Általános Szerződési Feltételek
A Magyar Levegősportok Szövetsége hivatalos tájékoztatója.
MAGYAR LEVEGŐSPORT SZÖVETSÉG
ADATVÉDELMI ÉS ADATKEZELÉSI
SZABÁLYZAT
Adatvédelmi és adatkezelési
szabályzat - 1 / 19 oldal
Az adatvédelmi és adatkezelési
szabályzat alkalmazása
Magyar Levegősportok Szövetsége
Szövetség neve:
A
Szövetség székhelye:
1122 Krisztina krt. 31-33
Katus Tamás
A
szabályzat tartalmáért felelős személy:
A
szabályzat hatályba lépésének dátuma:
2018.05.25.
Ez
a szabályzat a természetes személyeknek a személyes adatok kezelése
tekintetében
történő védelmére és a személyes
adatok szabad áramlására vonatkozó szabályokat állapít
meg. A szabályzatban foglaltakat kell
alkalmazni a konkrét adatkezelési tevékenységek
során, valamint az adatkezelést
szabályozó utasítások és tájékoztatások kiadásakor.
Adatvédelmi tisztviselő alkalmazási
(kijelölési) kötelezettség kiterjed minden közhatalmi
szervre vagy egyéb, közfeladatot
ellátó szervre (függetlenül attól, hogy milyen adatokat
dolgoz fel), valamint egyéb olyan
szervezetekre, amelyek fő tevékenysége az egyének
szisztematikus, nagymértékű
megfigyelése, vagy amelyek a személyes adatok különleges
kategóriáit nagy számban kezelik.
A
Szövetség adatvédelmi tisztviselőt nem alkalmaz.
A
szabályzat hatálya
E
szabályzat visszavonásig érvényes, hatálya kiterjed a Szövetségre,
alkalmazottjaira,
tagfjaira illetve megbízási
szerződéssel rendelkező segítőire
Dátum: Budapest, 2018. május 25.
....................................................
Katus Tamás
MALESZ Elnök
Adatvédelmi és adatkezelési
szabályzat - 2 / 19 oldal
A
szabályzat célja
E
szabályzat célja, hogy harmonizálja az adatkezelési tevékenységek
tekintetében a
vállalkozó egyéb belső
szabályzatainak előírásait a természetes személyek alapvető jogainak
és
szabadságainak védelme érdekében, valamint biztosítsa a személyes
adatok megfelelő
kezelését.
A
Szövetség tevékenysége során teljes mértékben meg kíván felelni a
személyes adatok
kezelésére vonatkozó jogszabályi
előírásoknak, különösen az Európai Parlament és a Tanács
(EU) 2016/679 rendeletében
foglaltaknak.
A
szabályzat kiadásának fontos célja továbbá, hogy megismerésével és
betartásával a
vállalkozó alkalmazottai képesek
legyenek a természetes személyek adatai kezelését
jogszerűen végezni.
Lényeges fogalmak, meghatározások:
-
-
a
GDPR (General Data Protection Regulation)
az Európai Unió új Adatvédelmi
Rendelete
adatkezelő:
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy
bármely egyéb szerv, amely a
személyes adatok kezelésének céljait és eszközeit
önállóan vagy másokkal együtt
meghatározza; ha az adatkezelés céljait és eszközeit
az
uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az
adatkezelő
kijelölésére vonatkozó különös
szempontokat az uniós vagy a tagállami jog is
meghatározhatja;
-
adatkezelés:
a személyes adatokon vagy adatállományokon automatizált vagy nem
automatizált módon végzett bármely
művelet vagy műveletek összessége, így a
gyűjtés, rögzítés, rendszerezés,
tagolás, tárolás, átalakítás vagy megváltoztatás,
lekérdezés, betekintés, felhasználás,
közlés, továbbítás, terjesztés vagy egyéb módon
történő hozzáférhetővé tétel útján,
összehangolás vagy összekapcsolás, korlátozás,
törlés, illetve megsemmisítés;
-
-
adatfeldolgozó:
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség
vagy bármely egyéb szerv, amely az
adatkezelő nevében személyes adatokat kezel;
személyes adat:
azonosított vagy azonosítható természetes személyre (érintett)
vonatkozó bármely információ;
azonosítható az a természetes személy, aki közvetlen
Adatvédelmi és adatkezelési
szabályzat - 3 / 19 oldal
vagy közvetett módon, különösen
valamely azonosító, például név, szám,
helymeghatározó adat, online
azonosító vagy a természetes személy testi, fiziológiai,
genetikai, szellemi, gazdasági,
kulturális vagy szociális azonosságára vonatkozó egy
vagy több tényező alapján
azonosítható;
-
-
harmadik fél:
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy
bármely egyéb szerv, amely nem azonos
az érintettel, az adatkezelővel, az
adatfeldolgozóval vagy azokkal a
személyekkel, akik az adatkezelő vagy
adatfeldolgozó
közvetlen
irányítása
alatt
a
személyes
adatok
kezelésére
felhatalmazást kaptak;
az
érintett hozzájárulása:
az érintett akaratának önkéntes, konkrét és megfelelő
tájékoztatáson alapuló és egyértelmű
kinyilvánítása, amellyel az érintett nyilatkozat
vagy a megerősítést
félreérthetetlenül kifejező cselekedet útján jelzi, hogy
beleegyezését adja az őt érintő
személyes adatok kezeléséhez;
-
-
az
adatkezelés korlátozása:
a tárolt személyes adatok megjelölése jövőbeli kezelésük
korlátozása céljából;
álnevesítés: a
személyes adatok olyan módon történő kezelése, amelynek
következtében további információk
felhasználása nélkül többé már nem állapítható
meg, hogy a személyes adat mely
konkrét természetes személyre vonatkozik, feltéve
hogy az ilyen további információt
külön tárolják, és technikai és szervezési
intézkedések
megtételével
biztosított,
hogy
azonosított
vagy
azonosítható
természetes személyekhez ezt a
személyes adatot nem lehet kapcsolni;
-
-
nyilvántartási rendszer:
a személyes adatok bármely módon – centralizált,
decentralizált vagy funkcionális vagy
földrajzi szempontok szerint – tagolt
állománya, amely meghatározott
ismérvek alapján hozzáférhető;
adatvédelmi incidens:
a biztonság olyan sérülése, amely a továbbított, tárolt vagy
más módon kezelt személyes adatok
véletlen vagy jogellenes megsemmisítését,
elvesztését, megváltoztatását,
jogosulatlan közlését vagy az azokhoz való
jogosulatlan hozzáférést
eredményezi;
Az adatkezelés irányelvei
A
személyes adatok kezelését jogszerűen és tisztességesen, valamint az
érintett számára
átlátható módon kell végezni.
