Adatkezelési tájékoztató

PREAMBULUM

Jelen Szabályzat az ÉLETFA CSOPORT EGYESÜLET (székhely: 2030 Érd, Kálmán utca 18; nyilvántartási száma: 01-02-0016368; adószáma: 18871603-1-13; képviseli: Ömböli Ágnes, elnök) (a továbbiakban: Adatkezelő) adatkezelési tevékenységének belső szabályait tartalmazza az Európai Parlament és a Tanács (EU) 2016/679 Rendeletének (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (a továbbiakban: Rendelet) és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek (a továbbiakban: Info tv.) való megfelelés céljából.

Az Adatkezelő, annak érdekében, hogy a tagjaira, a tagok és csatlakozók – különös tekintettel a kiskorú gyermekeire – önkénteseire, szerződött partnereire, és más érintettekre vonatkozó adatkezeléseit jogszerűen és tisztességesen, valamint az Érintett (adatkezelő adatkezelésével érintett természetes személy) számára átlátható módon végezze, jelen belső szabályzatban bemutatja, hogyan teljesíti a jogszabályokból fakadó adatvédelmi kötelezettségeit.

Jelen Szabályzat az Érintettek számára az Adatkezelő által végzett adatkezelési tevékenységet szabályozza.

Érintettek: természetes személyek, akire vonatkozóan adatkezelés az adatkezelő által történik.

SZABÁLYZAT CÉLJA

Jelen Szabályzat elsődleges célja, hogy az Adatkezelővel kapcsolatba kerülő természetes személyek adatainak kezelésére vonatkozó alapvető elveket és rendelkezéseket meghatározza és betartsa annak érdekében, hogy a természetes személyek magánszférája védelemben részesüljön a vonatkozó törvényi előírásoknak megfelelően; az adatkezelésben Érintett személyek egyértelmű és részletes tájékoztatása az adataik kezelésével kapcsolatos minden tényről, így különösen a személyes és különleges adatok köréről, az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat; a közügyek átláthatósága a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez fűződő jog érvényesítésével megvalósuljon.

A Szabályzat megállapítása és módosítása az Egyesület elnökségének hatáskörébe tartozik.

A Szabályzat mindenkor hatályos változata közzétételre kerül a szervezet hivatalos weboldalán. Az Info tv. 1. számú II. pont szerint az előző állapot 1 (egy) évig archívumban tartásával.

ADATKEZELŐ

Adatkezelő adatai: ÉLETFA CSOPORT EGYESÜLET

Adatkezelő törvényes képviselője: Ömböli Ágnes, elnök

Székhelye: 2030 Érd, Kálmán utca 18.;

Adószáma: 18871603-1-13

Nyilvántartási száma: 01-02-0016368

E-mail: eletfa.erd@gmail.com

Adatvédelmi tisztviselő:

dr. Kubisch Ildikó

E-mail: kubischildiko@gmail.com

Telefon: + 36 70 392 75 27

ADATKEZELŐ TEVÉKENYSÉGE

Adatkezelő, mint közhasznú egyesület (civil szervezet) a sajátos nevelési igényű és tartósan beteg gyermekek, az ilyen gyermekeket nevelő családok, szülők segítését, társadalmi érdekképviseletét, érdekérévnyesítésének elősegítését látja el.

A SZABÁLYZAT HATÁLYA

A Szabályzat kiterjed az Adatkezelő valamennyi természetes személy adatára vonatozó adatkezelésére.

A Szabályzat hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre vonatkozik, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.

A Szabályzat az Adatkezelő szervezetére, annak tagjaira, önkénteseire, segítőire, valamint polgári jogviszonyban vagy más jogviszonyban (pl.: munkajogviszony) a szervezet számára adatkezelőként feladatot végző természetes személyekre irányadó. Az egyéni vállalkozót, egyéni céget e Szabályzat alkalmazásában természetes személynek kell tekinteni.

ALAPFOGALMAK

Személyes adat: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható (a továbbiakban: érintett). A belső adatvédelmi szabályzat alapján érintetttag, önkéntes, szerződött partnerek kapcsolattartói és bármely más természetes

személy, akinek a személyes adatait az Adatkezelő kezeli.

Különleges adat: a belső adatvédelmi szabályzat alapján különleges adatnak minősül elsődlegesen az egészségügyi adatok, továbbá a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.

Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról.

Érintett: természetes személy, akire vonatkozóan adatkezelés az adatkezelő által történik.

Önkéntes: olyan személyek, akik szervezetnél, illetve annak tevékenységi körben más vagy mások javára, ellenszolgáltatás nélkül végeznek tevékenységet, ideértve az iskolai közösségi szolgálat és a közérdekű önkéntes tevékenységről szóló törvényben megfogalmazott személyek körét.

Címzett: A természetes személy adatok megismerésére jogosult.

Szerződött partnerek kapcsolattartói:

azok a természetes személyek, akik valamely jogi személy vagy más szervezet képviselőjeként az Adatkezelő tevékenységével összefüggésben az Adatkezelő rendelkezésére bocsátják a személyes adataikat. A szerződött partnerek kapcsolattartóira vonatkozó rendelkezéseket megfelelően alkalmazni kell az egyéni vállalkozókra is.

Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv is, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.

Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az Adatkezelő vagy más adatkezelő nevében személyes adatokat kezel.

Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az Érintettel, az Adatkezelővel, az Adatkezelővel szerződéses viszonyban álló más adatkezelővel és adatfeldolgozóval vagy azokkal a személyekkel, akik az Adatkezelő, más adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.

Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akinek vagy amelynek az Adatkezelő átadja a személyes adatokat, függetlenül attól, hogy harmadik fél-e.

Hozzájárulás: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Üzleti titok: az Adatkezelő esetlegesen végzett vállalkozási-gazdasági tevékenységhez kapcsolódó minden nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek illetéktelenek által történő megszerzése, hasznosítása, másokkal való közlése vagy nyilvánosságra hozatala az Adatkezelő jogos pénzügyi, gazdasági vagy piaci érdekét sértené vagy veszélyeztetné, feltéve, hogy a titok megőrzésével kapcsolatban a vele jogszerűen rendelkező jogosultat felróhatóság nem terheli. Az üzleti titokkal azonos védelemben részesül az azonosításra alkalmas módon rögzített, vagyoni értéket képviselő műszaki, gazdasági vagy szervezési ismeret, tapasztalat vagy ezek összeállítása (védett ismeret).

Banktitok: minden olyan tény, információ, megoldás vagy adat, amely valamely pénzügyi Szervezetnél az Adatkezelő vagyoni helyzetére, tevékenységére, gazdálkodására, tulajdonosi, szerződéses kapcsolataira, valamint a pénzügyi Szervezet által vezetett számlájának egyenlegére, forgalmára, továbbá a pénzügyi intézménnyel kötött szerződéseire vonatkozik.

Süti: a sütik (cookies) kisméretű szövegfájlok, amelyeket az érintett által használt informatikai eszköz böngészője tárol az érintett eszközén bizonyos információk mentése érdekében.

GDPR: az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/45/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet). A rendeletnek a gyakorlatban elterjedt rövidítése az angol elnevezéséből (General Data ProtectionRegulation) képzett GDPR mozaikszó.

Irányadó jog: alatt értendő a GDPR, a GDPR által biztosított kifejezett felhatalmazás alapján vagy erre tekintettel megalkotott magyar jogszabályok, más adatvédelmi tárgyú jogszabályok, valamint a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) által kiadott dokumentumok, illetve az adatkezelőre vonatkozó magatartási kódexek.

Harmadik ország: az EGT tagállamokon (az EU tagállamai, illetve Izland, Liechtenstein és Norvégia) kívüli országok.

Közérdekből nyilvános adat:

a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli

Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.

Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele.

Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges.

Adatkezelés korlátozása: a tárolt adat zárolása az adat további kezelésének korlátozása céljából történő megjelölése útján.

Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése.

Adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége.

Adatállomány: az egy nyilvántartásban kezelt adatok összessége.

AZ ADATKEZELÉS JOGSZERŰSÉGÉNEK ALAPVETŐ KÖVETELMÉNYEI

Az adatkezelés alapelvei és a jogalapokról általában

Az adatkezelésnek meg kell felelnie az adatvédelmi szabályzatban kifejtett követelményeknek, a GDPR-ban foglalt alapelveknek, jogszabályi rendelkezéseknek.

Személyes adatok csak abban az esetben kezelhetők, ha az adatkezelés célját egyéb eszközzel ésszerű módon nem lehetséges elérni.

Az Adatkezelőnek az adatkezelést úgy kell megterveznie és végezni, hogy a személyes adatok kezelése jogszerű és tisztességes, valamint az érintett számára átlátható legyen.

Az Adatkezelőnek az adatkezelés meghatározása során biztosítani kell, hogy csak meghatározott, egyértelmű és jogszerű célból történjen adatkezelés. Az adatkezelés céljának kifejezettnek, pontosan megfogalmazottnak és jogszerűnek, továbbá már az adatkezelés megkezdésének időpontjában meghatározottnak kell lennie. A személyes adatok nem kezelhetőek az eredeti adatkezelési célokkal össze nem egyeztethető módon.

Az Adatkezelőnek az adatkezelést úgy kell megterveznie és végeznie, hogy a személyes adatok, az adatkezelés céljai szempontjából megfelelőek és relevánsak legyenek, és a kezelése a szükséges mértékre korlátozódjon. Az Adatkezelőnek biztosítani kell különösen azt, hogy a személyes adatok tárolása a lehető legrövidebb időtartamra korlátozódjon. Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg.

ADATVÉDELMI HATÁROZAT

Személyes adatok tárolása kapcsán az adatkezelési időtartamok felülvizsgálatának ideje: évente október 31. napja.

Adattörlésről személyes adatok rögzítése nélkül – jegyzőkönyv felvétele kötelező.

Az Adatkezelőnek biztosítani kell azt, hogy a személyes adatok az adatkezelés során pontosak és szükség esetén naprakészek legyenek.

Az Adatkezelőnek az adatkezelést úgy kell megterveznie és végezni, hogy a személyes adatok tárolása olyan formában történjen, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.

Az Adatkezelőnek az adatkezelés megtervezése során figyelemmel kell lennie arra, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

Az Adatkezelő felelős azért, hogy az adatkezelés megfeleljen a GDPR 5. cikk (1) bekezdésének. Az Adatkezelőnek képesnek kell lennie arra, hogy igazolja azt, hogy az adatkezelése megfelel a GDPR 5. cikk (1) bekezdésének. Ezen kötelezettség teljesítésében valamennyi tagot, önkéntest, az Adatkezelővel szerződéses viszonyban álló adatkezelőt és adatfeldolgozót közreműködési kötelezettség terheli.

Az Adatkezelőnek a személyes adatok kezeléséhez megfelelő jogalappal kell rendelkeznie. Az Adatkezelő csak akkor kezelhet személyes adatot, ha az adatkezeléshez a GDPR 6. cikk, 8. cikk vagy 9. cikk szerinti jogalappal rendelkezik, és a jogalap alkalmazásával összefüggésben teljesülnek az irányadó jogban előírt követelmények.

