérni. A kérdésben a szervezeti egységek vezetői, illetve az Adatkezelő elnöke döntenek.

XI. Az érintett természetes személyekre vonatkozó különleges személyes adatok köre és az adatkezelés különös szabályai

55. § A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

56. § (1) Mindez nem alkalmazandó abban az esetben, ha:

a)    az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy a tilalom nem oldható fel az érintett hozzájárulásával;

b)    az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;

c) az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;

• az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;
  • az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
  • az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;
  • az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
  • az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a GDPR-ban említett feltételekre és garanciákra figyelemmel;
  • az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;

XII. Adattovábbításra vonatkozó rendelkezések

57.§     Személyes adatok továbbítását, közérdekű adatok közlését (a továbbiakban: adattovábbítást) kizárólag erre jogosult, az Adatkezelő foglalkoztatásában levő személyek végezhetnek.

58.§     Az Adatkezelő adatkezeléseiből személyes adatot továbbítani az érintett hozzájárulásának hiányában csak jogszabályban meghatározott szervek részére, csak a törvényben meghatározott adatkörben lehet, a célhoz kötöttség elvének maradéktalan érvényesítésével. Az Adatkezelő csak olyan személyes adatot továbbíthat, amelyet az Adatkezelő kezel.

59.§     Az adattovábbítás feltételeit (jogalap, célhoz kötöttség, adatbiztonság) az adatot továbbító minden esetben ellenőrizni köteles.

60.§     Az adattovábbítási kérelem elbírálása kétség esetén – a törvényben kötelezően előírt adattovábbítás esetét kivéve – az Adatkezelő elnökének hatáskörébe tartozik, aki az adatok továbbítása előtt egyeztett az Adatvédelmi Tisztviselővel.

61.§     Az Adatkezelő által kezelt személyes adatok továbbításáról az adatkezelő szerv Adattovábbítási nyilvántartást köteles vezetni.

XIII. Adatfeldolgozók, adatfeldolgozás

62. § Az Adatkezelő kötelezettsége, hogy biztosítsa a személyes adatok védelmét olyan esetben is, amikor az adatok kezelését adatfeldolgozó végzi.

63. § Az Adatkezelő az adatfeldolgozóval szerződést köt, amelyben meg kell állapodni az adatfeldolgozás pontos feltételeiről, az átadásra kerülő adatok köréről, továbbá hangsúlyosan annak biztosításáról, hogy az adatfeldolgozó valamennyi törvényi rendelkezés betartásával jár el, a szerződés kötelező elemeit a GDPR 28. cikke tartalmazza.

64. § Az Adatkezelő felelőssége meghatározni azokat a feltételeket, amelyek ellenőrizhető és átlátható módon biztosítják az adatfeldolgozás törvényességét az adatfeldolgozási tevékenység valamennyi részletében és teljes időtartamában. Ez adatvédelmi és adatbiztonsági feltételek meghatározását egyaránt magában foglalja.

65. § Az Adatkezelő jogosult továbbá megbizonyosodni az adatfeldolgozók jogszabálynak való megfelelősségéről is.

67. § Az adatkezelés során az adatfeldolgozó igénybevételéről tájékoztatni kell az Érintetett.

68.§     Az Érintett hozzájárulása az adatfeldolgozó igénybevételéhez nem szükséges.

69.§     Az adatfeldolgozóval megkötendő mintaszerződést az Adatfeldolgozói szerződésminta” tartalmazza.

70. § Az adatfeldolgozókról részletes nyilvántartást kell vezetni az adatkezelés átláthatósága érdekében. Ezt a nyilvántartást az Adatvédelmi Tisztviselő vezeti.

XIV. Közös adatkezelők

71. § Közös adatkezelés akkor valósul meg, ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg.

72. § A közös adatkezelők az adatkezelés tekintetében az Érintettekkel történő kapcsolattartásra, kapcsolattartót jelölnek ki. A kapcsolattartó kijelölése nem érinti az Adatkezelők felelősségét.

73. § A közös adatkezelést valamennyi adatkezelő a közöttük létrejött megállapodás szerint végzi, a felelősségük a megállapodásban meghatározott feladatmegosztásnak megfelelő. A megállapodás érdemi részét az Érintettekkel ismertetni kell.

