Az Európai Parlament és a Tanács a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló – és 2018. május 25. napjától alkalmazandó – (EU) 2016/679 rendeletének (a továbbiakban: GDPR), a GDPR által nem szabályozott körben az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXL. törvénynek (a továbbiakban: Infotörvény), valamint az Alapítvánnyal kapcsolatba kerülő ügyfelek, illetve munkavállalóink, továbbá egyéb személyek személyes adatainak fokozott védelme, illetve ezen személyes adatok jogszerű, tisztességes és átlátható kezelése, valamint felhasználása módjának meghatározása végett a változó jogszabályi környezethez alkalmazkodás, és az Alapítvány adatvédelem iránti elkötelezettsége jegyében, ezzel együtt ügyfeleink és egyéb partnereink irányába fennálló bizalom fenntartása érdekében az alábbi szabályzatot alkotja:
I. Adatkezelő adatai
- Adatkezelő neve: Hajdúsági Vakvezető- és Segítőkutya Képzésért Alapítvány (rövidített név: HVSK Alapítvány)
- Adatkezelő székhelye: 4002 Debrecen, Pacikert u. 112.
- Adatkezelő Nyilvántartási száma: 09-01-0001916
- Adatkezelő adószáma: 18997006-1-09
- Adatkezelő telefonszáma: +3670/278-3310
- Adatkezelő elektronikus elérhetősége: hvsk.alapitvany@gmail.com
II. Fogalom-meghatározások
A jelen Szabályzat alkalmazásában:
- 1. „adatkezelés„: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet (pl. gyűjtés, rögzítés, rendszerezés, lekérdezés, felhasználás, továbbítás, törlés), amelyet az Alapítvány a tevékenysége keretében végez;
- 2. „adatkezelő„: a GDPR 4. cikk 7. pontjában meghatározott körben az Alapítvány;
- 3. „adatvédelmi incidens„: a GDPR 4. cikk 12. pontjában meghatározott körülmény;
- 4. „Hatóság„: a Nemzeti Adatvédelmi és Információszabadság Hatóság;
- 5. „személyes adat„: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ, amelynek eredményeként a természetes személy közvetlen vagy közvetett módon, különösen valamely azonosító, így név, személyazonosításra alkalmas igazolvány adatai, helyadatok alapján egyedileg beazonosítható;
- 6. „ügyfél„: az Alapítvánnyal a tevékenysége keretében végzett tevékenységére vonatkozóan kötelmi jogviszonyt létesítő természetes személy, így különösen az Alapítvány szolgáltatását igénybe vevő személy, valamint a munkavállaló;valamint az alapítvánnyal kapcsolatba kerülő természetes és jogi személyek (önkéntesek) az adományozók köre.
III. A Szabályzat célja és hatálya
7. A jelen Szabályzat célja, hogy az Alapítvány valamennyi vezető tisztségviselője, munkavállalója, valamint az Alapítvánnyal munkavégzésre irányuló egyéb jogviszonyban álló valamennyi személy tevékenysége során megtartsa az adatvédelemre vonatkozó mindenkor hatályos jogszabályi rendelkezéseket. Az Alapítvány vezető tisztségviselői, munkavállalói, valamint az Alapítvánnyal munkavégzésre irányuló egyéb jogviszonyban álló személyek az Alapítvánnyal kapcsolatba kerülő természetes személy ügyfelek és egyéb természetes személyek személyes adatainak kezelése alkalmával kötelesek a GDPR, az Infotörvény, valamint a jelen Szabályzat rendelkezéseinek mindenek felett álló megtartására.
8. Az Alapítvány a személyes adatok kezelése során köteles megtartani az adatkezelésre vonatkozó jogszabályokban meghatározott alábbi elveket (GDPR 5. cikk (1) bekezdés):
a.) jogszerűség, tisztességes eljárás és átláthatóság;
b.) célhoz kötöttség;
c.) adattakarékosság;
d.) pontosság;
e.) korlátozott tárolhatóság;
f.) integritás és bizalmas jelleg;
g.) elszámoltathatóság.
9. Az Alapítvány a beépített és alapértelmezett adatvédelem kívánalmának megfelelően valamennyi adatkezelési tevékenysége során az adatvédelem elveit, illetve az adatvédelemre vonatkozó mindenkor hatályos jogszabályi követelményeket megtartva jár el az elszámoltathatóság és a személyes adatok jogosultjai jogainak és szabadságainak védelme érdekében.
IV. Az Alapítvány által végzett adatkezelések
10. Az Alapítvány által végzett valamennyi adatkezelés adatvédelem hatálya alá tartozik. Az Alapítvány személyes adatok vonatkozásában adatkezelésre csak akkor jogosult, ha arra jogcímmel rendelkezik.
11. Az Alapítvány személyes adatokon végzett adatkezelést, személyes adatok megismerését, gyűjtését vagy felhasználását csak abban az esetben jogosult végezni (akkor rendelkezik jogcímmel),
a.) ha a személyes adat jogosultja kifejezett hozzájárulását adta a személyes adatainak egy vagy több konkrét célból történő megismeréséhez és kezeléséhez;
b.) amennyiben az adatkezelés az Alapítványra vonatkozó jogi kötelezettség teljesítéséhez szükséges;
c.) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben a személyes adatok jogosultja az egyik fél, vagy az a szerződés megkötését megelőzően a személyes adatok jogosultjának kérésére történő lépések megtételéhez szükséges;
d.) amennyiben az adatkezelés a személyes adat jogosultjának vagy egy másik természetes személy létfontosságú érdekének védelme miatt szükséges, illetve az Alapítvány (vagy egy harmadik fél) jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha az Alapítvánnyal szemben elsőbbséget élveznek a személyes adat jogosultjának olyan érdekei és alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.
12. Az Alapítvány adatkezelési tevékenysége során adatfeldolgozót igénybe vehet.
IV/A. Ügyfelekkel kapcsolatban végzett adatkezelés
13. A jelen alfejezet szerinti adatkezelés célja:
a) az Alapítvány és a személyes adat jogosultja közötti, az Alapítvány tevékenységével összefüggésben kötelmi jogviszony (pl. megbízási szerződés, adásvételi szerződés) létrehozása,
fenntartása, e kötelmi jogviszonyból eredő jogok gyakorlása (pl. ellenérték követelése) és kötelezettségek teljesítése (pl. szerződésben vállalt szolgáltatás teljesítése);
b) az Alapítvánnyal kapcsolatba kerülő ügyfelekkel kapcsolatos jogos érdekének érvényesítése és védelme; továbbá
c) az Alapítvány a kötelmi jogviszonnyal kapcsolatban – esetlegesen – terhelő jogi kötelezettség teljesítése.
14. A jelen alfejezet szerinti adatkezelés időtartama: a személyes adat jogosultja részéről megadott hozzájárulás megadásától kezdődően a kötelmi jogviszony megszűnését követő 5 év. Minden olyan hozzájárulás alapján kezelt személyes adat esetén, amelyik a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény 56-57. § rendelkezéseinek hatálya alá tartozik, az adatkezelés időtartama: a kötelmi jogviszony megszűnését követő 8 év.
15. A jelen alfejezet szerinti adatkezelés módja: papír alapú vagy elektronikus nyilvántartás vezetése, illetve személyes adatokon végzett papír alapú vagy elektronikus művelet.
16. A jelen alfejezet szerinti adatkezelés csak abban az esetben jogszerű, ha ahhoz az Alapítvány megfelelő jogcímmel rendelkezik. Amennyiben ez a jogcím a hozzájáruláson alapuló adatkezelés (11. a) pont), úgy az adatkezelés jogszerűségének feltétele, hogy az Alapítvány a jelen alfejezetben meghatározott rendelkezések figyelembevételével jár el. Az ügyfél a hozzájáruló nyilatkozat megtételével kifejezetten hozzájárul ahhoz, hogy – a jogviszony létesítéséhez szükséges és elengedhetetlen – személyes adatait tartalmazó okmányról, illetve egyéb iratról az Alapítvány fénymásolatot vagy elektronikus másolatot készítsen, és a személyes adatok megőrzését e másolat megőrzésén keresztül teljesítse. Az Alapítvány az így készült másolatot az ügyfélre vonatkozó egyéb iratokkal együtt olyan helyen köteles megőrizni, ahol azokhoz illetéktelen személy nem férhet hozzá.
