ADATVÉDELMI IRÁNYELVEK

Az Adatvédelmi Irányelvek alkalmazása

Szervezet neve: City House Market Kft
A szervezet székhelye: 1077 Budapest, Izabella utca 3/A, 1077 Budapest, Magyarország
A szabályzat tartalmáért felelős személy: Váraljai Tamás
E szabályok hatálybalépésének dátuma: 2023. szeptember 5.

Ez a szabályzat a természetes személyeknek a személyes adatok feldolgozása tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat határozza meg. A rendelet konkrét adatfeldolgozási tevékenységekre, valamint az adatfeldolgozásra vonatkozó utasítások és értesítések kiadására vonatkozik.

Az adatvédelmi tisztviselő alkalmazásának (kijelölésének) kötelezettsége minden olyan hatóságra vagy egyéb közfeladatot ellátó szervre (függetlenül az általuk kezelt adatoktól) és egyéb szervezetre vonatkozik, amelynek fő tevékenysége az egyének rendszeres, nagyszabású megfigyelése, vagy amely nagyszámú, különleges kategóriába tartozó személyes adatot kezel.

Adatvédelmi tisztviselő (DPO):

Név: Váraljai Tamás
Kapcsolat: iroda@talents.hu

A szabályzat alkalmazási köre

Ez a szabályzat visszavonásig érvényes, és a szervezet tisztviselőire, alkalmazottaira és adatvédelmi tisztviselőjére vonatkozik.

Dátum: 2023. szeptember 5.

A szabályzat célja

E szabályzat célja, hogy a természetes személyek alapvető jogainak és szabadságainak védelme és a személyes adatok megfelelő kezelésének biztosítása érdekében összehangolja a szervezet egyéb belső szabályainak az adatkezelési tevékenységekre vonatkozó követelményeit.

A szervezet tevékenysége során arra törekszik, hogy teljes mértékben megfeleljen a személyes adatok feldolgozására vonatkozó jogi követelményeknek, különösen az Európai Parlament és a Tanács (EU) 2016/679 rendeletének.

Ezen túlmenően e szabályzat kiadásának fontos célja annak biztosítása, hogy annak ismeretében és betartásával a szervezet alkalmazottai képesek legyenek természetes személyek adatainak jogszerű kezelésére.

Kulcsfogalmak, fogalommeghatározások

  • a GDPR (általános adatvédelmi rendelet) az EU új adatvédelmi rendelete.
  • irányító: az a természetes vagy jogi személy, hatóság, ügynökség vagy bármely más szerv, amely egyedül vagy másokkal együtt meghatározza a személyes adatok kezelésének céljait és eszközeit; amennyiben az adatkezelés céljait és eszközeit uniós vagy tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésének különös feltételeit szintén uniós vagy tagállami jog határozhatja meg;
  • 'feldolgozás' a személyes adatokon vagy személyes adatkészleteken automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletsorozat, úgymint gyűjtés, rögzítés, rendszerezés, tagolás, strukturálás, strukturálás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy más módon történő hozzáférhetővé tétel, összehangolás vagy összekapcsolás, korlátozás, törlés vagy megsemmisítés;
  • adatfeldolgozó: olyan természetes vagy jogi személy, hatóság, ügynökség vagy bármely más szerv, amely az adatkezelő nevében személyes adatokat kezel;
  • személyes adatok: azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ; azonosítható természetes személy az, aki közvetlenül vagy közvetve azonosítható, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy az adott természetes személy fizikai, fiziológiai, genetikai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző egy vagy több tényező alapján;
  • harmadik fél: olyan természetes vagy jogi személy, hatóság, ügynökség vagy bármely más szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy az adatfeldolgozó közvetlen felhatalmazása alapján jogosultak személyes adatok kezelésére;
  • az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét, tájékozott és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a hozzájárulását egyértelműen kifejező cselekmény útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez;
  • a feldolgozás korlátozása: a tárolt személyes adatok megjelölése a jövőbeli feldolgozásuk korlátozása céljából;
  • pszeudonimizálás: a személyes adatok olyan módon történő feldolgozása, hogy további információk nélkül már nem lehet azonosítani azt a természetes személyt, akire a személyes adatok vonatkoznak, feltéve, hogy ezeket a további információkat elkülönítve tárolják, és technikai és szervezési intézkedéseket hoznak annak biztosítására, hogy ne lehessen azonosított vagy azonosítható természetes személyt kapcsolatba hozni vele;
  • 'iktatási rendszer': a személyes adatok bármilyen módon strukturált, akár központosított, akár decentralizált, akár funkcionális vagy földrajzi kritériumok szerint strukturált halmaza, amely meghatározott kritériumok alapján hozzáférhető;
  • 'személyes adatok megsértése': a biztonság olyan megsértése, amely a továbbított, tárolt vagy más módon feldolgozott személyes adatok véletlen vagy jogellenes megsemmisítéséhez, elvesztéséhez, megváltoztatásához, jogosulatlan közléséhez vagy az azokhoz való jogosulatlan hozzáféréshez vezet;

