ADATVÉDELMI SZABÁLYZAT ÉS TÁJÉKOZTATÓ
Röviden és érthetően
Személyes adatokat csak a GDPR (General Data Protection Regulation) – az Európai Unió általános adatvédelmi rendelete szerint gyűjtünk és kezelünk.
Az Érintetteket a jelen szabályzatban és mellékleteiben szereplő rendelkezésekről minden esetben tájékoztatjuk.
Hírlevelet csak külön hozzájárulás esetén küldünk.
Hírlevél rendszerünkről bármikor leiratkozhatnak egy kattintással a leveleink alján található linkre kattintva.
Az adatokat a lehető legbiztonságosabban tároljuk.
Harmadik félnek személyes adatokat csak hozzájárulással adunk át.
Bárkinek felvilágosítást adunk a róla tárolt adatokról, és az adatok törlését is bármikor kérheti az elérhetőségeinken.
ADATVÉDELMI SZABÁLYZAT ÉS TÁJÉKOZTATÓ
A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETÉNEK (továbbiakban Rendelet) és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezéseinek való megfelelés céljából a Bajai Tudományos Ismeretterjesztő Egyesület – továbbiakban Adatkezelő vagy Egyesület – az alábbi adatkezelési szabályokat alkotta és alkalmazza.
Jelen szabályzat egyben adatvédelmi tájékoztató is, ezért az Egyesület jelen szabályzatot az érintettek részére elérhetővé teszi a honlapján vagy közvetlenül átadja részükre és a megismerés tényét dokumentálja vagy egyéb olyan módon hozzáférhetővé teszi, amivel az Egyesület adatkezelési tevékenységére vonatkozó szabályokat egyértelmű és igazolható módon közli az érintettekkel.
E Szabályzat hatálya a természetes személyre, vagyis az Egyesület tagjaira vonatkozó személyes adatoknak az Egyesület általi kezelésére terjed ki.
Az érintett előzetes tájékoztatási kötelezettségét az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény is előírja.
Az alábbiakban olvasható tájékoztatással e jogszabályi kötelezettségünknek teszünk eleget.
A tájékoztatást közzétesszük a bajaitit.hu honlapon, és az érintett személyek részére, kérésére elküldjük.
AZ ADATKEZELŐ MEGNEVEZÉSE
Adatkezelő: Bajai Tudományos Ismeretterjesztő Egyesület
Székhely: 6500 Baja, Tóth K. u. 19.
Ügyfélszolgálat: 6500 Baja, Bartók B. u. 5. BIF iroda
Nyitvatartás: Hétfő-Péntek 10-18 óra
Adószám: 19152648-1-03
Elnök: Pausch Róbert
Telefonszám: +36 20/236-8400
E-mail cím: info@bajaitit.hu
Honlap: bajaitit.hu
Fogalommeghatározások
„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
„profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
„álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
„adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
„címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy 2016.5.4. L 119/33 Az Európai Unió Hivatalos Lapja HU egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
„harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
„adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
„felügyeleti hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv; 2016.5.4. L 119/34 Az Európai Unió Hivatalos Lapja HU
„érintett felügyeleti hatóság”: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint: a) az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel; b) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy c) panaszt nyújtottak be az említett felügyeleti hatósághoz;
Info tv.: Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. Törvény
Rendelet (GDPR): AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE
Az adatkezelés lehetséges jogalapjai
Az adatkezelés történhet:
- az érintett hozzájárulása [Rendelet cikk 1) bek. a) pont] alapján, vagy
- az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, [Rendelet 6. cikk 1) bek. b) pont], vagy
- az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges [Rendelet cikk 1) bek. c) pont], vagy
- az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges; [Rendelet cikk 1) bek. d) pont], vagy
- az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges [Rendelet cikk 1) bek. f)]
Adatkezelés az érintett hozzájárulása alapján
Amennyiben az Egyesület hozzájáruláson alapuló adatkezelést kíván végezni, az érintett hozzájárulását kell kérni.
Hozzájárulásnak minősül az is, ha az érintett az Egyesület internetes honlapjának megtekintése során bejelöl egy erre vonatkozó négyzetet valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak.
A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.
Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik – pl, értékesítési, szolgáltatási szerződés megkötése – a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti a Rendeletet, kötelező erővel nem bír.
Az Egyesület nem kötheti szerződés megkötését, teljesítését olyan személyes adatok kezeléséhez való hozzájárulás megadásához, amelyek nem szükségesek a szerződés teljesítéséhez.