17. Az Alapítvány az ügyfél – hozzájáruláson alapuló adatkezelés keretében – alábbi adatainak megismerésére és kezelésére jogosult:
a.) a természetes személy személyazonosító adatait, így a személyes adat jogosultja személyazonosító igazolványának, lakcímet igazoló hatósági igazolványának, adóazonosító jelet igazoló hatósági igazolványának adattartalmát;
b.)a szerződéses jogviszony jellegétől függően a személyes adat jogosultjának bankszámlaszáma, illetve bankszámláját vezető pénzintézet neve, amennyiben azt a szerződés tartalmazza;
c.) személyes adat jogosultjának elérhetősége (telefonszáma, email címe);
d.) jogi személy fél esetén a jogi személy képviseletére jogosult természetes személy családi és utóneve; tisztsége; születési helye és ideje; anyja születési családi és utóneve; állandó lakcíme, ennek hiányában tartózkodási címe.
e.) az ügyféli kategória vizsgálatához szükséges egészségügyi adatai
18. A hozzájáruláson alapuló adatkezelés során a személyes adat jogosultját (ügyfelet) az Alapítvány a személyes adat jogosultjával létrehozandó kötelmi jogviszony létesítését megelőzően – az ügyféllel való első kapcsolatfelvétellel egyidőben – köteles tájékoztatni
a.) az Alapítvány, illetve az Alapítvány képviselőjének nevéről, elérhetőségéről;
b.) arról, hogy a kötelmi jogviszony csak abban az esetben jöhet létre, ha az ahhoz szükséges személyes adatainak Alapítvány általi megismeréséhez és kezeléséhez hozzájárul, illetve e hozzájárulás visszavonhatóságáról;
c.) az adatkezelés pontos céljáról, jogalapjáról, konkrét terjedelméről;
d.) a személyes adatok címzettjeiről, illetve kategóriáiról;
e.) a személyes adat tárolásának tervezett idejéről;
f.) a személyes adat jogosultját megillető jogokról;
g.) a Hatóságnak címzett panasz, vagy bírósági jogorvoslat előterjesztésének lehetőségéről.
A tájékoztatást az Alapítvány az 1. sz. melléklet felhasználásával és a személyes adat jogosultjának történő megküldésével, illetve részére történő hozzáférhetővé tétellel köteles teljesíteni.
19. Az Alapítvány a tájékoztatást tömören és közérthetően köteles megadni az ügyfélnek. A tájékoztatás megadása mellett az Alapítvány köteles a jelen Szabályzatot az ügyfél részére hozzáférhetővé tenni, kérésére elektronikus formában annak elektronikus kézbesítési címére megküldeni.
20. A személyes adat jogosultja a tájékoztatást követően önként jogosult eldönteni, hogy az Alapítvánnyal kíván-e kötelmi jogviszonyt létrehozni. Az ügyfél hozzájárulása akkor jogszerű, ha az
a) önkéntes;
b) konkrét adatkezelésre (meghatározott – egy vagy több – kötelmi jogviszonnyal kapcsolatban) vonatkozik;
c) megfelelő tájékoztatáson alapul; és
d) egyértelmű akaratnyilatkozat.
21. A személyes adat jogosultjának hozzájárulásán alapuló adatkezelés feltétele, hogy a személyes adat jogosultja a személyes adatok kezeléséhez az Alapítvánnyal létrejövő jogviszonyát
megelőzően az Alapítvány adatkezelési tájékoztatóját, az Alapítvány adatkezelésének célját, illetve az adatkezelés tényét, valamint a megismerni és kezelni kívánt adatok körét megismerje és az adatkezeléshez hozzájáruljon az Alapítvány számára.
22. Az Alapítvány szerződéses kapcsolat esetén jogosult az ügyfél mint személyes adatok jogosultja hozzájáruló nyilatkozatát az Alapítvány és az ügyfél között kötendő szerződés rendelkezései között megfogalmazni. Az ilyen rendelkezést tartalmazó szerződés aláírásával az ügyfél egyben személyes adatai Alapítvány általi megismerésére és kezelésére vonatkozó hozzájáruló nyilatkozatát is megteszi.
23. Az ügyfél hozzájáruló nyilatkozatában köteles kijelenteni, hogy a hozzájáruláson alapuló adatkezelés mellett kifejezetten megértette az Alapítvány arra vonatkozó tájékoztatását, hogy adatkezelésre az Alapítvány az ügyféllel kapcsolatban egyéb jogcímen is jogosult lehet.
24. Amennyiben a személyes adatok jogosultja a személyes adatai kezeléséhez nem járul hozzá, vagy megtagadja az ügyféli hozzájáruló nyilatkozat aláírását, úgy az Alapítvány adatkezelési
jogviszonyt az érintett természetes személlyel nem létesíthet. A személyes adat jogosultja hozzájárulását bármikor visszavonhatja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A személyes adatok kezeléséhez adott mhozzájárulás visszavonásával az Alapítvány köteles a személyes adatkezeléshez mint előfeltételhez kapcsolódó kötelmi jogviszony megszüntetésére.
25. Az Alapítvány köteles minden nyilvántartásából törölni azt a személyes adatot, amelynek jogosultjával kötelmi jogviszonya bármely okból megszűnt, kivéve, amennyiben a személyes adatok további kezeléséhez a jogosult hozzájárult vagy amennyiben a személyes adatok megőrzését az Alapítvány számára jogszabály (pl. adójogi jogviszony) írja elő.
IV/B. [A munkaerő-felvétel során végzett adatkezelés]
26. Az Alapítvány munkaerő-felvétel során jogosult megismerni az Alapítvány által meghirdetett pozícióra jelentkező természetes személy pályázati anyagában megadott személyes adatait, amelyet közvetlenül vagy közvetve juttat el az Alapítványhoz. A jelentkező köteles erre vonatkozó hozzájárulását a fentieknek megfelelő tartalmú nyilatkozat útján megtenni. A jelentkező hozzájárulása akkor tekinthető jogszerűnek, ha
a) az önkéntes;
b) pályázatának elbírálására vonatkozik;
c) megfelelő tájékoztatáson alapul;
d) egyértelmű akaratnyilatkozat.
Az Alapítvány a munkaerő-felvételre jelentkező által tett hozzájárulási nyilatkozatot minden esetben jogszerűnek tekinti. A hozzájárulási nyilatkozat esetleges jogellenességét maz érintett bizonyítja.
27. Az Alapítvány a munkaerő-felvétel céljából közzétett hirdetésben jogosult megjelölni, hogy a meghirdetett pozícióra jelentkező személy a jelentkezés tényével tudomásul veszi azt, hogy a pályázati anyagában megjelölt személyes adatai vonatkozásában az Alapítvány adatkezelést hajt végre, illetve hogy a pályázati anyagai megküldésével az érintett kifejezetten hozzájárul e személyes pályázati anyag Alapítványhoz történő beérkezését követően köteles tájékoztatni a jelentkezőt az Alapítvány jelentkezővel kapcsolatos adatkezeléséről (a jelen Szabályzat 3. sz. mellékletét képező tájékoztatás révén), és – amennyiben hozzájáruló nyilatkozatot még nem tett – arról, hogy hozzájáruló nyilatkozatát milyen formában teheti meg. A hozzájáruló nyilatkozat megtételét megelőzően az Alapítvány a pályázati anyagban megjelölt személyes adatok megismerésére nem jogosult. Az Alapítvány a kapcsolatfelvételt célzó email üzenetében köteles felhívni az érintett figyelmét arra, hogy a megküldött pályázati anyagában megjelölt személyes adatai vonatkozásában az Alapítvány adatkezelést hajt végre, illetve hogy az emailre adott – ilyen tartalmú – válaszával vagy olvasási visszaigazolásával kifejezetten hozzájárul ahhoz, hogy az Alapítvány e személyes adatait megismerje és kezelje.