Adatkezelési iránymutatások

A személyes adatok feldolgozásának jogszerűnek, tisztességesnek és átláthatónak kell lennie az érintett számára.

Személyes adatokat csak meghatározott, egyértelmű és jogszerű célból lehet gyűjteni.

A személyes adatok feldolgozásának céljának megfelelőnek, relevánsnak és a szükségesre korlátozottnak kell lennie.

A személyes adatoknak pontosnak és naprakésznek kell lenniük. A pontatlan személyes adatokat haladéktalanul törölni kell.

A személyes adatokat olyan formában kell tárolni, amely az érintettek azonosítását a szükségesnél nem hosszabb ideig teszi lehetővé. A személyes adatok hosszabb ideig csak akkor tárolhatók, ha a tárolás közérdekű archiválási célokra, tudományos és történelmi kutatási célokra vagy statisztikai célokra történik.

A személyes adatokat oly módon kell feldolgozni, hogy megfelelő technikai vagy szervezési intézkedésekkel biztosítsák a személyes adatok megfelelő biztonságát, beleértve a jogosulatlan vagy jogellenes feldolgozás, véletlen elvesztés, megsemmisülés vagy sérülés elleni védelmet.

Az adatvédelmi elvek minden azonosított vagy azonosítható természetes személyre vonatkozó információra vonatkoznak.

A szervezet adatkezelésért felelős alkalmazottja fegyelmi, kártérítési, polgári és büntetőjogi felelősséggel tartozik a személyes adatok jogszerű kezeléséért. Ha a munkavállaló tudomására jut, hogy az általa kezelt személyes adatok pontatlanok, hiányosak vagy elavultak, köteles azokat kijavítani vagy kijavíttatni a nyilvántartásért felelős személlyel.

Személyes adatok feldolgozása

Mivel a természetes személyek az általuk használt eszközök, alkalmazások, eszközök és protokollok által biztosított online azonosítókkal, például IP-címekkel és cookie-azonosítókkal társíthatók, ezek az adatok más információkkal kombinálva felhasználhatók és felhasználhatók természetes személyek profilalkotására és azonosítására.

Az adatkezelésre csak akkor kerülhet sor, ha az érintett önkéntes, konkrét, tájékozott és egyértelmű hozzájárulását adja az adatkezeléshez egyértelmű megerősítő intézkedés, például írásbeli, ideértve az elektronikus vagy szóbeli nyilatkozat útján.

Az adatkezeléshez való hozzájárulást akkor is megadottnak kell tekinteni, ha az érintett a weboldal meglátogatásakor bejelöl egy négyzetet. A hallgatás, a jelölőnégyzet előre bejelölése vagy a tétlenség nem minősül beleegyezésnek.

A hozzájárulás akkor is megadottnak minősül, ha a felhasználó az elektronikus szolgáltatások használata során elvégzi a megfelelő technikai beállításokat, vagy olyan nyilatkozatot tesz, illetve olyan cselekményt hajt végre, amely egyértelműen jelzi, hogy az érintett hozzájárul személyes adatainak az adatkezeléssel összefüggésben történő kezeléséhez.

Az egészségre vonatkozó személyes adatok közé tartoznak az érintett egészségére vonatkozó adatok, amelyek az érintett múltbeli, jelenlegi vagy jövőbeli fizikai vagy mentális egészségére vonatkozó információkat tartalmaznak. Ez magában foglalja:

  • egészségügyi szolgáltatásokra történő regisztráció;
  • egy személyhez rendelt szám, szimbólum vagy adat, amely az adott személy egészségügyi célú azonosítására szolgál;
  • valamely testrész vagy testalkotó vizsgálatából vagy vizsgálatából származó információ, beleértve a genetikai adatokat és a biológiai mintákat;
  • az érintett betegségére, fogyatékosságára, betegségkockázatára, kórtörténetére, klinikai kezelésére vagy fiziológiai vagy orvosbiológiai állapotára vonatkozó információ, függetlenül annak forrásától, amely lehet például orvos vagy más egészségügyi szakember, kórház, orvosi eszköz vagy diagnosztikai vizsgálat.

