GDPR

A Magyar Modellfotós Klub Egyesület adat- és titokvédelmi szabályzata

 

 

 

1.     A szabályzat célja

A Magyar Modellfotós Klub Egyesület (továbbiakban: Adatkezelő) az Egyesület a céljainak megvalósulása érdekében modellfotózási szabadidős tevékenységeket, fotózásokat és közösségi programokat szervez, ismertető anyagokat készít és ad ki, munkacsoportokat és szakmai kollégiumokat hoz létre és működtet, együttműködik hasonló célkitűzésekkel rendelkező hazai és nemzetközi szervezetekkel, kapcsolatokat ápol a fotósokkal, modellekkel és más szakmai közreműködőkkel tevékenységeket végzi. Az Adatkezelői munka során a vele szerződő személyek, így különösen a fotósok, a modellek és az egyéb közreműködők (pld. sminkes, fodrász) adatait kezeli.

Jelen Szabályzat célja, hogy meghatározza a Adatkezelő működése során a személyes adat, a tevékenység során keletkező üzleti titkot jelentő, illetve egyéb adatok kezelésére, kiadhatóságára, és megsemmisítésére, továbbá a belső információk védelmére vonatkozó szabályokat.

A szabályzat célja továbbá, hogy meghatározza a Adatkezelő  által vezetett adatnyilvántartások rendjét, valamint biztosítsa az adatvédelem alkotmányos elveinek, az információs önrendelkezési jognak, s az adatbiztonság követelményeinek érvényesülését, megakadályozza a jogosulatlan hozzáférést, az adatok jogosulatlan megváltoztatását, valamint biztosítsa a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról szóló törvény (Info.tv) rendelkezéseinek való megfelelést.

2.     A szabályzat hatálya

A szabályzat személyi hatálya kiterjed:

  • a Adatkezelő valamennyi alkalmazottjára,
  • Adatkezelővel szerződéses jogviszonyban álló, személyes adatokhoz hozzáférő partnerekre.

A szabályzat tárgyi hatálya kiterjed a Adatkezelő által kezelt valamennyi személyes adatra, a rajtuk végzett adatkezelési műveletek teljes körére, keletkezésük, kezelésük, feldolgozásuk helyétől, valamint megjelenési formájuktól függetlenül.

A szabályzat területi hatálya kiterjed a tárgyi hatálya alá tartozó:

  • informatikai erőforrások üzemelési helyszíneire,
  • a külső szolgáltatók által, a Adatkezelőnek nyújtott szolgáltatásban érintett helyszínekre.

A szabályzat az aláírás napját követő első munkanapon lép hatályba, dokumentumba foglalt feladatok és szabályok ezen időponttól alkalmazandók. A szabályzat visszavonásig érvényes.

3.     A szabályzat felülvizsgálata

A szabályzatot évente felül kell vizsgálni, a felülvizsgálatért a Adatkezelő elnöke felel.

4.     Fogalom-meghatározások

„Adat” jelenti a jelen szabályzat alapján titkosnak, üzletinek, vagy publikusnak minősített adatot.

„Adatgazda” jelenti azt a személyt, aki a Adatkezelő részéről adatot minősít, illetve osztályba sorol és felelős az általa minősített adat kezeléséért.

„Adatkezelő” a Adatkezelőt jelenti. Az adatkezelő meghatározza az adatkezelés célját, valamint az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.

„Adatvédelmi Felelős” jelenti az arra kijelölt azon személyt, aki az adatkezelésre vonatkozó jogszabályok és jelen Szabályzat rendelkezéseinek megtartásáért felelős.

„Védett adat” a törvény erejénél fogva minősül védett adatnak, ezért az ezekkel kapcsolatos titokvédelmi szabályokat akkor is alkalmazni kell, ha az adatvédelmi minősítés nincs az adathordozón megjelölve, vagy a védett adat birtokába kerülő személy figyelmét az adatvédelmi szabályok alkalmazásának kötelezettségére az adat átadásakor külön nem hívták fel. A védett adat kiadhatósága kérdésében az Adatvédelmi felelős szakvéleménye az irányadó.

„Adatkezelés” jelenti az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összességét, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. Adatkezelésnek számít a fénykép-, hang- vagy képfelvétel készítése. Jelen szabályzat szempontjából adatkezelésnek minősül az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése is, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől.