Adatvédelmi és adatkezelési
szabályzat - 4 / 19 oldal
A
személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű
célból történhet.
A
személyes adatok kezelésének célja megfelelő és releváns legyen, és
csak a szükséges
mértékű lehet.
A
személyes adatoknak pontosnak és naprakésznek kell lenniük. A
pontatlan személyes
adatokat haladéktalanul törölni kell.
A
személyes adatok tárolásának olyan formában kell történnie, hogy az
érintettek
azonosítását csak szükséges ideig
tegye lehetővé. A személyes adatok ennél hosszabb ideig
történő tárolására csak akkor
kerülhet sor, ha a tárolás közérdekű archiválás céljából,
tudományos és történelmi kutatási
célból vagy statisztikai célból történik.
A
személyes adatok kezelését oly módon kell végezni, hogy megfelelő
technikai vagy
szervezési intézkedések
alkalmazásával biztosítva legyen a személyes adatok megfelelő
biztonsága, az adatok jogosulatlan
vagy jogellenes kezelésével, véletlen elvesztésével,
megsemmisítésével vagy károsodásával
szembeni védelmet is ideértve.
Az
adatvédelem elveit minden azonosított vagy azonosítható természetes
személyre
vonatkozó információ esetében
alkalmazni kell.
A
Szövetség adatkezelést végző alkalmazottja fegyelmi, kártérítési,
szabálysértési és
büntetőjogi felelősséggel tartozik a
személyes adatok jogszerű kezeléséért. Amennyiben az
alkalmazott tudomást szerez arról,
hogy az általa kezelt személyes adat hibás, hiányos, vagy
időszerűtlen, köteles azt
helyesbíteni, vagy helyesbítését az adat rögzítéséért felelős
munkatársnál kezdeményezni.
Személyes adatok kezelése
Mivel a természetes személyek
összefüggésbe hozhatók az általuk használt készülékek,
alkalmazások, eszközök és protokollok
által rendelkezésre bocsátott online azonosítókkal,
például IP-címekkel és
cookie-azonosítókkal, ezért ezek az adatok egyéb információkkal
összekapcsolva alkalmasak és
felhasználhatók a természetes személyek profiljának
létrehozására és az adott személy
azonosítására.
Az
adatkezelésre csak akkor kerülhet sor, ha az érintett személy
egyértelmű megerősítő
cselekedettel, például írásbeli -
ideértve az elektronikus úton tett - vagy szóbeli nyilatkozattal
önkéntes, konkrét, tájékoztatáson
alapuló és egyértelmű hozzájárulását adja az adatok
kezeléséhez.
Adatvédelmi és adatkezelési
szabályzat - 5 / 19 oldal
Az
adatkezeléshez való hozzájárulásnak minősül az is, ha az érintett
személy az internetes
honlap megtekintése során bejelöl egy
erre vonatkozó négyzetet. A hallgatás, az előre bejelölt
négyzet vagy a nem cselekvés nem
minősül hozzájárulásnak.
Hozzájárulásnak minősül az is, ha
valamely felhasználó az elektronikus szolgáltatások
igénybevétele során erre vonatkozó
technikai beállításokat hajt végre, vagy olyan
nyilatkozatot illetve cselekedet
tesz, amely az adott összefüggésben az érintett személy
hozzájárulását személyes adatainak
kezeléséhez egyértelműen jelzi.
Az
egészségügyi személyes adatok közé tartoznak az érintett egészségi
állapotára vonatkozó
olyan adatok, amelyek információt
hordoznak az érintett múltbeli, jelenlegi vagy jövőbeli
testi vagy pszichikai egészségi
állapotáról. Ide tartoznak az alábbiak:
-
-
egészségügyi szolgáltatások céljából
történő nyilvántartásba vétel;
a
természetes személy egészségügyi célokból történő egyéni azonosítása
érdekében
hozzá rendelt szám, jel vagy adat;
-
-
valamely testrész vagy a testet
alkotó anyag – beleértve a genetikai adatokat és a
biológiai mintákat is – teszteléséből
vagy vizsgálatából származó információk;
az
érintett betegségével, fogyatékosságával, betegségkockázatával,
kórtörténetével,
klinikai kezelésével vagy fiziológiai
vagy orvosbiológiai állapotával kapcsolatos
információ, függetlenül annak
forrásától, amely lehet például orvos vagy egyéb
egészségügyi dolgozó, kórház,
orvostechnikai eszköz vagy diagnosztikai teszt.