Genetikai adatnak minősülnek a természetes személy öröklött vagy szerzett genetikai jellemzőire vonatkozó személyes adatok, amelyek az érintett személytől vett biológiai minta elemzésének, különösen a kromoszómaelemzésnek vagy a dezoxiribonukleinsav (DNS) vagy a ribonukleinsav (RNS) vagy bármely más olyan elem elemzésének eredményei, amely lehetővé teszi a belőlük nyerhető információkkal egyenértékű információk kinyerését.

A gyermekek személyes adatai különleges védelmet érdemelnek, mivel kevésbé lehetnek tisztában a személyes adatok feldolgozásával kapcsolatos kockázatokkal, következményekkel, biztosítékokkal és jogokkal. Ezt a különleges védelmet különösen a gyermekek személyes adatainak marketingcélokra vagy személyes vagy felhasználói profilok létrehozására történő felhasználására kell alkalmazni.

A személyes adatokat olyan módon kell feldolgozni, amely megfelelő szintű biztonságot és titkosságot biztosít, többek között a személyes adatokhoz és a személyes adatok feldolgozásához használt eszközökhöz való jogosulatlan hozzáférés és azok felhasználásának megakadályozása érdekében.

Minden ésszerű lépést meg kell tenni annak érdekében, hogy a pontatlan személyes adatokat kijavítsák vagy töröljék.

Az adatkezelés jogszerűsége

A személyes adatok feldolgozása jogszerű, ha az alábbi feltételek valamelyike teljesül:

  • az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő feldolgozásához;
  • az adatkezelés olyan szerződés teljesítéséhez szükséges, amelynek az érintett a szerződő fele, vagy az érintett kérésére történő, a szerződés megkötését megelőző lépések megtételéhez szükséges;
  • az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  • az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelméhez szükséges;
  • az adatkezelés közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítványok gyakorlása során végzett feladat végrehajtásához szükséges;
  • az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek a személyes adatok védelmét igénylik, különösen, ha az érintett gyermek.

Az adatkezelés a fentiek értelmében jogszerű, ha az egy szerződéssel vagy szerződéskötési szándékkal összefüggésben szükséges.

Ha az adatkezelésre az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából kerül sor, vagy ha az adatkezelésre közérdekből vagy közhatalmi jogosítványok gyakorlása során végzett feladat végrehajtásához van szükség, az adatkezelésnek az uniós jogban vagy valamely tagállam jogában meghatározott jogalapra kell támaszkodnia.

Az adatkezelés jogszerűnek minősül, ha azt az érintett életének vagy a fent említett más természetes személy érdekeinek védelme érdekében végzik. Személyes adatokat egy másik természetes személy létfontosságú érdekei alapján elvileg csak akkor lehet feldolgozni, ha a szóban forgó feldolgozásnak nincs más jogalapja.

A személyes adatok kezelésének egyes típusai egyszerre szolgálhatnak fontos közérdeket és az érintett létfontosságú érdekeit, például ha az adatkezelés humanitárius okokból szükséges, beleértve a járványok és terjedésük nyomon követését, vagy humanitárius vészhelyzet, különösen természeti vagy ember okozta katasztrófa esetén.

Az adatkezelő - beleértve azt az adatkezelőt is, akivel a személyes adatokat meg lehet osztani - vagy egy harmadik fél jogos érdekei adhatnak jogalapot az adatkezelésre. Ilyen jogos érdek például akkor állhat fenn, ha az érintett és az adatkezelő között releváns és megfelelő kapcsolat áll fenn, például olyan esetekben, amikor az érintett az adatkezelő ügyfele vagy az adatkezelő alkalmazásában áll.

A személyes adatoknak a csalás megelőzése céljából feltétlenül szükséges feldolgozása szintén az érintett adatkezelő jogos érdekét képezi. A személyes adatok közvetlen marketing célú feldolgozása szintén jogos érdeken alapulónak tekinthető.

A jogos érdek fennállásának megállapításához gondosan meg kell vizsgálni többek között azt, hogy az érintett a személyes adatok gyűjtésének időpontjában és összefüggésében ésszerűen elvárhatta-e, hogy a szóban forgó célokból történő feldolgozásra kerüljön sor. Az érintett érdekei és alapvető jogai elsőbbséget élvezhetnek az adatkezelő érdekeivel szemben, ha a személyes adatok feldolgozására olyan körülmények között kerül sor, amikor az érintettek nem számítanak további feldolgozásra.