Adattörlés” jelenti az adatok felismerhetetlenné tételét oly módon, hogy a helyreállításuk többé nem lehetséges.

„Adatmegsemmisítés” jelenti az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítését.

„Adattovábbítás” az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.

„EGT-állam” az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez.

„Érintett” bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.

„harmadik ország” minden olyan ország, amely nem tagja az Európai Gazdasági Térségnek.

”Hozzájárulás” jelenti az Érintett kívánságának önkéntes és határozott kinyilvánítását, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez.

Szerződő fél – az Adatkezelővel szerződést kötő fél, ideértve a fotósokat, illetve a modelleket, valamint az esetleges egyéb közreműködőket is.

”Tiltakozás” jelenti az Érintett nyilatkozatát, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.

5.     A védett adatok köre

Személyes adat a törvényi megfogalmazás szerint bármely meghatározott (azonosított vagy azonosítható) természetes személlyel kapcsolatba hozható adat, az adatból levonható, az Érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az Érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt – közvetlenül vagy közvetve – név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet.

Üzleti titok a tevékenységhez kapcsolódó minden olyan tény, információ, megoldás vagy adat, amelynek nyilvánosságra hozatala, illetéktelenek által történő megszerzése vagy felhasználása a jogosult jogszerű pénzügyi, gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné, és amelynek titokban tartása érdekében a jogosult a szükséges intézkedéseket megtette.

6.     Felelősök

Adatvédelmi Felelős

Az Adatkezelő Adatvédelmi Felelőse az Adatkezelő elnöke. Az Adatvédelmi felelős köteles a tevékenység végzéséhez szükséges képzésen részt venni, illetve képzettségét folyamatosan naprakészen tartani.

Az Adatvédelmi felelős folyamatosan ellenőrzi az adatkezelésre vonatkozó jogszabályok és az Adatvédelmi Szabályzat rendelkezéseinek megtartását. Amennyiben a tevékenysége során jogszabálysértést, vagy jogosulatlan adatkezelést észlel, annak megszüntetésére szólítja fel az adatkezelőt, adatfeldolgozót, vagy az adattal kapcsolatba került egyéb személyt. Amennyiben adatkezeléssel kapcsolatos panasz érkezik, a panaszt haladéktalanul továbbítani kell az Adatvédelmi felelősnek.

Az Adatvédelmi felelős a panasszal kapcsolatban a jelen szabályzat Tiltakozási, panasztételi jog pontjában foglaltak szerint jár el. Amennyiben nem egyértelmű, hogy egy adat tekintetében a jelen szabályzat mely rendelkezéseit kell alkalmazni, e kérdésben az Adatvédelmi Felelős állásfoglalása az irányadó.

Adatgazda

Az Adatgazdák a területükön keletkező, illetve a hozzájuk tartozó alkalmazásokban található, illetve létrejövő adatokat besorolják, nyilvántartják. Az Adatgazdák az adatok besorolásáért, nyilvántartásáért, megőrzéséért, és a jelen szabályzat betartásáért felelősek. Az Adatvédelmi felelős ellenőrizheti, az adatok megfelelő besorolását, illetve a besorolásnak megfelelő kezelést. Az adatgazdai kinevezések eredeti példányát az Adatgazdánál, egy másolati példányát pedig az Adatvédelmi felelősnél kell elhelyezni.

Az Adatgazdák 30 napon belül kötelesek bejelenteni e-mailben az Adatvédelmi felelősnek a jelen Szabályzat 2 sz. mellékletét képező ADATLAPON a jelen utasítás hatálybalépésének időpontjában meglévő adatkezeléseket (ideértve az adattovábbításokat is), továbbá azok megváltozása esetén 8 napon belül a változásokat. A bejelentett adatkezeléseket követő új adatkezeléseket az adatkezelés tervezett bevezetése előtt legalább 45 nappal (ügyféladatkezelés esetén), illetve legalább 14 nappal (nem-ügyféladatkezelés esetén) kell bejelenteni az adatvédelmi felelősnek, illetve az engedély megadását követően a már bejelentett adatok megváltozása esetén 3 napon belül a változást.