74. § A közös adatkezelői megállapodás, illetve a közös adatkezelés ténye az érintett számára a jogai gyakorlása vonatkozásában nem lehet terhesebb. Erre tekintettel az Érintett bármely adatkezelő felé joghatályosan megteheti mindazt, illetve élhet valamennyi törvényes jogával ugyanúgy, mintha egy adatkezelő végezné a személyes adatok kezelését.

XV. További ügymenetek: panasz, észrevétel

75. § Személyes adatok kezelését, védelmét érintő kérdésekben panasz benyújtása esetén a panasz előzetes megvizsgálása arra irányul, hogy az abban foglaltak alapján szükséges-e a panasz tárgyában vizsgálatot lefolytatni. Amennyiben igen, az érintettet tájékoztatni kell erről a tényről és egyúttal a kivizsgáláshoz szükséges személyes adatok köréről.

76. § Amennyiben a panasz kivizsgálásának ügymenetében az Érintett hozzájárulásának megadása nem mellőzhető, a tájékoztatásnak erre ki kell térnie, azzal, hogy az érintett bármikor jogosult visszavonni a kivizsgáláshoz szükséges személyes adatai kezeléséhez adott hozzájárulását.

77. § Amennyiben a panasz olyan tárgyra irányul, amelynek kivizsgálása az Adatkezelő számára kötelező, különösen, ha más személyt, ügyintézést (az Adatkezelő kötelezettségét) is érint, ezt a tényt a tájékoztatónak tartalmaznia kell, egyúttal az arra való figyelmeztetést is, hogy az érintett a hozzájárulását nem vonhatja vissza, a panasz kivizsgálását nem szakíthatja meg.

78. § Észrevétel megtétele esetén a tartalom szerinti elbírálás elvének megfelelően, a panaszra irányadó szabályokat kell alkalmazni.

79. § Amennyiben a panasz vagy észrevétel olyan tartalmú, amely nem igényli az ügyfél személyes adatainak kezelését, az adatkezelésre vonatkozó tájékoztatót nem kell kiadni.

80. § Az Adatvédelmi Tisztviselő a hozzá benyújtott panaszokat kivizsgálja és az ügyről, intézkedési javaslatával együtt, tájékoztatja az Adatkezelő elnökét. Amennyiben a panaszt vagy észrevételt valamely szervezeti egységhez terjesztik elő, a szervezeti egység vezetője továbbítja az Adatvédelmi Tisztviselőnek.

81. § Az adatvédelem, adatkezelés körét érintő beadványokról (kérdések, észrevételek, panaszok, kérelmek, követelések) az Adatvédelmi Tisztviselő nyilvántartást vezet. A nyilvántartás mintalapjaként az Érintetti adatvédelemmel kapcsolatos kérelem nyilvántartás” dokumentum szolgál.

XVI. Beépített és alapértelmezett adatvédelem

82. § A beépített adatvédelem érvényesítése jelentős mértékben növelheti az adatkezelés törvényes menetének kiszámíthatóságát, fontos eszköz az Adatkezelő dolgozóinak az adatvédelmi rendelkezések betartásával kapcsolatos kötelezettségei teljesítésében.

83. § Az Adatvédelmi Tisztviselőnek figyelemmel kell lennie arra, hogy az Adatkezelő az adatvédelmi eljárások, módszerek megtervezésekor, mind a manuális adatkezelés, mind az elektronikus rendszerek tekintetében olyan módon alakítsa ki, amelyek a megkerülhetetlen módon magukban hordozzák az adatvédelmi megfeleléshez szükséges szempontok figyelembevételét. Ennek során az Adatvédelmi Tisztviselő együttműködik az Adatkezelő szakembereivel és vezetőségével.

84. § A beépített adatvédelem érvényesítése hosszabb folyamat, amelyre az együttműködésnek ki kell terjednie. A beépített adatvédelem alkalmas arra, hogy az adatkezelési folyamat során az adatvédelmi előírások betartása könnyen ellenőrizhető legyen, illetve az előírások be nem tartása külön ellenőrzési mechanizmus nélkül is észlelhetővé váljon.

85. § A beépített adatvédelem alapvető eszközei az álnevesítés, titkosítás.

86. § Az alapértelmezett adatvédelem elvei alapján az Adatkezelőnek arra kell törekednie, hogy a személyes adatok védelmével kapcsolatos szabályok, védelmi intézkedések, hozzáférések az adatvédelmi szabályok körében a lehető legszigorúbb mértékre legyenek értelmezve és beállítva, elősegítve, hogy az alapértelmezés az adatvédelmi eljárásokban az Érintettek jogainak és alapvető szabadságainak a védelmét a lehető legmagasabb szinten biztosítsák.