A
genetikai adatot olyan, a természetes személy örökölt vagy szerzett
genetikai jellemzőivel
összefüggő személyes adatként kell
meghatározni, és amely az érintett személytől vett
biológiai
minta
elemzésének
–
különösen
kromoszómaelemzésnek,
illetve
a
dezoxiribonukleinsav (DNS) vagy a
ribonukleinsav (RNS) vizsgálatának, vagy az ezekből
nyerhető információkkal megegyező
információk kinyerését lehetővé tevő bármilyen más
elem vizsgálatának – az eredménye.
A
gyermekek személyes adatai különös védelmet érdemelnek, mivel ők
kevésbé lehetnek
tisztában a személyes adatok
kezelésével összefüggő kockázatokkal, következményeivel és
az
ahhoz kapcsolódó garanciákkal és jogosultságokkal. Ezt a különös
védelmet főként a
gyermekek
személyes
adatainak
olyan
felhasználására
kell
alkalmazni,
amely
marketingcélokat, illetve személyi
vagy felhasználói profilok létrehozásának célját szolgálja.
Adatvédelmi és adatkezelési
szabályzat - 6 / 19 oldal
A
személyes adatokat olyan módon kell kezelni, amely biztosítja azok
megfelelő szintű
biztonságát és bizalmas kezelését,
többek között annak érdekében, hogy megakadályozza a
személyes adatokhoz és a személyes
adatok kezeléséhez használt eszközökhöz való
jogosulatlan hozzáférést, illetve
azok jogosulatlan felhasználását.
A
pontatlan személyes adatok helyesbítése vagy törlése érdekében
minden ésszerű lépést
meg kell tenni.
Az adatkezelés jogszerűsége
A
személyes adatok kezelése akkor jogszerű, ha az alábbiak valamelyike
teljesül:
az
érintett hozzájárulását adta személyes adatainak egy vagy több
konkrét célból
történő kezeléséhez;
az
adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az
érintett az egyik
fél, vagy az a szerződés megkötését
megelőzően az érintett kérésére történő lépések
megtételéhez szükséges;
az
adatkezelés az adatkezelőre vonatkozó jogi kötelezettség
teljesítéséhez szükséges;
az
adatkezelés az érintett vagy egy másik természetes személy
létfontosságú
érdekeinek védelme miatt szükséges;
az
adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi
jogosítvány
gyakorlásának keretében végzett
feladat végrehajtásához szükséges;
az
adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek
érvényesítéséhez szükséges, kivéve,
ha ezen érdekekkel szemben elsőbbséget
élveznek az érintett olyan érdekei
vagy alapvető jogai és szabadságai, amelyek
személyes adatok védelmét teszik
szükségessé, különösen, ha az érintett gyermek.
A
fentiek értelmében az adatkezelés jogszerűnek minősül, ha arra
valamely szerződés vagy
szerződéskötési szándék keretében
van szükség.
Ha
az adatkezelésre az adatkezelőre vonatkozó jogi kötelezettség
teljesítése keretében kerül
sor, vagy ha az közérdekű feladat
végrehajtásához, illetve közhatalmi jogosítvány
gyakorlásához szükséges, az
adatkezelésnek az uniós jogban vagy valamely tagállam
jogában foglalt jogalappal kell
rendelkeznie.
Adatvédelmi és adatkezelési
szabályzat - 7 / 19 oldal
Az
adatkezelést jogszerűnek kell tekinteni akkor, amikor az az érintett
életének vagy más
fent említett természetes személy
érdekeinek védelmében történik. Más természetes személy
létfontosságú érdekeire hivatkozással
személyes adatkezelésre elvben csak akkor kerülhet
sor, ha a szóban forgó adatkezelés
egyéb jogalapon nem végezhető.
A
személyes adatkezelés néhány típusa szolgálhat egyszerre fontos
közérdeket és az érintett
létfontosságú érdekeit is, például
olyan esetben, amikor az adatkezelésre humanitárius
okokból, ideértve, ha arra a
járványok és terjedéseik nyomon követéséhez, vagy
humanitárius vészhelyzetben,
különösen természeti vagy ember által okozott katasztrófák
esetében van szükség.
Az
adatkezelő – ideértve azt az adatkezelőt is, akivel a személyes
adatokat közölhetik – vagy
valamely harmadik fél jogos érdeke
jogalapot teremthet az adatkezelésre. Az ilyen jogos
érdekről lehet szó például olyankor,
amikor releváns és megfelelő kapcsolat áll fenn az
érintett és az adatkezelő között,
például olyan esetekben, amikor az érintett az adatkezelő
ügyfele vagy annak alkalmazásában áll.
Személyes adatoknak a csalások
megelőzése céljából feltétlenül szükséges kezelése szintén az
érintett adatkezelő jogos érdekének
minősül. Személyes adatok közvetlen üzletszerzési célú
kezelése szintén jogos érdeken
alapulónak tekinthető.
A
jogos érdek fennállásának megállapításához mindenképpen
körültekintően meg kell
vizsgálni többek között azt, hogy az
érintett a személyes adatok gyűjtésének időpontjában és
azzal összefüggésben számíthat-e
ésszerűen arra, hogy adatkezelésre az adott célból kerülhet
sor. Az érintett érdekei és alapvető
jogai elsőbbséget élvezhetnek az adatkezelő érdekével
szemben, ha a személyes adatokat
olyan körülmények között kezelik, amelyek közepette az
érintettek nem számítanak további
adatkezelésre.