28. Az Alapítvány a jelentkező pályázati anyagában meghatározott személyes adatokat kizárólag a munkaerő-felvétel céljából, a jelentkező alkalmasságának megállapítása érdekében ismerheti meg és kezelheti. Amennyiben az adott jelentkező vonatkozásában a munkaerő-felvétel sikertelen vagy az mAlapítvány által tett ajánlatot a jelentkező elutasítja, úgy az Alapítvány – a hozzájárulási nyilatkozatot és annak adattartalmát leszámítva – a jelentkező valamennyi általa kezelt személyes adatát késedelem nélkül törölni köteles és erről előzetesen köteles tájékoztatni a jelentkezőt. Ilyen esetben az Alapítvány a hozzájárulási nyilatkozatot jogos érdekének védelme és érvényesítése érdekében az általános elévülési idő leteltéig megőrzi. Amennyiben a munkaerő-felvétel sikeres, úgy a jelentkező által megadott azon adatok, amelyeket a munkáltató jogcím birtokában kezelhet, a munkavállalóról kezelt személyes adatok részét képezik azzal, hogy annak kezeléséhez a leendő munkavállaló – a munkaszerződés aláírását megelőzően – köteles hozzájárulni.
29. Az Alapítvány a jelentkezőről – a pályázati anyagában megadott személyes adatokon túl – egyéb forrásból személyes adatot nem szerezhet be és nem teheti a munkaerő-felvétel alkalmával szűrési feltételek részévé, kivéve, amennyiben az Alapítvány jogos érdekének érvényesítéséhez szükséges körben a jelentkező közösségi médiaprofiljának vizsgálata során olyan adat válik az Alapítvány számára hozzáférhetővé, amely a jelentkező pályázati anyagából hiányzik és az adott munkakör betöltése szempontjából releváns.
IV/C. [Az Alapítvány vezető tisztségviselői, munkavállalói és az Alapítvánnyal munkavégzésre irányuló egyéb jogviszonyban álló személyek adatainak kezelése]
30. Az Alapítvány jogosult kezelni az Alapítvány vezető tisztségviselőinek, tisztségviselőinek, munkavállalóinak, valamint az Alapítvánnyal munkavégzésre irányuló egyéb jogviszonyban álló személyek személyes adatait amennyiben
a) az adott személyes adat kezeléséhez a személyes adat jogosultja hozzájárult (pl. munkaerő- felvétel során megadott adatok további kezeléséhez való hozzájárulás, munkavállaló bankszámlaszáma a munkabér utalása céljából, végzettséget igazoló bizonyítvány másolata);
b) a szerződés teljesítéséhez szükséges (pl. nyilvántartások vezetése);
c) a jogszabályi kötelezettség teljesítése érdekében szükséges (pl. adózási kötelezettség teljesítése);
d) az Alapítvány (vagy a munkavállaló) jogos érdekeinek érvényesítéséhez szükséges.
31. A jelen alfejezet szerinti adatkezelés célja: az Alapítvány vezető tisztségviselői feladatok ellátására irányuló jogviszony, munkaviszony vagy munkavégzésre irányuló egyéb jogviszony létrehozása, fenntartása, e jogviszonyokból eredő jogok gyakorlása és kötelezettségek (pl. adóelőleg megfizetése) teljesítése, jogviszony megszüntetése.
32. A jelen alfejezet szerinti adatkezelés időtartama:
a) jogszabályi kötelezettségként meghatározott adatkezelés esetén a vonatkozó jogszabályban meghatározott időtartam;
b) a személyes adat jogosultja részéről megadott hozzájárulást tartalmazó nyilatkozat
c) minden olyan hozzájárulás alapján kezelt személyes adat esetén, amelyik a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény 56-57. § rendelkezéseinek hatálya alá tartozik, az adatkezelés időtartama: a kötelmi jogviszony megszűnését követő 8 évig.
33. A jelen alfejezet szerinti adatkezelés módja: papír alapú vagy elektronikus nyilvántartás vezetése, illetve személyes adatokon végzett papír alapú vagy elektronikus művelet. Az érintett a
hozzájáruló nyilatkozat megtételével kifejezetten hozzájárul ahhoz, hogy az Alapítvány az érintett – vezető tisztségviselő jogviszony, munkaviszony vagy munkavégzésre irányuló egyéb jogviszony létesítéséhez, illetve fenntartásához, megszüntetéséhez szükséges és elengedhetetlen – személyes adatait tartalmazó okmányról, illetve egyéb iratról fénymásolatot vagy elektronikus másolatot készítsen, és a személyes adatok megőrzését e másolat megérzésén keresztül teljesítse. Az Alapítvány az így készült másolatot az érintettre vonatkozó egyéb iratokkal együtt olyan helyen köteles megőrizni, ahol azokhoz illetéktelen személy nem férhet hozzá.
34. A jelen alfejezet szerinti adatkezeléssel érintett személyes adatok köre:
a) az érintett családi és utóneve, születési családi és utóneve, születési helye és ideje, anyja születési családi és utóneve, lakcíme, illetve ennek hiányában tartózkodási címe, személyazonosító száma, személyazonosító igazolvány száma, adóazonosító jele, továbbá mindazon adatok, amelyeket – az érintett hozzájárulását nem igénylő módon jogszabályi kötelezettség teljesítéseként – a munkáltató megismerni és kezelni köteles, így különösen, de nem kizárólagosan a vezető tisztségviselő, munkavállalók vagy foglalkoztatottak személyi nyilvántartása, munkaidő nyilvántartása, szabadság nyilvántartása,bérnyilvántartás, utazási költségtérítés nyilvántartás, munkavédelmi oktatás nyilvántartás, egészségügyi alkalmassági nyilvántartás részét képező személyes adatok;
b) az érintett bankszámlájának száma, illetve a bankszámlát vezető pénzintézet neve, amennyiben a személyes adat jogosultja a munkabérét (egyéb ellenszolgáltatást) átutalás útján kéri megfizetni, a végzettséget igazoló bizonyítvány másolata és a vonatkozó személyes adat megismeréséhez kifejezett hozzájárulását adta;
c) amely egyébként a szerződés teljesítéséhez vagy az Alapítvány (illetve a foglalkoztatott) jogos érdekében (pl. tulajdonvédelem, kárfelelősség, bértámogatás igénylése és elszámolása) érvényesítéséhez szükséges.
35. Az Alapítvánnyal vezetői tisztségviselői jogviszonyban, munkaviszonyban vagy munkavégzésre irányuló egyéb jogviszonyban álló természetes személyek kötelesek az Alapítvány által – e jogviszonyuk létesítéséhez, fenntartásához, megszüntetéséhez feltétlenül szükséges – személyes adataik kezeléséhez e jogviszony létrejöttét megelőzően hozzájárulni. Az Alapítvány a hozzájáruló nyilatkozat aláírását megelőzően köteles a személyes adat jogosultját tájékoztatni
a.) az Alapítvány, illetve az Alapítvány képviselőjének nevéről, elérhetőségéről;
b.) arról, hogy a vezető tisztségviselői jogviszony, munkaviszony vagy munkavégzésre irányuló egyéb jogviszony csak abban az esetben jöhet létre, ha az ahhoz szükséges személyes adatainak Alapítvány általi ismeréséhez és kezeléséhez hozzájárul;
c.) az adatkezelés pontos céljáról, jogalapjáról, konkrét terjedelméről;
d.) a személyes adatok címzettjeiről, illetve kategóriáiról;
e.) a személyes adat tárolásának tervezett idejéről;
f.) a személyes adat jogosultját megillető jogokról;
g.) a Hatóságnak címzett panasz, vagy bírósági jogorvoslat előterjesztésének lehetőségéről.
36. Az Alapítvány a tájékoztatást tömören és közérthetően köteles megadni. A tájékoztatás megadása mellett az Alapítvány köteles a jelen Szabályzatot a vezető tisztségviselő, munkavállaló,
munkavégzésre irányuló egyéb jogviszonyban álló személy részére mindenkor hozzáférhetővé tenni, kérésére elektronikus formában a személyes adat jogosultja elektronikus kézbesítési címére megküldeni.
37. A személyes adat jogosultja a tájékoztatást követően önként jogosult eldönteni, hogy az Alapítvány kíván-e vezető tisztségviselői jogviszonyt, munkaviszonyt vagy munkavégzésre irányuló egyéb jogviszonyt létrehozni. A személyes adat jogosultjának hozzájárulása akkor jogszerű, ha az
a) önkéntes;
b) a vezető tisztségviselői jogviszony, munkaviszony vagy munkavégzésre irányuló egyéb jogviszony létesítésére, fenntartására, e jogviszonyokból eredő jogok gyakorlására és kötelezettségek teljesítésére, jogviszony megszüntetésére vonatkozik.
c) megfelelő tájékoztatáson alapul; és
d) egyértelmű akaratnyilatkozat.