JOGALAPOK

5. Jogalapok: GDPR 6. cikk (1) bek.:

5.1. Hozzájárulás jogalap: az érintett önkéntes, befolyástól mentes, konkrét hozzájárulását adta, tájékoztatáson alapuló személyes adatainak egy vagy több konkrét célból történő kezeléséhez

5.2. Szerződés teljesítése jogalap: az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges

5.3 Jogi kötelezettség teljesítése: az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges

5.4 Létfontosságú érdek: az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges

5.5. Közhatalmi jogosítvány gyakorlása: az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges

5.6. Jogos érdek: az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekének érvényesítéséhez szükséges, kivéve ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Az 5.6. pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.

5.1 A hozzájárulás jogalapjának alkalmazásának követelményei

5.1.1 Az Adatkezelő hozzájárulás jogalapját kizárólag akkor alkalmazhatja, ha az adatvédelmi szabályzat és a GDPR hozzájárulással összefüggésben előírt követelményei teljesülnek, elsődlegesen a hozzájárulásnak önkéntesnek, befolyásmentesnek, határozottnak kell lennie és megfelelő tájékoztatáson kell alapulnia.

5.1.2. Az Adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult. Ezen kötelezettségének az Adatkezelő elsődlegesen az érintett által tett írásbeli hozzájárulás megőrzés útján tesz eleget.

5.1.3. Az Adatkezelőnek az adatkezelés során biztosítani kell azt, hogy adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja az adatkezeléshez. Ilyen hozzájárulásnak minősül az is, ha az érintett az Adatkezelő honlapján bejelöl egy erre vonatkozó négyzetet, a honlapokon használata során technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az az érintettnek az adatkezeléshez adott hozzájárulását egyértelműen jelzi.

5.1.4. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak.

5.1.5. Az Adatkezelőnek az adatkezelés megtervezése és végrehajtása során biztosítani kell azt, hogy az érintett adatkezelési célonként külön-külön tudjon hozzájárulni a különböző célú adatkezelésekhez.

5.1.6. Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, az Adatkezelőnek biztosítania kell azt, hogy a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az Adatkezelőnek az elektronikus vagy papír alapú formanyomtatványain biztosítani kell, hogy a hozzájárulás, hozzájárulást kérő szövegrészek elkülönüljenek a formanyomtatvány többi részétől.

5.1.7. Az Adatkezelőnek az önkéntesség biztosítása során figyelembe kell vennie, hogy

a) nem teheti szerződés teljesítését attól függővé, hogy az érintett hozzájárul-e olyan adatkezeléshez, amely nem szükséges a szerződés teljesítéséhez,

b) az érintett valós vagy szabad választási lehetőséggel rendelkezzen, és lehetősége legyen anélküli megtagadására vagy visszavonására, hogy ez kárára válna,

c) az Adatkezelő és az érintett között ne álljon fenn olyan egyenlőtlen viszony, amely miatt valószínűtlen, hogy a szóban forgó hozzájárulás megadása önkéntesen történt.

5.1.8. Az Adatkezelőnek hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

ADATVÉDELMI HATÁROZAT

Önkéntestől, egyesületi tagtól hozzájárulást kérni valamely személyes adatának a kezeléséhez csak a hozzájárulás adatvédelmi követelményeinek teljesülése esetén, az adatkezelés körülményeinek alapos vizsgálatát követően lehet.

A hozzájárulás beszerzése, nyilvántartása, kezelése az Adatkezelő részéről ügyintézést végző feladata. A hozzájárulásokat nyilván kell tartani, az elszámoltathatóság érdekében az adatkezelés megszűnésétől számított 5 évig.

5.2 Szerződéses jogalap

5.2.1. A szerződéses jogalap akkor alkalmazható, ha

a) az érintettel kötött szerződés teljesítéséhez szükséges meghatározott személyes adatok kezelése,

b) az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

5.3 Jogi kötelezettség jogalapjának alkalmazásának követelményei

5.3.1. Jogi kötelezettség jogalapjának alkalmazásához az Adatkezelőnek meg kell jelölnie azt az uniós vagy tagállami jogszabályt, amely a személyes adatok kezelését előírja vagy amely a személyes adatok kezelését szükségessé teszi.

5.3.2 Amennyiben a jogszabály meghatározza az adatkezelés körülményeit, akkor az Adatkezelő más célból nem kezelheti az adatokat, az adatkezelés időtartamától nem térhet el, és más személyes adatokra nem terjesztheti ki az adatkezelést.

5.3.3 Amennyiben a jogi kötelezettséget meghatározó jogszabály nem rendezi az adatkezelés célját, időtartamát, a kezelt adatok körét, illetve az adatkezelés feltételeit, akkor azt az Adatkezelőnek a belső adatvédelmi szabályzat alapelveinek és az irányadó jog követelményeinek betartásával kell meghatároznia.

5.4 Létfontosságú érdek -jogalap alkalmazásának követelményei

5.4.1. Az Adatkezelő bármely tagja, önkéntese jogosult arra, hogy az érintett létfontosságú érdekeinek védelméhez szükséges személyes adatokat kezelje. Ilyennek tekinthető az, ha a tag, vagy önkéntes egyesülettől történő segítségkérése, érdekvédelmi képviselete során közölni kell az érintett személyes adatait vagy egészségügyi adatait.

5.5. Közérdekű vagy közhatalmi jogosítvány gyakorlásának keretében végzett feladat

Adatkezelő nem lát el közhatalmi feladatot, azonban bizonyos közhasznú tevékenységeinek, különös tekintettel a sajátos neelési igényű és taertóüsan beteg gyermekek érdekében végzett képviseleti tevékenység következtében kezelhet közérdekből adatokat.

5.6 Jogos érdek jogalap alkalmazásának követelményei

5.6.1 Az Adatkezelő a jogos érdek jogalapot kizárólag akkor alkalmazhatja, ha az előzetesen elkészített érdekmérlegelési teszt alapján az adatkezelő vagy harmadik fél jogos érdeke igazolt, az adatvédelmi szabályzatban foglalt követelmények, és az adatvédelmi rendelet előírásai teljesülnek.

5.6.2. Az Adatkezelő jogos érdekének vagy harmadik fél jogos érdekének ténylegesnek, egyértelműnek, jogszerűnek és alátámasztottnak (például szerződéssel, NAIH állásfoglalásával, határozatával, más uniós tagállami adatvédelmi hatóság döntésével, más hatóság eljárásával igazoltnak ) kell lennie.

5.6.3 A jogos érdek fennállásának megállapításához az Adatkezelőnek meg kell vizsgálnia többek között azt, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat-e ésszerűen arra, hogy adatkezelésre az adott célból kerülhet sor. Jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az Adatkezelőnek szerződött partnere vagy annak alkalmazásában áll.

5.6.4. Az Adatkezelőnek az érdekmérlegelés jogalapjának alkalmazásához be kell mutatnia az érintettek jogos érdekeit és elvárásait. Amennyiben lehetséges, az Adatkezelőnek ki kell kérnie az érintettek vagy törvényes képviselőik véleményét a tervezett adatkezelésről. Ha az Adatkezelő elmulasztja az érintett érdekeinek bemutatását, az adatkezelés nem végezhető.

5.6.5. Az Adatkezelőnek a jogalap alkalmazásakor megfelelő garanciális intézkedéseket kell hoznia, hogy az ezen a jogalapon végzett adatkezelés ne korlátozza aránytalanul az érintettek jogait és szabadságait. Amennyiben lehetséges, az Adatkezelőnek ki kell kérnie az érintettek vagy törvényes képviselőik véleményét a tervezett a garanciális intézkedésekről.

KÜLÖNLEGES ADATOK

6.1. A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése- főszabály szerint – tilos. ( GDPR 9. cikk)

6.2. Nem alkalmazható a tiltó szabály abban az esetben:

a) az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az említett tilalom nem oldható fel az érintett hozzájárulásával;

b) az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet, érdekképviseletet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;

c) az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;

d) az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;

e) az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;

f) az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;

g) az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

h) az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;

i) az adatkezelés a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

6.3. Különleges személyes adatokat abban az esetben lehet a h) pontjában említett célokból kezelni, ha ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll.

A gyermek hozzájárulására vonatkozó feltételek

az információs társadalommal összefüggő szolgáltatások vonatkozásában

GDPR 8. cikk

Abban az estben, ha hozzájárulás alkalmazandó, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte.

A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.

Az adatkezelő – figyelembe véve az elérhető technológiát – észszerű erőfeszítéseket tesz, hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.

ELŐZETES ADATKEZELÉSI TÁJÉKOZTATÁS KÖTELEZETTSÉGE

7.1. Az Adatkezelőnek valamennyi adatkezeléséről tájékoztatni kell az érintetteket. Amennyiben az Adatkezelő előzetesen nem tájékoztatja az adatkezelésről az érintetteket, az adatkezelés nem végezhető.

7.2. Az Adatkezelő a tájékoztatási kötelezettségét az érintettek és a tagok, önkéntesek, támogatottak tájékoztatása céljából elkészített adatkezelési tájékoztatók megalkotásával és nyilvánosságra hozatalával vagy közlésével teljesíti. Kivételesen elfogadható az is, ha az Adatkezelő valamely adatkezeléshez kapcsolódóan eseti tájékoztatást ad át az érintetteknek.

7.3. Az adatkezelési tájékoztatónak az alábbi adatkezelési körülményekre kell kiterjednie:

a) az Adatkezelő neve, székhelye, képviselője, telefonszáma, e-mail címe,

b) az Adatvédelmi tisztviselő neve, címe, telefonszáma, e-mail címe,

c) az adatkezelés célja, jogalapja, illetve a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, akkor ezen időtartam meghatározásának szempontjai,

d) a személyes adatok címzettjeire vagy a címzettek kategóriái, adattovábbítás, adatfeldolgozó

e) az adatok forrása

f) az érintettet megillető jogok, illetve jogorvoslati lehetőségekről tájékoztatás (panasz és bírsághoz fordulás jogáról )

– a hozzájárulás jogalap esetén: bármely időpontban való visszavonásához való jog, illetve az arra vonatkozás tájékoztatás, hogy ez nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét,

– amennyiben a személyes adatok megadása jogszabályon alapul vagy szerződés kötésének előfeltétele, milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása.

7.4. Az adatkezelési tájékoztatónak tömörnek kell lennie. Amennyiben az adatkezelési tájékoztató terjedelmes, hosszabb dokumentum, akkor az Adatkezelőnek a tájékoztatóból készítenie kell egy rövidebb változatot. Ebben az alábbi adatokat kell feltüntetni: az Adatkezelő neve, elérhetőségei, az adatkezelés célja, jogalapja, illetve a személyes adatok tárolásának időtartamáról, érintetti jogokról, jogorvoslati lehetőségekről.