7.     Az adatok besorolása

A Adatkezelő információs rendszerében feldolgozott, továbbított, tárolt adatok kockázatarányos védelmének biztosítása érdekében az adatokat be kell sorolni információvédelmi osztályokba.

Az információ-osztályozási rendszert kell használni a védettségi szintek meghatározására, valamint arra, hogy közvetítse a különleges kezelési intézkedésekre vonatkozó igényt.

Az osztályzási rendszernek figyelembe kell vennie:

  • az információ osztályba sorolt vagyontárgyak sértetlenségének, rendelkezésre állásának és bizalmasságának az üzletmenetre gyakorolt hatását;
  • a sértetlenség, rendelkezésre állás és bizalmasság elvesztéséből eredő vagyoni és nem vagyoni kár nagyságát;
  • tárolás esetén az adathordozó típusát;
  • a teljeskörűség elvét, vagyis az osztályozásnak ki kell terjednie a rendszer összes eleme által kezelt információra;
  • a besorolásnál fellépő (esetleges) logikai ütközéseket.

Minden besorolási osztálynak tartalmaznia kell a kezelés –információ feldolgozás – eljárását is, mely kiterjed a:

  • másolásra,
  • tárolásra,
  • továbbításra,
  • megsemmisítésre.

Az információrendszerben elektronikusan tárolt adatok esetén az adatok azon halmazát, amelyekre a tárolás számítástechnikai körülményeiből adódóan jellemzően azonos védettség valósítható meg (közös adatbázis, azonos könyvtár), ugyanabba az információvédelmi osztályba kell sorolni, mégpedig oly módon, hogy a halmaz egészére ki kell terjeszteni a halmaz legérzékenyebb elemének besorolását.

Az Adatgazdák – a Biztonsági felelős kezdeményezésére és koordinálásával – az adatok osztályozását évente legalább egyszer felülvizsgálják, és a besorolást megváltoztatják vagy jóváhagyják:

  • ha az információkezelést és –feldolgozást végző vagy támogató folyamatokban, illetve a kezelt adatok körében lényeges változás áll be,
  • a Adatkezelő tulajdonában vagy használatában lévő informatikai rendszerekben lényeges változás áll be.

Az adatokat az alábbiak szerint kell besorolni a meghatározott biztonsági osztályokba:

Információvédelmi
biztonsági osztály
Az adott biztonsági osztályra jellemző adattípusok
Nyilvánoso   A gazdálkodáshoz kapcsolódó mérlegadatok, amelyek közzétételére a Adatkezelő kötelezett

o   Interneten közzétett, nyilvánosan szolgáltatott információk

Belsőo   Belső előterjesztések, jegyzőkönyvek, határozatok, utasítások, amelyek nem kerülnek külön besorolás révén a bizalmas biztonsági osztályba.

o   Definíció, vagy szabályzat szerinti belső adatok, információk, amelyek csak belső üzleti célokra használhatóak fel.

o   Nyilvános biztonsági osztályba kerülő adatok előkészítése során előálló munkaanyagok, amelyek nem kerülnek külön besorolás révén a bizalmas biztonsági osztályba.

Bizalmaso   A Adatkezelő normál üzleti tevékenységével kapcsolatos szerződés- és ügyféladatok.

o   Definíció, vagy szabályzat szerint üzleti titoknak nyilvánuló információ.

o   Az informatikai infrastruktúrával kapcsolatos végleges, a pillanatnyi működést dokumentáló információk.

o   Olyan adatok, amelyek nyilvánosságra kerülése hátrányosan befolyásolja a Adatkezelő üzleti érdekeit.

Szigorúan bizalmaso   Azonosító és hitelesítő adatok, információk (azon információk köre, amelyek kapcsolattartás során a jogi és anyagi kötelezettség elismeréséhez szükséges formai kelléknek, azonosító és hitelesítő adatnak minősülnek).

o   Olyan adatok, amelyek nyilvánosságra kerülése különösen hátrányosan befolyásolja a Adatkezelő üzleti érdekeit.

 

Azon adatok, amelyek egyértelműen máshova nem kerültek besorolásra a „Belső” kategóriába tartoznak.  A fenti besorolást kell alkalmazni az adatok mind elektronikus, mind nyomtatott formában történő megjelenése esetén.

