1.        Általános bevezetés

1.1. Az Adatkezelő megnevezése:

Neve:

Design Board Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság

Székhelye:

                  1037 Budapest, Bóbita utca 2. E. lház. 1. em

Cégjegyzékszám:

01-09-378328

Telefonszám:

+36 30 690 3116

E-mail cím:

info@designboard.hu

Vezető tisztségviselő:

Köpeczi-Bócz Gábor
(ügyvezető)

 

1.2. Törvényi hivatkozások

Jelen Szabályzat az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: „Infotv.”), valamint az Európai Uniós adatvédelmi rendelet (az Európai Parlament és a Tanács 2016/679 Rendelete; a továbbiakban: „GDPR”) előírásai alapján készült.

2.    Szabályok, bevezető rendelkezések

2.1. A rendelkezés célja

Jelen Szabályzat célja, hogy meghatározza a Design Board Kft. által vezetett nyilvántartások vezetésének törvényes rendjét, valamint biztosítsa az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, és megakadályozza a személyes adatokhoz való jogosulatlan hozzáférést, az adatok megváltoztatását és jogosulatlan nyilvánosságra hozatalát, a Design Board Kft. szerződéskötései és a szerződéseinek teljesítése során.

2.2. A szabályzat hatálya

Időbeli hatály: jelen szabályzat a Design Board Kft. ügyvezetője általi elfogadás napján lép hatályba és visszavonásig érvényes. Felülvizsgálatát az adatkezelés körülményeiben beállt lényeges változás után, de legalább évente el kell végezni. Különös figyelemmel kell kezelni az adatvédelmi területen hatályba lépő jogszabályra történő felkészülést.

Személyi hatály: a szabályzat személyi hatálya kiterjed az Adatkezelőre, valamint az Adatkezelő részére adatfeldolgozó tevékenységet végző szerződéses partnerekre, függetlenül az adatkezelés/adatfeldolgozás céljától és módjától.

Tárgyi hatály: a szabályzat tárgyi hatálya kiterjed az Design Board Kft. minden egyes szervezeti egységénél folytatott, a Design Board Kft. ügyfeleinek személyes adatait érintő valamennyi adatkezelésre.

Területi hatály: a szabályzat területi hatálya kiterjed azokra az Adatkezelő helyiségekre és külső helyszínekre, ahol adatkezelés/adatfeldolgozás folyik.

2.3. Fogalmak

adatbiztonság:

bármilyen tárgyú, bármilyen formában tárolt adatok fizikai védelme megsemmisülés, illetéktelen hozzáférés, adathiba, vagy jogosulatlan megváltoztatás ellen

adatfeldolgozó:

az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel; 

adatkezelés:

a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés; 

adatkezelő:

az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja; 

adatkezelés korlátozása:

a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából; (csak adattárolás)

adatmegsemmisítés:

az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése

adattörlés:

az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges

adattovábbítás:

az adat meghatározott harmadik fél számára hozzáférhetővé tétele

adatvédelem:

személyes adatok jogszerűtlen kezelésének megakadályozása, a magánszféra védelme

adatvédelmi incidens:

személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés

bizalmasság:

az adatot csak az arra jogosultak és csak a jogosultságuk szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról

címzett:

az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e.

érintett:

bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;

harmadik fél:

az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak; 

harmadik ország:

minden olyan állam, amely nem EGT-állam

hozzájárulás

az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez; 

nyilvántartási rendszer:

a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető; 

statisztikai adat:

a személyes adatok feldolgozása olyan módon – pl.: statisztikai módszerekkel -, hogy az adattörlésre vonatkozó rendelkezések érvényesülnek, azaz az egyes személyekkel minden kapcsolatuk megszakadt, és ez a kapcsolat nem is állítható helyre

rendelkezésre állás:

annak biztosítása, hogy a szükséges adat a szükséges időben az arra jogosultak számára az általuk elvárt formában hozzáférhető, elérhető legyen

sértetlenség:

az adat létének, hitelességének, épségének, önmagában teljességének kritériuma

személyes adat:

azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható; 

nyilvánosságra hozatal:

az adat bárki számára hozzáférhetővé tétele

tiltakozás:

az érintett nyilatkozata. amelyben él a jogosultságával, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