A rövidebb változatban utalni kell a teljes körű tájékoztatás elérhetőségére.

7.5. Az adatkezelési tájékoztatónak átláthatónak kell lennie. A tájékoztatót bekezdésekre kell tagolni, és ahol szükséges, felsorolást kell alkalmazni a szöveg könnyebb áttekinthetősége, olvashatósága érdekében.

7.6. Az adatkezelési tájékoztatót könnyen hozzáférhető formában kell rendelkezésre bocsátani, így elsődlegesen az Adatkezelő honlapján nyilvánosságra kell hozni. A tagokat, önkénteseket, támogatottakat érintő adatkezelési tájékoztatót a helyben szokásos és általában ismert módon közzé kell tenni, azaz ki kell függeszteni a hirdetőtáblára, valamint az egyesület működése szerinti, szokásos módon közzétenni (facebook-csoport, e-mail stb.)

ADATKEZELÉSEK

Gazdasági/gazdálkodási adatkezelések:

önkéntesekhez kapcsolódó adatkezelések:

Szerződésekhez kapcsoló adatkezelések

Számviteli kötelezettségek teljesítései

Szervezet működési-adminisztratív adatkezelései:

Pályázati adatkezelések,

Adományozáshoz kapcsolódó adatkezelések

Szerződések adatkezelései

Akciók, programok, rendezvények adatkezelései

Weboldal, közösségi médiumok (pl. Facebook) adatkezelései

Az adatkezelés általános módszerei:

Az Adatkezelő által kezelt adatok nyilvántartási módja a következő lehet:

nyomtatott irat;
elektronikus adat;
elektronikusan létrehozott, de papír alapon archivált adat;
az Adatkezelő weblapján, közösségi felületén (pl. Facebook) elhelyezett (elektronikus) adat, fénykép.

EGYES ADATKEZELÉSEK

ADOMÁNYOZÁSI TEVÉKENYSÉG ADATKEZELÉSE

Adatkezelési célok és

jogalapok

Az alábbi célokból és jogalapokon kezeljük az Érintett személyes adatait:

Önkéntes tevékenységekre, programokra való jelentkezések kezelése: szerződéses jogalap; és
e tevékenységek irányítása: jogos érdek
Adományok fogadása: szerződéses jogalap
Adományok juttatása rászorulóknak. szerződéses vagy jogos érdek jogalap
Az adomány-felhasználás megfelelőségének ellenőrzése: jogos érdek
Telefonos és mail kommunikációk / kapcsolattartási adatok/ és elektronikus hírlevél küldése és a hírlevél hatékonyság mérése: hozzájárulás
Adományozókkal és támogatókkal való kapcsolattartás: jogos érdek
Adományozási tevékenységről, rendezvényekről fotók készítés, felhasználása:

–tömegfelvételvétel esetén: jogos érdek

-egyénről készült fénykép: hozzájárulás

Alapítvány honlapjának fenntartásával és a honlap hatékonyságának mérésével és biztonságával kapcsolatos adatkezelések: jogos érdek
Jogszabályi kötelezettségeknek való megfelelés, így adó és számviteli kötelezettségek és hatósági adatszolgáltatási kötelezettségeknek való megfelelés: jogi kötelezettség

Az Adatkezelő kezeli az Érintett természetes személy adatait, ha támogatónak, adományozónak jelentkezik, adományt, támogatást nyújt az Adatkezelőnek vagy az Adatkezelőtől Adományt vesz át, illetve valamely szervezet programján, rendezvényén, akciójában vesz részt.

Az adatkezelési jogalapok:

szerződés vagy kiegészítő megállapodások (önkéntesi közreműködés, adomány nyújtása) teljesítéséhez szükséges, vagy szerződés megkötését megelőzően az Érintett kérésére történő lépések megtételéhez szükséges (GDPR 6. Cikk (1) bekezdés (b) pont; „Szerződéses Jogalap”,
a jogi kötelezettségek teljesítéséhez szükséges (GDPR 6. Cikk (1) bekezdés (c) pont; „Jogi Kötelezettség”,
valamely jogos érdek érvényesítéséhez szükséges (GDPR 6. Cikk (1) bekezdés (f) pont; „Jogos Érdek „ vagy
az Érintett hozzájárulásán alapul (GDPR 6. Cikk (1) bekezdés (a) pont; „Hozzájárulás„

WEBHASZNÁLAT

1.) Weboldal használat

Az Adatkezelő tevékenységéről, a folyamatban lévő programokról, illetve a fenntartásában lévő Szervezetekről nyújt tájékoztatást az Adatkezelő honlapja

A honlap kialakításával, az azon megjelenő információk aktualizálásával, az új hírek közzétételével az Adatkezelő http:// https://eletfacsoport.hu oldal foglalkozik.

Továbbá, a közösségi médiumok közül a Facebook oldalon: https://www.facebook.com/eletfacsoport találhatók még aktuális információk, az oldlahoz kapcsolódó zárt csoporttal együtt.

A honlapon és a közösségi oldalon észlelt pontatlanságokat, hibás adatokat – a hiba, illetve a hiányosság pontos megjelölésével – az Adatkezelő részére szükséges írásban (email) jelezni: eletfa.erd@gmail.com

Az Adatkezelő weboldala olyan linkeket is tartalmazhat, amelyek olyan oldalakra mutatnak, amelyeket nem az Adatkezelő üzemeltet, csupán a használók tájékoztatását szolgálják.

Az Adatkezelőnek ezen weboldalak tartalmára és biztonságára nincs befolyása, ezért nem is tartozik érte felelősséggel.

Az Adatkezelő weboldala a következőkben meghatározott cookie-kat használja. Az Adatkezelő ezen cookie-kat saját maga nem használja fel semmilyen módon. A használt cookie-k a felhasználó eszköze és a weboldalt létrehozó portál között kommunikálhatnak, a Szervezet számára semmilyen adatot nem továbbítanak, nem adnak át.

A portál és a segítségével létrehozott oldalak által használt cookie-k és céljaik:

feltétlenül szükséges cookie-k: Az ilyen cookie-k nélkülözhetetlenek a weboldal megfelelő működéséhez. Ezen cookie-k elfogadása nélkül a Szervezet nem tudja garantálni a weboldal elvártaknak megfelelő működését, sem pedig azt, hogy minden, a felhasználó által keresett információhoz a felhasználó hozzá fog jutni. Ezen cookie-k nem gyűjtenek be személyes adatokat az Érintettről vagy olyan adatot, amelyek marketing célokra használhatók fel. Ezen cookie-k közé tartoznak az ún. teljesítmény cookie-k, amelyek információt gyűjtenek arról, hogy a weboldal megfelelően működik-e, működésében tapasztalhatók-e hibák. Az esetleges hibák jelzésével a Szervezet segítségére vannak a weboldal tökéletesítéséhez, illetve jelzik, hogy melyek a weboldal legnépszerűbb részei.
funkcionális cookie-k: Ezek a cookie-k biztosítják a weboldal Érintett igényeire szabott következetes megjelenését, és megjegyzik az Érintett választott beállításait.
célzott cookie-k: Ezen cookie-k biztosítják azt, hogy a weboldalon megjelenő hirdetések igazodjanak az Érintett érdeklődési köréhez. A weboldalon elsősorban a szervezet által nyújtott szolgáltatásokhoz, kapcsolódó hirdetések találhatók és az Érintett számára kedvezőbb ajánlatok elérésének megkönnyítését szolgálják.
harmadik fél által biztosított cookie-k: Ezek olyan cookie-k, mely olyan harmadik fél által biztosítottak amelyek lehetővé teszik az adott tartalom megosztását vagy kedvelését, és amivel olyan információkat küld a harmadik fél számára, amiket az később arra használhat fel, hogy más weboldalakon is hirdetéseket jelenítsen meg az Érintett számára.

A cookie segít a weboldal ergonómia kialakításának javításában, felhasználóbarát weboldal kialakításában, a látogatók online élményének fokozásában.

KÖZÉRDEKŰ, KÖZÉRDEKBŐL NYILVÁNOS ADATOK

Adatkezelő közfeladatot lát el, ezért köteles a közfeladat ellátásával összefüggő közérdekű és közérdekből nyilvános adatainak közzétételére.

A közérdekű adatok megismerésének általános szabályai

Az Adatkezelőnek (továbbiakban: e fejezetben: Szervezetnek), mint közfeladatot ellátó szervnek lehetővé kell tennie, hogy a kezelésében lévő közérdekű adatot és közérdekből nyilvános adatot – az Info tv-ben meghatározott kivételekkel – erre irányuló igény alapján bárki megismerhesse.

Közérdekből nyilvános adatok

Jogalapja

Közzététel

Adatkezelő feladat- és hatáskörében eljáró személy neve, feladatköre, munkaköre, vezetői megbízása, a közfeladat ellátásával összefüggő egyéb személyes adata, valamint azok a személyes adatai, amelyek megismerhetőségét törvény előírja.

jogszabály:

2011. évi CXII. törvény

az információs önrendelkezési jogról és az információszabadságról ( Info tv) (II-IV. fejezet , I. sz. melléklet)

honlapon

Info tv. 1. sz. melléklete és a közfeladatot ellátó személy jogállására vonatkozó külön törvény rendelkezései irányadóak.

A közérdekből nyilvános személyes adatok a célhoz kötött adatkezelés elvének tiszteletben tartásával terjeszthetőek. A közérdekből nyilvános személyes adatok honlapon történő közzétételére az Info tv. 1. melléklete és a közfeladatot ellátó személy jogállására vonatkozó külön törvény rendelkezései irányadóak.

Ha törvény másképp nem rendelkezik, közérdekből nyilvános adat a jogszabály vagy állami, illetőleg helyi önkormányzati szervvel kötött szerződés alapján kötelezően igénybe veendő vagy más módon ki nem elégíthető szolgáltatást nyújtó szervek vagy személyek kezelésében lévő, e tevékenységükre vonatkozó, személyes adatnak nem minősülő adat.

A közérdekű vagy közérdekből nyilvános adat nem ismerhető meg, ha az a minősített adat védelméről szóló 2009. évi CLV. törvény szerint minősített adat.

Ezen adatok megismerését – az adat megismeréséhez és a megismerhetőség kizárásához fűződő közérdek súlyának mérlegelésével – az egyesületi elnökség engedélyezheti.

A döntés megalapozását szolgáló adat megismeréséhez irányuló igény – tíz éven belül – a döntés meghozatalát követően akkor utasítható el, ha az adat további jövőbeli döntés megalapozását is szolgálja vagy az adat megismerése a Szervezet törvényes működési rendjét vagy feladat- és hatáskörének illetéktelen külső befolyástól mentes ellátását, így különösen az adatot keletkeztető álláspontjának a döntések elkészítése során történő szabad kifejtését veszélyeztetné.