Az érintett adatkezelő jogos érdekének kell tekinteni a személyes adatok hatóságok, számítógépes vészhelyzet-elhárító egységek, hálózatbiztonsági incidenskezelő egységek, elektronikus hírközlő hálózatok üzemeltetői és szolgáltatók, valamint biztonságtechnológiai szolgáltatók általi feldolgozását, amennyiben az ilyen feldolgozás szigorúan szükséges és arányos a hálózat- és információbiztonság biztosításához.

A személyes adatoknak az eredeti gyűjtési céltól eltérő célból történő feldolgozása csak akkor megengedett, ha a feldolgozás összeegyeztethető a személyes adatok eredeti gyűjtési céljával. Ebben az esetben nincs szükség a személyes adatok gyűjtését lehetővé tevő jogalapon kívüli külön jogalapra.

A személyes adatok hatóságok általi, az alkotmányjogban vagy a nemzetközi közjogban meghatározott, hivatalosan elismert vallási szervezetek céljainak elérése érdekében történő feldolgozása közérdekűnek minősül.

Az érintett személy hozzájárulása, feltételek

  • Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek tudnia kell bizonyítani, hogy az érintett hozzájárult személyes adatainak kezeléséhez.
  • Ha az érintett a hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet az említett más ügyektől egyértelműen megkülönböztethető módon kell közölni.
  • Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a visszavonás előtti hozzájáruláson alapuló adatkezelés jogszerűségét. Az érintettet a hozzájárulás megadása előtt tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint a hozzájárulás megadását.
  • Annak meghatározásakor, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni többek között azt a tényt, hogy a szerződés teljesítését - beleértve a szolgáltatásnyújtást is - a szerződés teljesítéséhez nem szükséges személyes adatok kezeléséhez való hozzájárulástól teszik-e függővé.
  • A személyes adatok feldolgozása a közvetlenül gyermekeknek nyújtott információs társadalmi szolgáltatásokkal kapcsolatban akkor jogszerű, ha a gyermek legalább 16 éves. A 16 év alatti gyermekek esetében a gyermekek személyes adatainak feldolgozása csak akkor és annyiban jogszerű, amennyiben a gyermek feletti szülői felügyeletet gyakorló személy beleegyezését adta vagy engedélyezte.

Tilos a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, a természetes személyek személyazonosságát feltáró genetikai adatok vagy biometrikus adatok, egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése, kivéve, ha az érintett kifejezetten hozzájárult az említett személyes adatok egy vagy több meghatározott célból történő kezeléséhez.

A büntetőjogi felelősségre vonatkozó határozatokkal és bűncselekményekkel kapcsolatos személyes adatok feldolgozására és a kapcsolódó biztonsági intézkedésekre csak akkor kerülhet sor, ha azokat hatóság dolgozza fel.

Azonosítást nem igénylő feldolgozás

Ha azok a célok, amelyek érdekében az adatkezelő a személyes adatokat kezeli, nem vagy már nem teszik szükségessé az érintettnek az adatkezelő általi azonosítását, az adatkezelő nem köteles további információkat megőrizni.

Amennyiben az adatkezelő bizonyítani tudja, hogy nincs abban a helyzetben, hogy az érintettet azonosítsa, lehetőség szerint megfelelő módon tájékoztatja erről az érintettet.

Az érintett tájékoztatása és jogai

A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintettet tájékoztassák az adatkezelés tényéről és céljairól.

Amennyiben az érintettől személyes adatokat gyűjtenek, az érintettet tájékoztatni kell a személyes adatok megadásának kötelezettségéről és az adatszolgáltatás elmulasztásának következményeiről is. Ezt az információt szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy az érintett a tervezett adatkezelésről általános tájékoztatást kapjon jól látható, könnyen érthető és jól olvasható formában.

Az érintettre vonatkozó személyes adatok feldolgozásával kapcsolatos tájékoztatást az érintettnek az adatgyűjtés időpontjában, vagy - ha az adatokat az érintettől eltérő forrásból gyűjtötték - az eset körülményeit figyelembe véve ésszerű időn belül kell megadni.