8.     Személyes adat kezelése

Személyes adat a Adatkezelő  tevékenysége során akkor kezelhető, ha

  • ahhoz az Érintett írásban hozzájárult, vagy
  • törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli.

Személyes adat akkor is kezelhető, ha az Érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése az Adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.

Az Adatkezelő a vele szerződő fotósokkal, modellekkel megkötött szerződés(ek)hez, szükséges adatok megadását kérheti a másik féltől. Az másik felet egyéb adatok megadására nem lehet kötelezni.

Az Adatkezelő adatkezelési elveinek értelmében tartózkodik az ún. „készletező” típusú – célhozkötöttség nélküli – adatkezeléstől.

Ha az Érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az Érintett személyes adatai kezelhetőek.

Ha a személyes adat felvételére az Érintett hozzájárulásával került sor, az Adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában

  • a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy
  • az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll,

további külön hozzájárulás nélkül, valamint az Érintett hozzájárulásának visszavonását követően is kezelheti.

A másik féllel az adat felvétele előtt közölni kell az adatkezelés célját, valamint azt, hogy az adatszolgáltatás önkéntes vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt, illetve az Adatkezelő vonatkozó szabályzatát, a kezelendő adatok körét, valamint az adatkezelés időtartamát. Az adatkezelés a megkötött szerződések alapján keletkező szerzői jogok megszűnéséig tart.

Ha a hozzájáruláson alapuló adatkezelés célja az adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából – e törvény alapján – az Érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az Érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.

Az Infotv. szerint az Érintett kérésére induló eljárásban a szükséges adatoknak a kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az Érintett figyelmét fel kell hívni.

Az Érintett az adatkezeléshez való hozzájárulását részletes és egyértelmű tájékoztatás birtokában adhatja meg, melyről az Adatkezelő feladata gondoskodni.

Az Érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Az Érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az Érintett személyes adatait az adatkezelő az Infotv. 6. § (5) bekezdése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az Érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Az Adatkezelő jogosult a szerződés megkötésének megtagadására, amennyiben az Érintett az adatkezelési hozzájárulást megtagadja.

Kötelező adatkezelés esetén a tájékoztatás megtörténhet az adatkezelésre vonatkozó információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.

Ha az Érintettek személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna, a tájékoztatás megtörténhet az alábbi információk nyilvánosságra hozatalával is:

az adatgyűjtés ténye, az Érintettek köre, az adatgyűjtés célja, az adatkezelés időtartama, az adatok megismerésére jogosult lehetséges adatkezelők személye, az Érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése, valamint ha az adatkezelés adatvédelmi nyilvántartásba vételének van helye, az adatkezelés nyilvántartási száma.

Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e kritériumoknak, továbbá az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.

Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig.

Az Adatkezelő, illetve az Adatkezelő megbízása alapján az adatfeldolgozó által végzett adatkezelés, illetve adatfeldolgozás az alábbiakban meghatározott ügyfél adatokra terjed ki.

 

 

A személyes adat megnevezése

 

 

Az adatkezelés jogcíme

 

 

Az adatkezelés célja/időtartama

 

A természetes személy családi és utóneve (ha van házassági név), lakcíme, tartózkodási helye, születési helye és ideje, állampolgársága, anyja születési neve, azonosító okmány típusa és száma, adóazonosító jele, személyi azonosító jele, e-mail címe, telefonszáma

 

2016. évi XV. Törvény (NOK Tv.) 20. § (4) bekezdés

 

A szerződő fél azonosítása, a megkötött szerződés figyelemmel kísérése a szerződésszerű teljesítés érdekében – a szerződés megszűnéséig, illetve az abból esetlegesen felmerülő követelések elévüléséig; a másik féllel megkötött szerződés alapján igénybevett szolgáltatások díjainak kifizetése, illetve beszedése, a szerzői jogok és kapcsolódó jogok érvényesülésének biztosítása

 

 

A külföldi természetes személy esetében családi és utóneve (ha van házassági név), lakcíme, születési helye és ideje, állampolgársága, anyja születési neve, azonosító okmány típusa és száma, amennyiben ezzel rendelkezik, az adóazonosító jele, amennyibe ezzel rendelkezik, az személyi azonosító jele, e-mail címe, telefonszáma valamint a magyarországi tartózkodási hely

 

2016. évi XV. Törvény (NOK Tv.) 20. § (4) bekezdés

 

A szerződő fél azonosítása, a megkötött szerződés figyelemmel kísérése a szerződésszerű teljesítés érdekében – a szerződés megszűnéséig, illetve az abból esetlegesen felmerülő követelések elévüléséig; a másik féllel megkötött szerződés alapján igénybevett szolgáltatások díjainak kifizetése, illetve beszedése, a szerzői jogok és kapcsolódó jogok érvényesülésének biztosítása.