87. § Ezen elveknek való fokozott megfelelés érdekében az Adatvédelmi Tisztviselő rendszeres ajánlásokat fogalmaz meg.

88. § Az informatikai rendszerben a hozzáférési jogosultságot szintenként kell kialakítani és rögzíteni. Valamennyi alkalmazott szoftver esetében meg kell határozni a hozzáférési jogosultságokat és a hozzáférést ennek megfelelően lehetővé tenni belépési kódokkal. Az egyes személyekre vonatkozó hozzáférésekről nyilvántartást kell vezetni.  

89. § Az Adatkezelő egyes dolgozói számára megállapított hozzáférési jogosultságok nyilvántartását az IBR dokumentáción belül a „Felhasználói fiókok kiosztása és felülvizsgálata” dokumentum tartalmazza.

XVII. Az adatkezelési tevékenységek nyilvántartása

90. § Az alábbi dokumentum kapcsolódik: „Adatkezelési tevékenységek nyilvántartása” -megnevezésű .xls kiterjesztésű dokumentum

91. § Az adatkezelési tevékenységek nyilvántartása az alábbiak szerinti nyilvántartásokban történik:

1. Személyes adatok kezelésének nyilvántartása (személyes adattérkép)
   1. Személyes adatokat rögzítő szoftverek, adatbázisok nyilvántartása,
   1. Adattovábbítás, adatáramlás nyilvántartása,
   1. Adatfeldolgozói szerződések nyilvántartása,
   1. Érintetti tájékoztatók nyilvántartása,
   1. Érintetti hozzájárulások nyilvántartása
   1. Hatásvizsgálatok nyilvántartása
   1. Érdekmérlegelési tesztek nyilvántartása
   1. Érintetti beadványok, kérelmek nyilvántartása
   1. Adatvédelmi incidensek nyilvántartása

92. § A nyilvántartások tartalmi kialakítása az Adatvédelmi Tisztviselő szakmai kompetenciája, amelyet az Adatkezelő elnökének jóváhagyásával határoz meg.

93. § A nyilvántartások mintái az alábbi dokumentumokban találhatóak: Adatvédelmi hatásvizsgálat, Adatkezelési tevékenységek nyilvántartása, „Érintetti adatvédelemmel kapcsolatos kérelem nyilvántartás, „Adatvédelmi Incidensnyilvántartás. A nyilvántartások vezetése az Adatvédelmi Tisztviselő feladata, az Adatkezelőtől kapott információk alapján.

94. § A nyilvántartások az Adatkezelő belső dokumentumai, amelyek biztosítják, hogy kétség esetén az Adatkezelő bizonyítani tudja az adatkezelési folyamatok törvényességét.

95. § Valamennyi nyilvántartás dinamikus jellegű, azokat folyamatosan frissíteni kell és naprakészen tartani. Felelős: az Adatvédelmi Tisztviselő.

96. § A nyilvántartásokat digitálisan kell tárolni, amelyhez megtekintésre az Adatkezelő elnöke, továbbá a szervezeti egységek vezetői és az Információbiztonsági Felelős férhetnek hozzá.

XVIII. Adatvédelmi hatásvizsgálat

97. § Az Adatkezelő által tervezett adatkezelést (adatgyűjtés, új adatkezelési folyamatok bevezetése, továbbá bármely olyan eset, amely nincs nevesítve, de az Adatvédelmi Tisztviselő vagy az Adatkezelő elnöke a GDPR rendelkezéseire figyelemmel indokoltnak tartja) megelőzően az Adatkezelő adatvédelmi tisztviselőjének szakmai közreműködésével hatásvizsgálatot végez annak érdekében, hogy felmérje, a tervezett adatkezelési műveletek milyen hatást fognak gyakorolni az Érintettek alapvető jogaira és szabadságaira nézve.

98. § Hatásvizsgálat elvégzése minden olyan esetben kötelező, amikor az adatkezelésre vonatkozó szabályokat nem törvény vagy törvény felhatalmazása alapján jogszabály állapítja meg.

99. § Bármely olyan esetben is kötelező a hatásvizsgálat elvégzése, amikor az adatkezelés valamely elemének hatása kérdéses, pl. tárolás módja vagy az adatbiztonság alkalmazott technikai megoldása.