38. Az Alapítvány köteles minden nyilvántartásából törölni azt a személyes adatot, amelynek jogosultjával szemben a vezető tisztségviselői jogviszony, munkaviszony vagy munkavégzésre
irányuló egyéb jogviszony bármely okból megszűnt, és az adatkezelés határideje letelt, kivéve, amennyiben a személyes adatok további kezeléséhez a jogosult hozzájárult, vagy a személyes adatok megőrzését az Alapítvány számára jogszabály (pl. adójogi jogviszony) írja elő, továbbá amennyiben annak kezelésére az Alapítvány jogos érdekének érvényesítése érdekében szükség van. Amennyiben a vezető tisztségviselő, munkavállaló vagy munkavégzésre irányuló egyéb jogviszonyban álló személy munkavégzésre irányuló egyéb szerződése versenytilalmi klauzulát tartalmazott, úgy e jogviszony megszűnését követően – a versenytilalmi klauzulában meghatározott időtartamra – az Alapítvány jogosult követni a személyes adat jogosultjának közösségi médiafelületét (így különösen Linkedin profilját) annak megállapítása érdekében, hogy a klauzulában meghatározott követelményeket az érintett megtartja-e. Amennyiben az érintett versenytilalmi kötelezettségeinek nem tesz eleget, az Alapítvány az e pontban meghatározott módon erre vonatkozóan megismert adatok felhasználására jogos érdekének érvényesítése céljából jogosult. Az adatok ilyen felhasználásához az érintett a jelen Szabályzat megismerésével és a 35. pontban megtett nyilatkozatával kifejezetten hozzájárul.
39. Az Alapítvány – az előző pontban meghatározottakon kívül – nem jogosult a vezető tisztségviselő, munkavállaló, vagy az Alapítvány munkavégzésre irányuló egyéb jogviszonyban álló személy közösségi médiafelületeinek ellenőrzésére, illetve ilyen úton az érintettről adatok gyűjtésére. Az Alapítvány az érintett kizárólagos kezelésében lévő, magáncélból használt közösségi médiafelületének Alapítvány érdekében történő felhasználását nem teheti kötelezővé (pl. ügyfélkör bővítése ismerősök útján).
40. A 35. pontban meghatározott hozzájáruló nyilatkozatnak ki kell terjednie az Alapítvány tulajdonában álló, a vezető tisztségviselő, munkavállaló, az Alapítvánnyal munkavégzésre irányuló
egyéb jogviszonyban álló személy által munkavégzése során használt számítógépek, telefonok, gépjárművek és egyéb eszközök, továbbá programok és alkalmazások (a továbbiakban: Eszközök) által naplózott adatokra is. Az Eszközök által végzett naplózás adatkezelésnek minősül, amennyiben a naplózott adat valamely vezető tisztségviselőre, munkavállalóra vagy az Alapítvánnyal munkavégzésre irányuló egyéb jogviszonyban álló személyre vonatkozó magán- és családi életének részét képező személyes adatnak minősül. Az ilyen adatkezelés csak abban az esetben jogszerű, ha az adatkezeléshez a személyes adat jogosultja – a 35-37. pontok rendelkezéseinek megfelelő alkalmazásával – hozzájárult. Hozzájárulás hiányában is jogszerű az olyan naplózott adatok kezelése, amelyek a vezető tisztségviselői jogviszonyból, munkaviszonyból vagy munkavégzésre irányuló egyéb jogviszonyból eredő kötelezettség teljesítése keretében keletkeztek és e jogviszonyra vonatkoznak. Ez utóbbi esetekben az adatkezelés jogalapja a szerződés teljesítése, jogos érdek érvényesítése vagy jogszabályi kötelezettség teljesítése. A polgári törvénykönyvről szóló 2013. évi V. törvény, valamint a munka törvénykönyvről szóló 2012. évi I. törvény rendelkezéseinek, valamint az Alapítvány érdekeinek figyelembevétele és az Alapítvány által végzett alapító okirat szerinti jogszerű tevékenység fenntartása érdekében az Alapítvány vezető tisztségviselői, munkavállalói és az Alapítvánnyal munkavégzésre irányuló egyéb jogviszonyban álló személyek az Eszközökön kizárólag az Alapítvány alapító okirat szerinti jogszerű tevékenységével összefüggő, munkaköri kötelezettség keretébe tartozó tevékenységet végezhetnek. Erre tekintettel e személyek tudomásul veszik, hogy az Eszközök által végzett naplózás, így az Alapítvány ilyen adatkezelése akkor is jogszerű, amennyiben az Eszköz olyan adatot naplóz, amely valamely vezető tisztségviselő, munkavállaló vagy az Alapítvánnyal munkavégzésre irányuló egyéb jogviszonyban álló személy magán- és családi életének részét képezi; az érintettek 35. pont szerinti nyilatkozatukkal ehhez kifejezetten hozzájárulnak. Annak megelőzése érdekében, hogy a tilalom ellenére az Alapítvány vezető tisztségviselőinek, munkavállalóinak, illetve az Alapítvánnyal munkavégzésre irányuló egyéb jogviszonyban álló személyeknek olyan adatait kezelje az Alapítvány, amely a családi és magánélet része, az Alapítvány jogosult egyes weboldalak elérését, illetve szolgáltatások igénybevételét korlátozni az Eszközökön. Az ilyen korlátozást megfelelő időben és az érintettek körében tett megfelelő tájékoztatást követően jogosult végrehajtani. Az Eszközök magáncélú felhasználásának korlátozása körében az Alapítvány elrendelheti pl. a közösségi médiafelületek elérésének tiltását.
41. Az Alapítvány az otthoni és távmunka során az Eszköz, valamint a magáneszköz munkahelyi célú felhasználása esetén ezen eszköz által naplózott és az eszköz felhasználó vezető
tisztségviselőhöz, munkavállalóhoz, vagy az Alapítvánnyal munkavégzésre irányuló egyéb arányosság követelményét megtartva az Alapítvány az eszközökön tárolt magáncélú adatokat nem ismeri meg és az adatkezelése a személyes adat jogosultjának családi és magánéletét nem érinti.
42. Az Alapítvány a vezető tisztségviselőnek, munkavállalónak, valamint az Alapítvánnyal munkavégzésre irányuló egyéb jogviszonyban álló személynek szóló tájékoztatásában köteles felhívni
az érintett figyelmét arra, hogy – amennyiben az Alapítvány ilyennel rendelkezik – az Alapítvány által használatra átadott olyan Eszköz, amely – munkaidőn kívül is – helyadatot rögzítik (pl. okostelefon, Eszköz helyét ellenőrizze vagyonvédelmi célból. Az ilyen adatkezelés munkaidőn kívül nem irányulhat arra, hogy az Alapítvány a vezető tisztségviselő, munkavállaló, vagy az Alapítvánnyal munkavégzésre irányuló egyéb jogviszonyban álló személy (feltételezett) tartózkodási helyadatát megismerje. Az Alapítvány – amennyiben erre az adott Eszköz lehetőséget ad – köteles biztosítani, hogy munkaidőn kívül a használatra átadott Eszköz magáncélú felhasználása alkalmával az érintett az Eszköz helyadat szolgáltatását kikapcsolhassa.
IV/D. [Online felülettel kapcsolatos adatkezelés]
43. Az Alapítvány kezelésében álló [hvskalapitvany.hu] honlap a honlapra történő látogatás tényénél fogva a Felhasználó végberendezésében sütik segítségével adattárolást, illetve adatkezelést hajthat végre a Felhasználó azonosítása, a Felhasználó további látogatásainak megkönnyítése, a Felhasználó részére célzott reklám és egyéb célzott tartalom eljuttatása és piackutatás céljából. A sütik használatához a Felhasználónak minden esetben hozzájárulását kell adni a honlapon megjelenő „Ez a weboldal sütiket (cookie-kat) használ’ tájékoztató szöveg mellett, e hozzájárulás kinyilvánítására megadott „Megértettem az adatkezelési tájékoztatóban foglaltakat, elfogadom a sütik használatát” ikon aktiválásával.
44. A Felhasználónak a sütik alkalmazására szóló hozzájárulását nem kötelező megadni ahhoz, hogy a honlapot látogatni tudja, ugyanakkor a hozzájárulás megadásának hiányában előfordulhat, hogy a honlap vagy annak egyes aloldalai nem működnek majd megfelelően, illetve a Felhasználó egyes adatokhoz való hozzáférését a honlap megtagadhatja. A „Megértettem az adatkezelési tájékoztatóban foglaltakat, elfogadom a sütik használatát ikon mellett elhelyezett „További információt kérek” ikon aktiválásával a Felhasználót a weboldal az Adatkezelési Szabályzat weboldal használatával kapcsolatos része kivonatát tartalmazó aloldalára irányítja.