 

3.      Érintett jogai és azok érvényesítése

3.1.            Általános szabályok

  • Az Adatkezelő az adatkezeléssel kapcsolatos tájékoztatásának akként tesz eleget, hogy jelen szabályzatot és annak mellékletét képező tájékoztatót közzéteszi a Design Board Kft. weboldalán, továbbá bármely érintett kérésére külön is rendelkezésre bocsátja.
  • Az Adatkezelő elősegíti az érintett jogainak a gyakorlását.
  • Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelme alapján hozott intézkedésekről.
  • A kérelem összetettsége és a kérelmek száma esetén ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.
  • Amennyiben elektronikus úton érkezett a kérelem, az Adatkezelő a tájékoztatást lehetőség szerint elektronikus úton adja meg, kivéve, ha az érintett azt másként kéri.
  • Az Adatkezelő, amennyiben nem tesz intézkedéseket az érintett kérelme követően, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
  • Az érintett tájékoztatását és a szükséges intézkedést díjmentesen kell biztosítani.
  • Az Adatkezelő, amennyiben az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adminisztratív költségekre tekintettel észszerű összegű díjat számíthat fel, vagy megtagadhatja a kérelem alapján történő intézkedést.
  • Az Adatkezelőt terheli a kérelem egyértelműen megalapozatlan, vagy túlzó jellegének bizonyítása.
  • A kérelmeket az érintett, valamint meghatalmazottja terjesztheti elő. A kérelem kezelésének feltétele, hogy a meghatalmazott által beadott írásbeli kérelem esetén a tájékoztatás kérése teljes bizonyító erejű magánokiratban érkezzen és abból a meghatalmazotti jogosultság megállapítható legyen, valamint az érintett a személyazonosságát, illetve a meghatalmazott a meghatalmazotti jogosultságát hitelt érdemlően igazolja.

3.2.            Az érintett előzetes tájékoztatása tőle beszerzett adatok esetén

Az Adatkezelő az adatkezelés megkezdése előtt tájékoztatja az érintettet, amely tartalmazza az alábbiakat:

  1. az Adatkezelő kapcsolattartójának elérhetőségeit;
  2. a személyes adatok tervezett kezelésének célját, valamint az adatkezelés jogalapját;
  3. jogos érdeken alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekeit;
  4. adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
  5. az Adatkezelő harmadik országba történő adattovábbítását és a szükséges garanciákat (a 46. cikkben, a 47. cikkben vagy a 49. cikk)

 

  1. a személyes adatok tárolásának időtartamát, vagy ezen időtartam meghatározásának szempontjait;
  2. az érintett azon jogát, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen
  3. az érintett adathordozhatósághoz való jogát;
  4. hozzájáruláson alapuló adatkezelésnél, az érintett jogát a hozzájárulás bármely időpontban történő visszavonásához, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
  5. a felügyeleti hatósághoz címzett panasz benyújtásának jogát;
  6. azt a körülményt, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul, vagy szerződés kötésének előfeltétele-e, illetve az érintett köteles-e a személyes adatokat megadni, illetve milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
  7. automatizált döntéshozatal esetén ennek tényét, ideértve a profilalkotást is, valamint az alkalmazott logikára és arra vonatkozóan érthető információkat, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

Az érintetti tájékoztatás az Adatkezelő személyes adatkezelési tevékenységével összefüggésben jelen Szabályzat 1. számú Mellékletét képezi.

  • Az érintett tájékoztatása nem tőle beszerzett adatok esetén

Amennyiben az Adatkezelő a személyes adatokat nem az érintettől szerezte be:

  • a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
  • ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával;
  • ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor

tájékoztatja az érintettet:

  1. az adatkezelő és az adatvédelmi tisztviselő/megbízott elérhetőségeit (ha van);
  2. a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapját;
  3. amennyiben az adatkezelés jogos érdeken alapul, az adatkezelő vagy harmadik fél jogos érdekeit;
  4. az érintett személyes adatok kategóriáit;
  5. a személyes adatok címzettjeit, illetve a címzettek kategóriáit;
  6. harmadik országbeli címzett esetén a megfelelő garanciákat;
  7. a személyes adatok tárolásának időtartamát, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjait;
  8. az érintett személyes adataihoz való hozzáférésének, azok helyesbítésének, törlésének vagy kezelés korlátozásának, és tiltakozásának, valami az adathordozhatósághoz való jogát;
  9. hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
  10. felügyeleti hatósághoz címzett panasz benyújtásának jogát;
  11. automatizált döntéshozatal tényét, ideértve a profilalkotást

érintő érdemi körülményekről.