A hozzájárulás alapján történő adatkezelésről szóló nyilatkozatot az Egyesület ügyfélszolgálatán, ennek hiányában postai vagy elektronikus úton megküldött írásbeli nyilatkozatával bármikor szabadon megváltoztathatja. Az Érintett adatkezelési nyilatkozatai közül a legutóbbi keltezésű az érvényes. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
Szerződés teljesítéséből eredő adatkezelés
Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. [Rendelet 6. cikk b)]
Jogszabályi kötelezettség teljesítésén alapuló adatkezelés:
Ebben az esetben nincs szükség az Érintett személy hozzájárulásának beszerzésére. A kezelt adatok körére, az adatkezelés céljára, az adatok tárolásának időtartamára, a címzettekre az adatkezelés alapjául szolgáló jogszabály rendelkezései az irányadók.
Az érintettel közölni kell, hogy az adatkezelés kötelező, továbbá az érintettet egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő a rá vonatkozó jogi kötelezettség alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés esetén a tájékoztatás megtörténhet az előbbi információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.
Létfontosságú érdek védelméből eredő adatkezelés
Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges. [Rendelet 6. cikk d)]. Az adatkezelést jogszerűnek kell tekinteni akkor, ha az érintett vagy más természetes személy közérdekű érdekeinek védelmében történik. Más természetes személy létfontosságú érdekére hivatkozni egyéb jogalap hiányában lehetséges. Fontos közérdekből és létfontosságú érdekből történhet adatkezelés például humanitárius okból, járványok és terjedéseik nyomon követéséhez, vagy humanitárius vészhelyzetben természeti vagy ember által okozott katasztrófák esetében.
Jogos érdek érvényesítése (Érdekmérlegelési jogalap)
Az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek [Rendelet 6. cikk f)]. Pl. az Érintett az adatkezelő szerződéses partnere vagy képviselője (Rendelet (47) preambulum bekezdés)
Az adatkezelés során követett elvek
Jogszerűség, tisztességes eljárás és átláthatóság
A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.
Célhoz kötöttség
A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet és azokat nem kezeljük ezekkel a célokkal össze nem egyeztethető módon (nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés). Egyesületünk a kezelt személyes adatot az adatkezelésről való tudomásszerzését követően haladéktalanul törli, ha megállapítja, hogy cél nélküli, vagy a cél eléréséhez szükségtelen adatkezelés valósult meg.
Adattakarékosság
A személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk.
Pontosság
A személyes adatok pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.
Korlátozott tárolhatóság
A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. A személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor.
Integritás és bizalmas jelleg
A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is.
A személyes adatok továbbításának esetei
Az adatkezelés céljához szükséges adatok átadhatók azoknak:
a) akik a megbízásunk alapján a számlázást, a követelések kezelését, a forgalmazás kezelését, illetőleg az ügyfél-tájékoztatást végzik,
b) bérszámfejtést, tárhely szolgáltatást, postai- és futárszolgálat szolgáltatást, világháló-portál szolgáltatást végzik,
c) jogviták rendezésére jogszabály alapján jogosult szervek részére,
d) a nemzetbiztonság, a honvédelem és a közbiztonság védelme, valamint az arra hatáskörrel rendelkező nyomozó hatóságoknak, az ügyésznek, valamint a bíróságnak,
e) a bírósági végrehajtásról szóló törvény előírásai szerint a végrehajtónak.
f) megbízása alapján a hibaelhárítást illetőleg az ügyfél-tájékoztatást végzik,
g) hibaelhárítás érdekében közreműködő szervezetnek
h) akik a megbízásunk alapján a panasz ügyintézését, illetőleg az ügyfél-tájékoztatást végzik
i) akik részére az adatok megküldését jogszabály írja elő (pl. adóhatóság)
Adatfeldolgozók igénybevétele
Társaságunk a szolgáltatásai nyújtásához adatfeldolgozókat vehet igénybe. Az adatfeldolgozók feladatai kiterjedhetnek az alábbi tevékenységek elvégzésére:
– számlázással kapcsolatos tevékenység (nyomtatás és postázás),
– bérszámfejtés
– könyvelés
– informatikai rendszerüzemeltetés,
– marketing tevékenység,
– ügyfélszolgálati tevékenység,
– hibajavítási tevékenység,
– követeléskezelés
– egészségügyi alkalmasság felmérése
– személy és vagyonvédelem
– tevékenységünk támogatása, a teljesítés elősegítése, alvállalkozó bevonása
Az adatfeldolgozók aktuális listájáról kérelemre írásban tájékoztatjuk ügyfeleinket és a hírlevél rendszerünk feliratkozóit.