45. A honlap használata során bizonyos felhasználói adatok automatikusan az Alapítvány kezelésébe kerülnek. Ezek a következő adatok:
a) Felhasználó honlappal való nyílt hálózaton keresztüli csatlakozást biztosító eszközének egyes adatai;
b) Felhasználó által használt IP cím.
Ezen adatok kezelésének kizárólagos célja, hogy az Alapítvány honlap-látogatottsági adatokhoz jusson, illetve a honlappal kapcsolatban felmerülő esetleges hibákat, továbbá támadási kísérleteket megfelelően észlelni és naplózni tudja. Az ilyen adatkezelés jogalapja egyrészt a Felhasználó hozzájárulása, másrészt az Alapítvány jogos érdekének védelme. Az Alapítvány az adatkezelésre vonatkozó tájékoztatást jelen alfejezet tartalmának honlapon történő közzétételével teljesíti, és a Felhasználó tudomásulvételét és hozzájárulását e körben a honlapra történő látogatásával mint ráutaló magatartással adja meg az Alapítvány részére.
46. Felhasználó kizárólagos felelősséggel tartozik azért, hogy az Alapítvány által üzemeltetett honlapon belépéshez használt felhasználó nevét és jelszavát jogosulatlan harmadik személy számára hozzáférhetővé ne tegye, ilyen személlyel azt ne közölje, ne semmisítse meg, ne veszítse el. Az Alapítvány nem vállal felelősséget azért, ha a Felhasználó felhasználói nevét és jelszavát vagy a honlapon megadott egyéb adatait a jelen Szabályzat, valamint az adatvédelemre vonatkozó mindenkor hatályos jogszabályok rendelkezéseitől eltérően kezeli, jogosulatlan harmadik személy számára hozzáférhetővé teszi, ilyen személlyel azt közli, megsemmisíti, elveszíti, és ebből közvetlenül vagy közvetetten joghátrány kockázata keletkezik számára.
47. A jelen alfejezet szerinti adatkezelés időtartama: a személyes adat Alapítvány általi rögzítésétől számított 10 év.
V. A személyes adatok jogosultjainak jogai
48. Azokat a természetes személyeket, akinek a személyes adatait az Alapítvány – bármely oknál fogva – kezeli, az Alapítvány adatkezelését illetően a következő jogosultságok illetik:
a.) tájékoztatáshoz való jog;
b.) helyesbítéshez való jog;
c.) elfeledtetéshez való jog;
d.) adatkezelés korlátozásához való jog;
e.) adathordozhatósághoz való jog;
f.) tiltakozáshoz való jog.
49. A személyes adat jogosultja a jelen fejezetben meghatározott jogát az Alapítványhoz eljuttatott kérelmével gyakorolhatja. A személyes adat jogosultja kérelmét elektronikusan, papír
alapon egyetemes postai szolgáltatás igénybevételével, vagy papír alapon az Alapítvány székhelyén az Alapítvány képviseletére jogosult vezető tisztségviselőjének, munkavállalójának vagy az Alapítvánnyal munkavégzésre irányuló egyéb jogviszonyban álló személynek történő átadással terjesztheti elő.
50. A kérelem átvételére jogosult személy a kérelmet a beérkezését következően haladéktalanul köteles továbbítani az Alapítványnak ügyintézés céljából. Az Alapítvány a kérelmet – annak
kézhezvételét követően haladéktalanul megvizsgálja – és amennyiben azt állapítja meg, hogy az nyilvánvalóan alaptalan vagy jogosulatlan személytől érkezett, úgy annak érdemi megvizsgálását elutasítja. Amennyiben a kérelem nem nyilvánvalóan alaptalan, illetve jogosult személy terjesztette elő, az adatvédelem felelős a kérelmet érdemben megvizsgálja. Az Alapítvány a kérelem kézhezvételétől számított legkésőbb 30 napon belül értesíti a kérelmet előterjesztőt a kérelem elbírálásáról (a kérelem elutasításáról vagy a kérelem teljesítéséről), illetve a megtett, illetve kezdeményezett intézkedésekről.
V/A. [Helyesbítéshez való jog]
51. Amennyiben az Alapítvány pontatlanul vagy hiányosan kezeli a személyes adat jogosultjának valamely személyes adatát, úgy a jogosult kérheti az Alapítványt, hogy a pontatlanul kezelt személyes adatot haladéktalanul helyesbítse, illetve a hiányosan kezelt személyes adatot haladéktalanul egészítse ki a jogosult által szolgáltatott és igazolt adatok alapján.
52. A személyes adat jogosultja (vagy képviseletében eljáró és igazolt meghatalmazottja) a helyesbítés iránti kérelmét a GDPR-nek megfelelő nyilatkozat megtételével és az Alapítvány részére történő megküldésével terjesztheti elő. Amennyiben a személyes adatot közokirat (pl. hatósági igazolvány) tartalmazza, úgy a kérelmező köteles felmutatni, illetve másolatban az Alapítvány részére átadni a személyes adat tartalmát igazoló közokiratot.
V/B. [Elfeledtetéshez való jog]
53. A személyes adatok jogosultja jogosult az Alapítványtól kérni személyes adatainak törlését az Alapítvány valamennyi nyilvántartásából. Az Alapítvány e kérelem beérkezését követően haladéktalanul törli a törölni kért személyes adatokat, ha az alábbi indokok egyike fennáll:
a) a személyes adatra nincsen szükség abból a célból, amely az adatkezelés alapját képezte;
b) a személyes adatok jogosulja adatkezeléshez hozzájáruló nyilatkozatát visszavonta, és az adatkezelésnek nincs egyéb jogalapja;
c) bebizonyosodik, hogy a személyes adatokat az Alapítvány jogellenesen kezelte;
d) jogszabályi kötelezettségnél fogva az Alapítvány köteles a személyes adatok törlésére.
54. A személyes adat jogosultja a törlés iránti kérelmét a GDPR-nek megfelelő nyilatkozat megtételével és az Alapítvány részére történő megküldésével terjesztheti elő.
55. Az Alapítvány a személyes adat törlését megtagadhatja, amennyiben a GDPR 17. cikk (3) bekezdésében meghatározott körülmények valamelyike fennáll.
V/C. [Adatkezelés korlátozásához való jog]
56. A személyes adatok jogosultja jogosult kérni az Alapítványt, hogy személyes adataira vonatkozó adatkezelést korlátozza amennyiben:
a.) a személyes adatok jogosultja vitatja az Alapítvány által gyűjtött és tárolt személyes adatai pontosságát, ezen adatok pontosságának vizsgálatára vonatkozó időtartamra; vagy
b.) az Alapítvány által végzett adatkezelés jogellenes, és a személyes adatok jogosultja a gyűjtött és tárolt személyes adatainak törlését ellenzi; vagy
c.) az adatkezelés célja megszűnt, és az Alapítványnak nincs szüksége a gyűjtött és tárolt személyes adatokra, de a személyes adatok jogosultja jogi igénye előterjesztése, érvényesítése vagy védelme érdekében kéri a további (korlátozott) adatkezelést; vagy
d.) a személyes adatok jogosultja tiltakozási jogával él, a tiltakozási jog jogszerűségének kivizsgálása idejére.
57. A személyes adat jogosultja (vagy képviseletében eljáró és igazolt meghatalmazottja) a korlátozás iránti kérelmét a GDPR rendelkezéseinek megfelelő nyilatkozat megtételével és az Alapítvány részére történő megküldésével terjesztheti elő.
58. A korlátozás alá eső személyes adatot az Alapítvány kizárólag tárolni jogosult. A korlátozás alá eső személyes adaton adatkezelést végrehajtani az Alapítvány kizárólag a jogosult előzetes írásbeli hozzájárulása vagy jogi érdekének előterjesztése, érvényesítése vagy védelme érdekében, továbbá az Európai Unió vagy tagállama fontos közérdekéből jogosult.
59. Amennyiben a személyes adat korlátozásának feltételei nem állnak fenn, úgy az Alapítvány a korlátozást feloldja, és erről előzetesen köteles tájékoztatni a személyes adatok jogosultját.