 

 

A másik fél aláírása

 

A másik fél hozzájárulása

 

A megkötött szerződés érvényessége alatt tett nyilatkozatok, illetve jogcselekmények érvényességének az ellenőrzése – a szerződés megszűnéséig, illetve az abból esetlegesen felmerülő követelések elévüléséig.

 

Az Adatkezelő köteles gondoskodni a kezelésében lévő adatok minőségéről, így különösen azok pontosságáról, teljességéről és naprakészségéről

Titoktartási kötelezettség

Az Adatkezelő az adatokba harmadik személyeknek betekintést a másik fél előzetes írásbeli engedélye nélkül nem enged. Ez alól kivételt képez a jogszabályon alapuló adatszolgáltatási kötelezettség.

Belső, bizalmas és szigorúan bizalmas adatot időkorlátozás nélkül köteles minden az adathoz hozzáférő személy titokban tartani és biztosítani azt, hogy védett, illetve üzleti adatot törvényben, valamint a jelen szabályzatban foglalt esetek kivételével harmadik személy ne ismerhesse meg, és az adat ne váljon hozzáférhetővé.

Az adatkezelés céljának megszűnését követően az adatot – amennyiben azok megőrzését jogszabály nem írja elő – törölni kell.

Az adatok kezelése papíralapú adathordozó esetében

Belső, bizalmas és szigorúan bizalmas adatot tartalmazó iratokat olyan módon kell kezelni, amely biztosítja, hogy illetéktelen azokhoz ne férhessen hozzá. Az adatokat tartalmazó iratokat elzárás nélkül őrizetlenül hagyni nem szabad.

A szigorúan bizalmas irat kézbesítése, vagy üzleti adatot tartalmazó irat házon kívülre történő kézbesítése csak zárt borítékban vagy olyan irattartó használatával történhet, amely alkalmas arra, hogy az iratot teljes terjedelmében takarja, és az irattartó illetéketlen kinyitása felismerhető. A zárt boríték, illetve az irattartó csak a címzettnek, vagy írásbeli megbízottjának adható át. Az Adatvédelmi felelőst értesíteni kell, ha a borítékot, illetve az irattartót az átvételt megelőzően felnyitották.

Az adatok kezelése elektronikus adathordozó esetében

Belső, bizalmas és szigorúan bizalmas adatok a Adatkezelő szervezeti rendszerén belül – a feladat elvégzéséhez szükséges mértékben és ideig – továbbíthatók, azon szervezeti egységek részére, amelyek az adatok kezelésében és feldolgozásában részt vesznek.

Elektronikus úton, a Adatkezelőn kívüli címzetthez belső, bizalmas és szigorúan bizalmas adatot csak titkosított csatornán, vagy az adatok titkosítását követően szabad továbbítani.

Az adatokat tartalmazó adathordozó megsemmisítése

Belső, bizalmas és szigorúan bizalmas, vagy a Adatkezelőhöz bármilyen módon köthető adatokat tartalmazó adathordozót oly módon kell selejtezni, hogy az eljárás eredményeképpen az adathordozó adattartalma semmilyen módon ne legyen helyreállítható (fizikai megsemmisítése, bezúzás, mágneses vagy optikai adathordozó esetén többszörös felülírás stb.) A selejtezett és megsemmisített anyagokról jegyzőkönyvet kell felvenni. A megsemmisítés csak akkor lehetséges, ha az adat tárolására vonatkozó, jogszabályok által meghatározott kötelező megőrzési idő lejárt.

Az adatokat tartalmazó irat előkészítése során keletkezett olyan papírhulladékot, amelyből az adatok kinyerhetőek, a használatot követően haladéktalanul iratmegsemmisítővel kell megsemmisíteni.