Az Érintett adatkezeléssel kapcsolatos jogai
Tájékoztatáshoz és tiltakozáshoz való jog
Az Érintett bármikor jogosult tájékoztatást kérni postai, elektronikus, telefonos, vagy ügyfélszolgálaton keresztüli személyes úton a szabályzatban megjelölt elérhetőségeken keresztül az Egyesület által kezelt, Érintettre vonatkozó személyes adatokról.
Kérése esetén tájékoztatjuk:
– a kezelt adatokról,
– az adatkezelés céljáról,
– jogalapjáról,
– időtartamáról,
– arról, hogy kik és milyen célból kapják vagy kapták meg adatait.
A tájékoztatást a kérelem benyújtásától számított 25 napon belül írásban, a tájékoztatás kérés formájától függően papír, vagy elektronikus úton adja meg az Egyesület.
Az Érintett bármikor tiltakozhat személyes adatainak kezelése ellen. A tiltakozást annak benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálja a Társaság, annak megalapozottsága kérdésében döntést hoz, és döntéséről tájékoztatja az Érintettet.
A tájékoztatást csak törvényben foglalt esetekben tagadhatjuk meg jogszabályi hely megjelölésével, valamint a bírósági jogorvoslat, illetve a Hatósághoz fordulás lehetőségéről tájékoztatással. Társaságunk a személyes adatok helyesbítésről, zárolásról, megjelölésről és törlésről Önt, továbbá mindazokat értesíti, akiknek korábban az adatot adatkezelés céljára továbbította, kivéve akkor, ha az értesítés elmaradása az Ön jogos érdekét nem sérti.
Adatok törlése, helyesbítése, zárolása
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére a Rendelet 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
Az Érintett bármikor jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
Zároljuk a személyes adatot, ha az Érintett ezt kéri, vagy ha a rendelkezésre álló információk alapján feltételezhető, hogy a törlés sértené az Érintett jogos érdekeit. Az így zárolt személyes adatot addig kezeljük, ameddig fennáll az adatkezelési cél vagy jogos érdek, amely a személyes adat törlését kizárta.
A törlési, helyesbítési és zárolási kérelemnek a lehetőségekhez képest leghamarabb, de legfeljebb 25 napon belül eleget teszünk vagy a kérelmét elutasítjuk, erről 25 napon belül értesítjük.
Hozzáférési jog
A Rendelet 15. cikk (1) bekezdése értelmében az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
– az adatkezelés céljai;
– az érintett személyes adatok kategóriái;
– azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
– adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
– az érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
– a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
– ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
– a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a Rendelet 46. cikk szerinti megfelelő garanciákról. Külföldi adattovábbítás feltételeit az Info tv. részletesen tartalmazza.
Másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.
Korlátozáshoz való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
– az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
– az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
– az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
-az érintett a Rendelet 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
Az Adatkezelő az érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
Az adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa egy Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:
– az adatkezelés hozzájáruláson vagy szerződésen alapul és
– az adatkezelés automatizált módon történik.
Az adatok hordozhatóságához való jog gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelő közötti közvetlen továbbítását.
Adatbiztonság
Egyesületünk az általa kezelt valamennyi személyes adat biztonsága érdekében köteles megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a Rendelet és az Infotv. rendelkezéseinek betartásához szükséges.
Egyesületünk a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Lehetőségünk van a személyes adatok álnevesítésére és titkosítására szükség esetén.
Biztosítjuk a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét, fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani.
Társaságunk az adatokat megfelelő intézkedésekkel védi a véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés, jogosulatlan nyilvánosságra hozatal vagy az azokhoz való jogosulatlan hozzáférés ellen.
Az adat kezelése során biztosítani kell, hogy az érintett adatai ne jussanak illetéktelen harmadik személy tudomására és csak az férhessen hozzá, aki erre jogosult. Biztosítani kell, hogy az adat illetéktelen harmadik személy által ne legyen módosítható és az adat elérhető legyen a jogosultsággal rendelkező személyek.
Társaságunk az informatikai rendszerét és hálózatát védi a számítógépvírusok, a számítógépes betörések, kémkedés, rongálás továbbá a szolgálatmegtagadásra vezető és egyéb kalóz, hacker támadások ellen.
Társaságunk az informatikai rendszereket tűzfallal védi és vírusvédelemmel látja el.
Társaságunk munkavállalói személyes adatot kizárólag jogszabályokban és belső szabályzat megalkotása esetén az abban rögzített előírásoknak megfelelően, továbbá kizárólag a munkaköri leírásukban meghatározott feladataik ellátása céljából, a részükre biztosított jogosultságok rendeltetésszerű használatával kezelhetnek. Az Adatkezelő adatkezelést végző munkavállalója fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a feladatkörének gyakorlása során tudomására jutott személyes adatok jogszerű kezeléséért, az adatkezeléssel összefüggő hozzáférési jogosultságok jogszerű gyakorlásáért. A személyes adatokhoz való hozzáférést az Egyesület jogosultsági szintek megadásával korlátozhatja.