Az
érintett adatkezelő jogos érdekének minősül a közhatalmi szervek,
számítástechnikai
vészhelyzetekre reagáló egység,
hálózatbiztonsági incidenskezelő egységek, elektronikus
hírközlési hálózatok üzemeltetői és
szolgáltatások nyújtói, valamint biztonságtechnológiai
szolgáltatók által végrehajtott olyan
mértékű személyes adatkezelés, amely a hálózati és
informatikai biztonság
garantálásához feltétlenül szükséges és arányos.
A
személyes adatoknak a gyűjtésük eredeti céljától eltérő egyéb célból
történő kezelése csak
akkor megengedett, ha az adatkezelés
összeegyeztethető az adatkezelés eredeti céljaival,
amelyekre a személyes adatokat
eredetileg gyűjtötték. Ebben az esetben nincs szükség attól a
jogalaptól eltérő, külön jogalapra,
mint amely lehetővé tette a személyes adatok gyűjtését.
Adatvédelmi és adatkezelési
szabályzat - 8 / 19 oldal
A
személyes
adatok
hatóságok
általi,
hivatalosan
elismert
vallási
szervezetek
alkotmányjogban vagy nemzetközi
közjogban megállapított céljainak elérése érdekében
történő kezelése közérdeken
alapulónak minősül.
Az érintett személy hozzájárulása,
feltételek
Amennyiben az adatkezelés
hozzájáruláson alapul, az adatkezelőnek képesnek kell
lennie annak igazolására, hogy az
érintett személyes adatainak kezeléséhez
hozzájárult.
Ha
az érintett a hozzájárulását olyan írásbeli nyilatkozat keretében
adja meg, amely
más ügyekre is vonatkozik, a
hozzájárulás iránti kérelmet ezektől a más ügyektől
egyértelműen megkülönböztethető módon
kell közölni.
Az
érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A
hozzájárulás
visszavonása nem érinti a
hozzájáruláson alapuló, a visszavonás előtti adatkezelés
jogszerűségét. A hozzájárulás
megadása előtt az érintettet erről tájékoztatni kell. A
hozzájárulás visszavonását ugyanolyan
egyszerű módon kell lehetővé tenni, mint
annak megadását.
Annak megállapítása során, hogy a
hozzájárulás önkéntes-e, a lehető legnagyobb
mértékben figyelembe kell venni azt a
tényt, egyebek mellett, hogy a szerződés
teljesítésének – beleértve a
szolgáltatások nyújtását is – feltételéül szabták-e az olyan
személyes adatok kezeléséhez való
hozzájárulást, amelyek nem szükségesek a
szerződés teljesítéséhez.
Közvetlenül
gyermekeknek
kínált,
információs
társadalommal
összefüggő
szolgáltatások vonatkozásában végzett
személyes adatok kezelése akkor jogszerű, ha
a
gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött
gyermek esetén, a
gyermekek személyes adatainak
kezelése csak akkor és olyan mértékben jogszerű, ha
a
hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta
meg, illetve
engedélyezte.
A
faji vagy etnikai származásra,
politikai véleményre, vallási vagy világnézeti
meggyőződésre vagy szakszervezeti
tagságra utaló személyes adatok, valamint a
természetes személyek egyedi
azonosítását célzó genetikai és biometrikus adatok, az
egészségügyi adatok és a természetes
személyek szexuális életére vagy szexuális
irányultságára vonatkozó személyes
adatok kezelése tilos, kivéve, ha az érintett kifejezett
Adatvédelmi és adatkezelési
szabályzat - 9 / 19 oldal
hozzájárulását adta az említett
személyes adatok egy vagy több konkrét célból történő
kezeléséhez.
A
büntetőjogi felelősség megállapítására vonatkozó határozatokra és a
bűncselekményekre,
illetve a kapcsolódó biztonsági
intézkedésekre vonatkozó személyes adatok kezelésére
kizárólag abban az esetben kerülhet
sor, ha az közhatalmi szerv adatkezelésében történik.
Azonosítást nem igénylő adatkezelés
Ha
azok a célok, amelyekből az adatkezelő a személyes adatokat kezeli,
nem vagy már nem
teszik szükségessé az érintettnek az
adatkezelő általi azonosítását, az adatkezelő nem köteles
kiegészítő információkat megőrizni.
Ha
az adatkezelő bizonyítani tudja, hogy nincs abban a helyzetben, hogy
azonosítsa az
érintettet, erről lehetőség szerint
őt megfelelő módon tájékoztatja.
Az érintett személy tájékoztatása,
jogai
A
tisztességes és átlátható adatkezelés elve megköveteli, hogy az
érintett tájékoztatást kapjon
az adatkezelés tényéről és
céljairól.
Ha
a személyes adatokat az érintettől gyűjtik, az érintettet arról is
tájékoztatni kell, hogy
köteles-e a személyes adatokat
közölni, valamint hogy az adatszolgáltatás elmaradása
milyen következményekkel jár. Ezeket
az információkat szabványosított ikonokkal is ki lehet
egészíteni annak érdekében, hogy az
érintett a tervezett adatkezelésről jól látható, könnyen
érthető és jól olvasható formában
általános tájékoztatást kapjon.
Az
érintettre vonatkozó személyes adatok kezelésével összefüggő
tájékoztatást az
adatgyűjtés időpontjában kell az
érintett részére megadni, illetve ha az adatokat nem az
érintettől, hanem más forrásból
gyűjtötték, az ügy körülményeit figyelembe véve, ésszerű
határidőn belül kell rendelkezésre
bocsátani.