100. § A hatásvizsgálat egyes műveleteit, továbbá valamennyi lépését, eredményét, a levont köveztetéseket rögzíteni kell.

101. § Hatásvizsgálat tárgyát, időpontját, a legfontosabb paraméterek megjelölésével, nyilván kell tartani. A nyilvántartás, illetve a hatásvizsgálat dokumentumai – jogszabály eltérő rendelkezése hiányában – nem nyilvánosak.

102. § A hatásvizsgálat elvégzése az Adatkezelő törvényen alapuló kötelezettsége, amelynek dokumentumai az Adatkezelő belső dokumentációjának részét képezik.

XIX. Az adatvédelmi tisztviselő

103. § Az Adatkezelő a személyes adatok törvényes védelmére vonatkozó szabályok betartása, továbbá az Érintettek alapvető jogai és szabadságai védelme érdekében az adatvédelem és adatbiztonság feltételeinek teljesítéséhez adatvédelmi tisztviselőt (a továbbiakban: Adatvédelmi Tisztviselő) alkalmaz.

104. § Az adatvédelmi tisztviselő az adatvédelem és adatbiztonság szakterületén magas szintű szakértői kompetenciával bíró, különösen az adatvédelmi jog és gyakorlat szakértői szintű ismeretével rendelkező, valamint a GDPR szerinti adatvédelmi tisztviselői feladatok ellátására alkalmasság személy.

105. § Az Adatkezelő bejelenti a Hatóság felé az adatvédelmi tisztviselő nevét, postai és elektronikus levélcímét, ezen adatok változását.

106. § Az Adatkezelő a hivatalos weblapján közzéteszi az adatvédelmi tisztviselő nevét, telefonszámát, email címét, címét.

107. § Az Adatkezelő elnöke biztosítja, hogy az Adatvédelmi Tisztviselő minden esetben a kellő időben értesüljön minden olyan belső eseményről, feladatról, amelyek személyes adatokra, személyes adatok kezelésére vonatkoznak, avagy a személyes adatok kezelését bármely vonatkozásban érinthetik.  

108. § Az Adatvédelmi Tisztviselőt be kell vonni a személyes adatok védelmét érintő döntések előkészítésébe. Az ilyen döntésekre irányuló eljárás megkezdésekor az előzményiratokat és valamennyi iratot meg kell küldeni az Adatvédelmi Tisztviselő részére.

109. § Az Adatkezelő köteles biztosítani, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon. Az Adatvédelmi Tisztviselő részére a feladatai ellátásához szükséges valamennyi tájékoztatást, dokumentumot meg kell adni, illetve meg kell küldeni.

110. § Amennyiben az Adatvédelmi Tisztviselő úgy értékeli a kapott információt, hogy az álláspontjának, véleményének kialakításához és közléséhez szükséges – így különösen, ha az adott ügyben a törvényeknek való megfelelés kérdésében összetett szempontrendszert kell figyelembe venni avagy a vizsgálandó kérdés jelentős számú érintett jogait avagy különleges személyes adatokat érint -, előzetes konzultációt kezdeményezhet az Adatkezelői vezetéssel, továbbá többletinformációt kérhet bármely szervezeti egység vezetőjétől, illetve az Adatkezelő bármely dolgozójától. A tájékoztatások megadása az Adatkezelő elnökét nem érintve, kötelező.

111. § Az Érintettek a személyes adataik kezeléséhez és a GDPR szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz közvetlenül fordulhatnak. Ezt az Adatkezelő weblapján egyértelműen fel kell tüntetni.

112. § Az Adatvédelmi Tisztviselő a feladatait az adatkezelési műveletekhez fűződő kockázatok megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.

113. § Az Adatvédelmi Tisztviselő javaslatot tesz az adatvédelmi nyilvántartások kialakítására, tartalmi kérdéseire. A nyilvántartások vezetéséhez szükséges adatok megadása az adatkezelést ténylegesen végző dolgozók feladata, a nyilvántartások naprakész vezetésének feladatát az Adatvédelmi Tisztviselő látja el.

114. § Az Adatvédelmi Tisztviselő rendszeresen áttekinti az adatkezelés belső szabályzatait, kapcsolódó dokumentumait, indokolt esetben szövegszerűen kidolgozott javaslatot tesz a szabályzatok harmonizációjára, amelynek alkalmazásáról az Adatkezelő elnöke dönt.