AZ ADATKEZELÉSI TEVÉKENYSÉGEK NYILVÁNTARTÁSA, ADATVÉDELMI TISZTVISELŐ ÉS HATÁSVIZSGÁLAT
Az adatkezelők, mind az adatfeldolgozók kötelesek írásban – ideértve az elektronikus formátumot is – nyilvántartást vezetni a felelősségükbe tartozó adatkezelési tevékenységekről. Nem köteles nyilvántartás vezetésére a 250 főnél kevesebb személyt foglalkoztató társaság, kivéve:
– ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár,
– ha az adatkezelés nem alkalmi jellegű, vagy az adatkezelés kiterjed a személyes adatok különleges kategóriáinak vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.
Figyelemmel arra, hogy a GDPR Rendelet 35. Cikkében foglaltak alapján a Társaságunk tevékenységével összefüggő adatkezelés annak jellegére, hatókörére, körülményére és céljaira, bizonyosan nem jár magas kockázattal a természetes személyek jogaira és szabadságaira nézve, adatvédelmi hatásvizsgálat elvégzése nem szükségszerű.
Figyelemmel arra, hogy a GDPR Rendelet 37. Cikkében foglalt esetek egyike sem áll fenn, adatvédelmi tisztviselő kinevezésére nem került sor. E körben rögzítjük, hogy nem minősülünk közhatalmi szervnek, közfeladatot nem látunk el; fő tevékenységünk nem foglal magába olyan műveleteket, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését tennék szükségessé, továbbá nagy számban nem kezelünk különleges adatokat.
ADATVÉDELMI INCIDENS
Az adatvédelmi incidens fogalma
Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; (Rendelet 4.cikk.12.)
A Rendelet (preambulum 85) rögzíti, hogy az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között:
– a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását,
– a hátrányos megkülönböztetést,
– a személyazonosság-lopást vagy a személyazonossággal való visszaélést,
– a pénzügyi veszteséget,
– az álnevesítés engedély nélküli feloldását,
– a jó hírnév sérelmét,
– a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve
– a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.
Az adatkezelőt adatvédelmi incidens bekövetése esetén terhelő kötelezettségek, nyilvántartás vezetési kötelezettség
Az adatkezelő köteles:
– bejelenteni az adatvédelmi incidenst a felügyeleti hatóságnál,
– az érintettet tájékoztatni az adatvédelmi incidensről,
– az adatvédelmi incidensekről nyilvántartást vezetni.
Az adatvédelmi incidens bejelentése a felügyeleti hatóságnál
Az adatkezelő köteles az adatvédelmi incidenst indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával a tudomásszerzést követően bejelenteni az illetékes felügyeleti hatóságnál (Rendelet 33. cikk (1) bekezdés).
A bejelentésnek tartalmaznia kell:
– az adatvédelmi incidens jellegének ismertetését,
– az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó, egyéb kapcsolattartó nevét és elérhetőségeit,
– az adatvédelmi incidensből eredő, valószínűsíthető következmények ismertetését
– az adatkezelő által az adatvédelmi incidens orvoslására tett, vagy tervezett intézkedéseket (Rendelet 33. cikk (3) bekezdése).
A bejelentés mellőzhető, ha az adatkezelő az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve (Rendelet 33. cikk (1) bekezdés). Pl. Az adatkezelő által rossz címre küldött levél, úgy érkezik vissza, hogy nem kerül felbontásra, azaz a személyes adatokhoz nem fért hozzá illetéktelen személy.
Az érintett tájékoztatása
Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül köteles tájékoztatni az érintettet az adatvédelmi incidensről (Rendelet 34. cikk (1) bekezdése).
A tájékoztatásnak tartalmaznia kell:
– annak leírását, hogy milyen jellegű az adatvédelmi incidens,
– a lehetséges hátrányos hatások enyhítését célzó javaslatokat.
Az érintettet nem kell az adatvédelmi incidensről tájékoztatni, az alábbi esetekben:
– az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták(különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat);
– az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
– a tájékoztatás aránytalan erőfeszítést tenne szükségessé. (Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását. Pl. sajtóközlemény kiadása).
Az illetékes felügyeleti hatóság mérlegelési jogkörében elrendelheti, hogy az az adatkezelő tájékoztassa az érintettet az adatvédelmi incidensről, vagy megállapíthatja a fenti feltételek valamelyikének fennállását. (Rendelet 34. cikk (4) bekezdése).