Az
érintett jogosult, hogy hozzáférjen a rá vonatkozóan gyűjtött
adatokhoz, valamint arra,
hogy egyszerűen és ésszerű
időközönként, az adatkezelés jogszerűségének megállapítása és
ellenőrzése érdekében gyakorolja e
jogát. Minden érintett számára biztosítani kell a jogot
arra, hogy megismerje különösen a
személyes adatok kezelésének céljait, továbbá ha
lehetséges, azt, hogy a személyes
adatok kezelése milyen időtartamra vonatkozik,
Az
érintett jogosult különösen arra, hogy személyes adatait töröljék és
a továbbiakban ne
kezeljék, ha a személyes adatok
gyűjtésére vagy más módon való kezelésére az adatkezelés
Adatvédelmi és adatkezelési
szabályzat - 10 / 19 oldal
eredeti céljaival összefüggésben már
nincs szükség, vagy ha az érintettek visszavonták az
adatok kezeléséhez adott
hozzájárulásukat.
Ha
a személyes adatok kezelése közvetlen üzletszerzés érdekében
történik, az érintett
számára biztosítani kell a jogot
arra, hogy bármikor díjmentesen tiltakozzon a rá vonatkozó
személyes adatok e célból történő
kezelése ellen.
A
személyes adatok felülvizsgálata
Annak biztosítása érdekében, hogy a
személyes adatok tárolása a szükséges időtartamra
korlátozódjon, az adatkezelő törlési
vagy rendszeres felülvizsgálati határidőket állapít meg.
A
Szövetség által megállapított rendszeres felülvizsgálati határidő: 3
év.
Az
adatkezelő feladatai
Az
adatkezelő a jogszerű adatkezelés érdekében megfelelő belső
adatvédelmi szabályokat
alkalmaz. Ez a szabályozás kiterjed
az adatkezelő hatáskörére és felelősségére.
Az
adatkezelő kötelessége, hogy megfelelő és hatékony intézkedéseket
hajtson végre,
valamint hogy képes legyen igazolni
azt, hogy az adatkezelési tevékenységek a hatályos
jogszabályoknak megfelelnek.
Ezt a szabályozást az adatkezelés
jellegének, hatókörének, körülményeinek és céljainak,
valamint
a
természetes személyek jogait és
szabadságait érintő kockázatnak
a
figyelembevételével kell meghozni.
Az
adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai,
valamint a természetes
személyek jogaira és szabadságaira
jelentett, változó valószínűségű és súlyosságú kockázat
figyelembevételével megfelelő
technikai és szervezési intézkedéseket hajt végre. E szabályzat
alapján az egyéb belső szabályzatokat
felülvizsgálja és szükség esetén naprakésszé teszi.
Az
adatkezelő vagy az adatfeldolgozó megfelelő nyilvántartást vezet a
hatásköre alapján
végzett adatkezelési
tevékenységekről. Minden adatkezelő és adatfeldolgozó köteles a
felügyeleti hatósággal együttműködni
és ezeket a nyilvántartásokat kérésre hozzáférhetővé
tenni az érintett adatkezelési
műveletek ellenőrzése érdekében.
Adatvédelmi és adatkezelési
szabályzat - 11 / 19 oldal
Az
adatkezeléssel kapcsolatos jogok
A
tájékoztatás kéréshez való jog
Bármely személy a megadott
elérhetőségeken keresztül tájékoztatást kérhet arról, hogy a
vállalkozó milyen adatait, milyen
jogalapon, milyen adatkezelési cél miatt, milyen forrásból,
mennyi ideig kezeli. A kérelmére
haladéktalanul, de legfeljebb 30 napon belül, a megadott
elérhetőségre tájékoztatást kell
küldeni.
A
helyesbítéshez való jog
Bármely személy
a
megadott elérhetőségeken keresztül
kérheti bármely adatának
módosítását. Erről kérelmére
haladéktalanul, de legfeljebb 30 napon belül intézkedni kell és
a
megadott elérhetőségre tájékoztatást kell küldeni.
A
törléshez való jog
Bármely személy a megadott
elérhetőségeken keresztül kérheti adatának törlését. Kérelmére
ezt haladéktalanul, de legfeljebb 30
napon belül meg kell tenni és a megadott elérhetőségre
tájékoztatást kell küldeni.
A
zároláshoz, korlátozáshoz való jog
Bármely személy a megadott
elérhetőségeken keresztül kérheti adatának zárolását. A zárolás
addig tart, amíg a megjelölt indok
szükségessé teszi az adatok tárolását. A
kérelemre ezt
haladéktalanul, de legfeljebb 30 napon belül meg kell
tenni és a megadott elérhetőségre
tájékoztatást kell küldeni.
A
tiltakozáshoz való jog
Bármely személy a megadott
elérhetőségeken keresztül tiltakozhat az adatkezelés ellen.
A
tiltakozást a
kérelem benyújtásától számított legrövidebb időn belül, de
legfeljebb 15
napon belül meg kell vizsgálni, annak
megalapozottsága kérdésében döntést kell hozni és a
döntésről a megadott elérhetőségre
tájékoztatást kell küldeni.
Adatvédelmi és adatkezelési
szabályzat - 12 / 19 oldal
Az
adatkezeléssel kapcsolatos jogérvényesítési lehetőség
Nemzeti Adatvédelmi és
Információszabadság Hatóság
Postacím: 1530 Budapest, Pf.: 5.