Az érintett jogosult arra, hogy hozzáférjen a róla gyűjtött adatokhoz, és jogosult arra, hogy ezt a jogot egyszerűen és ésszerű időközönként gyakorolja az adatkezelés jogszerűségének megállapítása és ellenőrzése érdekében. Minden érintettnek joga van ahhoz, hogy tájékoztatást kapjon különösen a személyes adatok feldolgozásának céljairól, és lehetőség szerint a személyes adatok feldolgozásának időtartamáról,

Az érintettnek joga van különösen ahhoz, hogy személyes adatait töröljék és a továbbiakban ne kezeljék, ha a személyes adatok gyűjtése vagy egyéb feldolgozása az adatkezelés eredeti céljaihoz képest már nem szükséges, vagy ha az érintettek visszavonták az adatkezeléshez adott hozzájárulásukat.

Amennyiben a személyes adatok feldolgozása közvetlen üzletszerzés céljából történik, az érintettnek joga van ahhoz, hogy bármikor és ingyenesen tiltakozhasson a rá vonatkozó személyes adatok ilyen célú feldolgozása ellen.

A személyes adatok felülvizsgálata

Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő határidőket állapít meg a törlésre vagy az időszakos felülvizsgálatra.

A szervezet vezetője által meghatározott időszakos felülvizsgálati időszak: 1 év.

Az adatkezelő feladatai

Az adatkezelő megfelelő belső adatvédelmi szabályokat alkalmaz a jogszerű feldolgozás biztosítása érdekében. Ezek a szabályok az adatkezelő hatáskörére és felelősségi körére vonatkoznak.

Az adatkezelő köteles megfelelő és hatékony intézkedéseket végrehajtani, és képesnek kell lennie bizonyítani, hogy az adatkezelési tevékenységek megfelelnek az alkalmazandó jognak.

Ezt a rendeletet az adatkezelés jellegének, hatályának, összefüggéseinek és céljainak, valamint a természetes személyek jogaira és szabadságaira jelentett kockázatnak a figyelembevételével kell meghozni.

Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre, figyelembe véve az adatkezelés jellegét, hatályát, összefüggéseit és céljait, valamint a természetes személyek jogaira és szabadságaira jelentett kockázat valószínűségének és súlyosságának különböző fokozatait. E szabályok alapján felülvizsgálja és szükség esetén aktualizálja az egyéb belső szabályokat.

Az adatkezelő vagy adatfeldolgozó megfelelő nyilvántartást vezet a hatáskörében végzett adatkezelési tevékenységekről. Minden adatkezelő és adatfeldolgozó együttműködik a felügyeleti hatósággal, és kérésre rendelkezésre bocsátja ezeket a nyilvántartásokat az érintett feldolgozási műveletek ellenőrzése érdekében.

Az adatfeldolgozással kapcsolatos jogok

A tájékoztatáskéréshez való jog

Bármely személy a megadott elérhetőségeken keresztül tájékoztatást kérhet arról, hogy a szervezet milyen adatokat kezel, milyen jogalapon, milyen célból, milyen forrásból és mennyi ideig. A kérelmet indokolatlan késedelem nélkül, de legkésőbb 30 napon belül elküldik a megadott elérhetőségre.

A helyesbítéshez való jog

Bármely személy kérheti bármely adatának helyesbítését a megadott elérhetőségeken keresztül. Az ilyen kérelemnek haladéktalanul, de legkésőbb 30 napon belül eleget kell tenni, és az információt a megadott elérhetőségekre kell küldeni.

Törléshez való jog

Bármely személy kérheti adatainak törlését a megadott elérhetőségeken keresztül. Kérésre ezt indokolatlan késedelem nélkül, de legfeljebb 30 napon belül kell megtenni, és az információt a megadott elérhetőségekre kell elküldeni.

Zároláshoz, korlátozáshoz való jog

Bármely személy kérheti adatainak zárolását a megadott elérhetőségeken keresztül. A zárolás addig tart, amíg a megadott ok az adatok tárolását szükségessé teszi. Kérésre ezt indokolatlan késedelem nélkül, de legfeljebb 30 napon belül kell megtenni, és az információt a megadott elérhetőségekre kell elküldeni.

Tiltakozási jog

Bármely személy tiltakozhat a személyes adatok feldolgozása ellen a megadott elérhetőségeken. A kifogást megvizsgálják, és a kérelem benyújtásától számított legrövidebb időn belül, de legkésőbb 15 napon belül érdemi határozatot hoznak, és a határozatot közlik a megadott elérhetőségeken.

Az adatfeldolgozással kapcsolatos végrehajtási lehetőségek

Nemzeti Adatvédelmi és Információszabadság Hatóság

Postacím: 1530 Budapest, Postafiók 5.

Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c

Telefon: +36 (1) 391-1400

Fax: +36 (1) 391-1410

E-mail: ugyfelszolgalat (kukac) naih.hu

URL https://naih.hu

koordináták: N 47°30’56”; E 18°59’57”

Az érintett a jogainak megsértése esetén bírósághoz fordulhat az adatkezelővel szemben. A bíróság soron kívül dönt az ügyben. Az érintett az érintett választása szerint a lakóhelye vagy tartózkodási helye szerint illetékes bírósághoz is fordulhat.

A szervezet feladatai a megfelelő adatvédelem biztosítása érdekében

  • Adatvédelmi tudatosság. A szakmai alkalmasság biztosítása a jogszabályoknak való megfelelés érdekében. A személyzet képzése és a szabályok ismerete alapvető fontosságú.
  • Tekintse át az adatkezelés célját, az adatkezelés kritériumait, a személyes adatok kezelésének fogalmát. Biztosítja a jogszerű és az adatvédelmi és adatkezelési politikával összhangban álló feldolgozást.
  • Megfelelő tájékoztatás nyújtása az érintettnek. Figyelmet kell fordítani arra a tényre, hogy amennyiben az adatkezelés az érintett hozzájárulásán alapul, az adatkezelőnek kétség esetén bizonyítania kell, hogy az érintett megadta a hozzájárulását.
  • Az érintettnek nyújtott tájékoztatásnak tömörnek, könnyen hozzáférhetőnek és könnyen érthetőnek kell lennie, ezért azt világos és közérthető nyelven kell megfogalmazni és bemutatni.
  • Az átlátható adatkezelés megköveteli, hogy az érintettet tájékoztassák az adatkezelés tényéről és céljairól. A tájékoztatást az adatkezelés megkezdése előtt kell megadni, és a tájékoztatáshoz való jognak az érintett számára az adatkezelés végéig elérhetőnek kell lennie.
  • Az érintett főbb jogai a következők:
  • a rá vonatkozó személyes adatokhoz való hozzáférés;
  • személyes adatok helyesbítése;
  • személyes adatok törlése;
  • a személyes adatok feldolgozásának korlátozása;
  • tiltakozás a profilalkotás és az automatizált feldolgozás ellen;
  • az adathordozhatósághoz való jog.
  • Az adatkezelő indokolatlan késedelem nélkül, de legkésőbb a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A tájékoztatási kötelezettség egy biztonságos online rendszer működtetésével biztosítható, amelyen keresztül az érintett könnyen és gyorsan hozzáférhet a szükséges információkhoz.
  • Felül kell vizsgálni a szervezet adatfeldolgozási tevékenységét, biztosítva az információs önrendelkezési jog tiszteletben tartását. Az érintett kérésére az adatokat haladéktalanul törölni kell, ha az érintett visszavonja az adatkezelés alapjául szolgáló hozzájárulását.
  • Az érintett hozzájárulásának egyértelműen jeleznie kell, hogy az érintett hozzájárul az adatkezeléshez. Amennyiben az adatkezelés az érintett hozzájárulásán alapul, az adatkezelőnek kétség esetén bizonyítania kell, hogy az érintett hozzájárult az adatkezelési művelethez.
  • A gyermekek személyes adatainak feldolgozása esetén különös figyelmet kell fordítani az adatfeldolgozásra vonatkozó szabályoknak való megfelelésre. A személyes adatok feldolgozása a közvetlenül gyermekeknek nyújtott információs társadalmi szolgáltatásokkal kapcsolatban akkor jogszerű, ha a gyermek legalább 16 éves. A 16 év alatti gyermekek esetében a gyermekek személyes adatainak feldolgozása csak akkor és annyiban jogszerű, amennyiben a gyermek feletti szülői felügyeletet gyakorló személy beleegyezését adta vagy engedélyezte.
  • A személyes adatok jogellenes feldolgozása vagy feldolgozása esetén értesíteni kell a felügyeleti hatóságot. Az adatkezelőnek indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy tudomást szerzett az adatvédelmi incidensről, értesítenie kell a felügyeleti hatóságot, kivéve, ha az adatvédelmi incidens valószínűleg nem jelent kockázatot a természetes személy jogaira nézve.
  • Bizonyos esetekben helyénvaló lehet, hogy az adatkezelő a feldolgozás előtt adatvédelmi hatásvizsgálatot végezzen. Az adatvédelmi hatásvizsgálatnak értékelnie kell a tervezett adatfeldolgozási műveleteknek a személyes adatok védelmére gyakorolt hatását. Ha a DIA arra a következtetésre jut, hogy az adatkezelés valószínűleg magas kockázatot jelent, az adatkezelőnek a személyes adatok kezelése előtt konzultálnia kell a felügyeleti hatósággal.
  • Amennyiben a fő tevékenységek olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, terjedelmüknél vagy céljuknál fogva az érintettek rendszeres és szisztematikus, nagyszabású ellenőrzését igénylik, adatvédelmi tisztviselőt kell kinevezni. Az adatvédelmi tisztviselő kinevezésének célja az adatbiztonság megerősítése.