V/D. [Adathordozhatósághoz való jog]
60. Az olyan személyes adat vonatkozásában, amelyet az Alapítvány a személyes adat jogosultjának hozzájárulása alapján automatizált módon kezel a személyes adat jogosultja kérheti az
Alapítványt, hogy az általa rendelkezésre bocsátott személyes adatait az Alapítvány elektronikus formátumban – a GDPR 20. cikk (1) bekezdésében meghatározottak szerint – a rendelkezésére bocsássa.
61. Az Alapítvány a gyűjtött és tárolt személyes adatok elektronikus formában történő átadásánál köteles figyelemmel lenni arra, hogy a személyes adatok jogosultja az elektronikus formában átadott gyűjtött és tárolt személyes adatait jogosult átadni másik adatkezelőnek, vagy az Alapítványt felkérni arra, hogy e személyes adatokat közvetlenül küldje meg másik adatkezelőnek.
62. A személyes adat jogosultja (vagy képviseletében eljáró és igazolt meghatalmazottja) az adathordozás iránti kérelmét a GDPR rendelkezéseinek megfelelő nyilatkozat megtételével és az Alapítvány részére történő megküldésével terjesztheti elő.
V/E. [Tiltakozáshoz való jog]
63. A személyes adat jogosultja tiltakozhat a személyes adatainak Alapítvány általi adatkezelése ellen, amennyiben az Alapítvány az adatkezelést az Alapítvány vagy harmadik fél jogos érdekének érvényesítése érdekében hajtja végre.
64. A személyes adat jogosultja (vagy képviseletében eljáró és igazolt meghatalmazottja) a tiltakozás iránti kérelmét a GDPR rendelkezéseinek megfelelő nyilatkozat megtételével és az Alapítvány részére történő megküldésével terjesztheti elő.
65. A tiltakozó nyilatkozat Alapítvány általi elfogadását követően az Alapítvány nem jogosult az érintett személyes adatot az Alapítvány vagy harmadik fél jogos érdekének érvényesítése érdekében kezelni, kivéve, ha az Alapítvány bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos ok igazolja, amely elsőbbséget élvez az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyik jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódik
VI. Az Adatvédelmi felelős
66. Az Alapítvány valamennyi olyan vezető tisztségviselője, munkavállalója, illetve az Alapítvánnyal munkavégzésre irányuló egyéb jogviszonyban álló személy, aki személyes adatokra
vonatkozó adatkezelést folytat (pl. adminisztráció) köteles a jelen Szabályzat, valamint az adatkezelésre vonatkozó jogszabályok rendelkezéseinek megtartására.
67. Az Alapítványnál adatkezelési rendelkezések megtartásáért felelős és felhatalmazott személy (a továbbiakban: Adatvédelmi felelős) köteles a jelen Szabályzatban, valamint a jogszabályokban meghatározott adatkezelési rendelkezéseknek az Alapítvány vezető tisztségviselői, munkavállalói, illetve az Alapítvánnyal munkavégzésre irányuló egyéb jogviszonyban álló személyek által történő megtartását biztosítani és ellenőrizni.
68. Az Alapítvány Adatvédelmi felelőse:
69. Az Alapítvány Adatvédelmi felelősét az Alapítvány képviselői bízzák meg az Alapítvány vezető tisztségviselői, munkavállalói vagy az Alapítvánnyal munkavégzésre irányuló egyéb jogviszonyban álló más személyek közül; az Alapítvány Adatvédelmi felelőse jogviszonyának időtartama a vezető tisztségviselői jogviszony, munkaviszony vagy munkavégzésre irányuló egyéb jogviszony időtartamához igazodik. Az Adatvédelmi felelős jogviszonya megszűnik, ha:
a.) vezető tisztségviselői jogviszonya, munkaviszonya, munkavégzésre irányuló egyéb jogviszonya megszűnik;
b.) a tisztségről lemond;
c.) meghal;
d.) az Alapítvány képviselői tisztségéből visszahívják;
e.) az Alapítvány képviselői a tisztségétől (súlyos kötelezettségszegés okán) megfosztják.
70. Az Adatvédelmi felelős kijelölése alkalmával az Alapítvány köteles nyilatkozatot tenni arra vonatkozóan, hogy a GDPR és egyéb adatvédelmi jogszabályok rendelkezéseinek megfelelően nem köteles adatvédelmi tisztviselőt kijelölni. Az Alapítvány e nyilatkozatát az Adatvédelmi felelős kijelöléséről szóló dokumentum részeként kell megtenni, és egyértelművé kell benne tenni, hogy a kijelölt Adatvédelmi felelős jogállásában nem tekintendő a GDPR 37-39. cikkeiben meghatározott adatvédelmi tisztviselőnek.
71. Az Adatvédelmi felelős e tisztségét e tisztségre vonatkozó kijelölés elfogadásával, vagy amennyiben ez későbbi, akkor a kijelölésben meghatározott határnaptól kezdődően tölti be. Az Adatvédelmi felelős a kijelölés elfogadásával egyidejűleg titoktartást köteles vállalni a tisztsége ellátásával kapcsolatosan tudomására jutott személyes adatok vonatkozásában.
72. Az Adatvédelmi felelős feladatkörei:
a) az Adatvédelmi felelős köteles rendszeresen ellenőrzéseket végezni arra vonatkozóan, hogy a jelen Szabályzat rendelkezéseit az Alapítvány mindennapi működése és esetleges gazdasági tevékenysége során az arra kötelezettek megtartják-e;
b) az Adatvédelmi felelős köteles megvizsgálni az Alapítványhoz címzett – a személyes adatok jogosultjai részéről érkezett – kérelmeket (V. fejezet), és a nyilvánvalóan nem alaptalan és jogosult személy által előterjesztett kérelmek esetén köteles megtenni a szükséges intézkedéseket.
c) az Adatvédelmi felelős köteles kapcsolatot tartani és együttműködni a Hatósággal, illetve – szükséges esetén – egyéb tagállami adatvédelmi hatósággal;
d) az Adatvédelmi felelős adatvédelmi incidens lehetőségének felmerülése esetén köteles azt kivizsgálni és megalapozott lehetőség esetén az incidens által jelentett kockázatokat megakadályozni vagy mérsékelni, illetve a biztonság sérülését helyreállítani;
e) az Adatvédelmi felelős köteles az olyan adatvédelmi incidens esetén, amely természetes személy jogaira és szabadságaira kockázatot jelent, bejelentést tenni a Hatóságnak, vagy – szükség esetén – egyéb tagállami adatvédelmi hatóságnak; magas kockázat esetén köteles azt bejelenteni a Hatóságnak, vagy – szükség esetén – egyéb tagállami adatvédelmi hatóságnak, illetve arról tájékoztatni a személyes adat jogosultját;
f) az Adatvédelmi felelős jogosult az Alapítvány legfőbb szerve irányába javaslattal élni az Alapítvány adatkezelési gyakorlatának módosítása vonatkozásában;
g) az Adatvédelmi felelős jogosult a jelen Szabályzattal összefüggő mindenkori jogszabályi módosítások átvezetésére és a jelen Szabályzat változással egységes szerkezetbe foglalt hatályosított változatának összeállítására és közzétételére.
VII. Adatbiztonság és az adatok tárolásának rendje
73. Az Alapítvány az adatkezelést úgy hajtja végre, hogy a GDPR, valamint egyéb adatvédelmi jogszabályok megtartása mellett tiszteletben tartsa a személyes adat jogosultjának családi és magánélethez való alapvető jogát, egyéb jogait és szabadságait.
74. A személyes adatok tárolására vonatkozó jelen Szabályzatban meghatározott rendelkezések egyaránt vonatkoznak a papír alapon, illetve elektronikus formában tárolt olyan személyes adatra, amelyek nyilvántartási rendszerét részét képezik, illetve amelyeket az Alapítvány részben vagy egészben automatizált módon kezel. Az Alapítvány személyes adatok elektronikus tárolására az Alapítvány tulajdonában álló Eszközöket használ; a papír alapú nyilvántartásokat az Alapítvány tulajdonában vagy használatában álló olyan ingatlanokban vezeti, amelyeket az Alapítvány székhelyként, telephelyként vagy fióktelepként használ.