A közérdekű adat megismerésére szóban, írásban vagy elektronikus úton bárki igényt nyújthat be. A közérdekből nyilvános adatok megismerésére a közérdekű adatok megismerésére vonatkozó rendelkezéseket kell alkalmazni.

Ha törvény másként nem rendelkezik, az adatigénylő személyes adatai csak annyiban kezelhetők, amennyiben az igény teljesítéséhez és az igény teljesítéséért megállapított költségtérítés megfizetéséhez szükséges. Az igény teljesítését követő 1 év elteltét, illetve a költségek megfizetését követően az igénylő személyes adatait haladéktalanul törölni kell.

Ha az adatigénylés nem egyértelmű, a Szervezet felhívja az igénylőt az igény pontosítására.

A közérdekű adat megismerésére irányuló igénynek a Szervezet az igény beérkezését követő legrövidebb idő alatt, legfeljebb azonban 15 napon belül tesz eleget.

Az adatigénylésnek a Szervezet nem köteles eleget tenni abban a részben, amelyben az azonos igénylő által egy éven belül benyújtott, azonos adatkörre irányuló adatigényléssel megegyezik, feltéve, hogy az azonos adatkörbe tartozó adatokban változás nem állt be.

Az adatigénylésnek a Szervezet nem köteles eleget tenni, ha az igénylő nem adja meg nevét, nem természetes személy igénylő esetén megnevezését, valamint azt az elérhetőséget, amelyen számára az adatigényléssel kapcsolatos bármely tájékoztatás és értesítés megadható.

Ha az adatigénylés jelentős terjedelmű, illetve nagyszámú adatra vonatkozik, vagy az adatigénylés teljesítése a Szervezet alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár, a 15 napos határidő egy alkalommal 15 nappal meghosszabbítható. Erről az igénylőt az igény kézhezvételét követő 15 napon belül tájékoztatni kell.

Az adatokat tartalmazó dokumentumról vagy dokumentumrészről, annak tárolási módjától függetlenül az igénylő másolatot kaphat.

A Szervezet az adatigénylés teljesítéséért – az azzal kapcsolatban felmerült költség mértékéig terjedően – költségtérítést állapít meg, amelyről az igénylőt az igény teljesítését megelőzően tájékoztatni kell.

Az igénylő a fentiek alapján kapott tájékoztatás kézhezvételét követő 30 napon belül nyilatkozik arról, hogy az igénylését fenntartja-e. A tájékoztatás megtételétől az igénylő nyilatkozatának a Szervezethez való beérkezéséig terjedő időtartam az adatigénylés teljesítésére rendelkezésre álló határidőbe nem számít bele. Ha az igénylő az igényét fenntartja, a költségtérítést a Szervezet által megállapított, legalább 15 napos határidőben köteles a Szervezet részére megfizetni.

Ha az adatigénylés teljesítése a Szervezet alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár, vagy az a dokumentum vagy dokumentumrész, amelyről az igénylő másolatot igényelt, jelentős terjedelmű, illetve a költségtérítés mértéke meghaladja a kormányrendeletben meghatározott összeget, az adatigénylést a költségtérítésnek az igénylő általi megfizetését követő 15 napon belül kell teljesíteni. Arról, hogy az adatigénylés teljesítése a Szervezet alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár, illetve a másolatként igényelt dokumentum vagy dokumentumrész jelentős terjedelmű, továbbá a költségtérítés mértékéről, valamint az adatigénylés teljesítésének a másolatkészítést nem igénylő lehetőségeiről az igénylőt az igény beérkezését követő 15 napon belül tájékoztatni kell.

A költségtérítés mértékének meghatározása során az alábbi költségelemek vehetők figyelembe:

az igényelt adatokat tartalmazó adathordozó költsége,
az igényelt adatokat tartalmazó adathordozó az igénylő részére történő kézbesítésének költsége, valamint
ha az adatigénylés teljesítése a Szervezet alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár, az adatigénylés teljesítésével összefüggő munkaerő-ráfordítás költsége.

Ha a közérdekű adatot tartalmazó dokumentum az igénylő által meg nem ismerhető adatot is tartalmaz, a másolaton a meg nem ismerhető adatot felismerhetetlenné kell tenni.

Az adatigénylésnek közérthető formában és – amennyiben ezt a Szervezet aránytalan nehézség nélkül teljesíteni képes – az igénylő által kívánt formában, illetve módon kell eleget tenni. Ha a kért adatot korábban már elektronikus formában nyilvánosságra hozták, az igény teljesíthető az adatot tartalmazó nyilvános forrás megjelölésével is. Az adatigénylést nem lehet elutasítani arra való hivatkozással, hogy annak közérthető formában nem lehet eleget tenni.

Az igény teljesítésének megtagadásáról, annak indokaival, valamint az igénylőt az Info tv. alapján megillető jogorvoslati lehetőségekről való tájékoztatással együtt, az igény beérkezését követő 15 napon belül írásban vagy – ha az igényben elektronikus levelezési címét közölte – elektronikus levélben értesíteni kell az igénylőt. Az elutasított kérelmekről, valamint az elutasítások indokairól a Szervezet nyilvántartást vezet, és az abban foglaltakról minden évben január 31. napjáig tájékoztatja a Nemzeti Adatvédelmi és Információszabadság Hatóságot.

A közérdekű adat megismerése iránti igény teljesítése nem tagadható meg azért, mert a nem magyar anyanyelvű igénylő az igényét anyanyelvén vagy az általa értett más nyelven fogalmazza meg.

Ha a közérdekű adat megismerése iránti igény teljesítésének megtagadása tekintetében törvény a Szervezet mérlegelését teszi lehetővé, a megtagadás alapját szűken kell értelmezni, és a közérdekű adat megismerésére irányuló igény teljesítése kizárólag abban az esetben tagadható meg, ha a megtagadás alapjául szolgáló közérdek nagyobb súlyú a közérdekű adat megismerésére irányuló igény teljesítéséhez fűződő közérdeknél.

2.) A közérdekű adatok megismerése iránti igény Szervezet általi teljesítési rendje

A Szervezet felé közérdekű adat vagy közérdekből nyilvános adat (a továbbiakban együtt: közérdekű adat) megismerése iránti igényt szóban, írásban vagy elektronikus úton bárki benyújthat a honlapon közzétételre kerülő tájékoztatóban foglaltak szerint a következő elérhetőségek valamelyikén:

E-mail: eletfa.erd@gmail.com

Telefon: + 36 70 392 7527 (adatvédelmi tisztségviselő)

Amennyiben a Szervezet közérdekű adat megismerése iránti igény teljesítésére vonatkozó megkeresést kap, köteles a közérdekű adatszolgáltatási igénynek a beérkezését követő legrövidebb idő alatt, legfeljebb azonban 15 napon belül eleget tenni vagy indokolt esetben az adatigénylést elutasítani.

A Szervezet az igény kézhezvételét követően megvizsgálja a beérkező igényt, és dönt arról, hogy:

a megkeresés közérdekű adatigénylésnek minősül-e, valamint
az igény teljesítésének, vagy a teljesítés korlátozásának van-e jogszabályi vagy egyéb akadálya.

Az adatigénylésnek a Szervezet nem köteles eleget tenni:

ha közérdekből nyilvános adatnak nem minősülő személyes adatokra vonatkozik;
ha a minősített adat védelméről szóló törvény szerinti minősített adatokra vonatkozik;
ha döntés megalapozását szolgáló adatra vonatkozik;
ha nem áll rendelkezésre az adott adat;
abban az esetben, ha az azonos adatigénylő által egy éven belül benyújtott, azonos adatkörre irányuló adatigényléssel megegyezik, feltéve, hogy az azonos adatkörbe tartozó adatokban változás nem állt be;
ha az adatigénylő nem adja meg nevét, nem természetes személy adatigénylő esetén megnevezését, valamint azt az elérhetőséget, amelyen számára az adatigényléssel kapcsolatos bármely tájékoztatás és értesítés megadható;
ha a jelentős terjedelmű adatszolgáltatás teljesítésére megállapított költségtérítés összegéről szóló tájékoztatást követően az adatigénylő nem, vagy nem határidőben nyilatkozik, valamint, ha azt az adatigénylő határidőben nem fizeti meg.

Az adatszolgáltatás korlátozható:

az Info tv.-ben meghatározott érdekből (honvédelmi, nemzetbiztonsági, környezet vagy természetvédelmi, központi pénzügyi vagy devizapolitikai érdekből, bűncselekmények üldözése vagy megelőzése érdekében, külügyi kapcsolatokra, nemzetközi szervezetekkel való kapcsolatokra, bírósági vagy közigazgatási hatósági eljárásra tekintettel);
ha olyan adatokhoz – így különösen a védett ismerethez – való hozzáférést eredményez, amelyek megismerése az üzleti tevékenység végzése szempontjából aránytalan sérelmet okozna az Intézménnyel szerződéses jogviszonyban álló szerveknek, személyeknek;
az Európai Unió jelentős pénzügyi- vagy gazdaságpolitikai érdekére tekintettel;
a Szervezet azon alkalmazottainak adatai tekintetében, akiknek tevékenysége nem kapcsolódik közvetlenül a Szervezet közfeladatainak ellátásához;
amennyiben az adatigénylő felhívás ellenére nem pontosítja adatigényét.

A kérelem fenti vizsgálatát követően a Szervezet bármely szervezeti egységének feladat- és hatáskörébe tartozó közérdekű adatigények teljesítése érdekében a kérelem kézhezvételét követő lehető legrövidebb időn belül jogi álláspontjával és a teljesítésre meghatározott határidő közlésével együtt megküldi az adatigénylést az adatigényléssel érintett szervezeti egység részére.

Az adatigénylés teljesítésével érintett szervezeti egység megvizsgálja az adatigénylést, és az alábbi esetekben haladéktalanul tájékoztatja a Szervezet vezetőjét:

az adatigénylés nem egyértelmű, annak pontosítása szükséges;
az adatigénylés jelentős terjedelmű, illetve nagyszámú adatra vonatkozik;
az adatigénylés teljesítése a szervezeti egység alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár, ezáltal a teljesítéshez a határidő hosszabbítása szükséges,
az adatigénylés teljesítésére költségtérítés megállapítása szükséges, a költségtérítés mértékének közlésével,
az adatigénylés jelentős terjedelmű, illetve nagyszámú adatra vonatkozik, vagy az adatigénylés teljesítése a szervezeti egység alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár, ezáltal felmerülnek az adatigénylés teljesítésének a másolatkészítést nem igénylő lehetőségei, az egyéb lehetőségek közlésével;
az adatigénylés nem teljesíthető, annak indokai közlésével;
az adatigénylés teljesítésével kapcsolatban további jogi állásfoglalás szükséges.

Amennyiben nem merül fel az adatigénylés teljesítésével kapcsolatos akadály, Szervezet a jogszabályban előírt határidőben köteles teljesíteni.