Adatvédelmi incidensek nyilvántartása
Az adatvédelmi incidensekről az adatkezelő köteles nyilvántartást vezetni. A nyilvántartásban rögzíteni kell:
– az adatvédelmi incidenshez kapcsolódó tényeket (Rendelet 33. cikk (5) bekezdése) ennek körében az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit (Infotv. 14. § 1a)
– az adatvédelmi incidens hatásait (Rendelet 33. cikk (5) bekezdése)
– az adatvédelmi incidens orvoslására tett intézkedéseket (Rendelet 33. cikk (5) bekezdése)
Az adatfeldolgozó bejelentési kötelezettsége
Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül köteles bejelenteni az adatkezelőnek (Rendelet 33. cikk. (2) bekezdése).
Jogorvoslati lehetőségek
Az Érintett jogosult az adatkezeléssel kapcsolatos panaszával a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (1125 Budapest, Szilágyi Erzsébet fasor 22/c.; www.naih.hu, Telefon: +36 (1) 391-1400, Telefax: +36 (1) 391-1410, E-mail: ugyfelszolgalat@naih.hu) fordulni vagy a Polgári perrendtartásról szóló törvény szerint hatáskörrel és illetékességgel rendelkező Bíróság előtt érvényesíteni személyes adatok kezelésével kapcsolatos jogait.
Amennyiben Ön a döntésünkkel nem ért egyet, illetve ha elmulasztjuk a határidőt, a döntés közlésétől, illetve a határidő utolsó napjától számított 30 napon belül Ön bírósághoz fordulhat.
Az adatvédelmi perek elbírálása a törvényszék hatáskörébe tartozik, a per – az érintett választása szerint – az érintett lakhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható. Külföldi állampolgár a lakóhelye szerint illetékes felügyeleti hatósághoz is fordulhat panasszal.
Kérjük Önt, hogy mielőtt a felügyeleti hatósághoz vagy bírósághoz fordulna panaszával – egyeztetés és a felmerült probléma minél gyorsabb megoldása érdekében – keresse meg Egyesületünket.
Irányadó jogszabályok
A személyes adatok kezelése és védelme során az alábbi jogszabályokra kell figyelemmel lenni:
– Magyarország Alaptörvénye, VI. cikk
– a természetes személyeknek a személyes adatok kezeléséről szóló az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR)
– 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Info tv.)
– a Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.)
– a 2001. évi CVIII. törvény – Eker tv. (Az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről),
– az elektronikus hírközlésről szóló 2003. évi C. törvény – (Ehtv)
– a panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvény. (Pktv.)
– a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény (Grtv.)
– A Nemzeti Adatvédelmi és Információszabadság Hatóság ajánlása az előzetes tájékoztatás adatvédelmi követelményeiről.
Tagokra vonatkozó adatkezelés
Egyesületünk természetes személy tagjainak és tisztségviselőinek adatait a Ptk., Ctv., az egyesülési jogról szóló jogszabály illetve az adott társasági forma alapítására, működésére vonatkozó egyéb jogszabályi rendelkezések alapján kezeljük. A tagok, tisztviselők által önként, a törvényi előírásban szereplő adatokon felül megadott egyéb adatokat (pl. telefonszám, email cím) az érintett tag hozzájárulása alapján kezeljük a jogviszony fennállásáig.
Gyermekek adatai
A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. A 16. életévét betöltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének beleegyezése vagy utólagos jóváhagyása nem szükséges.
Hozzáférhetőség
Az adatkezeléssel kapcsolatos információk, az adatvédelmi szabályzatok és tájékoztatók hozzáférhetőek az Egyesületszékhelyén, illetve az alábbi linken letölthetőek: http://www.bajaitit.hu/adatvedelmi-szabalyzat.
Mellékletek
Külön mellékletben kerültek meghatározásra a
– munkavállalókra
– szerződésekre
– honlapra
– hírlevélküldésre, direct-marketingre
– informatikai, távközlési és egyéb számítástechnikai eszközök használatára, a használat ellenőrzésére
– adatfeldolgozó tevékenységre
– helymeghatározásra
– kamerás megfigyelésre, képrögzítésre
vonatkozó adatvédelmi szabályok, amik egyben tájékoztatók is. Ezen mellékletek szintén hozzáférhetőek az Egyesületszékhelyén illetve indokolt kérés esetén azokat megküldjük vagy betekintésre bemutatjuk.
Kelt.: Baja, 2019.
Pausch Róbert
elnök
Bajai TIE