Adatvédelem

Megfelelő intézkedéseket kell hozni különösen az adatok jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozatal, közlés, törlés vagy megsemmisítés, véletlen megsemmisítés vagy véletlen károsodás, valamint az alkalmazott technológia változásából eredő hozzáférhetetlenné válás elleni védelme érdekében.

A nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai intézkedéseket kell hozni annak biztosítására, hogy a nyilvántartásokban tárolt adatok ne legyenek közvetlenül összekapcsolhatók és az érintetthez rendelhetők.

Az adatbiztonság megtervezésekor és alkalmazásakor figyelembe kell venni a technika jelenlegi állását. A személyes adatok magasabb szintű védelmét biztosító több lehetséges adatfeldolgozási megoldás közül kell választani, kivéve, ha ez aránytalan terhet jelentene az adatkezelő számára.

Adatvédelmi tisztviselő (DPO)

Az adatvédelmi tisztviselő kinevezése az alábbi kritériumok alapján kötelező:

  • az adatkezelést hatóságok vagy más, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
  • az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, terjedelmüknél vagy céljuknál fogva az érintettek rendszeres és szisztematikus, széles körű megfigyelését igénylik;
  • az adatkezelő vagy az adatfeldolgozó fő tevékenysége a büntetőjogi felelősségre vonással kapcsolatos döntésekkel kapcsolatos nagyszámú személyes adat feldolgozásához és a bűncselekményekkel kapcsolatos adatok feldolgozásához kapcsolódik.

Amennyiben az adatvédelmi tisztviselő kinevezése kötelező, a következő szabályokat kell alkalmazni:

Az adatvédelmi tisztviselőt szakmai alkalmassága és különösen az adatvédelmi jog és gyakorlat szakértői ismerete, valamint az adatkezelés elvégzésére való képessége alapján kell kinevezni.

Az adatvédelmi tisztviselő lehet az adatkezelő vagy az adatfeldolgozó alkalmazottja, de feladatát szolgáltatási szerződés keretében is elláthatja.

Az adatvédelmi tisztviselő nevét és elérhetőségét az adatkezelőnek vagy az adatfeldolgozónak közzé kell tennie, és közölnie kell a felügyeleti hatósággal.

Az adatvédelmi tisztviselő státusza

Az adatkezelőnek biztosítania kell, hogy az adatvédelmi tisztviselőt megfelelő módon és időben bevonják a személyes adatok védelmével kapcsolatos valamennyi ügybe. Biztosítani kell, hogy az adatvédelmi tisztviselő szakértői szintjének fenntartásához szükséges erőforrások rendelkezésre álljanak.

Az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban senkitől nem fogadhat el utasításokat. Az adatkezelő vagy az adatfeldolgozó nem bocsáthatja el és nem szankcionálhatja az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó felső vezetésének tartozik felelősséggel.

Az érintettek az adatvédelmi tisztviselőhöz fordulhatnak a személyes adataik feldolgozásával és a jogaik gyakorlásával kapcsolatos valamennyi kérdésben.

Az adatvédelmi tisztviselőt feladatai ellátása során titoktartási vagy adatvédelmi kötelezettségek kötik.

Az adatvédelmi tisztviselő más feladatokat is elláthat, de e feladatokkal kapcsolatban nem állhat fenn összeférhetetlenség.

Az adatvédelmi tisztviselő feladatai

  • Tájékoztatást és szakmai tanácsadást nyújt az adatkezelő vagy az adatfeldolgozó, valamint az adatfeldolgozást végző személyzet számára;
  • figyelemmel kíséri az adatkezelő vagy adatfeldolgozó személyes adatok védelmére vonatkozó belső szabályainak betartását;
  • kérésre technikai tanácsadást nyújt az adatvédelmi hatásvizsgálattal kapcsolatban, és figyelemmel kíséri a hatásvizsgálat végrehajtását;
  • együttműködik a felügyeleti hatósággal.