Adatnyilvántartás

Az Adatgazdáknak nyilvántartást kell vezetniük az adatkezelés megkezdése előtt a nyilvántartásra kötelezett adatokról. Nyilvántartásra kötelezett adatoknak minősülnek azok az adatok, amelyeket a mindenkori jogszabályok nyilvántartásra kötelezett adatoknak minősítenek. A nyilvántartásnak az alábbi adatokat kell tartalmaznia:

  • az adatkezelés célját;
  • az adatok fajtáját és kezelésük jogalapját;
  • az Érintettek körét;
  • az adatok forrását;
  • a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját;
  • az egyes adatfajták törlési határidejét;
  • az adatok kezelőjét (szervezeti egység, annak vezetője, illetve az adatfeldolgozást végző felelős személy neve, beosztása, elérhetősége)

Az adatkezelés megszűnése után a nyilvántartást archiválni kell. Az archivált nyilvántartás öt év elteltével megsemmisíthető.

9.     Bejelentés az adatvédelmi nyilvántartásba

Az Adatvédelmi felelős a www.naih.hu honlapról letölthető formanyomtatvány kitöltésével vagy az Infotv. 65.§-ában meghatározott tartalommal saját maga által kialakított űrlapon jelenti be az adatkezeléseket a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) nyilvántartásába.

Nem kell bejelenteni az Infotv. 65. § (3) bekezdésében felsorolt adatkezeléseket, de különösen, ha az adatkezelés:

  • az adatkezelővel munkaviszonyban, tagsági viszonyban, álló személyek adataira vonatkozik;
  • az Érintett anyagi és egyéb szociális támogatása céljából nyilvántartott személyes adatokra vonatkozik;
  • a hatósági, az ügyészségi és a bírósági eljárás által Érintett személyeknek az eljárás lefolytatásával kapcsolatos személyes adataira vonatkozik;
  • a hivatalos statisztika célját szolgáló személyes adatokat tartalmaz, feltéve hogy – törvényben meghatározottak szerint – az adatok Érintettel való kapcsolatának megállapítását véglegesen lehetetlenné teszik.

A személyes adatok kezelésének nyilvántartásba vételét az Adatvédelmi felelős – a kötelező adatkezelés kivételével az adatkezelés megkezdése előtt – kérelmezi a Hatóságnál. A kötelező adatkezelés kivételével az adatkezelés a nyilvántartásba vételt megelőzően nem kezdhető meg.

A kötelező adatkezelés nyilvántartásba vételét az adatkezelő az adatkezelést elrendelő jogszabály hatálybalépését követő húsz napon belül kérelmezi a Hatóságnál.

A nyilvántartásba vétel szempontjából az eltérő célú adatkezelések önálló adatkezelésnek minősülnek, abban az esetben is, ha a kezelt adatok köre azonos.

A Hatóság az adatkezelést a kérelem megérkezésétől számított nyolc napon belül nyilvántartásba veszi, ha a kérelem tartalmazza a nyomtatványban elkért adatokat.

Ha a Hatóság a nyilvántartásba vétel iránti kérelmet határidőben nem bírálja el, az adatkezelő az adatkezelést a kérelemben foglaltak szerint megkezdheti.

Ha a kérelem olyan, a pénzügyi szervezet ügyfelére vonatkozó adatkezelés nyilvántartásba vételére irányul, amely az adatkezelő korábban nyilvántartásba vett adatkezelésével nem Érintett adatállományra vonatkozik, illetve amely az adatkezelő korábban nyilvántartásba vett adatkezelésénél nem alkalmazott, új adatfeldolgozási technológia alkalmazását teszi szükségessé, a nyilvántartásba vétel feltétele, hogy az adatkezelőnél a jogszerű adatkezelés feltételei biztosíthatók legyenek.  Ezen pontban tárgyalt adatkezelést a Hatóság a kérelem megérkezésétől számított negyven napon belül nyilvántartásba veszi, ha a kérelem tartalmazza a nyomtatvány szerinti adatokat és az adatkezelőnél a jogszerű adatkezelés feltételei biztosíthatók.

Az e pont szerinti adatkezelés nem kezdhető meg a nyilvántartásba vételről szóló határozat kézhezvétele előtt.