Teljesítésnek az minősül, amikor az adatszolgáltatás, az adatszolgáltatással érintett szervezeti egység vezetőjének teljességi nyilatkozatával együttesen, igazoltan kézbesítésre kerül.

3.) A közérdekű adatok közzétételének általános szabályai

Az Info tv. meghatározza, hogy a közfeladatot ellátó szerv a feladatkörébe tartozó ügyekben köteles elősegíteni és biztosítani a közvélemény pontos és gyors tájékoztatását.

Az Info tv. alapján kötelezően közzéteendő közérdekű adatokat internetes honlapon, digitális formában, bárki számára, személyazonosítás nélkül, korlátozástól mentesen, kinyomtatható és részleteiben is adatvesztés és torzulás nélkül kimásolható módon, a betekintés, a letöltés, a nyomtatás, a kimásolás és a hálózati adatvitel szempontjából is díjmentesen kell hozzáférhetővé tenni. A közzétett adatok megismerése személyes adatok közléséhez nem köthető.

A Szervezet elektronikus közzétételi kötelezettségének saját központi honlapján – eselyterfenntarto.hu – való közzététellel tesz eleget.

A Szervezet a közzétételre szolgáló honlapot úgy alakítja ki, hogy az adatok közzétételére alkalmas legyen, gondoskodik a folyamatos üzemeltetésről, az esetleges üzemzavar elhárításáról és az adatok frissítéséről.

A közzétételre szolgáló honlapon közérthető formában tájékoztatást kell adni a közérdekű adatok egyedi igénylésének szabályairól. A tájékoztatásnak tartalmaznia kell az igénybe vehető jogorvoslati lehetőségek ismertetését is.

A közzétételre szolgáló honlapon a közzétételi listákon meghatározott közérdekű adatokon kívül elektronikusan közzétehetőek más közérdekű és közérdekből nyilvános adatok is.

A Szervezet vezetője gondoskodik az Info tv.-ben meghatározott közzétételi listákon szereplő adatok pontos, naprakész és folyamatos közzétételéről.

A megküldött adatok elektronikus közzétételéért, folyamatos hozzáférhetőségéért, hitelességéért és az adatok frissítésért a Szervezet felel.

Az elektronikusan közzétett adatok – ha törvény vagy más jogszabály eltérően nem rendelkezik – a honlapról nem távolíthatóak el. A Szervezet megszűnése esetén a közzététel kötelezettsége a Szervezet jogutódját terheli.

A Szervezet tevékenységéhez kapcsolódóan az Info tv. 1. melléklete szerinti általános közzétételi listában meghatározott adatokat az 1. mellékletben foglaltak szerint közzéteszik.

Jogszabály egyes ágazatokra, a közfeladatot ellátó szervtípusra vonatkozóan meghatározhat egyéb közzéteendő adatokat (a továbbiakban: különös közzétételi lista).

A Szervezet vezetője, valamint jogszabály a közfeladatot ellátó szervre, azok irányítása, felügyelete alá tartozó szervekre vagy azok egy részére kiterjedő hatállyal további kötelezően közzéteendő adatkört határozhat meg (a továbbiakban: egyedi közzétételi lista).

A Szervezet vezetője a közzétételi listában nem szereplő közérdekű adatokra vonatkozó adatigénylések adatai alapján legalább évente felülvizsgálja az általa kiadott közzétételi listát, és a jelentős arányban vagy mennyiségben felmerült adatigénylések alapján azt kiegészíti.

A közzétételi listában – a közzéteendő adat jellegétől függően – a közzététel gyakorisága is megállapítható.

A közérdekű adatok elektronikus közzétételére, az egységes közadatkereső rendszere, valamint a központi jegyzék adattartamára, az adatintegrációra vonatkozó részletes szabályokról szóló 305/2005. (XII. 25.) Kormányrendeletnek (a továbbiakban: 305/2005. Kormányrendelet) megfelelően a Szervezet közzétételi kötelezettségét olyan módon teljesíti, amely biztosítja a közzétételre szolgáló honlapnak a Szervezet belső hálózati rendszerétől való függetlenségét.

A Szervezet közzétételi kötelezettségét olyan módon teljesíti, amely biztosítja a közzétételre szolgáló honlapnak a Szervezet belső hálózati rendszerétől való függetlenségét.

A közzétételre szolgáló honlap elérhetetlenségét okozó bármely üzemzavar esetén a Szervezet köteles munkaidőben az üzemzavar elhárítását haladéktalanul megkezdeni.

A közzétételre szolgáló honlapot úgy kell kialakítani, hogy az a széles körben elterjedt, valamint a vakok és gyengénlátók által széles körben használt eszközökkel is olvasható legyen.

A Szervezet a honlapon az egységes közadatkereső rendszerre mutató hivatkozást köteles elhelyezni.

Az Info. tv. vagy más jogszabály alapján a Szervezet honlapján közzéteendő közérdekű adatokat és közérdekből nyilvános adatokat a Szervezet honlapjának nyitólapjáról közvetlenül, a „Közérdekű adatok” hivatkozás alatt elérhető oldalon kell közzétenni.

A közzétett adatokat védeni kell a jogosulatlan megváltoztatás, törlés, megsemmisülés és sérülés ellen.

Amennyiben az adatok ismételt előállítása és közzététele más módon nem, vagy csak aránytalan költségekkel lenne biztosítható, a jogosulatlan megváltoztatás, törlés, megsemmisülés vagy sérülés esetére a közzétett adatokról biztonsági másolatot kell készíteni. Megsemmisülés, sérülés vagy jogosulatlan megváltoztatás, törlés esetén az adatfelelős köteles együttműködni az adatközlővel a helyreállításban, és az adatokat szükség esetén újra átadni.

A Szervezetnek az adat közzétételével, helyesbítésével, frissítésével vagy eltávolításával kapcsolatban naplóznia kell az esemény bekövetkeztének dátumát és időpontját, valamint az esemény kiváltásában közreműködő felhasználó nevét.

A naplózott adatállományt védeni kell a megsemmisítéstől, az illetéktelen személy általi módosítástól, az egyes bejegyzések törlésétől vagy a bejegyzések sorrendjének megváltoztatásától, illetve biztosítani kell, hogy a napló tartalmához csak arra feljogosított személyek férhessenek hozzá. A naplóról rendszeresen biztonsági másolatot kell készíteni.

A közérdekű adatok közzétételének Szervezet általi teljesítési rendje

Az adatközlő a közzéteendő adatok vonatkozásában:

biztosítja a szolgáltatott közzéteendő adatok teljeskörűségét és valóságnak megfelelő tartalmát;
a jogszabályban meghatározott keretek között kialakítja a honlap adatstruktúráját és formáját;
gondoskodik a közzéteendő adatok folyamatos hozzáférhetőségéről;
biztosítja, hogy a közzétett adatok megegyezzenek a közzétételre átadott adatokkal;
rendszeresen felülvizsgálja, frissíti a közzétett adatok körét;
a tévesen vagy pontatlanul közzétett adatok helyesbítését, kicserélését a hiba tudomására jutását követően azonnal kezdeményezi;
gondoskodik a közzéteendő adat előző állapotának archiválásáról abban az esetben, ahol ezt a jogszabály előírja;
gondoskodik a kezelésében lévő, közérdekű adatot tartalmazó honlapok, adatbázisok, illetve nyilvántartások rendszeres frissítéséről.

A közérdekű adatokat a következő séma, frissítés és megőrzés szerint kell közzétenni a Szervezet honlapján (Info tv. 1. melléklet):

Szervezeti, személyzeti adatok
- A Szervezet hivatalos neve, székhelye, telefon- és elektronikus levélcíme, honlapja, közösségi oldalának elérhetőségei. A változásokat követően azonnal. Az előző állapot törlendő.
- A Szervezet szervezeti felépítése szervezeti egységek megjelölésével, az egyes szervezeti egységek feladatai. A változásokat követően azonnal. Az előző állapot törlendő.
- A Szervezet vezetőinek és az egyes szervezeti egységek vezetőinek neve, beosztása, elérhetősége (telefon- és elektronikus levélcíme). A változásokat követően azonnal. Az előző állapot törlendő.
- A Szervezeten belül illetékes ügyfélkapcsolati vezető neve, elérhetősége (telefon- és elektronikus levélcíme) és az ügyfélfogadási rend. A változásokat követően azonnal. Az előző állapot törlendő.

Tevékenységre, működésre vonatkozó adatok

A Szervezet feladatát, hatáskörét és alaptevékenységét meghatározó, a Szervezetre vonatkozó alapvető jogszabályok, közjogi szervezetszabályozó eszközök, valamint a szervezeti és működési szabályzat vagy ügyrend, az adatvédelmi és adatbiztonsági szabályzat hatályos és teljes szövege. A változásokat követően azonnal. Az előző állapot 1 évig archívumban tárolandó.
A Szervezet által nyújtott vagy költségvetéséből finanszírozott közszolgáltatások megnevezése, tartalma, a közszolgáltatások igénybevételének rendje, a közszolgáltatásért fizetendő díj mértéke, az abból adott kedvezmények. A változásokat követően azonnal. Az előző állapot 1 évig archívumban tárolandó.
A Szervezet által fenntartott adatbázisok, illetve nyilvántartások leíró adatai (név, formátum, az adatkezelés célja, jogalapja, időtartama, az érintettek köre, az adatok forrása, kérdőíves adatfelvétel esetén a kitöltendő kérdőív), az adatvédelmi nyilvántartásba bejelentendő nyilvántartásoknak az Info tv. szerinti azonosító adatai; a Szervezet által – alaptevékenysége keretében – gyűjtött és feldolgozott adatok fajtái, a hozzáférés módja, a másolatkészítés költségei. A változásokat követően azonnal. Az előző állapot 1 évig archívumban tárolandó.
A Szervezet által közzétett hirdetmények, közlemények. Folyamatosan. Az előző állapot 1 évig archívumban tárolandó.
A Szervezetnél végzett alaptevékenységgel kapcsolatos vizsgálatok, ellenőrzések nyilvános megállapításai. A vizsgálatról szóló jelentés megismerését követően haladéktalanul. Az előző állapot 1 évig archívumban tárolandó.
A közérdekű adatok megismerésére irányuló igények intézésének rendje, az illetékes szervezeti egység neve, elérhetősége, s ahol kijelölésre kerül, az adatvédelmi felelős, vagy az információs jogokkal foglalkozó személy neve. Negyedévente. Az előző állapot törlendő.
A Szervezet tevékenységére vonatkozó, jogszabályon alapuló statisztikai adatgyűjtés eredményei, időbeli változásuk. Negyedévente. Az előző állapot 1 évig archívumban tárolandó.
A közérdekű adatokkal kapcsolatos kötelező statisztikai adatszolgáltatás Szervezetre vonatkozó adatai. Negyedévente. Az előző állapot 1 évig archívumban tárolandó.
A Szervezetre vonatkozó különös és egyedi közzétételi lista. A változásokat követően azonnal. Az előző állapot törlendő.