75. Az Alapítvány által adatkezelés érdekében gyűjtött és tárolt személyes adatok kizárólag a jelen Szabályzatban, illetve jogszabályban meghatározott célból, megfelelő jogcímmel kezelhetők.
76. Az Alapítvány által gyűjtött és tárolt személyes adatot olyan módon kell az Alapítványnak megőrizni az adatkezelés idején, hogy illetéktelen személy azokhoz ne tudjon hozzáférni. Az Alapítvány köteles biztosítani, hogy a gyűjtött és tárolt személyes adatot
a.) illetéktelen harmadik személy nem ismerheti meg, ahhoz férhet hozzá;
b.) nem vetik alá jogosulatlan adatkezelésnek;
c.) illetéktelen személy nem változtathatja meg, továbbíthatja, hozhatja nyilvánosságra, törölheti;
d.) nem továbbítják a jelen Szabályzat VII. pontjától eltérően;
e.) jogosulatlanul nem módosítják, illetve véletlenül vagy jogosulatlanul meg nem semmisítik, illetőleg törlik, teszik hozzáférhetetlenné;
f.) elvesztéstől, sérüléstől megóvják.
77. Az Alapítvány az adatkezelési, valamint ezzel kapcsolatos szervezési tevékenysége során figyelembe veszi a tudomány és technológia mindenkori állását és fejlődését. Törekszik arra, hogy az adatbiztonság fenntartása érdekében a lehető legbiztonságosabb, illetve a kockázat mértékének megfelelő adatbiztonságot garantáló technológiát alkalmazza a természetes személyek jogainak és szabadságainak védelme érdekében.
78. Az Alapítvány adatkezelési tevékenységéről nyilvántartást köteles vezetni (Adatkezelési Nyilvántartás) a GDPR 30. cikkében meghatározott rendelkezések tiszteletben tartásával. Az
Alapítvány az Adatkezelési Nyilvántartást elektronikus formában köteles elkészíteni és papír alapon köteles tárolni olyan helyen, ahol illetéktelen személy ahhoz nem férhet hozzá.
VIII. Adatok továbbításának rendje
79. Az Alapítvány nem jogosult az általa kezelt, őrzött személyes adatot más személynek továbbítani, vagy egyéb formában hozzáférhetővé tenni kivéve
a) amennyiben az adattovábbítást jogszabály írja elő (pl. statisztikai adatgyűjtés; munkáltatót terhelő adatszolgáltatási kötelezettség) és az adattovábbítás címzettjeként bíróság, hatóság vagy egyéb szerv az Alapítvány felé hivatalos megkeresését eljuttatja;
b) amennyiben az adattovábbításhoz az érintett kifejezett hozzájárulását adta, és az adattovábbítás címzettje az Alapítvánnyal kötelmi jogviszonyban lévő személy, továbbá az adattovábbítás a személyes adat jogosultja és az Alapítvány közötti kötelmi jogviszony teljesítése.
80. Az Alapítvány az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az Alapítvány által
kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályokban meghatározott egyéb adatokat.
81. Az Alapítvány a 84. a) pontjában meghatározott megkeresésre a megkeresésben meghatározott terjedelemben, a megkeresés teljesítéséhez szükséges mértékben biztosítja az általa
tárolt személyes adatok továbbítását.
82. Az Alapítvány a 84. b) pontjában meghatározott adattovábbítás szükségessége esetén köteles
tájékoztatni a személyes adat jogosultját
a.) az adattovábbítás címzettjének, valamint képviselőjének nevéről, elérhetőségéről;
b.) arról, hogy az adattovábbítással kapcsolatos tájékoztatás ismeréséhez és az adattovábbításhoz hozzájárul;
c.) az adattovábbítás pontos céljáról, konkrét terjedelméről;
d.) a személyes adat jogosultját megillető jogokról;
e.) a Hatóságnak címzett panasz, vagy bírósági jogorvoslat előterjesztésének lehetőségéről.
A személyes adat jogosultja konkrét adattovábbításhoz hozzájáruló nyilatkozatát a 11. a) pontban meghatározott nyilatkozattal egyidőben is megadhatja, amennyiben e nyilatkozat
megtétele idején a konkrét adattovábbítás szükségessége már ismert.
83. Az Alapítvány a 84. b) pontjában meghatározott adattovábbítás teljesítése során kizárólag azon személyes adatok továbbítására jogosult, amely a kötelmi jogviszony teljesítéséhez
elengedhetetlenül fontos és amelynek a továbbításához a személyes adat jogosultja kifejezett hozzájárulását megadta.
IX. Adatvédelmi incidens esetén követendő protokoll
84. Adatvédelmi incidens – a GDPR 4. cikk 12. pontjával összhangban – a biztonság olyan sérülése, amely lehet
a) a bizalmasság sérülése, így a továbbított, tárolt vagy más módon kezelt személyes adat jogosulatlan közlése vagy az ahhoz való jogosulatlan hozzáférés;
b) a hozzáférés sérülése, így a továbbított, tárolt vagy más módon kezelt személyes adat véletlen vagy jogellenes megsemmisítése, elvesztése;
c) az integritás sérülése, így a továbbított, tárolt vagy más módon kezelt személyes adat megváltoztatása.
85. Amennyiben az Alapítvány vezető tisztségviselője, munkavállalója, illetve az Alapítvánnyal munkavégzésre irányuló egyéb jogviszonyban álló személy azt tapasztalja, hogy az Alapítvány által gyűjtött, tárolt személyes adatok vonatkozásában fennállhat a biztonság sérülésének a lehetősége, haladéktalanul köteles az Alapítványt erről tájékoztatni (a továbbiakban: Jelzés). Biztonság sérülése minden olyan körülmény, amelynek eredményeként az Alapítvány adatkezelő rendszerében, nyilvántartásaiban sérülés következik be az adatbiztonsági rendelkezésekkel ellentétes módon. A biztonság sérülése nem jelenti feltétlenül adatvédelmi incidens bekövetkeztének a tényét is.
86. Az Alapítvány a Jelzést megtételét követően haladéktalanul köteles megvizsgálni és értékelni a helyzetet. A vizsgálatnak ki kell terjedni a biztonság sérülésének lehetőségeként jelzett körülmény valamennyi elemére, illetve a Jelzéssel érintett valamennyi nyilvántartás, így személyes adatok helyzetének vizsgálatára.
87. Az Alapítvány vizsgálata során elsődlegesen azt köteles megállapítani, hogy a biztonság sérülése ténylegesen megtörtént-e. Amennyiben az Alapítvány azt állapítja meg, hogy a biztonság nem sérült, úgy eljárását megszünteti és a vizsgálata eredményéről jelentést készít az Alapítvány ügyvezetése részére, és azt a nyilvántartásba bevezeti.
88. Amennyiben az Alapítvány azt állapítja meg, hogy a biztonság megsérült, úgy másodsorban köteles megvizsgálni, hogy adatvédelmi incidens történt-e. Amennyiben az Alapítvány azt állapítja meg, hogy adatvédelmi incidens nem történt, úgy köteles megtenni mindazon intézkedést, amely a biztonság helyreállítása érdekében szükséges, továbbá eljárását megszünteti és a vizsgálat eredményéről jelentést készít az Alapítvány ügyvezetése részére, és azt nyilvántartásába bevezeti.
89. Amennyiben az Alapítvány azt állapítja meg, hogy a biztonság sérülésével egyidőben adatvédelmi incidens is történt, úgy köteles harmadsorban megvizsgálni, hogy az adatvédelmi incidens az érintett személyes adatok jogosultjainak jogaira és szabadságaira kockázatot jelent-e. Amennyiben azt állapítja meg, hogy ilyen kockázatot az adatvédelmi incidens nem jelent, úgy köteles megtenni mindazon intézkedést, amely a biztonság helyreállítása érdekében szükséges, továbbá eljárását megszünteti és a vizsgálat eredményéről jelentést készít az Alapítvány ügyvezetése részére, és azt nyilvántartásába bevezeti.
90. Amennyiben az Alapítvány azt állapítja meg, hogy a biztonság sérülésével egyidőben az adatvédelmi incidens kockázatot jelent az érintett személyes adat jogosultjainak jogaira és
szabadságaira, úgy az Alapítvány azt köteles megvizsgálni, hogy ez a kockázat milyen mértékű. Amennyiben az adatvédelmi incidens az érintett személyes adat jogosultjai jogaira és szabadságaira kockázatot jelent, úgy köteles vizsgálata eredményéről jelentést készíteni az Alapítvány ügyvezetése részére, és azt nyilvántartásába bevezetni, továbbá azt a Hatóságnak, vagy – szükség esetén – egyéb tagállami adatvédelmi hatóság részére bejelenteni.