Amennyiben az Adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatja az érintettet erről az eltérő célról és minden releváns kiegészítő információról.

Nem kell az Adatkezelőnek tájékoztatni az érintettet, ha és amilyen mértékben:

  • az érintett már rendelkezik az információkkal;
  • az adat megszerzését, vagy közlését kifejezetten előírja az Adatkezelőre vonatkozó jogszabály.

3.4.            Az érintett hozzáférési joga (kérelmére tájékoztatás)

Az érintett az Adatkezelőtől (Adatfeldolgozótól) tájékoztatást kérhet a személyes adatai kezelése kapcsán az adatkezelés lényeges körülményeiről, mint:

  1. az adatkezelés céljai;
  2. az érintett személyes adatok kategóriái;
  3. azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
  4. adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
  5. az érintett jogát, hogy kérheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
  6. felügyeleti hatósághoz címzett panasz benyújtásának jogát;
  7. ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
  8. automatizált döntéshozatal ténye, ideértve a profilalkotást is, az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

3.5.            Az érintett kérelme személyes adatainak helyesbítésére

Az Adatkezelő biztosítja annak a lehetőségét, hogy az érintett a személyes adatait – pontosítás céljából – helyesbítse, javítsa vagy módosítsa.

Ha az érintett kérelmében megjelölt személyes adat a valóságnak nem felel meg és a valóságnak megfelelő személyes adat az Adatkezelő rendelkezésére áll, a személyes adatot az Adatkezelő ez alapján helyesbíti.

3.6.            Az érintett személyes adatainak törlése

Az érintett kérheti adatainak haladéktalan törlését az Adatkezelőtől amennyiben

  1. a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték; (az adatkezelés célja megvalósult)
  2. az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
  3. az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
  4. a személyes adatokat jogellenesen kezelték;
  5. a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

Az Adatkezelő nem törli az adatokat amennyiben az adatkezelés:

  1. a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
  2. a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó jogszabályi kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
  3. létfontosságú érdekből, a népegészségügy területét érintő közérdek alapján;
  4. a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból,
  5. jogi igények előterjesztéséhez, érvényesítése, illetve védelme érdekében történt.

3.7.            Az adatkezelés korlátozása

Az érintett kérheti az alábbi esetekben, hogy az Adatkezelő korlátozza az adatkezelést:

  1. az érintett vitatja a személyes adatok pontosságát, ilyen esetben a korlátozás az adatkezelő által történő ellenőrzés idejére terjed ki
  2. az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését
  3. az adatkezelőnek már nincs szüksége a személyes adatokra, de az érintett igényli azokat a saját jogi igényei előterjesztéséhez, érvényesítéséhez vagy védelméhez
  4. az érintett tiltakozott az adatkezelés ellen, ilyen esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Amennyiben az érintett kérte személyes adatai kezelésének korlátozását, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy fontos közérdekéből lehet kezelni.

Az Adatkezelő az érintettet az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

3.8.            A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

Az Adatkezelő feladata, hogy értesítse a helyesbítés, a korlátozás és a törlés végrehajtásáról az érintettet, továbbá minden olyan címzettet, akiknek korábban az adatok adatkezelés céljára továbbításra kerültek.

Az értesítés mellőzhető, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel.

Az érintett kérheti, hogy az Adatkezelő tájékoztassa e címzettekről.

3.9.            Az érintett adathordozhatósághoz való joga

Az érintett kérheti a hozzájáruláson, vagy a szerződésen alapul és automatizált módon történő adatkezelés esetén, hogy az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, jogosult arra is, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.

Az érintett kérheti a személyes adatok adatkezelők közötti közvetlen továbbítását.

Az adathordozhatósághoz való jog gyakorlása nem érintheti hátrányosan mások jogait és szabadságait.