Gazdálkodási adatok

A Szervezet éves költségvetése, számviteli törvény szerint beszámolója vagy éves költségvetés beszámolója. A változásokat követően azonnal. A közzétételt követő 10 évig.
Az államháztartás pénzeszközei felhasználásával, az államháztartáshoz tartozó vagyonnal történő gazdálkodással összefüggő, ötmillió forintot elérő vagy azt meghaladó értékű árubeszerzésre, építési beruházásra, szolgáltatás megrendelésre, vagyonértékesítésre, vagyonhasznosításra, vagyon vagy vagyoni értékű jog átadására, valamint koncesszióba adásra vonatkozó szerződések megnevezése (típusa), tárgya, a szerződést kötő felek neve, a szerződés értéke, határozott időre kötött szerződés esetében annak időtartama, valamint az említett adatok változásai, a védelmi és biztonsági célú beszerzések adatai és a minősített adatok, továbbá a közbeszerzésekről szóló 2015. évi CXLIII. törvény 9. § (1) bekezdés b) pontja szerinti beszerzések és az azok eredményeként kötött szerződések adatai kivételével.

A szerződés értéke alatt a szerződés tárgyáért kikötött – általános forgalmi adó nélkül számított – ellenszolgáltatást kell érteni, ingyenes ügylet esetén a vagyon piaci vagy könyv szerinti értéke közül a magasabb összeget kell figyelembe venni. Az időszakonként visszatérő – egy évnél hosszabb időtartamra kötött – szerződéseknél az érték kiszámításakor az ellenszolgáltatás egy évre számított összegét kell alapul venni. Az egy költségvetési évben ugyanazon szerződő féllel kötött azonos tárgyú szerződések értékét egybe kell számítani. A döntés meghozatalát követő hatvanadik napig. A közzétételt követő 5 évig.

A koncesszióról szóló törvényben meghatározott nyilvános adatok (pályázati kiírások, pályázók adatai, az elbírálásról készített emlékeztetők, pályázat eredménye). Negyedévente. A külön jogszabályban meghatározott ideig, de legalább 1 évig archívumban tartásával.
A Szervezet által nem alapfeladatai ellátására fordított, ötmillió forintot meghaladó kifizetések. Negyedévente. A külön jogszabályban meghatározott ideig, de legalább 1 évig archívumban tartásával.
Az Európai Unió támogatásával megvalósuló fejlesztések leírása, az azokra vonatkozó szerződések. Negyedévente. Legalább 1 évig archívumban tartandó.
Közbeszerzési információk (éves terv, összegzés az ajánlatok elbírálásáról, a megkötött szerződésekről). Negyedévente. Legalább 1 évig archívumban tartandó.

A közzététellel, helyesbítéssel, frissítéssel és eltávolítással kapcsolatos feladatok előkészítéséért az ezen feladatok elvégzésével megbízott személy a felelős. Az jelen Szabályzatban foglaltak szerint előkészített dokumentumokat a Szervezet vezetője jóváhagyja és megküldi a Szervezet informatikai megbízottjának. A Szervezet informatikai mgbízottja a Szervezet vezetője által jóváhagyott dokumentumokat a jelen Szabályzatban foglaltak szerint informatikai szempontból megvizsgálja és a Jelen Szabályzat előírásainak megfelelően közzéteszi a Szervezet honlapján.

Közös adatkezelés

Amennyiben az Adatkezelő másik adatkezelővel közösen végzi az adatkezelést, akkor két adatkezelőnek közös adatkezelési megállapodást kell megkötnie.

Adatkezelési nyilvántartás vezetése

Az Adatkezelőnek által végzett adatkezelésekben bekövetkező változásokat az adatkezelési nyilvántartásban úgy kell rögzíteni, hogy a korábban végzett adatkezelés valamennyi körülménye megmaradjon.

ADATFELDOLGOZÁS

Adattovábbítás:

Adatkezelő személyes adatot csak akkor továbbít, ha annak jogalapja egyértelmű, célja, és az adattovábbítás címzettjének a személye meghatározott.

Adattovábbításra az Érintett érdekeinek sérelme nélkül, bizalmasan, az ennek teljes mértékben megfelelő informatikai rendszer biztosítása mellett kerül sor az adatkezelés céljának, jogalapjának s elveinek betartása mellett.

Az adattovábbításról az Érintettet tájékoztatni kell.

Adatfeldolgozás:

Az adatkezelő végez más adatkezelő, fenntartotti Szervezetek részére adatfeldolgozást számviteli feladatokra.
Az adatkezelő is vesz igénybe adatfeldolgozókat működése, tevékenységei ellátása során a jelen szabályzatban megjelöltek szerint.

1.A Szervezet az alábbi adatfeldolgozási tevékenységeket végzi:

Számviteli, könyvvizsgálói, adószakértői tevékenység, adománykezelési, önkéntes-nyilvántartási, tagnyilvántartási adatok

Adatkezelői vagy adatfeldolgozói minőségének megítélése legfőképpen attól függ, hogy az adatkezelést érintő érdemi döntéseket a fenntartó vagy a Szervezet hozza-e meg, de nem szükséges, hogy valamennyi érdemi döntést egy adatkezelő hozzon meg.

Adatfeldolgozói garancianyújtás

Az Adatfeldolgozó garantálja – különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében –, hogy az adatvédelmi követelmények teljesülését biztosító technikai és szervezési intézkedéseket végrehajtja, ideértve az adatkezelés biztonságát is.

Az Adatfeldolgozó tevékenysége során biztosítja, hogy az érintett személyes adatokhoz való hozzáférésre feljogosított személyek – ha jogszabályon alapuló megfelelő titoktartási kötelezettség hatálya alatt egyébként nem állnak – az általuk megismert személyes adatok vonatkozásában titoktartási kötelezettséget vállaljanak.

Az Adatfeldolgozó megfelelő hardver és szoftver eszközökkel rendelkezik, az adatkezelés jogszerűségének és az Érintettek jogai védelmének biztosítására alkalmas műszaki és szervezési intézkedések végrehajtására kötelezettséget vállal.

ADATBIZTONSÁGI INTÉZKEDÉSEK

Információbiztonsági szabályozás az adatbiztonsági alapelvek alkalmazásának módjairól és feltételeiről

Bevezetés

Az Adatkezelő gondoskodik az adatok biztonságáról. Ennek érdekében megteszi a szükséges adminisztratív, fizikai, logikai technikai és szervezési intézkedéseket mind a papíralapon, mind az informatikaieszközök útján tárolt adatállományok tekintetében.

Az Adatkezelő valamennyi célú és jogalapú adatkezelése vonatkozásában a személyes adatok biztonsága érdekében megteszi azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek a Rendelet és az Info tv., érvényre juttatásához szükségesek.

Az Adatkezelő az adatokat megfelelő intézkedésekkel védi a véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés, jogosulatlan nyilvánosságra hozatal vagy az azokhoz való jogosulatlan hozzáférés ellen.

Az Adatkezelő a személyes adatokat bizalmas adatként minősíti és kezeli. A személyes adatok kezelését végzőkre vonatkozóan titoktartási kötelezettséget ír elő.

A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az Adatkezelőnek, az Adatfeldolgozónak, az informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik.

A személyes adatok automatizált feldolgozása során az Adatkezelő és az Adatfeldolgozó további intézkedésekkel biztosítja:

a jogosulatlan adatbevitel megakadályozását;
az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

A folyamatban levő munkavégzés, feldolgozás alatt levő iratokhoz csak az illetékes ügyintézők férhetnek hozzá, a személyzeti, a bér- és munkaügyi és egyéb személyes adatokat tartalmazó iratokat biztonságosan elzárva kell tartani.

Biztosítani kell az adatok és az azokat hordozó eszközök, iratok megfelelő fizikai védelmét.

A manuális kezelésű személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani:

tűz- és vagyonvédelem: Az irattári kezelésbe vett iratokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben kell elhelyezni.
hozzáférés-védelem: A folyamatos aktív kezelésben lévő iratokhoz csak az illetékes ügyintézők férhetnek hozzá. Az érzékeny, különleges adatokat, valamint a bér- és munkaügyi iratokat különálló, zárható helyiségben, zárható iratszekrényekben kell őrizni.
archiválás: Az adatkezelések iratainak archiválását évente egyszer el kell végezni. Az archivált iratokat a Szervezet iratkezelési és selejtezési szabályzatának, valamint az irattári terveknek megfelelően kell szétválogatni és irattári kezelésbe venni.

A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében, különösen az alábbi intézkedéseket kell foganatosítani:

biztonsági mentés: A személyes adatokat tartalmazó adatbázisok aktív adataiból rendszeresen – legalább évente egyszer − kell külön adathordozóra biztonsági mentést készíteni. A biztonsági mentést tartalmazó adathordozót tűzbiztos fémkazettában kell őrizni.
archiválás: A személyes adatokat tartalmazó adatbázisok passzív hányadát − a további kezelést már nem igénylő, változatlanul maradó adatokat − el kell választani az aktív résztől, majd a passzív adatokat időtálló adathordozón kell rögzíteni. Az adatkezelések archiválását évente egyszer kell elvégezni. Az archivált adatokat tartalmazó adathordozót tűzbiztos fémkazettában kell őrizni.
tűzvédelem: Az adatokat és adatbázisokat tűzvédelmi és vagyonvédelmi berendezésekkel ellátott helyiségben kell elhelyezni.
vírusvédelem: A személyes adatokat kezelő ügyintézők, asztali számítógépein gondoskodni kell a vírusmentesítésről.
hozzáférés-védelem: Az adathozzáféréshez csak érvényes, személyre szóló, azonosítható jogosultsággal − legalább felhasználói névvel és jelszóval − lehet hozzáférni. Hálózati erőforrásokhoz csak érvényes felhasználói névvel és jelszóval lehet hozzáférni. A jelszavak cseréjéről rendszeresen gondoskodni kell.
hálózati védelem: A mindenkor rendelkezésre álló számítástechnikai eszközök felhasználásával meg kell akadályozni, hogy az adatokat tároló, hálózaton keresztül elérhető szerverekhez illetéktelen személy hozzáférjen.

ADATVÉDELMI INCIDENSEK KEZELÉSE

Az adatvédelmi incidens fogalma

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között személyes adataik feletti rendelkezés elvesztését vagy jogaik korlátozását, hátrányos megkülönböztetést, személyazonosság lopást vagy személyazonossággal való visszaélést, pénzügyi veszteséget, jó hírnév sérelmét, szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.

A leggyakoribb jelentett incidensek lehetnek például: a laptop vagy mobil telefon elvesztése, személyes adatok nem biztonságos tárolása); adatok nem biztonságos továbbítása, szerver elleni támadások, honlap feltörése. stb.

Adatvédelmi incidensek kezelés, orvoslása, eljárási rend

Az Adatkezelő tagjai, önkéntesei, támogatottjai, partnerei és az adatfeldolgozók kötelesek haladéktalanul jelenteni az adatkezelő elnökének vagy adatvédelmi tisztviselőjének, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek.