A Hatóság az adatvédelmi nyilvántartásba vételi kérelemnek helyt adó határozata tartalmazza az adatkezelés nyilvántartási számát, amelyet az Adatkezelőnek az adatok minden továbbításánál, nyilvánosságra hozásánál és az Érintettnek való kiadásakor fel kell tüntetni.

A nyilvántartási szám az adatkezelés azonosítására szolgál, és nem tanúsítja a nyilvántartásba vett adatkezelés jogszerűségét.

A bejelentett adatok megváltozása esetén az Adatkezelő a változás bekövetkezésétől számított nyolc napon belül változásbejegyzési kérelmet nyújt be a Hatóságnak.  A kérelemnek csak a megváltozott adatokat kell tartalmaznia.

10. Adattovábbítás megkeresés alapján

A védett adatok kiadása

Személyes adatot Magyarországon belül, illetve EGT-államba továbbítani csak a jelen Szabályzat 8. fejezetében meghatározott valamely jogalap alapján lehet.

EGT-államba történő adattovábbítást úgy kell tekinteni, mintha az adattovábbításra Magyarország területén került volna sor.

EGT-államon kívüli országban lévő adatkezelő vagy adatfeldolgozó részére személyes adatot átadni, hozzáférhetővé tenni csak akkor lehet, ha

  • ahhoz az Érintett kifejezetten hozzájárult; vagy
  • az adatkezelés jogalapja a jelen Szabályzat 10. fejezetében meghatározott módon biztosított, és a harmadik országban az adatok kezelése és feldolgozása során garantált a személyes adatok megfelelő szintű védelme.

A személyes adatok megfelelő szintű védelme akkor garantált a célországban, ha

  • az Európai Unió kötelező jogi aktusa azt megállapítja (különösen, ha a célországban lévő adatkezelő vagy adatfeldolgozó szerepel az ún. Safe Harbor listán), vagy
  • a harmadik ország és Magyarország között az adatkezelés, illetve az adatfeldolgozás garanciális szabályait tartalmazó nemzetközi szerződés van hatályban.

Nem lehet üzleti titokra hivatkozással visszatartani az információt a közérdekű adatok nyilvánosságára és a közérdekből nyilvános adatra vonatkozó, külön törvényben meghatározott adatszolgáltatási és tájékoztatási kötelezettség esetén.

Védett adat kiadására csak az Igazgatótanács, vagy az általa meghatalmazott személy jogosult. Az adatot kiadó az adatkiadásért felelősséggel tartozik.

 

Adattovábbítási nyilvántartás vezetése

Az Érintett kérelmére az Adatkezelő tájékoztatást ad az Érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá – az Érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.

Az Adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az Érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza:

  • az általa kezelt személyes adatok továbbításának időpontját,
  • az adattovábbítás jogalapját és címzettjét,
  • a továbbított személyes adatok körének meghatározását,
  • az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

A Adatkezelő az adattovábbításokat a jelen szabályzat 2. számú mellékletében meghatározott formában és tartalommal tarja nyilván.

Az adattovábbítási nyilvántartás adatai az Infotv. 15. § (2) bekezdésének figyelembevételével törölhetők.

Hatósági megkeresések teljesítése

Hatósági, bírósági megkeresés alapján védett adatot az Igazgatóság, vagy meghatalmazottja jogosult kiszolgáltatni, csak akkor, ha

  • a megkeresés írásban érkezett, a feladó és annak jogosultsága egyértelműen megállapítható, és
  • a megkereső szerv a megkeresésben megjelölte azt az ügyfelet, vagy ügyfélkört, amelyről a védett adat kiadását kéri, valamint a kért adatok fajtáját és az adatkérés célját.

Az adatot kiadó az adatkiadásért felelősséggel tartozik.

Kivételesen (különösen indokolt esetben) akkor is teljesíthető a hatósági, bírósági megkeresés, ha nem áll rendelkezésre a megkeresés eredeti példánya (például, mert a megkeresés a nyomozati cselekmények sürgőssége miatt telefaxon érkezett). Ilyen esetben a megkeresés eredeti példányát haladéktalanul be kell szerezni.