Cím: 1125 Budapest, Szilágyi Erzsébet
fasor 22/c
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
E-mail: ugyfelszolgalat (kukac)
naih.hu
koordináták: É 47°30'56''; K
18°59'57''
Az
érintett a jogainak megsértése esetén az adatátvevő az adatkezelő
ellen bírósághoz
fordulhat. A bíróság az ügyben soron
kívül jár el. A pert az érintett - választása szerint - a
lakóhelye vagy tartózkodási helye
szerint illetékes törvényszék előtt is megindíthatja.
A
Szövetség feladatai a megfelelő adatvédelem érdekében
-
-
-
-
-
Az
adatvédelmi tudatosság. Biztosítani kell
a
szakmai felkészültséget
a
jogszabályoknak való megfeleléshez.
Elengedhetetlen a munkatársak szakmai
felkészítése és a szabályzat
megismerése.
Át
kell tekinteni az adatkezelés célját, szempontrendszerét, a
személyes adatkezelés
koncepcióját. Az adatvédelmi és
adatkezelési szabályzattal összhangban kell
biztosítani jogszerű adatkezelést és
adatfeldolgozást.
Az
adatkezelésben érintett személy megfelelő tájékoztatása. Figyelni
kell arra, hogy -
ha
az adatkezelés az érintett hozzájárulásán alapul, - kétség esetén az
adatkezelőnek
kell bizonyítania, hogy az
adatkezeléshez az érintett személy hozzájárult.
Az
érintett személynek nyújtott tájékoztatás tömör, könnyen
hozzáférhető és
könnyen érthető legyen, ezért azt
világos és közérthető nyelven kell megfogalmazni
és
megjeleníteni.
Az
átlátható adatkezelés követelménye, hogy az érintett személy
tájékoztatást kapjon
az
adatkezelés tényéről és céljairól. A tájékoztatást az adatkezelés
megkezdése előtt
kell megadni és a tájékoztatáshoz
való jog az adatkezelés során annak megszűnéséig
megilleti az érintettet.
Adatvédelmi és adatkezelési
szabályzat - 13 / 19 oldal
-
Az adatkezelésben érintett személy
főbb jogai a következők:
a
rá vonatkozó személyes adatokhoz való hozzáférés;
a
személyes adatok helyesbítése;
a
személyes adatok törlése;
a
személyes adatok kezelésének korlátozása;
a
profilalkotás és az automatizált adatkezelésen elleni tiltakozás;
az adathordozhatósághoz való jog.
-
Az
adatkezelő indokolatlan késedelem nélkül, de legkésőbb a kérelem
beérkezésétől
számított egy hónapon belül
tájékoztatja az érintettet. Szükség esetén, figyelembe
véve a kérelem összetettségét és a
kérelmek számát, ez a határidő további két
hónappal meghosszabbítható. A
tájékoztatási kötelezettség biztosítható egy olyan
biztonságos online rendszer
üzemeltetésével, amelyen keresztül az érintett könnyen
és gyorsan hozzáférhet a szükséges
információhoz.
-
Át
kell tekinteni a vállalkozó által végzett adatkezeléseket,
biztosítani kell az
információs önrendelkezési jog
érvényesülését. Az érintett személy kérésére adatait
késedelem nélkül törölni kell,
amennyiben az érintett személy visszavonja az
adatkezelés alapját képező
hozzájárulást.
-
-
Az
érintett személy hozzájárulásából félreérthetetlenül ki kell
derülnie, hogy az
érintett beleegyezik az adatkezelésbe.
Ha az adatkezelés az érintett hozzájárulásán
alapul, kétség esetén az
adatkezelőnek kell bizonyítania, hogy az adatkezelési
művelethez az érintett hozzájárult.
Gyermekek személyes adatkezelése
esetén kiemelt figyelmet kell fordítani az
adatkezelési szabályok betartására.
Közvetlenül gyermekeknek kínált, információs
társadalommal összefüggő
szolgáltatások vonatkozásában végzett személyes adatok
kezelése akkor jogszerű, ha a gyermek
a 16. életévét betöltötte. A 16. életévét be nem
töltött gyermek esetén, a gyermekek
személyes adatainak kezelése csak akkor és
olyan mértékben jogszerű, ha a
hozzájárulást a gyermek feletti szülői felügyeletet
gyakorló adta meg, illetve
engedélyezte.
-
A
személyes adat jogellenes kezelése vagy feldolgozása esetén
bejelentési
kötelezettség keletkezik a felügyelő
hatóság felé. Az adatkezelőnek indokolatlan
késedelem nélkül – ha lehetséges,
legkésőbb 72 órával azután, hogy az adatvédelmi
incidens a tudomására jutott,
– meg kell tenni a bejelentést a
felügyeleti hatóságnak,
Adatvédelmi és adatkezelési
szabályzat - 14 / 19 oldal
kivéve akkor, ha az adatvédelmi
incidens valószínűsíthetően nem jár kockázattal a
természetes személy jogait tekintve.
-
Bizonyos esetekben indokolt lehet az
adatkezelőnek az adatkezelést megelőzően
adatvédelmi hatásvizsgálatot
lefolytatni. A hatásvizsgálat során meg kell vizsgálni,
hogy a tervezett adatkezelési
műveletek a személyes adatok védelmét hogyan érintik.
Ha
az
adatvédelmi
hatásvizsgálat
megállapítja,
hogy
az
adatkezelés
valószínűsíthetően magas kockázattal
jár, a személyes adatok kezelését megelőzően
az
adatkezelőnek konzultálnia kell a felügyeleti hatósággal.