115. § Az Adatvédelmi Tisztviselő bármely szabályozási és gyakorlati (megvalósítási) kérdésben jogosult javaslattal, indítvánnyal élni. Ilyen esetben elsődlegesen írásban fordul az Adatkezelő elnökéhez. Az Adatkezelő elnökének részéről a válaszadás nem tagadható meg, de a javaslat elfogadásáról önállóan hoz döntést. Amennyiben az Adatkezelő elnöke az Adatvédelmi Tisztviselő bármely indítványának, észrevételének nem ad helyt, kérheti a módosított előterjesztés kidolgozását.

116. § Az Adatvédelmi Tisztviselő éves szinten előretervezett tematika alapján rendszeresen tart oktatást a dolgozók részére az adatkezeléssel kapcsolatos ismeretek bővítése és az adatvédelmi tudatosság növelése érdekében. Az éves oktatási tematikát a tárgyévet megelőzően bemutatja az Adatkezelő elnökének.

117. § A dolgozók oktatáson való megjelenését biztosítani kell. A dolgozók részére az oktatáson való részvétel kötelező. A dolgozó felettese adott dolgozó tekintetében engedélyezheti az oktatáson történő megjelenés alóli felmentést, ha a dolgozó munkahelyi feladatainak ellátása a részvételt nem teszi lehetővé.

XX. Adatbiztonság – adatvédelmi incidens

118. § Adatvédelmi incidens bekövetkezése esetén az alábbiak szerint kell eljárni.

119. § A jelen címben meghatározottakat az Információbiztonsági Szabályzattal (9. § (6)) összehangban kell alkalmazni.

120. § Adatvédelmi incidens bekövetkezése, illetve bekövetkezésének közvetlen veszélye, avagy korábban történt adatvédelmi incidens felismerése esetén szükséges értesíteni a közvetlen felettest, valamint az adatvédelmi tisztviselőt.

121. § A 120. § rendelkezése szerint kell eljárni abban az esetben is, ha az adatvédelmi incidenst, avagy annak közvetlen veszélyét észlelő személy nem tudja megállapítani az események tényleges bekövetkezését, avagy a bekövetkezésének közvetlen lehetőségét, csak valószínűsíteni tudja. A bejelentést tevő dolgozót semmilyen hátrány nem érheti akkor sem, ha jóhiszeműen megtett bejelentésének bármely része tévesnek minősül.

122. § Az észlelő személy köteles haladéktalanul jelezni a közvetlen felettesének vagy az Adatvédelmi Tisztviselőnek a tapasztaltakat. A felettes értesítése esetén a felettes késedelem nélkül értesíti a Adatvédelmi Tisztviselőt és a Adatkezelő elnökének.

123. § Amennyiben az észlelt adatvédelmi incidens vélhetően jelentős sérelmekkel járhat a személyes adatokra, adatkezelésekre nézve, szükséges értesíteni a közvetlen felettest, valamint az adatvédelmi tisztviselőt.

124.§   Az adatvédelmi incidensekről az Adatvédelmi Tisztviselő szükség szerint tájékoztatja az Információbiztonsági Felelőst, akit indokolt esetben az incidens kivizsgálásába és a szükséges intézkedések kidolgozásába be kell vonni.

125.§   Amennyiben megállapítható az adatvédelmi incidens bekövetkezése, továbbá az incidens következményeképp az is megállapítható, hogy az valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira, az Adatkezelő az Adatvédelmi Tisztviselő útján haladéktalanul, de legkésőbb 72 órán belül jelenti az adatvédelmi incidenst a felügyleti hatóságnak.

126.§   Amennyiben a bejelentésre nem kerül sor 72 órán belül, a késedelem okának bejelentésével együtt kell az akadály elhárultát követően haladéktalanul megtenni a bejelentést.

127.§   Az Adatvédelmi Tisztviselő – az adatvédelmi incidensekről nyilvántartást vezet, amely legalább az incidenssel érintett személyes adatok körét, az incidens bekövetkezésének körülményeit, azok hatásait, és a kezelésükre tett intézkedések leírását tartalmazza.

128.§   Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

129. § (1)        Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

1. az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
   1. az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, a magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
      1. a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

130. §  Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül köteles bejelenteni az Adatkezelőnek.

131.§ Az Adatkezelő által megbízott adatfeldolgozóktól a velük kötött szerződésben erről a kötelezettségről minden esetben rendelkezni kell.