3.10.        Az érintett tiltakozása

Az érintett tiltakozhat személyes adatainak kezelése ellen, amennyiben a közhatalmi feladatok ellátása, vagy jogos érdeken alapul. (a profilalkotás is)

Az érintett tiltakozása esetén az Adatkezelő a személyes adatokat törli, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

3.11.        Az érintett kérelmének kezelése és nyilvántartása

Az érintett kérelmének elbírálását a szabályzat 3.1. pontjában leírtak szerint elvégzi az Adatkezelő. Az Adatkezelő minden olyan címzettet tájékoztat a helyesbítésről, törlésről vagy korlátozásról, akivel az adatokat közölték. Az érintetti kérelmeket nyilvántartja az Adatkezelő.

3.12.        Az érintett jogorvoslati lehetőségeinek kezelése (NAIH vizsgálat, bírósági jogérvényesítés, kártérítési igények kezelése)

Az érintett személyes adatai kezelésével kapcsolatos vélt jogsérelem esetén az illetékes törvényszékhez fordulhat, vagy vizsgálatot kezdeményezhet a Nemzeti Adatvédelmi és Információszabadság Hatóságnál.

Ezekben az esetekben az Adatkezelőnek feladata a hatósági vizsgálat, illetve a bírósági tárgyalások során a saját jogkövető magatartását bizonyítani.

A bizonyítási eljáráshoz az Adatkezelőnek minden lényeges információt, szabályzatot, naplóbejegyzést a jogi képviselő rendelkezésére kell bocsátani. A feladatokat az Adatkezelő koordinálja.

4.      Adatok kezelésének alapvető feltételei

4.1.            Az adatkezelések célja

A személyes adatok kezelése esetén egyértelműen kell meghatározni az adatkezelés jogszerű célját.

4.2.            Az adatkezelés jogalapja

Az adatkezelések csak megfelelő jogalappal végezhetők.

Ezek a következők lehetnek:

  1. az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
  2. az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
  3. az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  4. az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  5. az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
  6. az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Különös figyelemmel kell kezelni az érdekmérlegelésen alapuló adatkezeléseket. Ilyen esetben el kell végezni és megismerhetővé kell tenni az érdekmérlegelési tesztet.

Az érdekmérlegelési teszt során a következő lépéseket kell megtenni:

  1. A tervezett adatkezelés megkezdése előtt át kell tekinteni, hogy az adatkezelési cél elérése érdekében feltétlenül szükséges-e személyes adat kezelése, állnak-e rendelkezésre olyan alternatív megoldások, amelyek alkalmazásával személyes adatok kezelése nélkül megvalósítható a tervezett cél.
  2. A lehető legpontosabban meg kell meghatározni az Adatkezelő, mint az Adatkezelő, jogos érdekét.
  3. Meg kell határozni az adatkezelés pontos célját, valamint meg kell állapítani, hogy a jogos érdek meddig igényli az adat kezelését.
  4. Meg kell határozni az érintett érdekeit az adott adatkezelés vonatkozásában.
  5. Meg kell határozni, hogy miért korlátozza arányosan az Adatkezelő jogos érdeke az érintett személyek jogait és szabadságait.

4.3.            Az adatkezelés időtartama

A személyes adatokat az egyes adatkezelések esetében a cél megvalósulásáig, illetve meghatározott ideig lehet megőrizni.

A megőrzés időtartama nem lehet ellentétben az iratkezelési szabályzatban vagy jogszabályban meghatározott őrzési idővel.

4.4.            Az adatkezelés alapelvei

Az Adatkezelő az adatkezelés folyamataiban érvényesíti a következő alapelveket:

Jogszerűség, tisztességes eljárás és átláthatóság:

A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi.

Célhoz kötöttség:

A személyes adatok gyűjtését csak meghatározott, egyértelmű és jogszerű célból folytatja, azokat nem kezeli a célokkal össze nem egyeztethető módon;

Nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés.

Adattakarékosság:

Az Adatkezelő csak az adatkezelés céljai szempontjából megfelelő és releváns és szükséges személyes adatokat kezel.  

Pontosság:

Az Adatkezelő minden észszerű intézkedést megtesz annak érdekében kezelt személyes adatok pontosak, szükség esetén naprakészek és szükségesek legyenek. Az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törli, vagy helyesbíti az Adatkezelő.