-
Abban az esetben, ha a fő
tevékenységek olyan adatkezelési műveleteket foglalnak
magukban, amelyek jellegüknél,
hatókörüknél vagy céljaiknál fogva az érintettek
rendszeres és szisztematikus,
nagymértékű megfigyelését teszik szükségessé,
adatvédelmi tisztviselőt kell
kinevezni. Az adatvédelmi tisztviselő kinevezése az
adatbiztonság megerősítését célozza.
Adatbiztonság
Az
adatokat megfelelő intézkedésekkel
védeni kell különösen a jogosulatlan hozzáférés,
megváltoztatás, továbbítás,
nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a
véletlen megsemmisülés és sérülés,
továbbá az alkalmazott technika megváltozásából fakadó
hozzáférhetetlenné válás ellen.
A
nyilvántartásokban elektronikusan
kezelt adatállományok védelme érdekében megfelelő
technikai megoldással biztosítani
kell, hogy a nyilvántartásokban tárolt adatok közvetlenül
ne legyenek összekapcsolhatók és az
érintetthez rendelhetők.
Az
adatbiztonság megtervezésekor és
alkalmazásakor tekintettel kell lenni a technika
mindenkori fejlettségére. Több
lehetséges adatkezelési megoldás közül azt kell választani,
amely a személyes adatok magasabb
szintű védelmét biztosítja, kivéve, ha az aránytalan
nehézséget jelentene az
adatkezelőnek.
Adatvédelmi tisztviselő
Adatvédelmi tisztviselő kijelölése
kötelező az alábbi kritériumok alapján:
az
adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó
szervek végzik,
kivéve az igazságszolgáltatási
feladatkörükben eljáró bíróságokat;
az
adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan
adatkezelési
műveleteket foglalnak magukban,
amelyek jellegüknél, hatókörüknél vagy céljaiknál
Adatvédelmi és adatkezelési
szabályzat - 15 / 19 oldal
fogva az érintettek rendszeres és
szisztematikus, nagymértékű megfigyelését teszik
szükségessé;
az
adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes
adatok
büntetőjogi
felelősség
megállapítására
vonatkozó
számban
határozatokra
és
bűncselekményekre
vonatkoznak.
vonatkozó adatok nagy
történő kezelésére
Amennyiben adatvédelmi tisztviselő
kijelölése kötelező, akkor arra az alábbi szabályok
vonatkoznak:
Az
adatvédelmi tisztviselőt szakmai rátermettség és különösen az
adatvédelmi jog és
gyakorlat szakértői szintű ismerete,
valamint az adatkezelés ellátására való alkalmasság
alapján kell kijelölni.
Az
adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó
alkalmazottja is lehet, de
szolgáltatási szerződés keretében is
elláthatja feladatait.
Az
adatkezelőnek vagy az adatfeldolgozónak kötelező közzétenni az
adatvédelmi tisztviselő
nevét és elérhetőségét, és azokat a
felügyeleti hatósággal is közölni kell.
Az
adatvédelmi tisztviselő jogállása
Az
adatkezelőnek biztosítania kell, hogy az adatvédelmi tisztviselő a
személyes adatok
védelmével kapcsolatos összes ügybe
megfelelő módon és időben bekapcsolódjon.
Biztosítani kell, hogy az adatvédelmi
tisztviselő szakértői szintű ismereteinek fenntartásához
szükséges források rendelkezésre
álljanak.
Az
adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban
utasításokat senkitől nem
fogadhat el. Az adatkezelő vagy az
adatfeldolgozó az adatvédelmi tisztviselőt feladatai
ellátásával összefüggésben nem
bocsáthatja el és szankcióval sem sújthatja. Az adatvédelmi
tisztviselő közvetlenül az adatkezelő
vagy az adatfeldolgozó legfelső vezetésének tartozik
felelősséggel.
Az
érintettek a személyes adataik kezeléséhez és jogaik gyakorlásához
kapcsolódó
valamennyi kérdésben az adatvédelmi
tisztviselőhöz fordulhatnak.
Az
adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban
titoktartási kötelezettség
vagy az
adatok bizalmas kezelésére vonatkozó kötelezettség köti.
Adatvédelmi és adatkezelési
szabályzat - 16 / 19 oldal
Az
adatvédelmi tisztviselő más feladatokat is elláthat, de a
feladatokkal kapcsolatban
összeférhetetlenség ne álljon fenn.
Az adatvédelmi tisztviselő feladatai
Tájékoztat és szakmai tanácsot ad az
adatkezelő vagy az adatfeldolgozó, továbbá az
adatkezelést végző alkalmazottak
részére;
ellenőrzi az adatkezelő vagy az
adatfeldolgozó személyes adatok védelmével
kapcsolatos belső szabályainak való
megfelelést;
kérésre szakmai tanácsot ad az
adatvédelmi hatásvizsgálatra vonatkozóan, valamint
nyomon követi a hatásvizsgálat
elvégzését;
együttműködik a felügyeleti
hatósággal.
Adatvédelmi incidens
Az
adatvédelmi incidens a biztonság olyan sérülése, amely a
továbbított, tárolt vagy más
módon kezelt személyes adatok
véletlen vagy jogellenes megsemmisítését, elvesztését,
megváltoztatását, jogosulatlan
közlését vagy az azokhoz való jogosulatlan hozzáférést
eredményezi.
Az
adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában
fizikai, vagyoni vagy
nem vagyoni károkat okozhat a
természetes személyeknek, többek között a személyes
adataik feletti rendelkezés
elvesztését vagy
a
jogaik korlátozását,
a
hátrányos
megkülönböztetést, a
személyazonosság-lopást vagy a személyazonossággal való visszaélést.