91. Amennyiben az Alapítvány 90. pontban meghatározott vizsgálata azt állapítja meg, hogy az adatvédelmi incidens az érintett személyes adat jogosultjai jogaira és szabadságaira magas
kockázatot jelent, úgy köteles vizsgálata eredményéről jelentést készíteni az Alapítvány ügyvezetése részére, és azt nyilvántartásába bevezetni, illetve a Hatóság, vagy – szükség esetén – egyéb tagállami adatvédelmi hatóság részére bejelenteni, továbbá az érintett személyes adatok jogosultjait az adatvédelmi incidensről tájékoztatni.
92. Az Alapítvány mint adatkezelő az Alapítvány útján a 90., illetve a 91. pontokban meghatározott bejelentési kötelezettségét indokolatlan késedelem nélkül, de legkésőbb az
adatvédelmi incidens tudomására jutásától számított 72 órán belül köteles teljesíteni. Az Alapítvány mint adatkezelő akkor jut az adatvédelmi incidens tudomására, amikor az Alapítvány kellő bizonyossággal meg tudja állapítani a biztonság sérülésének tényét. Az Alapítvány a biztonság sérülése ténye megállapítását követően haladéktalanul köteles értékelni a helyzetet.
93. Amennyiben az Alapítvány a 92. pontban jelzett 72 órán belül nem tudja lefolytatni a 90-91. pontokban jelzett vizsgálatát, úgy köteles a határidőn belül megtenni a bejelentését, illetve tájékoztatását, és vizsgálatát köteles tovább folytatni. Amennyiben a 90-91. pontokban meghatározott vizsgálat eredménye az Alapítvány rendelkezésére áll, úgy arról kiegészítő bejelentést/kiegészítő tájékoztatást vagy módosító bejelentést/módosító tájékoztatást köteles tenni.
94. Az Alapítvány a 90-91. pontokban meghatározott bejelentési kötelezettség a Hatóság által rendszeresített elektronikus űrlap kitöltésével, illetve Hatóságnak történő megküldésével, vagy egyéb tagállami adatvédelmi hatóság esetén ezen hatóság, illetve tagállami jog által meghatározott ormában köteles teljesíteni. A bejelentésben az Adatvédelmi felelős az Alapítvány képviseletében a következő adatokat köteles megadni:
a) az adatvédelmi incidens típusa;
b) az adatvédelmi incidenssel érintett személyes adatok jogosultjainak kategóriája;
c) az adatvédelmi incidenssel érintett személyes adatok jogosultjainak (közelítő) száma;
d) az adatvédelmi incidenssel érintett személyes adatok típusa;
e) az adatvédelmi incidenssel érintett személyes adatok (közelítő) száma.
95. Az Alapítvány a különböző adattípusban tartozó személyes adatokat érintő adatvédelmi incidensről külön-külön bejelentéseket köteles tenni.
96. Az Alapítvány nem köteles bejelentést tenni, amennyiben az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira. A kockázat fennállására vonatkozó értékelést az Alapítvány az eset összes körülményének figyelembevételével köteles teljesíteni. Azt a körülményt, hogy az adatvédelmi incidens a természetes személyek jogaira és szabadságaira kockázattal nem jár, bizonyítani és jelentésbe foglalni, valamint a biztonság helyreállítása érdekében szükséges intézkedéseket megtenni köteles.
97. Az Alapítvány a 91. pontban meghatározott tájékoztatási kötelezettségét indokolatlan késedelem nélkül köteles teljesíteni. A kockázat jellegének értékelésére a 90-91. pontokban meghatározott vizsgálata során – az eset összes körülményére tekintettel – az Alapítvány köteles. Ennek keretében az Alapítvány köteles figyelembe venni többek között:
a) az adatvédelmi incidens típusát;
b) az adatvédelmi incidenssel érintett személyes adat típusát;
c) az adatvédelmi incidenssel érintett személyes adat érzékenységét;
d) az adatvédelmi incidenssel érintett személyes adatok mértékét;
e) az adatvédelmi incidenssel érintett természetes személy kiszolgáltatottságát.
Az adatvédelmi incidens révén a természetes személy jogaira és szabadságaira vonatkozó kockázat akkor magas, ha azzal a személyes adat jogosultját fizikai, anyagi és nem anyagi értelemben kár érheti.
98. Az Alapítvány a következőkről köteles tájékoztatni a személyes adat jogosultjait:
a) az adatvédelmi incidens ténye, jellege;
b) az Alapítvány neve és elérhetőségei;
c) az adatvédelmi incidens lehetséges következményei;
d) az adatvédelmi incidens eredményeként előállt magas kockázat mérséklésére és az incidens előtti állapot helyreállítására az Alapítvány mint adatkezelő által igénybe vett eszközök.
99. Az Alapítvány a tájékoztatását a személyes adatok jogosultjai által (köz)érthető és egyszerű megfogalmazással, releváns nyelven és késedelem nélkül köteles megtenni olyan kommunikációs csatornán, amelyen az Alapítvány értékelése alapján a tájékoztatás a leghamarabb megérkezik a személyes adatok jogosultjaihoz. Az Alapítvány egyszerre akár több kommunikációs formát is igénybe vehet a tájékoztatási kötelezettség teljesítése érdekében.
100. Az Alapítvány a személyes adatok jogosultjainak szóló tájékoztatást akkor mellőzheti, ha
a) az adatvédelmi incidens a személyes adatok jogosultjainak jogaira és szabadságaira magas kockázatot nem jelent, mert például a jogosulatlan harmadik személlyel közölt személyes adathoz e személy hozzáférni (titkosítás okán) nem tud, és az adatkezelő birtokában van az érintett személyes adatokról másolat;
b) az adatvédelmi incidens lehetőségéről való tudomásszerzést követően haladéktalanul megtett intézkedések eredményeként a magas kockázat lehetősége fel sem merült;
c) az adatvédelmi incidens eredményeként előállt kockázat egyéb okból nem tekinthető magasnak.
101. Az Alapítvány a 90-91. pontokban meghatározott bejelentési és tájékoztatási kötelezettsége teljesítésével egyidőben, a vizsgálat eredményének megismerését követően haladéktalanul köteles megtenni minden intézkedést, amely a biztonság sérülését és az adatvédelmi incidenst megszünteti. Ennek keretében az Alapítvány – lehetőségeihez és a körülményekhez képest – köteles az adatvédelmi incidensben érintett személyes adatok integritását, hozzáférhetőségét, és bizalmasságát helyreállítani. Az Alapítvány a megtett intézkedéseiről jelentést köteles készíteni az Alapítvány vezető tisztségviselője részére.
X. Jogorvoslat
104. Amennyiben a személyes adat jogosultja a személyes adatai kezelése vonatkozásában azt tapasztalja, hogy az Alapítvány megsérti az adatvédelmi jogszabályokban meghatározottakat, úgy jogai védelme érdekében jogorvoslati kérelemmel fordulhat a területileg illetékes bírósághoz, vagy a Nemzeti Adatvédelmi és Információszabadság Hatósághoz.
105. A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei:
Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.
Telefon: +36 (1) 391-1400 Fax: +36 (1) 391-1410
Elektronikus elérhetőség: ugyfelszolgalat@naih.hu Weboldal: http://naih.hu
XI. Záró rendelkezések
106. A jelen Szabályzat 2018. május 30. napjától hatályos. A Szabályzatot a hatályba lépését követően keletkező, illetve olyan már fennálló jogviszonyokra kell alkalmazni, amelyekben adatkezelés 2018. május 30. napját követően történik.
107. A jelen Szabályzat hatályba lépéséről, illetve annak alkalmazásáról az Alapítvány köteles minden ügyfelét, illetve az Alapítvánnyal egyéb jogviszonyt létesítő természetes személy figyelmét felhívni, illetve a jelen Szabályzatot számukra köteles elérhetővé tenni.
Debrecen, 2018. május 30.
Szücsné Harsányi Judit, elnök
HVSK Alapítvány
“Adatkezelési szabályzat” letöltése
hvsk-alapitvany-adatkezelesi-szabalyzat.pdf – Letöltve 3444 alkalommal – 173,60 KB