Adatvédelmi incidens

Az adatvédelmi incidens a biztonság olyan megsértése, amely a továbbított, tárolt vagy más módon feldolgozott személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az adatvédelmi incidens megfelelő és időben történő fellépés hiányában fizikai, anyagi vagy nem anyagi kárt okozhat természetes személyeknek, beleértve a személyes adatok feletti ellenőrzés elvesztését vagy jogaik korlátozását, diszkriminációt, személyazonosság-lopást vagy személyazonossággal való visszaélést.

Az adatvédelmi incidensről indokolatlan késedelem nélkül, de legkésőbb 72 órán belül értesíteni kell az illetékes felügyeleti hatóságot, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítható, hogy az adatvédelmi incidens valószínűleg nem jelent kockázatot a természetes személyek jogaira és szabadságaira nézve.

Az érintettet haladéktalanul tájékoztatni kell, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, hogy az érintett megtehesse a szükséges óvintézkedéseket.

Adminisztratív és nyilvántartási célú feldolgozás

A szervezet a tevékenységeivel összefüggésben, valamint adminisztratív és nyilvántartási célokból is kezelhet személyes adatokat.

Az adatkezelés az érintett önkéntes és kifejezett hozzájárulásán alapul, amelyről az érintettet megfelelően tájékoztatták. A részletes tájékoztatást követően, beleértve az adatkezelés célját, jogalapját és időtartamát, valamint az érintett jogait, az érintettet tájékoztatni kell az adatkezelés önkéntes jellegéről. Az adatkezeléshez való hozzájárulást írásban kell rögzíteni.

Az adminisztratív és nyilvántartási célú feldolgozás a következő célokat szolgálja:

  • a szervezet tagjai és alkalmazottai adatainak jogi kötelezettségen alapuló feldolgozása;
  • a szervezet alkalmazottaira, munkavállalóira, munkavállalói képviselőire és munkavállalói alkalmazottaira vonatkozó adatok feldolgozása, akikre jogi kötelezettségek vonatkoznak, és akikre jogszabályi előírások vonatkoznak;
  • a szervezettel üzleti kapcsolatban álló egyéb szervezetek, intézmények és vállalkozások elérhetőségei, amelyek természetes személyek elérhetőségi és azonosító adatait is tartalmazhatják;

Az adatok fent leírtak szerinti feldolgozása egyrészt jogi kötelezettségen alapul, másrészt az érintett kifejezett hozzájárulását adta adatai feldolgozásához (pl. munkaszerződés céljából, vagy amikor partnerként regisztrált egy weboldalon stb.)

A szervezethez írásban benyújtott dokumentumok (pl. önéletrajz, álláspályázat, egyéb beadványok stb.) esetében, beleértve a személyes adatokat is, az érintett hozzájárulását kell vélelmezni. Az ügy lezárását követően a dokumentumokat a további felhasználáshoz való hozzájárulás hiányában meg kell semmisíteni. A megsemmisítés tényét jegyzőkönyvben kell rögzíteni.

Adminisztratív célú adatkezelés esetén a személyes adatok csak az ügy irataiba és nyilvántartásaiba kerülnek be. Ezen adatok feldolgozása a feldolgozás alapjául szolgáló dokumentum megsemmisítéséig tart.

Az adminisztratív és nyilvántartási célú adatkezelést évente felül kell vizsgálni annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, a pontatlan személyes adatokat pedig haladéktalanul törölni kell.

Az adminisztratív és nyilvántartási célú feldolgozásnak szintén biztosítania kell a jogszabályoknak való megfelelést.

Egyéb célú feldolgozás

Ha a szervezet olyan adatkezelési tevékenységet kíván végezni, amelyre ez a szabályzat nem terjed ki, akkor először ki kell egészítenie ezt a belső szabályzatot ennek megfelelően, vagy az új adatkezelési célnak megfelelő alszabályokkal kell kiegészítenie.

A kódexhez kapcsolódó egyéb dokumentumok

Azokat a dokumentumokat és irányelveket, amelyek például az adatkezeléshez való írásbeli hozzájárulási nyilatkozatot vagy például a weboldalakra vonatkozó kötelező adatvédelmi tájékoztatót tartalmaznak, az adatvédelmi és adatbiztonsági politikához kell kapcsolni és azzal együtt kell kezelni.

A feldolgozás alapjául szolgáló jogszabályok

  • AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet).
  • 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról.
  • 1995. évi LXVI. törvény a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről.
  • 335/2005 (XII. 29.) Kormányrendelet a közfeladatot ellátó szervek iratkezelésének általános követelményeiről.
  • 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről.
  • 2003. évi C. törvény az elektronikus hírközlésről.