11. Adatvédelmi oktatás

Az Adatvédelmi felelős gondoskodik a szervezeten belül az adatvédelmi ismeretek évente egy alkalommal történő, kötelező oktatásáról. Az oktatáson a Adatkezelő minden munkatársa köteles részt venni. Az oktatáson való részvételt jelenléti ívvel dokumentálni kell, amelyet az Adatvédelmi felelős tárol.

12.  Az Érintett tájékoztatáshoz való joga

Az Érintett az adatkezelés ideje alatt az Adatkezelőtől tájékoztatást kérhet személyes adatai kezeléséről. E jogát oly módon kell biztosítani, hogy az Érintett más személy adatait ne ismerhesse meg.

Az Érintett kérelmére az Adatkezelő tájékoztatást ad az általa kezelt adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésre, valamint az adatfeldolgozásra jogosult személyéről, továbbá arról, hogy kik és milyen célból ismerhetik, ismerték meg az adatokat.

A tájékoztatást a kérelem benyújtásától számított legrövidebb idő alatt, de legfeljebb 30 napon belül, közérthető formában kell teljesíteni. Amennyiben az Érintett úgy rendelkezik, a tájékoztatást írásban kell megadni.

A tájékoztatás megadása, és továbbítása ingyenes, ha folyó évben azonos adatkörre vonatkozóan az Érintett még nem nyújtott be tájékoztatási kérelmet. Egyéb esetben költségtérítés kérhető, melynek összegéről a felek szerződésben is rendelkezhetnek.

A tájékoztatást az Adatkezelő a következő esetekben tagadhatja meg:

  • az Érintett nem a saját adataira vonatkozóan kér tájékoztatást;
  • a tájékoztatást kérő személy nem tudja hitelt érdemlő módon igazolni, hogy ő lenne az adatkezeléssel Érintett személy;
  • amennyiben törvény a tájékoztatást kizárja;
  • ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa rendelkezése alapján az Adatkezelő az adatokat egy másik adatkezelőtől akként veszi át, hogy az adatokat átadó adatkezelő jelezte az Érintett tájékoztatási jogának korlátozását.

A felvilágosítás megtagadása esetén tájékoztatni kell az Érintettet a bírósághoz és az adatvédelmi hatósághoz fordulás jogáról. Ezen felül a folyó évet követő január 31-éig tájékoztatni kell a Nemzeti Adatvédelmi és Információszabadság Hatóságot az elutasított kérelmekről.

13.  Tiltakozási, panasztételi jog

Amennyiben a másik szerződő fél, egyéb személy vagy szervezet tiltakozik védett adatainak kezelése ellen vagy az adatkezelés módjával kapcsolatban panaszt nyújt be, az Adatvédelmi felelős a tiltakozást, panaszt köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 30 nap alatt megvizsgálni.

Amennyiben az Adatgazda vagy az adatkezelő az adatokat nem a jogszabályoknak vagy jelen szabályzatnak megfelelően kezelte, a panaszügyet az Adatvédelmi felelős vizsgálja ki vagy utasítja az Adatgazdát a kivizsgálás lefolytatására. Ebben az esetben az Adatgazda a kivizsgálás eredményéről az Adatvédelmi felelőst tájékoztatja.

Amennyiben az Adatvédelmi felelős úgy látja jónak, a kivizsgálásba bevonhatja az információbiztonsági felelőst, vagy a belső ellenőrt. A vizsgálat eredményéről az Adatvédelmi felelős a kérelmezőt írásban tájékoztatja. Amennyiben a tiltakozás vagy a panasz indokolt, az Adatvédelmi felelős intézkedik az adatkezelés jogszabályok, illetve jelen szabályzat szerinti kezeléséről. Az Adatvédelmi felelős a tiltakozásról, panaszról továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a Adatkezelő az Érintett védett adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási, panasztételi jog érvényesítése érdekében. Az Adatvédelmi felelős az adatkezeléssel kapcsolatos panaszokról nyilvántartást vezet.

A Adatkezelő munkavállalói, illetve egyéb szerződéses jogviszony alapján a Adatkezelőnél munkát végző személyek az Adatvédelmi felelős eljárása során kötelesek annak utasítása szerint eljárni.

14. Ellenőrzés

Az adatvédelemmel kapcsolatos előírások, így különösen jelen szabályzat rendelkezéseinek betartását, az Adatvédelmi felelős rendszeresen ellenőrzi.