Korlátozott tárolhatóság:

A személyes adatokat az adatkezelő -az érintettek azonosítására alkalmas módon – csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig kezeli.

Integritás és bizalmas jelleg (adatbiztonság):

Az Adatkezelő a személyes adatok kezelését oly módon végzi, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is beleértve.

Elszámoltathatóság:

Az Adatkezelő felelősséget vállal az alapelvek betartásáért, továbbá képes a megfelelőség igazolására.

4.5.            Titoktartási kötelezettség

Az Adatkezelő munkavállalóit, valamint az Adatkezelővel adatkezelési, vagy adatfeldolgozói viszonyban álló más személyt, illetve szervezetet, az érintettekkel kapcsolatos, adat és egyéb tény vonatkozásában, időbeli korlátozás nélkül titoktartási kötelezettség terheli, függetlenül attól, hogy az adatot közvetlenül az érintettől, illetve közvetett módon az Adatkezelő dokumentációiból, vagy bármely más módon ismert meg.

A titoktartási kötelezettség megszegése munkajogi, valamint büntetőjogi szankciót von maga után.

A titoktartási kötelezettség nem vonatkozik arra az esetre, ha ez alól az érintett felmentést adott, vagy a jogszabály az adat szolgáltatásának a kötelezettségét írja elő.

4.6.            Adatvédelmi incidensek kezelése

Az Adatkezelő az adatvédelmi incidensekről nyilvántartást vezet.

  1. Amennyiben valószínűsíthető a kockázat, akkor az adatvédelmi incidenst az Adatkezelő a tudomására jutástól számítva késedelem nélkül, de legkésőbb 72 órával ezután bejelenti a NAIH-nak.
  2. Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül az érintettet is tájékoztatja az adatvédelmi incidensről.

Magas a kockázatú az incidensek hatása, ha az érintettekre jelentős vagy akár visszafordíthatatlan következményekkel járhatnak, amelyek komoly nehézségekkel járnak, vagy nem lehet megoldani.  (vagyoni kár, munkahely elvesztése, munkaképtelenség, hosszú távú pszichés vagy fizikai betegségek, halál, stb.)

Nem kell tájékoztatni az érintettet, amennyiben

  1. Megfelelő technikai és szervezési védelmi intézkedések kerültek végrehajtásra az adatvédelmi incidens által érintett adatok tekintetében (például a titkosítás), amelyek révén a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenek az adatok
  2. Az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
  3. A tájékoztatás aránytalan erőfeszítést tenne szükségessé. (Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.)

4.7.            Adatvédelmi hatásvizsgálat

Olyan adatkezelés esetében, ami valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelést megelőzően hatásvizsgálatot kell végezni a GDPR alkalmazásának megkezdése után.

Az egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

Az adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:

  1. természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek
  2. különleges adatok nagy számban történő kezelése
  3. nyilvános helyek nagymértékű, módszeres megfigyelése

4.8.            Adatbiztonság

4.8.1.      Általános adminisztratív intézkedések

  • Az adatkezelő kialakítja az adatbiztonsági eljárásait az informatika szabályozásban.
  • Összehangolja az adatkezelő az ügyviteli szabályait az adatvédelmi követelményekkel.
  • Kiköti a kompatibilitás vizsgálatát az eszközök beszerzésekor.
  • Rendszeres karbantartást ír elő az eszközök rendelkezésre állásának fenntartása érdekében.
  • Nyilvántartja a külső adathordozókat (pl. pendrive-ok)
  • Jogtiszta szoftvereket használ, melyeket nyilvántart.
  • Nyilvántartja a személyes adatok kezeléséhez használ informatikai eszközöket.

4.8.2.      Általános fizikai intézkedések

  • Kifejezetten ügyel a tűzvédelmi szabályok betartására az adatvesztés megelőzése érdekében.
  • Vagyonvédelmi rendszerekkel védi az adathordozókat tartalmazó helyiségeit, valamint az eszközeit a jogosulatlan fizikai hozzáféréstől.
  • Védi a helyiségeit az adathordozókat károsító behatásoktól, (extrém hőmérséklet és páratartalom)
  • Rendszeresen végrehajtja az eszközök karbantartását.
  • Szünetmentes tápegységgel hidalja át az áramkimaradás okozta adatvesztéseket.