Az Adatkezelő ügyvezetője a jelentést követően azonnali vizsgálatot kezdeményez annak megállapítására, hogy történt-e adatvédelmi incidens és ha igen, milyen intézkedések szükségesek (megelőző vizsgálat). A megelőző vizsgálat hossza és bonyolultsága az adott incidens körülményeitől függ. Pl. egy rossz email címre küldött levél esetén, ha a címzett visszajelez, hogy rossz email címre küldték, azonnal ellenőrizhető az incidens ténye és körülményei. Más esetekben hosszabb vizsgálatra is szükség lehet. Az ügyvezető gondoskodik egy rövid vizsgálat keretében arról, hogy az adott hiba okán valóban incidens történt –e, azonosítania kell az incidenst, el kell dönteni, hogy valódi incidensről, vagy téves riasztásról van szó.

Tudomásszerzésnek az tekinthető, amikor az adatkezelő ésszerű mértékű bizonyossággal rendelkezik arról, hogy olyan biztonsági esemény történt, amely személyes adatokkal kapcsolatos jogellenes műveletekhez vezethet.

Az esemény, a körülmények kivizsgálásáról és az incidens osztályozásáról – az adatvédelmi tisztviselő, szükség esetén informatikai szakember bevonásával – vizsgálat keretében dönt:

Meg kell állapítania, hogy adatfeldolgozói vagy adatkezelői minőségben járt el bejelentett esemény kapcsán:

adatfeldolgozóként: haladéktalanul intézkedni kell az adatkezelő értesítéséről.
adatkezelőként:

Meg kell állapítani:

Incidens vagy sem:

–Ha nem: nyilvántartásba veszi

–Ha igen: a vizsgálatot tovább folytatja:

adatvédelmi incidens vagy sem:

–Ha igen: A tudomásszerzéstől számított 72 órán belül az ügyvezető gondoskodik a NAIH fele történő bejelentésről

–Ha nem : nyilvántartásba veszi

az érintett(ek)re nézve magas kockázatú adatvédelmi incidens-e.

-ha igen: értesíti a lenti eljárás szerint az Érintett(ek)et

A vizsgálatot a jelentéstől számított 72 órán belül be kell fejezni, ha eddig az időpontig nem tudott az adatkezelő kellő bizonyosságot szerezni az incidensről. Ebben az esetben érdemes vélelmezni az incidens bekövetkeztét és meg kell kezdeni az incidens bejelentését és kezelését.

Az adatvédelmi incidens bejelentés bármikor visszavonható, amennyiben a további vizsgálat során az adatkezelő arra a következtetésre jut, hogy nem történt adatvédelmi incidens.

Adatvédelmi incidens bekövetkezése esetén az érintett rendszereket, személyeket, adatokat be kell határolni és el kell különíteni és gondoskodni kell az incidens bekövetkezését alátámasztó bizonyítékok begyűjtéséről és megőrzéséről. Ezt követően lehet megkezdeni a károk helyreállítását és a jogszerű működés visszaállítását.

Adatvédelmi incidens Adatkezelő fele történő bejelentése esetén meg kell vizsgálni és meg kell állapítani:

az incidens bekövetkezésének időpontját és helyét;
az incidens leírását, körülményeit, hatásait;
az incidens során kompromittálódott adatok körét, számosságát;
a kompromittálódott adatokkal Érintett személyek körét;
az incidens elhárítása érdekében tett intézkedések leírását;
a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.

Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek. Adatfeldolgozás esetén is az adatkezelő, és nem az adatfeldolgozó kötelessége a tudomásszerzésétől számított 72 órán belül az adatvédelmi incidens bejelentése az adatvédelmi hatóság részére, amennyiben az incidens kockázatot jelent az érintett természetes személy adataira nézve.

Magas kockázat esetén az adatkezelő az adatvédelmi hatóság mellett az érintettet is köteles tájékoztatni az ügyvezető az adatvédelmi incidensről.

Az informatikai rendszereken naplózni kell a hozzáféréseket és hozzáférési kísérleteket, és ezeket folyamatosan elemezni kell.

Adatkezelő részéről a NAIH fele történő bejelentés módja:

elektronikusan a hatóság honlapján (naih.hu) található online felületen: „Adatvédelmi Incidensbejelentő Rendszer ADATKEZELŐK számára” menün keresztül, vagy
levélben postai úton a Hatóság címére, vagy
mailen a Hatóság által közzétett formanyomtatvány kitöltésével.

Adatvédelmi incidens Hatóság részére történő bejelentési határideje:

Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságára nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az Érintettet az adatvédelmi incidensről.

Az Érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a Rendelet 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket:

közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Az Érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által Érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az Érintett jogaira és szabadságaira jelentett, az 1. pontban említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
a tájékoztatás aránytalan erőfeszítést tenne szükségessé.

Ilyen esetekben az Érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az Érintettek hasonlóan hatékony tájékoztatását.

Ha az Adatkezelő még nem értesítette az Érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az Érintett tájékoztatását, vagy megállapíthatja a fent említett feltételek valamelyikének teljesülését.

Adatvédelmi incidensek nyilvántartása

Az adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza:

az érintett személyes adatok körét;
az adatvédelmi incidenssel Érintettek körét és számát;
az adatvédelmi incidens időpontját;
az adatvédelmi incidens körülményeit, hatásait;
az adatvédelmi incidens orvoslására megtett intézkedéseket;
az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.

AZ ÉRINTETT SZEMÉLY JOGAI

Az érintetti kérelmek előterjesztése, adatkezelői intézkedések

A Szervezet, mint Adatkezelő indokolatlan késedelem nélkül, de a kérelem beérkezésétől számított 30 napon belül tájékoztatja az Érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről.

Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az Érintettet.

Ha az Érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az Érintett azt másként kéri.

Ha az Adatkezelő nem tesz intézkedéseket az Érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 30 napon belül tájékoztatja az Érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az Érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

A Szervezet, mint Adatkezelő a Rendelet 13. és 14. cikk szerinti információkat és az Érintett jogairól szóló tájékoztatást (Rendelet 15-22. és 34. cikk) és intézkedést díjmentesen biztosítja.

Ha az Érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:

100,-Ft / oldal összegű díjat számíthat fel, vagy
megtagadhatja a kérelem alapján történő intézkedést.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.

Ha a Szervezetnek, mint Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az Érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

Adatkezelői intézkedések jogalapja: jogi kötelezettség teljesítése (GDPR 6. cikk (1) bek. c) pont): GDPR alapján.

Adatkezelés időtartama: 5 év. (kérelem, kérelemre adott válasz, adatkezelési nyilvántartás az érintetti joggyakorlásról)

Érintetti jogok

1.) Előzetes tájékozódáshoz való jog

Az Érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon (Rendelet 13-14. cikk).

A.) Rendelkezésre bocsátandó információk, ha a személyes adatokat az Érintettől gyűjtik

a.) Ha az Érintettre vonatkozó személyes adatokat az Érintettől gyűjtik, az Adatkezelő a személyes adatok megszerzésének időpontjában az Érintett rendelkezésére bocsátja a következő információk mindegyikét:

az Adatkezelőnek és az Adatkezelő képviselőjének a kiléte és elérhetőségei;
az adatvédelmi tisztviselő elérhetőségei;
a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
a Rendelet 6. cikk (1) bekezdésének f) pontján (jogos érdek érvényesítés) alapuló adatkezelés esetén, az Adatkezelő vagy harmadik fél jogos érdekei;
adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
adott esetben annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a Rendelet 46. cikkében, a 47. cikkében vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.

b.) Az a.) pontban említett információk mellett az Adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az Érintettet a következő kiegészítő információkról tájékoztatja:

a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
az Érintett azon jogáról, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az Érintett adathordozhatósághoz való jogáról;
a Rendelet 6. cikk (1) bekezdésének a) pontján (az Érintett hozzájárulása) vagy a 9. cikk (2) bekezdésének a) pontján (az Érintett hozzájárulása) alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jogáról, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az Érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az Érintettre nézve milyen várható következményekkel bír.

c.) Ha az Adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az Érintettet erről az eltérő célról és a b.) pontban említett minden releváns kiegészítő információról.

d.) Az a.) – c.) pontok nem alkalmazandó, ha és amilyen mértékben az Érintett már rendelkezik az információkkal (Rendelet 13. cikk).

B.) Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az Érintettől szerezték meg

a.) Ha a személyes adatokat nem az Érintettől szerezték meg, az Adatkezelő az Érintett rendelkezésére bocsátja a következő információkat:

az Adatkezelőnek és az Adatkezelő képviselőjének a kiléte és elérhetőségei;
az adatvédelmi tisztviselő elérhetőségei;
a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
az Érintett személyes adatok kategóriái;
a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
adott esetben annak ténye, hogy az Adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a Rendelet 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás.

b.) Az a.) pontban említett információk mellett az Adatkezelő az Érintett rendelkezésére bocsátja az Érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:

a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
ha az adatkezelés a Rendelet 6. cikk (1) bekezdésének f.) pontján (jogos érdek) alapul, az Adatkezelő vagy harmadik fél jogos érdekeiről;
az Érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az Érintett adathordozhatósághoz való joga;
a Rendelet 6. cikk (1) bekezdésének a) pontján (az Érintett hozzájárulása) vagy a 9. cikk (2) bekezdésének a.) pontján (az Érintett hozzájárulása) alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és
a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az Érintettre nézve milyen várható következményekkel bír.

c.) Az Adatkezelő az a.) – b.) pontok szerinti tájékoztatást az alábbiak szerint adja meg:

a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított ésszerű határidőn, de legkésőbb egy hónapon belül;
ha a személyes adatokat az Érintettel való kapcsolattartás céljára használják, legalább az Érintettel való első kapcsolatfelvétel alkalmával; vagy
ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.

d.) Ha az Adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az Érintettet erről az eltérő célról és a b.) pontban említett minden releváns kiegészítő információról.

e.) a.) – d.) pontokat nem kell alkalmazni, ha és amilyen mértékben:

az Érintett már rendelkezik az információkkal;
a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a Rendelet 89. cikk (1) bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben az e cikk (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az Adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az Érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;
az adat megszerzését vagy közlését kifejezetten előírja az Adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az Érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia (Rendelet 14. cikk).