133.§   Az adatfeldolgozóval megkötendő szerződésbe kell foglalni a kötelező intézkedések körét, amelyeket az adatfeldolgozónak az adatvédelmi incidens bekövetkezésére esetére kell végrehajtani az Adatkezelő felé.

134.§   Azadatkezelési incidens esetében, amennyiben nem egyértelmű, hogy az magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a bejelentést megelőzően vizsgálatot kell lefolytatni.

135.§ (1) A vizsgálat ebben az esetben a hatásvizsgálatnál rögzített kockázatelemzés lefolytatására, majd ezen eljárás eredménye alapján a vizsgálat értékelési részének lefolytatására irányul. (A szükségesség-arányosság teszt az ilyen esetekben általában nem indokolt.) A vizsgálat az eredménye szerint az alábbi következtetésekre vezethet:

1. A személyes adat incidens nem igényel bejelentést,
   1. A személyes adat incidens csak a Hatósághoz igényel bejelentést,
   1. A személyes adat incidens a Hatóság felé és az Érintettek felé is bejelentést igényel.

136.§   A jelen pont szerinti vizsgálatot minden olyan esetben is le kell folytatni, amikor az Adatvédelmi Tisztviselő, az Adatkezelő elnökének, avagy a szervezeti egységek álláspontja szerint az incidensre alapot adó / kiváltó körülmények kockázati megítélése nem egyértelmű, avagy a kockázatok kiküszöbölését követően is vélhetően maradvány kockázati körülmények maradtak vagy maradhattak fenn.

137.§   A bejelentést a Hatóság weboldalán kell megtenni a bejelentést az Adatvédelmi Tisztviselő teszi meg a név és elérhetőség megadásával.

138.§   Amennyiben az Érintetteket tájékoztatni kell, az alábbi adatok megadása kötelező: világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, az adatvédelmi tisztviselő neve, elérhetősége, az adatvédelmi incidens valószínű következményeinek ismertetése, továbbá az incidens kezelésére megtett vagy tervezett intézkedésekről tájékoztatás.

XXI. Az érintett jogorvoslati jogosultságai és a jogorvoslati jogok érvényesítésének feltételei

139.§   Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat, és panasszal a Hatóságnál lehet élni.

140.§   Közvetlen érintetti panasz esetében az Adatvédelmi Tisztviselő javaslatot tesz az eset megoldására, megválaszolására a jelen szabályzat XV. Címében foglaltaknak megfelelően.

141.§   A jelen Címben meghatározott joggyakorlás, illetve jogorvoslatok esetében az Adatkezelő Adatvédelmi Tisztviselője az Adatkezelő elnöke tájékoztatására és kérelmére megvizsgálja az esetet.

142. §  Az Adatvédelmi Tisztviselő a vizsgálat eredményét írásban terjeszti elő az Adatkezelő elnöke számára és egyúttal megjelöli azokat a szervezeten belüli okokat, amelyek a jogsérelmet okozták vagy lehetővé tették, egyúttal ajánlásokat és indítványokat dolgoz ki a hasonló esetek ismétlődő előfordulásának a megakadályozása érdekében.

143.§   A Hatóság törvényben biztosított, kérelemre vagy hivatalból indított eljárása esetén az Adatvédelmi Tisztviselő elősegíti az Adatkezelőnek a vizsgálattal összefüggésben keletkező kötelezettségei teljesítését, együttműködésben az Adatkezelő elnökének. Záró és hatálybaléptető rendelkezések

144. § A jelen Szabályzat hatálybalépésének napja: ………………………………

145. § (1) A jelen Szabályzat hatálybalépését követően az Adatkezelő elnöke intézkedik arról, hogy az Adatkezelő valamennyi olyan szabályzata, amely érinti a jelen Szabályzat rendelkezéseit, felülvizsgálatra kerüljön. A felülvizsgálat során meg kell szüntetni a jelen Szabályzat előírásaival ellentétes szabályokat, továbbá szükség szerint módosítani kell a hatályban lévő szabályzatokat a jelen Szabályzat rendelkezései betartásának elősegítése érdekében.

(2) A jelen Szabályzat érintetteket érintő rendelkezéseiről részletes tájékoztatót kell létrehozni és azt az Adatkezelő weblapján közzétenni, illetve az Adatkezelő valamennyi, az ügyfelek számára megnyitott hivatalos helyiségében az ügyfelek, érdeklődök részére elérhetővé tenni. Az Adatkezelő helyiségeiben történő átolvasás nyugodt feltételeit biztosítani kell.

Ancsin László Elnök