4.8.3.      Általános logikai védelmi intézkedések

  • Jogosultsági rendszer alkalmazásával korlátozza az adatok megismerhetőségét és ezeket évente felülvizsgálja.
  • A szükséges mértékben naplózza a személyes adatok hozzáféréseit, valamint a biztonsági eseményeket
  • Rendszeresen végrehajtja a szoftverek frissítését.
  • Megfelelő védelmi szoftverek (tűzfal, vírusírtó) alkalmazásával és az alkalmazások biztonsági beállításával mindent megtesz a rosszindulatú programok károkozásával szemben.
  • Szükséges mértékben korlátozza a külső portok (pl. usb) használatát.
  • A külső partnerekkel történő email levelezés során csak titkosított módon lehet továbbítani személyes adatokat.
  • Az archív email-ek elérését központi tárhelyen biztosítja.

4.8.4.      Adattárolás

Az Adatkezelő adatkezelései során elektronikus dokumentáció keletkezik.

Az elektronikus dokumentáció megfelelő szintű informatikai biztonsági szabályok betartásával kerül tárolásra.

Az elektronikus adatok tárolását az Adatkezelő fizikai és logikai védelemmel biztosítja.

4.8.5.      Adatok módosítása

A rögzített adatok módosítását csak arra jogosult felhasználó végezheti el. A módosításkor törekedni kell arra, hogy a módosított adat előzménye is megismerhető legyen.

A módosításra a jogosultságot az Adatkezelő engedélyezi.

4.8.6.      Adatok másolása

Az adatok rendelkezésre állásának érdekében az Adatkezelő biztonsági másolatot készít legalább fél éves időközönként.

4.8.7.      Anonimizálás

Az adatokból képzett, a személy azonosítására alkalmas adatoktól megfosztott újonnan képzett adatokat, az Adatkezelő felhasználhatja statisztikák, belső kimutatások és pályázati indikátorok készítésére.

Az Adatkezelő anonimizálást alkalmaz minden olyan esetben, amikor az anonim adatok is elégségesek az Adatkezelő pályázati tevékenysége teljesítményének, hatékonyságának mérésére, valamint ahol szerződés, vagy jogszabály írja elő pontos statisztikai adatok szolgáltatását.

4.8.8.      Adatok törlése, megsemmisítése

Az adatok megőrzési ideje adatkezelésenként kerül meghatározásra.

Az Adatkezelő a megőrzési idő lejártával, vagy a 3.6 pont alapján fizikailag törli a személyes adatokat.

Az Adatkezelő az elektronikus adatok törlésére alapvetően két módot alkalmaz

  1. az adatok logikai és fizikai (felülírással) törlése,
  2. az adatok anonimizálása, azaz megfosztása a természetes személy azonosítására alkalmas adatelemektől

4.9.            Adatfeldolgozás

Az Adatkezelő adatkezelési tevékenységeihez adatfeldolgozót vehet igénybe.

Az adatfeldolgozásról a szolgáltatásról szóló megállapodásban kell rendelkezni, melynek tartalmánál figyelembe kell venni a hatályos adatvédelmi követelmények érvényesülését, különösen az adatfeldolgozás műveleteinek meghatározására, az adatkezelés garanciáira, az adatkezeléssel kapcsolatos tájékoztatási kötelezettségekre, az Adatkezelő ellenőrzési jogára tekintettel.

Az adatfeldolgozó tevékenységét rögzített követelményrendszer betartása mellett az adatkezelő utasításai alapján folytatja.

4.10.        Adattovábbítás, nyilvánosságra hozatal

4.10.1.  Előfeltételek

Az Adatkezelő kijelenti, hogy az érintettek személyes adatainak továbbítására az egyes adatkezelések tekintetében, kizárólag jelen szabályzatban meghatározottak szerint és feltételek megvalósulása esetén kerül sor.