2.) Az Érintett hozzáférési joga

a.) Az Érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a Rendeletben meghatározott kapcsolódó információkhoz hozzáférést kapjon (Rendelet 15. cikk):

az adatkezelés céljairól;
az adatkezelés jogalapjáról;
az adatkezelés időtartamáról;
adott esetben az adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
adott esetben, ha az adatokat nem az Érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információról;
Adatfeldolgozó adatiról, ha adatfeldolgozót vett igénybe;
az érintett személyes adatok kategóriáiról;
azon címzettek vagy címzettek kategóriáiról, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
adott esetben a személyes adatok tárolásának tervezett időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
az Érintett azon jogáról, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
a valamely felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről;
az Érintett személyes adatainak továbbítása esetén az adattovábbítás jogalapjáról, céljáról és címzettjéről.
ha az adatokat nem az Érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információról;
a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról és arra vonatkozó érthető információkról, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az Érintettre nézve milyen várható következményekkel jár.

b.) Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az Érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a Rendelet 46. cikk szerinti megfelelő garanciákról.

c.) Az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az Érintett rendelkezésére bocsátja. Az Érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Ha az Érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az Érintett másként kéri. A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait (Rendelet 15. cikk).

3.) A helyesbítéshez való jog

Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az Érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését (Rendelet 16. cikk).

4.) A törléshez való jog („az elfeledtetéshez való jog”)

a.) Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az Érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha a Rendeletben meghatározott indokok valamelyike fennáll (Rendelet 17. cikk):

az adat kezelése jogellenes;
az adat hiányos vagy téves – és ez az állapot jogszerűen nem orvosolható –, feltéve, hogy a törlést törvény nem zárja ki;
az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;
azt a bíróság vagy a Hatóság elrendelte;
a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

az Érintett a Rendelet 21. cikk (1) bekezdése alapján tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az Érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;

a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
a személyes adatok gyűjtésére a Rendelet 8. cikk (1) bekezdésében említett, közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatban került sor;

az Érintett visszavonja a Rendelet 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

a személyes adatok gyűjtésére a Rendelet 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

b.) Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és az előbbi a.) pont értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő Adatkezelőket, hogy az Érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

c.) Az a.) és b.) pontok nem alkalmazandók, amennyiben az adatkezelés szükséges:

a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
a személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
a Rendelet 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;
a Rendelet 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az 1.) pontban említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez (Rendelet 17. cikk).

5.) Az adatkezelés korlátozásához, zárolásához való jog

a.) Az Érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha a rendeltben meghatározott feltételek teljesülnek (Rendelet 18. cikk):

az Érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;

az adatkezelés jogellenes, és az Érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
az Érintett a Rendelet 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben.

b.) Ha az adatkezelés az a.) pont alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az Érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

c.) Az Adatkezelő az Érintettet, akinek a kérésére az a.) pont alapján korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja (Rendelet 18. cikk).

d.) Ha a rendelkezésre álló információk alapján feltételezhető, hogy a törlés sértené az Érintett jogos érdekeit, az adatokat zárolni kell. Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta.

e.) Ha az Érintett vitatja a személyes adatok pontosságát, helyességét, de a vitatott személyes adat helytelensége vagy pontossága nem állapítható meg egyértelműen, az adatokat zárolja. Ebben az esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát.

f.) Az Érintett helyesbítéshez, törléshez, zároláshoz való jogát törvény korlátozhatja az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése, a büntetés-végrehajtás biztonsága érdekében, továbbá állami vagy önkormányzati gazdasági vagy pénzügyi érdekből. az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásához összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából, továbbá az Érintett vagy mások jogainak védelme érdekében.

g.) Az Adatkezelő indokolatlan késedelem nélkül, maximum a kérelem beérkezésétől számított 15 napon belül tájékoztatja az Érintettet a kérelemben meghatározottakról, és / vagy helyesbíti az adatokat, és / vagy korlátozza, zárolja az adatokat, vagy tesz meg egyéb lépéseket a kérelemnek megfelelően, ha nincsen azt kizáró ok.

h.) Az Adatkezelő a helyesbítés, a törlés, az adatkezelés korlátozásának megtörténtéről írásban értesíti az Érintettet, továbbá azokat, akiknek korábban az adatot adatkezelés céljára továbbították, átadták. Az Érintettet kérésére az Adatkezelő tájékoztatja e címzettekről. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az Érintett jogos érdekét nem sérti, vagy ha a tájékoztatás lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Adatkezelő írásban köteles értesíteni az Érintettet, ha az Érintett joggyakorlása valamely okból nem valósulhat meg, és köteles pontosan megjelölni a ténybeli és jogi okot, valamint az Érintett számra nyitva álló jogorvoslati lehetőségeket: a bírósághoz és a Nemzeti Adatvédelmi és Információszabadsághoz fordulás lehetőségét.

6.) A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az Érintettet kérésére az Adatkezelő tájékoztatja e címzettekről (Rendelet 19. cikk).

7.) Az adathordozhatósághoz való jog

a.) A Rendeletben írt feltételekkel az Érintett jogosult arra, hogy a rá vonatkozó, általa egy Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta (Rendelet 20. cikk), ha:

az adatkezelés a Rendelet 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és
az adatkezelés automatizált módon történik.

b.) Az adatok hordozhatóságához való jog a.) pont szerinti gyakorlása során az Érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok Adatkezelők közötti közvetlen továbbítását.

c.) E jog gyakorlása nem sértheti a Rendelet 17. cikkét. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.

d.) Az a.) pontban említett jog nem érintheti hátrányosan mások jogait és szabadságait (Rendelet 20. cikk).

8.) A tiltakozáshoz való jog

a.) Az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a Rendelet 6. cikk (1) bekezdésének e) pontjában (az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) vagy f) pontjában (az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükség, Rendelet 21. cikk).

Az Érintett tiltakozhat személyes adatának kezelése ellen, ha

a személyes adatok kezelése, továbbítása kizárólag az Adatkezelő vagy az adatátvevő jogának vagy jogos érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén;
a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik;
a tiltakozás jogának gyakorlását egyébként törvény lehetővé teszi.

b.) Az Adatkezelő az adatkezelés egyidejű felfüggesztésével a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálja, és annak eredményéről a kérelmezőt írásban tájékoztatja. Amennyiben a kérelmező tiltakozása megalapozott, az Adatkezelő az adatkezelést – ideértve a további adatfelvételt és adattovábbítást is – megszünteti, és az adatokat zárolja, valamint a tiltakozásról, illetve az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

c.) Amennyiben az Érintett az Adatkezelő döntésével nem ért egyet, vagy az Adatkezelő a hivatkozott határidőt elmulasztja, jogosult – annak közlésétől számított 30 napon belül – bírósághoz fordulni. A bíróság az ügyben soron kívül jár el. A bírósági eljárás során azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az Adatkezelő köteles bizonyítani:

d.) Információs önrendelkezési jogának megsértése esetén bejelentéssel, panasszal élhet:

Nemzeti Adatvédelmi és Információszabadság Hatóság

cím: 1125 Budapest, Szilágyi Erzsébet fasor 22./c.

telefon: +36-1-391-1400

fax: +36-1-391-1410

e-mail: ugyfelszolgalat@naih.hu

honlap címe: http://www.naih.hu

e.) Kiskorúakat sértő, gyűlöletkeltő, kirekesztő tartalmakkal, helyreigazítással, elhunyt személy jogaival, jó hírnév megsértésével kapcsolatos jogainak megsértése esetén bejelentéssel, panasszal élhet:

Nemzeti Média- és Hírközlési Hatóság

cím: 1015 Budapest, Ostrom u. 23-25.

telefon: +36-1-457-7100

fax: +36-1-356-5520

e-mail: info@nmhh.hu

honlap címe: http://www.nmhh.hu

9.) Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást

Az Érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené (Rendelet 22. cikk).

a.) Az Érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

b.) Az a.) pont nem alkalmazandó abban az esetben, ha a döntés:

az Érintett és az Adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
meghozatalát az Adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az Érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
az Érintett kifejezett hozzájárulásán alapul.

c.) A b.) pont 2. és 3. bekezdésében említett esetekben az Adatkezelő köteles megfelelő intézkedéseket tenni az Érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az Érintettnek legalább azt a jogát, hogy az Adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

d.) A b.) pontban említett döntések nem alapulhatnak a személyes adatoknak a Rendelet 9. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és az Érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor (Rendelet 22. cikk).

10.) Korlátozások

Az Adatkezelőre vagy Adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban (Rendelet 23. cikk).

a.) Az Adatkezelőre vagy Adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a Rendelet 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:

nemzetbiztonság;
honvédelem;
közbiztonság;
bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;
az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;
a bírói függetlenség és a bírósági eljárások védelme;
a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;
a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;
az Érintett védelme vagy mások jogainak és szabadságainak védelme;
polgári jogi követelések érvényesítése.

b.) Az a.) pontban említett jogalkotási intézkedések adott esetben részletes rendelkezéseket tartalmaznak legalább:

az adatkezelés céljaira vagy az adatkezelés kategóriáira,
a személyes adatok kategóriáira,
a bevezetett korlátozások hatályára,
a visszaélésre, illetve a jogosulatlan hozzáférésre vagy továbbítás megakadályozását célzó garanciákra,
az Adatkezelő meghatározására vagy az Adatkezelők kategóriáinak meghatározására,
az adattárolás időtartamára, valamint az alkalmazandó garanciákra, figyelembe véve az adatkezelés vagy az adatkezelési kategóriák jellegét, hatályát és céljait,
az Érintettek jogait és szabadságait érintő kockázatokra, és
az Érintettek arra vonatkozó jogára, hogy tájékoztatást kapjanak a korlátozásról, kivéve, ha ez hátrányosan befolyásolhatja a korlátozás célját (Rendelet 23. cikk).

11.) Az Érintett tájékoztatása az adatvédelmi incidensről

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az Érintettet az adatvédelmi incidensről (Rendelet 34. cikk).

Panasz, bírósághoz fordulás joga

A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)

a.) Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden Érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az Érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet.

b.) Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a Rendelet 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni (Rendelet 77. cikk).

13.) A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog

a.) Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.

b.) Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden Érintett jogosult a hatékony bírósági jogorvoslatra, ha a Rendelet 55. vagy 56. cikk alapján illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az Érintettet a 77. cikk alapján benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.

c.) A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.

d.) Ha a felügyeleti hatóság olyan döntése ellen indítanak eljárást, amellyel kapcsolatban az egységességi mechanizmus keretében a Testület előzőleg véleményt bocsátott ki vagy döntést hozott, a felügyeleti hatóság köteles ezt a véleményt vagy döntést a bíróságnak megküldeni (Rendelet 78. cikk).

14.) Az Adatkezelővel vagy az Adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog

a.) A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, Rendelet 77. cikk szerinti jog – sérelme nélkül, minden Érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.

b.) Az Adatkezelővel vagy az Adatfeldolgozóval szembeni eljárást az Adatkezelő vagy az Adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az Érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az Adatkezelő vagy az Adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve (Rendelet 79. cikk).

Kelt.: Érd, 2021. augusztus 31.

Hatályosul: 2021. szeptember 01-től.

………………………………………

Ömböli Ágnes

A szervezet törényes képviselője

p. h.

Melléklet:

Adatkezelési Jegyzék