Az
adatvédelmi incidenst indokolatlan késedelem nélkül, legkésőbb 72
órán belül be kell
jelenteni az illetékes felügyeleti
hatóságnál, kivéve, ha az elszámoltathatóság elvével
összhangban bizonyítani lehet, hogy
az adatvédelmi incidens valószínűleg nem jár
kockázattal a természetes személyek
jogaira és szabadságaira nézve.
Az
érintett személyt késedelem nélkül tájékoztatni kell, ha az
adatvédelmi incidens
valószínűsíthetően magas kockázattal
jár a természetes személy jogaira és szabadságára
nézve, annak érdekében, hogy
megtehesse a szükséges óvintézkedéseket.
Adatvédelmi és adatkezelési
szabályzat - 17 / 19 oldal
Ügyviteli és nyilvántartás célú
adatkezelés
A
vállalkozó a tevékenységéhez tartozó esetekben illetve ügyviteli és
nyilvántartási célból
személyes adatokat is kezelhet.
Az
adatkezelés alapjául az érintett személy megfelelő tájékoztatásán
alapuló önkéntes és
határozott hozzájárulás szolgál. A
részletes tájékoztatás – amely kiterjed az adatkezelés
céljára, jogalapjára és időtartamára
valamint az érintett személy jogaira - után az érintettet
figyelmeztetni kell az adatkezelés
önkéntes jellegére. Az adatkezeléshez való hozzájárulást
írásban rögzíteni kell.
Az ügyviteli és nyilvántartási
célból történő adatkezelés az alábbi célokat szolgálja:
-
-
a
sövetség munkavállalóinak adatkezelése, amely jogszabályi
kötelezettségen alapul;
a
szövetséggel megbízási jogviszonyban álló személyek adatkezelése
kapcsolattartási,
elszámolási és nyilvántartási
célból;
-
a
szövetséggel üzleti kapcsolatban álló
más szervezetek, intézmények és
vállalkozások kapcsolattartói adatai,
amelyek természetes személyek elérhetőségi és
azonosítási adatai is lehetnek;
A
fentiek szerinti adatkezelés egyrészről jogszabályi kötelezettségen
alapul, másrészről
pedig az érintett személy
kifejezetten hozzájárult adatai kezeléséhez (például
munkaszerződés céljából vagy
weboldalon partnerként regisztrált, stb.)
A
vállalkozóhoz írásos formában eljuttatott – személyes adatokat is
tartalmazó –
dokumentumok (például önéletrajz,
álláskeresési jelentkezés, egyéb beadvány, stb.) esetében
az
érintett személy hozzájárulását vélelmezni kell. Az ügy lezárulta
után – további
felhasználásra vonatkozó hozzájárulás
hiányában – az iratokat meg kell semmisíteni. A
megsemmisítés tényét jegyzőkönyvben
kell rögzíteni.
Az
ügyviteli célú adatkezelés esetében a személyes adatok kizárólag az
adott ügy irataiban
és
a nyilvántartásokban szerepelnek. Ezen adatok kezelése a kezelés
alapjául szolgáló irat
selejtezéséig tart.
Az
ügyviteli és nyilvántartási célból történő adatkezelést - annak
biztosítása érdekében, hogy
a
személyes adatok tárolása a szükséges időtartamra korlátozódjon, -
évente felül kell
vizsgálni, a pontatlan személyes
adatokat haladéktalanul törölni kell.
Adatvédelmi és adatkezelési
szabályzat - 18 / 19 oldal
Az
ügyviteli és nyilvántartási célból történő adatkezelés esetében is
biztosítani kell a
jogszabályoknak való megfelelést.
Egyéb célból történő adatkezelés
Amennyiben a vállalkozó olyan
adatkezelést kíván végezni, amely ebben a szabályzatban
nem szerepel, előzetesen ezen belső
szabályzatát kell megfelelően kiegészíteni, illetve az új
adatkezelési célnak megfelelő
rész-szabályokat hozzákapcsolni.
A
szabályzathoz tartozó egyéb dokumentumok
Az
adatvédelmi és adatkezelési szabályzathoz kell kapcsolni és azzal
együtt kezelni azokat a
dokumentumokat és szabályozásokat,
amelyek például az adatkezeléshez hozzájáruló
írásbeli nyilatkozatot tartalmazzák
vagy például weboldalak esetén a kötelező adatkezelési
tájékoztatót írják le.
Az
adatkezelés alapjául szolgáló jogszabályok
-
AZ EURÓPAI PARLAMENT ÉS A TANÁCS
(EU) 2016/679 RENDELETE (2016.
április 27.) a természetes
személyeknek a személyes adatok kezelése tekintetében
történő védelméről és az ilyen
adatok szabad áramlásáról, valamint a 95/46/EK
rendelet hatályon kívül helyezéséről
(általános adatvédelmi rendelet).
-
-
-
-
-
2011. évi CXII. törvény az
információs önrendelkezési jogról és az
információszabadságról.
A
köziratokról, a közlevéltárakról és a magánlevéltári anyag
védelméről szóló 1995.
évi LXVI. törvény.
A
közfeladatot ellátó szervek iratkezelésének általános
követelményeiről szóló
335/2005. (XII. 29.) Korm. rendelet.
2001. évi CVIII. törvény az
elektronikus kereskedelmi szolgáltatások, valamint az
információs társadalommal összefüggő
szolgáltatások egyes kérdéseiről.
2003. évi C. törvény az elektronikus
hírközlésről.
Adatvédelmi és adatkezelési
szabályzat - 19 / 19 oldal