Harmadik fél részére adatot csak akkor továbbíthat, ha

  1. az érintett ehhez az adatkezelés során előzetesen hozzájárulását adta és ha az adatkezelés feltételei minden egyes adatra nézve teljesülnek.
  2. a törvény az adattovábbítást megengedi és az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek.
  3. Adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges,
  4. az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.
  5. a nemzetbiztonság, a honvédelem és a közbiztonság védelme, a bűncselekmények üldözése céljából az arra hatáskörrel rendelkező nemzetbiztonsági szerveknek, nyomozó hatóságoknak, bíróságoknak, valamint egyéb bírósági és nyomozó szervek jogszerű megkeresése esetén átadhatók az adattovábbítási kérésben megjelölt adatok tekintetében.

4.10.2.  Adattovábbítások naplózása

Annak érdekében, hogy az érintett az adataival kapcsolatos információs önrendelkezési jogát megfelelően gyakorolni tudja, az Adatkezelő ügyviteli munkafolyamataiba kötelező beépíteni olyan naplózási rendszert, mely lehetővé teszi, hogy az érintett adatainak harmadik személy felé történő adattovábbítása, beleértve a továbbítás idejét, a pontos adattartalmat, visszakereshetővé váljon. E naplózás elsődleges célja, hogy az Adatkezelő, a részéről fennálló tájékoztatási kötelezettségének eleget tudjon tenni az érintettek felé az adatkezelés időtartama alatt.

4.10.3.  Adattovábbítás harmadik országba

Az Adatkezelő adatokat harmadik országba akkor továbbít, ha azt a 4.10.1. a)-e) pontok valamelyike szükségessé teszi.

4.10.4.  Nyilvánosságra hozatal

Az Adatkezelő személyes adatot csak akkor hozhat nyilvánosságra, ha erre megfelelő jogalappal rendelkezik.

Az Adatkezelő által készített, személyes adatokon is alapuló, de anonimizált statisztikai adatok szabadon nyilvánosságra hozhatók.

 

5.             Az adatvédelem szervezete, az Adatkezelő feladatai a személyes adatkezeléssel összefüggésben

Adatvédelmi tisztviselő kinevezése nem indokolt a GDPR 37. cikk (1) alapján, mivel az Adatkezelő nem végez a jogszabályban meghatározott feltételeknek megfelelő adatkezelést fő tevékenysége körében.

Az Adatkezelő feladata az adatkezelés feltételeinek rendszeres, éves ellenőrzése, különös tekintettel

  1. jelen szabályzat évenkénti felülvizsgálatára;
  2. a személyes adatok kezelésének jelen szabályzatban meghatározott céltól eltérő felhasználására;
  3. az adatkezelés feltételeit megteremtő jogszabályi környezet változásaira, a célhoz kötöttség elvének érvényesülésére;
  4. az adatkezelések jogalapjának felülvizsgálata;
  5. az adatkezelés jogalapjának megszűnése esetén az adatok törlésének végrehajtására, a törlés elmulasztására;
  6. az érintetteknek nyújtott tájékoztatási kötelezettség rendszerének működtetése, mind a tájékoztatáshoz, helyesbítéshez, törléshez, tiltakozáshoz kapcsolódó jog érvényesítése, mindezen jogok érvényesítését lehetővé tevő szolgáltatások minőségi paramétereinek, a folyamat dokumentáltságának, az adatkezelés rendszerének átláthatósága tekintetében;
  7. Az érintettek kérelmeinek kezelése, jogaik érvényesülésének biztosítása;
  8. az adattovábbításra, azaz arra, hogy a személyes adatok átadása harmadik félnek csak és kizárólag a jelen szabályzat által meghatározott módon és formában történik, valamint a visszakereshetőség minden esetben biztosított;
  9. az adatfeldolgozó tevékenység ellenőrzésére, annak vizsgálatára, hogy az adatfeldolgozó folyamatai biztosítják-e a jelen szabályzatban rögzített követelmények érvényesülését.

5.1.        Kapcsolat harmadik személlyel

Abban az esetben, ha a szerződéses harmadik fél az adatkezelő az által kezelt személyes adatokkal adatkezelési műveletet végez, akkor az Adatkezelő kötelessége megvizsgálni, hogy az adatkezelés GDPR és jelen szabályzat rendelkezéseinek megfelel-e.

Ha a megfelelőség kérdése egyértelműen nem megállapítható, akkor az Adatkezelő kötelessége az adatkezelést lehetővé tevő szerződés módosítását kezdeményezni.

2021. július 12.